攻撃の概要を再度まとめておこう。
1. Hacker Croll(HC)はまずTwitter社員のGmailアカウントを攻撃した。パスワード・リセットを要求を送ったところ、リセットのためのリンクが送られた第2のメールアドレスは期限切れで無効になったHotmailアドレスだった。HCはそのユーザー名を推測して新たにhotmilに登録し、Gmailのパスワードをリセットした。
2. HCは次に、Gmailのアーカイブを研究してリセット前のGmailパスワードを推測し、それにリセットした。Twitter社員はアカウント乗っ取りにまったく気づかなかった。
3. Twitter社員はGailで使用していたパスワードをGoogle Appsでも使っていた。ここには貴重な企業情報が大量に蓄積されていた。 特にメールの添付ファイルは宝の山だった。
4. HCは、こうして得た情報を利用してさらに他のTwitter社員のメールのパスワードを推測し、アカウントを乗っ取った。
5. HCは、まったく同様のパスワード推測、リセットの手口で、AT&T、MobileMe、Amazon、iTunesを始め、他のアカウントを次々に手に入れた。iTunesのシステムに存在した脆弱性を利用してクレジットカード情報を平文で表示させることもできた。HCはGoDaddyのTwitterドメインも乗っ取った。
6. この時点でも、Twitterはセキュリティーに重大な問題が起きていることにまったく気付いていなかった。
Crollはこうして得た情報を売って金を儲けることもできたはずだ。しかし彼はそうはしなかったようだ。Crollは「そのようなことは一切考えなかった」と語っている。「私の目的はTwitterやその他のスタートアップに情報セキュリティーの弱点を指摘し、もっと堅牢なシステムを構築するよう促すことにあった」と彼は主張している。
–Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した (via hazime1373) (via n13i) (via wideangle) (via yoosee) (via vmconverter) (via kwmr)
アカウント乗っ取りとパスワード調査の手口は簡単だ。どうか皆さん、簡単にパスワードを推測されないよう。また、自分のメールであったとしても、自分の他のパスワードが推測できるような痕跡を残さないように!さらに金銭に関わるアカウントのパスワードとそうでないものをわけて、どうでも良い(twitterのアカウントのような)パスワードとそうでないものは、区別して、絶対に金銭の関わるアカウントにはアクセスさせないような工夫をしましょう。
Via Clip On kwmr
