マルチデバイス ライセンス(ボリューム ディスカウント)

地域を変更

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Computer Security Twitterが再びハッキングされました。今回はHotmailの助けを借りて

Twitterが再びハッキングされました。今回はHotmailの助けを借りて

Computer SecuritySumo3000まで
翻訳内容:
日本語

ハッカー・クロルと名乗るハッカーが管理アシスタントの電子メールアカウントに侵入したとき、彼はこれを使用して、従業員のGoogleAppsアカウントへのアクセスを許可する情報を収集しました。 Twitterで働く人々は、企業版のGoogle Appsを利用して、社内でドキュメントやその他の情報を共有しています。

どうやら、ハッカーはMicrosoftのHotmailの機能を使用して、従業員の仕事用の電子メールアカウントを乗っ取ったようです。先週話を壊したウェブサイトTechCrunchは、ハッカーが何百ものTwitterドキュメントを盗むために、不適切なパスワード慣行、Hotmailの非アクティブなアカウント機能、インターネット上の個人情報を利用したと報告しました。 TechCrunchはなんとかハッカー・クロルを説得してこの攻撃の詳細を明らかにさせた。

このプロセスはどのように始まったのですか?

それは、Twitterで働いている管理アシスタントの個人用Gmailアカウントから始まりました。他の多くのWebアプリケーションと同様に、パーソナルエディションのGmailには、パスワードをリセットできるようにIDを証明するために、ユーザーにいくつかの課題を提示するパスワード回復機能があります。パスワードの回復をリクエストすると、Gmailがユーザーのセカンダリメールアカウントにメールが送信されたことを通知したときに、ハッカークロルは幸運な休憩を取りました。ハッカー・クロルは、かなり単純な推測作業を通じて、このセカンダリ電子メールアカウントがHotmail.comでホストされていると推測しました。

Hotmailで、Hacker Crollはもう一度パスワード回復手順を試み、インターネットを調べて応答の可能性を調べることにより、この従業員やTwitterで働いている他の従業員に対して行った調査の量に基づいてユーザー名が何であるかを知識に基づいて推定しました。 。この時点で、Hacker Crollは、Gmailのセカンダリとして指定され、Hotmailでホストされているアカウントがアクティブでなくなったことを発見しました。これは、古いアカウントと休止中のアカウントが削除されてリサイクルされるというHotmailのポリシーによるものです。

アカウントを登録し、Gmailからパスワード回復機能を再要求した後、ハッカー・クロルはTwitter従業員の個人用Gmailアカウントにアクセスできることに気づきました。適切に設計されたWebアプリケーションは、ユーザーがパスワードを忘れた場合にパスワードを提供するだけでなく、ユーザーに新しいパスワードの選択を強制します。これはハッカー・クロルがしたことです。ただし、アカウントの所有者にアカウントが侵害されたことを警告しないためには、元のGmailパスワードが何であるかを何らかの方法で発見し、元に戻す必要があります。

ここで、パスワードの練習に関して悪い習慣が出てきます。私たちのほとんどはそれについて有罪です。どこに行っても同じパスワードを使用します。ユーザーがサブスクライブしたランダムなWebサービスに関連付けられたアカウント所有者に送信された電子メールを見つけて、パスワードの詳細をクリアテキストで示しました。この特定のパスワードは、同様の電子メールで複数回見つかりました。ハッカー・クロルは、これと同じパスワードがGmailアカウントにも使用されていると安全に想定できるようになりました。

ここから、Hacker Crollは、Google Apps forDomainsでホストされているユーザーの仕事用メールアカウントにアクセスすることができました。この従業員(そして実際にはTwitterで働いている他の何人か)は、個人のGmailアカウントで使用したのと同じパスワードを仕事用の電子メールに使用したようです。その瞬間から、ハッカー・クロルの侵入は野火のように広がりました。彼がアクセスを取得できた単一の個人用Gmailアカウントを出発点として使用して、彼は最終的にTwitterの内外のさまざまなサービスの多くのアカウントに感染することに成功しました。

ハッカー・クロルは、Googleがホストする従業員のTwitterメールアカウントにアクセスできるようになると、パスワードやユーザー名などの機密情報を含むメールの添付ファイルをダウンロードできるようになりました。彼はすぐに、TwitterのCEOであるEvanWilliamsとその共同創設者の1人であるBizStoneを含む少なくとも3人の上級管理職のアカウントを引き継ぎました。電子メールの添付ファイルを検索すると、より機密性の高いデータが大量にダウンロードされました。

ハッカー・クロルはすぐにここから外に広がり、電話ログについてはAT&Tに、購入履歴についてはAmazonに、より個人的な電子メールについてはMobileMeに、完全なクレジットカード情報についてはiTunesにアクセスしました。結局、ハッカー・クロルが広範囲にわたる潜入を終えたとき、彼は彼らの人生を惨めにするのに十分な個人情報と重要なツイッター幹部の仕事情報を何とか入手した。この時点でさえ、Twitterは彼らが危険にさらされていることをまったく知りませんでした。

このプロセスを完了した後のハッカー・クロルの意図は何でしたか?

TechCrunchによると、Hacker Crollが意図したのは、Twitterのデータセキュリティポリシーの弱点を強調し、Twitterや他の新興企業に強力なセキュリティ対策を検討させることだけだった。ハッカー・クロルが利益を上げるために得た情報を売っていたので、必然的に起こった可能性があるので、これは非常に真実かもしれませんが、彼はしていません。代わりに、彼がTwitterに侵入して取得したドキュメントは、彼の価値を証明するためにTechCrunchを含む複数のWebサイトに送信されました。

Twitterは、盗まれた文書を公開しているTechCrunchを含むサイトに対して訴訟を起こすと脅迫しているが、法律専門家は先週、それが成功するかどうかを予測するのは難しいと警告した。

読み込んでいます...