Hotmail giúp hacker đột nhập vào email của Twitter - 20 July 2009

Hacker Croll tiết lộ chi tiết của cuộc đột nhập cho TechCrunch, website đã đăng những tài liệu nội bộ của Twitter.

Vào hôm chủ nhật, Website đăng một số tài liệu của Twitter cho biết tên hacker đánh cắp những tài liệu mật của Twitter đã sử dụng một đặc tính trong Hotmail của Microsoft để chiếm đoạt tài khoản email công việc của các nhân viên Twitter.

Theo TechCrunch, website tuần trước tiết lộ thông tin về lỗ hổng của Twitter và đăng một số thông tin bị đánh cắp, tên hacker này tự xưng là Hacker Croll đã lợi dụng việc đặt mật khẩu đơn giản, đặc tính tài khoản không kích hoạt của Hotmail và thông tin cá nhân trên website để đánh cắp hàng trăm tài liệu của Twitter.

TechCrunch cho biết họ đã thuyết phục Hacker Croll tiết lộ chi tiết cuộc đột nhập, và sau nhiều cuộc đàm thoại trong vài ngày họ có thể liên kết thông tin về cách thức đột nhập và những thông tin hắn có được để truy cập vào tài khoản email của Evan Williams, CEO của Twitter, và Biz Stone, một nhà đồng sáng lập.

Ban đầu, Hacker Croll đánh cắp một tài khoản Gmail cá nhân của một nhân viên Twitter, người này được Stone xác nhận là một trợ lý quản trị của công ty vào tuần trước, bằng cách xác lập lại mật khẩu tài khoản. Để thực hiện được điều đó Hacker Croll phải trả lời ít nhất một câu hỏi cá nhân được dùng để xác thực người dùng. Cũng theo TechCrunch, trước đó Hacker Croll đã tìm hiểu kĩ nhân viên này và nhiều người khác ở Twitter, bằng cách tìm kiếm thông tin trên Internet.

Tuần trước, các chuyên gia bảo mật cho biết một phương pháp tương tự đã được một sinh viên đại học Tennessee sử dụng để đột nhập vào chính phủ Alaska. Tài khoản email Yahoo của Sarah Palin là nguồn gốc của cuộc đột nhập vào Twitter.

Trả lời một cuộc phỏng vấn vào tuần trước, Sam Maisello, phó chủ tịch bộ phận bảo mật thông tin của MX Logic cho biết “Đó là do mật khẩu yếu rất dễ đoán, cùng với thói quen chia sẻ thông tin trên mạng của mọi người. Không khó để thay đổi mật khẩu với những thông tin bạn có thể tìm tự do trên các trang mạng xã hội.”

Lúc đó, dù Hacker Croll dành được quyền kiểm soát tài khoản Gmail cá nhân của nhân viên Twitter, hắn cũng không thể xóa mọi dấu vết vì nguời dùng sẽ nhanh chóng nhận ra khi họ đăng nhập vào tài khoản Gmail và bị từ chối.

Nik Cubrilovic, nhân viên của TechCrunch viết “Khi yêu cầu khôi phục lại mật khẩu, Gmail đã thông báo cho Hacker Croll rằng một email đã được gửi tới tài khoản email thứ hai của người dùng đó. Gmail đã gợi ý tài khoản mà email được gửi tới để đổi mật khẩu, trong trường hợp người dùng đó yêu cầu một lời nhắc. Trong tình huống này địa chỉ email thứ hai được gửi ẩn dưới dạng ******@h******.com.”

Hacker Croll suy luận tài khoản đó là của Hotmail, và sau đó cố gắng khôi phục mật khẩu tài khoản Hotmail này. Tuy nhiên tài khoản này lại không được kích hoạt, nhưng một tính năng của Microsoft được thiết kể để phục hồi những tài khoản không hoạt động đã cho phép hắn đăng ký tài khoản Hotmail chưa được kích hoạt. Hắn quay trở lại với Gmail và hoàn thành quá trình khôi phục mật khẩu, cài đặt một mật khẩu của riêng hắn. Sau đó mật khẩu mới được gửi tới tài khoản Hotmail mà hắn dành quyền kiểm soát. Cubrilovic giải thích “Chỉ trong vài phút Hacker Croll đã truy cập vào tài khoản Gmail của nhân viên Twitter và bắt đầu quá trình đột nhập.”

Tuy Hacker Croll đã kiểm soát tài khoản Gmail của trợ lý quản trị Twitter, nhưng với mật khẩu của hắn, không phải là mật khẩu của người dùng hợp pháp, nên hắn phải đổi lại mật khẩu cũ để giữ cho sự đột nhập của hắn được bí mật.

Culbrilovic giải thích tiếp, đó là một công việc tốn rất nhiều công sức. Hacker Croll duyệt tìm tài khoản Gmail của nhân viên Twitter và thấy một vài bức thư xác nhận mật khẩu từ những website và dịch vụ, sau đó xác lập lại tài khoản sử dụng mật khẩu trong những bức thư đó. Thực ra, đó chính là mật khẩu ban đầu; Hacker Croll đã có thể giám sát tài khoản, đọc thư và tải file đính kèm.

Cubrilovic viết “Sau đó Hacker Croll sử dụng cùng một mật khẩu để truy cập vào email của nhân viên Twitter trên các ứng dụng Google, truy cập vào kho thông tin bí mật của công ty từ những email và đặc biệt là những file đính kèm trên các email đó. Kho thông tin này bao gồm nhiều tên đăng nhập và mật khẩu của những nhân viên khác của Twitter mà Hacker Croll sử dụng để đột nhập vào những tài khoản email công việc của Williams, Stone và nhiều người khác."

Theo Cubrilovic, thói quen tạo một mật khẩu cho tất cả các trang của những nhân viên bị hack tài khoản ở Twitter là rất phổ biến. Ông nói rằng “hầu hết những nhân viên của Twitter sử dụng cùng một mật khẩu cho những ứng dụng email của Google (tài khoản email của Twitter) khi họ sử dụng cho tài khoản Gmail cá nhân.”

Tuần trước, Masiello đề nghị người dùng tạo những mật khẩu mạnh – gồm hỗn hợp kí tự số, chữ cái và những kí tự đặc biệt, ví dụ “#”, “&”, và nên sử dụng những mật khẩu khác nhau cho mỗi dịch vụ và website. Nhưng ông cũng không nghĩ mọi người sẽ thực hiện. Ông nói “Tôi nghĩ cần nhiều những vụ việc tương tự để có thể thuyết phục mọi người. Vụ việc này cũng đã nhắc nhở mọi người rằng chúng ta khuyên nên tạo nhiều mật khẩu và mật khẩu đủ mạnh trong nhiều năm qua nhưng mọi người vẫn bỏ ngoài tai những lời khuyên đó.”

Twittet đã đe dọa sẽ kiện những website, bao gồm TechCrunch, đăng tải những tài liệu bị đánh cắp, nhưng tuần trước các luật sư nói rằng việc dự đoán Twitter có thắng kiện hay không là rất khó.