Kan du bli hacket som Twitter?

Artwork: Diego Aguirre Den franske hacker som brøt inn i Twitters Google Apps og stjal mer enn 300 private bedriftsdokumenter, har avslørt detaljert hvordan han gjorde det. Ved hjelp av en metode som kalles "cracking", var mannen som går etter navnet Hacker Croll, i stand til å bryte ned Twitter-sikkerhet ved å trolle på Internett for offentlig tilgjengelig informasjon, ifølge TechCrunch. Til slutt fant Croll en svakhet, mange av oss er skyldige i - ved hjelp av ett passord for alt - og Twitters sikkerhet ble kompromittert. Les videre for å se hvordan Hacker Croll gjorde det, og vurder om tilgangen til ditt digitale liv kunne bli brudd på hans metoder.

Croll Cracks Twitter

Hacker Croll startet ved å bygge en profil for sitt målfirma, i dette tilfellet Twitter. I utgangspunktet samlet han en liste over ansatte, deres stillinger i selskapet, og deres tilhørende e-postadresser. Etter at grunnopplysningene ble samlet, bygget Croll en liten profil for hver ansatt med fødselsdato, navn på kjæledyr og så videre.

Etter at Croll hadde opprettet disse profilene, gikk han bare om å slå på dører til en falt ned. Det var akkurat det som skjedde da han gjorde en passordgjenoppretting for en Twitter-ansattes personlige Gmail-konto. Croll oppdaget at den sekundære kontoen knyttet til denne persons Gmail var en Hotmail-konto. Problemet var at Hotmail-kontoen hadde blitt slettet og resirkulert på grunn av inaktivitet - en langvarig policy på Hotmail. Nå måtte alle Hacker Croll gjøre omregistrere Hotmail-kontoen for seg selv, gå tilbake og gjøre Gmail-passordgjenoppretting, og deretter sendte Gmail tilbakestillingsinformasjonen direkte til den dårlige fyren.

Men det er ikke over ennå. Gmail spurte Hacker Croll om å tilbakestille passordet til Twitter-ansattes personlige e-postkonto, som han gjorde. Men nå ble den opprinnelige brukeren låst ut av kontoen sin, som ville sende opp et klart rødt flagg. Så alt Croll gjorde var å søke i Gmail-kontoen selv for passord fra personens andre aktive tjenester. Så kom han inn i et vanlig passord han hadde funnet, og ventet å se om personen begynte å bruke kontoen sin normalt. Croll hadde nå tilgang til Gmail-kontoen bak scenene, og fikk tilgang til informasjon som ikke var oppdaget. Å gjøre livet til og med eaiser, Twitter-ansatten brukte det samme passordet på hennes forretnings- og personlige kontoer, slik at hackeren nå hadde tilgang til begge, og resten var historie.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Er du utsatt for den samme sprekk?

Den skremmende tingen om Crolls metoder er at de kan skje med noen. Jeg sjekket min egen Google-konto forrige uke, og oppdaget at jeg var åpen for

samme sikkerhetsfeil som Twitter-ansatt var. Jeg hadde registrert Gmail-kontoen min så lenge siden, at jeg hadde glemt alt om min sekundære e-postadresse. I likhet med Twitter-ansatt var den sekundære e-posten som var knyttet til min Google-konto, defunct og muligens åpen for omregistrering av noen. Det har siden blitt endret. Jeg har også søkt i min egen e-post for passord jeg har brukt, og jeg ble overrasket over hvor mange resultater som ble returnert. Gjør et søk i din e-postkonto ved hjelp av de vanligste passordene dine, og se hva som kommer opp. Du kan bli overrasket.

Men det finnes et myriade av andre måter en hacker kunne få informasjonen din. Har du noen gang mottatt en gratulerer med gratulerer med en offentlig tjeneste som Twitter? Har du noen gang sendt noen ditt telefonnummer eller annen informasjon på den måten? Hvilken informasjon sitter på dine nettsamfunn? Er dine MySpace- og Facebook-kontoer slått av, eller kan noen se dem som søker etter deg? Har Facebook-siden din fødselsdato, de siste skolene du har deltatt i, ditt kjæledyrs navn? Kan din mors pikenavn - et felles sikkerhetsspørsmål - bli oppdaget gjennom din sosiale nettverkskonto? Hva med de mange andre tjenestene du bruker? Hvis du tror det er lite sannsynlig at noen kan finne denne informasjonen, så prøv å søke etter deg selv i de såkalte "Deep Web" -søkemotorene som Pipl eller Spokeo, og se hva som kommer opp. Du kan finne elektroniske kontoer du hadde helt glemt.

Webmail Security Lignende

Det andre problemet er at de fleste av de store e-posttjenestene bruker lignende gjenopprettingsmetoder til Googles. Hotmail er nesten nøyaktig det samme som Gmail. Yahoo er enda enklere, siden hvis du forteller Yahoo, kan du ikke få tilgang til den sekundære e-postkontoen din, du kan svare på et hemmelig spørsmål. Disse sikkerhetsmåtelsene er det som gjorde det mulig for en elev å hacke inn i Alaska Gov. Sarah Palins Yahoo Mail-konto i fjor. I mine tester av Yahoo Mails gjenopprettingsside fikk jeg det som virket som et ubegrenset antall muligheter til å gjette min Yahoo Mail hemmelige spørsmål. AOL Mail er ikke mye bedre, siden du har mulighet til å skrive inn din sekundære e-post (du må kjenne det eller gjette) eller du kan skrive inn din nøyaktige fødselsdato pluss postnummeret ditt på filen med AOL. Zip-kodebarrieren gjør det vanskeligere for noen å bryte inn, men på ingen måte umulig.

Hvis du har oppdaget at du er åpen for de samme feilene som Twitter var, så sett dette på din våkne samtale. Du må regelmessig sjekke sikkerhetsinnstillingene på dine ulike nettkontoer, slik at du fortsatt er i kontroll over sikkerhetsinformasjonen din, siden det er så lett å glemme det du skrev inn for år siden. Vær særlig oppmerksom på sekundære e-postkontoer som er koblet til din primære e-postadresse; vurdere å gi et falskt svar (det bare du husker) til sikkerhetsspørsmål; og regelmessig endre passordene dine, enten ved egen oppfinnelse eller med en tilfeldig passordgenerator som GRC eller Strong Password Generator. Du kan også komme seg vekk fra å bruke bare ett eller to passord, og bruk passordforvaltere som Clipperz, KeePass eller Yubico for å huske dine detaljer i stedet. Men kanskje viktigst, søk etter de vanligste passordene du bruker i dine egne webmailkontoer og slett disse meldingene. Hvis det verste skjer og kontoen din blir skadet, vil du være glad du gjorde.