A Twitter-hacker titkai

A múlt héten bizonyosodott be, hogy körülbelül egy hónappal ezelőtt a Twittertől bizalmas dokumentumok kerültek illetéktelen kezekbe. A vizsgálatok kiderítették, hogy a hacker, aki egyébként Hacker Croll néven vált ismertté, egy Twitter alkalmazott Google Apps fiókját törte fel, és ennek révén jutott hozzá az értékes információkhoz. A hírek szerint a támadó több száz oldalnyi bizalmas dokumentumot zsákmányolt, amelyeket aztán feltöltött különböző weboldalakra. A közzétett állományok között például pénzügyi adatok is megtalálhatóak voltak.

A múlt hét óta újabb részletek jelentek meg a támadásról, és egyben beigazolódott a szakértők azon gyanúja is, hogy a hacker a Google elfelejtett jelszó funkciójának felhasználásával vette át az uralmat a Twitter alkalmazottjának felhasználói fiókja felett. Ilyen támadások már eddig is előfordultak. Ezek közül a legismertebb Sarah Palin, Alaszka kormányzónőjének nevéhez fűződik, akinek tavaly a Yahoo postafiókját törte fel hasonló módszerekkel egy fiatal elkövető.

Utólag elmondható, hogy Hacker Crollnak sem volt túlságosan nehéz dolga, amikor a Twitter dokumentumokhoz igyekezett hozzáférni. Nem tett ugyanis mást, mint kiszemelte magának az érintett Twitter alkalmazottat, és az Interneten bárki számára elérhető weboldalakon, főleg a közösségépítő site-okon elkezdett kutakodni. Ezt követően úgy határozott, hogy a Google elfelejtett jelszó funkciójának kihasználásával megpróbálja megváltoztatni az áldozat magáncéllal létrehozott Gmail postafiókjához tartozó jelszavát. Mivel az alkalmazott a jelszóemlékeztető során megjelenő biztonsági kérdésre korábban olyan választ állított be, amelyet aztán szétkürtölt az egyik weboldalon, ezért a hackernek nem kellett sokáig találgatnia. Amikor kiderült, hogy a kérdésre adott válasza megfelelő, akkor a Gmail arról tájékoztatta, hogy az új jelszót elküldte egy "******@h******.com" másodlagos email címre. Ebből a hacker könnyedén kikövetkeztette, hogy a Twitter alkalmazott egy Hotmail fiókot adott meg a Gmail regisztrációkor. Így hát Hacker Croll felkerekedett, és célba vette a Hotmail postafiókot, amelyről hamar kiderült, hogy az már nem aktív. Ezért fogta magát és újra beregisztrálta azt, majd ismét igénybe vette a Gmailen a jelszó emlékeztetőt, ami újból elküldte e-mailben a jelszót a Hotmailre. De a hacker ekkor már a saját jelszavával könnyedén le tudta kérdezni ezt a levelet, és pár pillanat alatt hozzáfért az új Gmail jelszóhoz.

Természetesen a számítógépes bűnözök is igyekeznek maguk mögött eltakarítani a nyomokat, így Hacker Croll is gondolt arra, hogy mi lesz, ha a Twitter alkalmazott az újonnan generált kód miatt nem tud bejelentkezni a postafiókjába, és gyanút fog. Ezért kutakodott kicsit a levelek között, és hamar ráakadt olyan e-mailekre, amelyekben egyéb webes szolgáltatásokhoz tartozó jelszavakat talált. Ezek közül beállította az egyik leggyakoribbat, és figyelte, hogy a felhasználó bejelentkezik-e a postafiókba. Hamar kiderült, hogy a régi jelszót sikerült visszaállítania, így a támadásból az alkalmazott semmit sem vett észre. A hacker viszont a birtokába került információk alapján már be tudod lépni a felhasználó nevében többek között a Google Appsba is, ahonnan könnyű szerrel le tudta tölteni a bizalmas dokumentumokat.

Biztonsági szakértők az eset után ismét arra figyelmeztettek, hogy csak megfelelően erős jelszavakat szabad használni, a jelszó emlékeztető funkcióval óvatosan és körültekintően kell bánni, valamint a különböző rendszerekhez más-más jelszót célszerű választani. A közösségépítőkön és egyéb weboldalakon pedig nem egészséges olyan információkat közzétenni, amelyek valóban bizalmasak, vagy értékes adatokhoz, rendszerekhez való hozzáférést segíthetnek. Mindezek mellett - mint ahogy azt a példa is mutatja - a magáncélú és a munkahelyi bejelentkezési adatokat is érdemes elkülöníteni egymástól. Különösen lényeges mindez a webes szolgáltatások esetében.

A cikk a Computerworld oldalán jelent meg.