Slik ble Twitter hacket

I forrige uke ble en rekke hemmelige dokumenter fra Twitter lekket ut på nettet, blant annet med sensitiv økonomisk informasjon om selskapet.

Techcrunch publiserte noen av disse, samtidig som de var først ute med å melde nyheten.

Dokumentene stammet fra epost-kontoene til en rekke ansatte hos Twitter, blant annet administrerende direktør Evan Williams og en av grunderne bak siden, Biz Stone.

Hackeren bak angrepet, som kaller seg Hacker Croll, har gjennom en rekke samtaler med Techcrunch avslørt hvordan han fikk tak i dokumentene.

Hemmelige spørsmål

Som det ofte er, var heller ikke Hacker Croll sine teknikker så avanserte som man kanskje kunne tro. Det første han gjorde, var å skaffe seg tilgang til Gmail-kontoen til en av de Twitter-ansatte; en assistent til administrasjonen.

Mange tjenester har en mulighet for å oppgi at man har glemt passordet. Dermed må man svare på en rekke "hemmelige spørsmål" for å verifisere at man er tjenestens rettmessige eier. Slik har også Gmail.

Svarene på de personlige spørsmålene fant hackeren ved å søke rundt på nettet, ettersom vi stadig deler mer informasjon om oss selv på diverse nettsider. Samme teknikk ble trolig brukt da Sarah Palins epost ble brutt opp tidligere i år.

Hotmail hjalp

Etter at spørsmålene var besvart, sa Gmail at en epost med passord hadde blitt sendt til den Twitter-ansattes andre epost-konto. Og at denne kontoen var "******@h******.com". Han antok det dreide seg om et Hotmail-adresse, og klarte å gjette seg frem til brukernavnet. Denne kontoen var inaktiv, noe Hotmail-kontoer blir etter så og så lang tid uten aktivitet.

Han kunne dermed registrere denne epost-adressen som hans egen, gjentok passord-prosessen hos Gmail, og fikk dermed en epost inn i det som nå var hans egen Hotmail-konto med den Twitter-ansattes Gmail-passord. Nå kunne han fjerne sporene sine, og sørge for at den Twitter-ansatte fikk åpnet sin Gmail-konto med sitt gamle passord, uten at han visste at noen hadde vært inne og påstått at passordet var "glemt".

Hackeren satt dermed med tilgang til den personlige Gmail-en til en Twitter-ansatt, og "moroa" kunne begynne.

Samme passord

Ved å snoke rundt i den private eposten, fant han snart en rekke brukernavn og passord til andre nett-tjenester. Ved hjelp av disse klarte han også å logge seg inn på den Twitter-ansatte sin jobb-epost, selv om denne informasjonen ikke lå i klartekst i eposten.

Men ettersom mange bruker de samme passordene på alle sine forskjellige tjenester, klarte han å gjette seg frem.

- De aller fleste Twitter-ansatte bruker det samme passordet for jobb-eposten som de gjør på andre tjenester, forteller Hacker Croll til Techcrunch.

I den Google Apps-baserte jobb-eposten fant hackeren en rekke brukernavn og passord til andre ansatte i Twitter. Dermed fikk han tilgang på en rekke andre sine sensetive dokumenter, blant fra annet innboksen til toppene Williams og Stone, som han dermed lekket ut til offentligheten.

Twitter vurderer nå søksmål mot blant annet Techcrunch, som har publisert noen av de hemmelige dokumentene.

Folk lærer ikke

Lærdommen fra denne historien er at mye kan bli bedre når det gjelder hvordan folk og tjenester behandler passord.

Tjenesters "hemmelig spørsmål"-politikk har tidligere fått kritikk, og man har gang på gang fått høre at man bør ha forskjellige passord på forskjellige tjenester. De bør også være sterke, det vil si å inkludere spesielle tegn og tall, og ikke bestå av vanlige ord.

- Men jeg tror det kreve mye mer enn denne hendelsen før folk lærer, sier Sam Masiello, som er direktør for informasjonssikkerhet i selskapet MX Logic.

- Vi har snakket om sterke og flere passord i årevis, men folk har fortsatt ikke lært.