Twitter erneut gehackt, diesmal mit Hilfe von Hotmail

Als ein Hacker, der sich Hacker Croll nannte, in das E-Mail-Konto des Verwaltungsassistenten einbrach, sammelte er damit Informationen, die ihm den Zugriff auf das Google Apps-Konto des Mitarbeiters ermöglichten. Mitarbeiter von Twitter verwenden die Unternehmensversion von Google Apps, um Dokumente und andere Informationen innerhalb des Unternehmens zu teilen.

Offenbar nutzte der Hacker eine Funktion von Microsofts Hotmail, um das geschäftliche E-Mail-Konto des Mitarbeiters zu kapern. Die Website, die letzte Woche die Geschichte verbreitete, TechCrunch, berichtete, dass der Hacker schlechte Passwortpraktiken, Hotmails inaktive Kontofunktion und persönliche Informationen im Internet ausnutzte, um Hunderte von Twitter-Dokumenten zu stehlen. TechCrunch hat es geschafft, Hacker Croll dazu zu bringen, die Details dieses Angriffs preiszugeben.

Wie hat dieser Prozess begonnen?

Angefangen hat es mit dem persönlichen Gmail-Account der bei Twitter arbeitenden Verwaltungsassistentin. Wie bei vielen anderen Webanwendungen verfügt die Personal Edition von Gmail über eine Funktion zur Passwortwiederherstellung, die einen Benutzer vor eine Reihe von Herausforderungen stellt, um seine Identität nachzuweisen, damit sein Passwort zurückgesetzt werden kann. Bei der Anfrage, das Passwort wiederherzustellen, hatte Hacker Croll Glück, als Gmail ihn darüber informierte, dass eine E-Mail an das sekundäre E-Mail-Konto des Benutzers gesendet wurde. Durch einige ziemlich einfache Vermutungen folgerte Hacker Croll, dass dieses sekundäre E-Mail-Konto bei Hotmail.com gehostet wurde.

Bei Hotmail versuchte Hacker Croll erneut, das Passwort-Wiederherstellungsverfahren durchzuführen, indem er eine fundierte Schätzung des Benutzernamens durchführte, basierend auf der Menge an Recherchen, die er über diesen Mitarbeiter und andere bei Twitter durchgeführt hatte, indem er das Internet nach wahrscheinlichen Antworten durchsuchte . An dieser Stelle entdeckte Hacker Croll, dass das als sekundäres Konto für Gmail angegebene und bei Hotmail gehostete Konto nicht mehr aktiv war. Dies ist auf eine Richtlinie bei Hotmail zurückzuführen, bei der alte und ruhende Konten entfernt und recycelt werden.

Nach der Registrierung des Kontos und der erneuten Anforderung der Passwortwiederherstellungsfunktion von Gmail hatte Hacker Croll Zugriff auf den persönlichen Gmail-Account eines Twitter-Mitarbeiters. Gut gestaltete Webanwendungen geben einem Benutzer nie einfach sein Passwort, wenn er es vergisst, sondern zwingen den Benutzer, ein neues zu wählen. Das hat Hacker Croll getan. Um den Kontoinhaber jedoch nicht darauf aufmerksam zu machen, dass sein Konto kompromittiert wurde, müsste er das ursprüngliche Gmail-Passwort irgendwie herausfinden und zurücksetzen.

Hier kommt eine schlechte Angewohnheit in Bezug auf die Passwortpraxis ins Spiel. Die meisten von uns sind daran schuldig; überall das gleiche Passwort verwenden. Als er eine E-Mail an den Kontoinhaber fand, die mit einem zufälligen Webdienst verknüpft war, den der Benutzer abonniert hatte, wurde das Passwort im Klartext angegeben. Dieses spezielle Passwort wurde in ähnlichen E-Mails mehr als einmal gefunden. Hacker Croll konnte nun mit Sicherheit davon ausgehen, dass das gleiche Passwort auch für das Gmail-Konto verwendet wurde.

Von hier aus gelang es Hacker Croll, auf das geschäftliche E-Mail-Konto des Nutzers zuzugreifen, das auf Google Apps for Domains gehostet wird. Es scheint, dass dieser Mitarbeiter (und tatsächlich mehrere andere, die bei Twitter arbeiten) dasselbe Passwort für seine geschäftliche E-Mail verwendet hat wie für sein persönliches Gmail-Konto. Von diesem Moment an verbreitete sich das Eindringen von Hacker Croll wie ein Lauffeuer. Mit dem einzigen persönlichen Gmail-Konto, auf das er Zugriff hatte, als Ausgangspunkt, gelang es ihm schließlich, eine Reihe von Konten bei einer Reihe verschiedener Dienste sowohl innerhalb als auch außerhalb von Twitter zu infizieren.

Sobald Hacker Croll Zugriff auf das von Google gehostete Twitter-E-Mail-Konto des Mitarbeiters hatte, konnte er E-Mail-Anhänge herunterladen, die sensible Informationen enthielten, darunter weitere Passwörter und Benutzernamen. Er übernahm schnell die Konten von mindestens drei leitenden Angestellten, darunter Twitters CEO Evan Williams und einen seiner Mitbegründer, Biz Stone. Das Durchsuchen ihrer E-Mail-Anhänge führte dazu, dass eine Fülle sensiblerer Daten heruntergeladen wurde.

Hacker Croll verbreitete sich von hier aus bald nach außen und griff auf AT&T für Telefonprotokolle, Amazon für die Kaufhistorie, MobileMe für persönlichere E-Mails und iTunes für vollständige Kreditkarteninformationen zu. Am Ende, als Hacker Croll seine weit verbreitete Infiltration beendet hatte, war es ihm gelungen, genügend persönliche und geschäftliche Informationen über wichtige Twitter-Führungskräfte zu beschaffen, um deren Leben elend zu machen. Selbst zu diesem Zeitpunkt hatte Twitter absolut keine Ahnung, dass sie kompromittiert worden waren.

Was waren die Absichten von Hacker Croll, nachdem er diesen Prozess abgeschlossen hatte?

Laut TechCrunch wollte Hacker Croll nur die Schwachstellen in der Datensicherheitspolitik von Twitter aufzeigen und sie und andere Start-up-Unternehmen dazu bringen, stärkere Sicherheitsmaßnahmen in Betracht zu ziehen. Dies kann sehr wohl die Wahrheit sein, denn es hätte unweigerlich passieren können, dass Hacker Croll die gewonnenen Informationen verkauft hat, um Gewinn zu machen, was er nicht getan hat. Stattdessen wurden die Dokumente, die er durch seinen Einfall auf Twitter erlangte, an mehrere Websites gesendet, darunter TechCrunch, um seinen Wert zu beweisen.

Twitter hat mit rechtlichen Schritten gegen die Websites gedroht, darunter auch TechCrunch, die die gestohlenen Dokumente veröffentlicht haben, aber Rechtsexperten warnten letzte Woche, dass es schwer vorherzusagen sei, ob dies erfolgreich sein würde.