Hacker Croll, francuz koji je došao do poverljivih dokumenata Twitter je “jedan mlad čovek (rane dvadesete), impresioniran sigurnošću na Internetu”.
Svojim ostupkom nije želeo da zaradi prodajući dokumenta već, po njegovim rečima: “želja da se dokaže kako se bez mnogo znanja može doći do poverljivih stvri i kako sprečiti to.”
Kako je Hacker Croll došao do Twitter dokumenata
1. Pristupio je Gmail nalogu jednog od zaposlenih u Twitter.
Taj zaposleni je supruga Evan Williamsa, čoveka koji je u Twitter zadužen za SEO (njegovo predavanje objavio sam u postu “Šta Twitter nije“). Koristeći Gmail način da se dođe do “zaboravljenog” passworda, Crollu je regularno Gmail poslao reset link na sekundarni mail nalog (koji se navodi prilikom registrcije). U ovom slučaju, to je bio istekli nalog na Hotmail koji prema svojim uslovima briše zastarele naloge. Jednostavno je registrovao novi nalog, dobio reset link i Gmail je bio osvojen.
2. U tom Gmail nalogu dolazi do adresa drugih zaposlenih, do čijih passworda dolazi na isti način (gde je bilo moguće). Tada je Croll imao pristup email prilozima ali sa istim passwordom, i drugim Google aplikacijama. Sada na red dolazi Google Doc, aplikacija koja mu je bila zlatni rudnik.
3. Kombinacijom ovih korisničkih imena i lozinki, lako je pristupio drugim nalozima na Amazon, AT&T, MobileMe i iTunes. Osim istorije plaćanja, tu dolazi do brojeva kreditnih kartica jer sam Apple tu ima rupu (koju još uvek nije rešio) jer iTunes prikazuje brojeve brojeve kartica u čistom text formatu.
4. Đavo tu već odnosi šalu i Croll staje znajući dokle sve to može da ode, radi print screen, pakuje 310 dokumenata u zipp i šalje jednom francuskom sajtu i TechCrunch koji o ovom “problemu” 36 sati razgovara sa Twitter i nakon toga objavljuje seriju tekstova i slika nekih dokumenata.
Nije teško pretpostaviti zašto je TechCrunch krenuo sa objavljivanjem tih dokumenata (i to nakon 36 razgovora, pregovora?) rizikujući time sigurno dugu i milionski vrednu parnicu.
Pouka iz svega ovog je samo, vodite računa o svojim nalozima.
Pismo “izvinjenja” Twitteru
Je tiens à présenter toutes mes excuses au personnel de Twitter. Je trouve que cette société a beaucoup d’avenir devant elle.
J’ai fait cela dans un but non lucratif. La sécurité est un domaine qui me passionne depuis de longues années et je voudrais en faire mon métier. Dans mon quotidien, il m’arrive d’aider des gens à se prémunir contre les dangers de l’internet. Je leur apprend les règles de base.. Par exemple : Faire attention où on clique, les fichiers que l’on télécharge et ce que l’on tape au clavier. S’assurer que l’ordinateur est équipé d’une protection efficace contre les virus, attaques extérieures, spam, phishing… Mettre à jour le système d’exploitation, les logiciels fréquemment utilisés… Penser à utiliser des mots de passe sans aucune similitude entre eux. Penser à les changer régulièrement… Ne jamais stocker d’informations confidentielles sur l’ordinateur…
J’espère que mes interventions répétées auront permis de montrer à quel point il peut être facile à une personne mal intentionnée d’accéder à des informations sensibles sans trop de connaissances.
Hacker Croll
Prevod na EN:
I would like to offer my personal apology to Twitter. I think this company has a great future ahead of it.
I did not do this to profit from the information. Security is an area that fascinated me for many years and I want to do my job. In my everyday life, I help people to guard against the dangers of the Internet. I learned the basic rules .. For example: Be careful where you click the files that you download and what you type on the keyboard. Ensure that the computer is equipped with effective protection against viruses, external attacks, spam, phishing … Upgrading the operating system, software commonly used … Remember to use passwords without any similarity between them. Remember to change them regularly … Never store confidential information on the computer …
I hope that my intervention will be repeated to show how easy it can be for a malicious person to gain access to sensitive information without too much knowledge.
Hacker Croll
