Hacker: Jeg brøt inn i Twitter

For andre gang i år har en hacker fått administrativ tilgang til en Twitter-ansattes konto.

På onsdag sendte en anonym hacker ved navn Hacker Croll 13 skjermbilder til et fransk online diskusjonsforum, tilsynelatende fanget mens du er logget inn på Twitter-kontoen av Jason Goldman, en direktør for produktstyring med Twitter.

Twitter-kammerat Biz Stone bekreftet brudd i et blogginnlegg torsdag ettermiddag. "Denne uken ble uautorisert tilgang til Twitter oppnådd av en ekstern parti," skrev han. "Våre første sikkerhetsvurderinger og undersøkelser indikerer at ingen kontoinformasjon ble endret eller fjernet på noen måte. Vi oppdaget imidlertid at 10 individuelle kontoer ble vist under denne uautoriserte tilgangen."

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

Hacker Croll var ifølge skjermbildene i stand til å få tilgang til kontoinformasjon tilhørende høyprofilerte Twitter-brukere som Britney Spears og Ashton Kutcher. Han kunne også gjøre ting som å legge til eller fjerne kjente brukere, som blir foreslått for nye Twitter-medlemmer når de registrerer seg.

Hackeren kan ha fått tilgang til informasjon som e-postadresser, mobilnumre og en liste over kontoene blokkert av disse brukerne, skrev stein. "Vi har personlig kontaktet Twitter-brukere, hvis kontoer ble kompromittert via denne uautoriserte tilgangen," sa han.

Gissede passord

Hacker Croll hevdet å ha åpnet Goldman's Twitter-passord ved først å få tilgang til hans Yahoo-konto. "En av admins har en Yahoo konto, jeg har tilbakestilt passordet ved å svare på det hemmelige spørsmålet. I postkassen har jeg funnet henne [sic] twitter passord," sa Hacker Croll onsdag i en innlegg til en online diskusjonsforum. "Jeg har bare brukt sosialteknikk, ingen utnyttelse, ingen xss sårbarhet, ingen bakdør, np sql injeksjon."

På mandag sendte Goldman en Twitter-melding som sa at hans Yahoo-postkonto hadde blitt hacket.

Twitter har hadde et utslett av sikkerhetsproblemer i år.

I januar sa en annen hacker som heter GMZ, at han kunne få tilgang til en administrativ konto ved å gjette passordet til en Twitter-supportpersonell. Passordet var angivelig et lett å gjette ord: glede.

GMZ brukte da tilgangen til å ta kontroll over 33 profilerte kontoer, blant annet for Spears, amerikanske president Barack Obama og Fox News.

Gjentatte angrep

Twitter har også blitt rammet av flere raskt spredte ormangrep i år, som preyed på webprogrammeringsfeil på nettstedet.

Selv om Twitter CEO Biz Stone lovet en "full sikkerhetsvurdering av alle tilgangspunkter til Twitter" etter at I januar er sikkerheten svært svak, ifølge Manuel Dorne, den franske bloggeren og IT-prosjektlederen som først publiserte nyheter om den nyeste Twitter-hacken.

Stone gjorde et lignende løfte denne gangen også. "Twitter tar sikkerhet veldig alvorlig, så vi skal gjennomføre en grundig, uavhengig sikkerhetsrevisjon av alle interne systemer og implementere ytterligere anti-inntrengingsmåter for å beskytte brukerdata videre," skrev han torsdag.

Alle som prøver å logge inn på admin. twitter.com er gitt en påloggingsprompt, og siden Twitter-brukernavn er allerede offentlig, må angriperne bare gjette passordet. Det kunne ha vært det som skjedde med Goldmans konto, sa Dorne. «Kanskje passordet var navnet på hans barn eller sin kone og hackeren visste det.»

Disse typer angrep, kalt sosialtekniske angrep av forskere, er effektive og vanlige. I fjor brukte en hacker den samme teknikken som beskrevet av Hacker Croll for å få tilgang til Yahoo-e-postkontoen for vice presidentkandidat Sarah Palin.

"Vi må være forsiktige og ikke undervurdere sosialtekniske angrep," sa Lance James, medstifter av konsulentfirmaet Secure Science, via direktemeldinger. "Hvis de jobber for å stjele penger fra banker, vil det være trivielt å kapre sosiale nettverk som Twitter."