Pirata informático: Incursioné en Twitter

Por segunda vez este año, un hacker obtuvo acceso administrativo a la cuenta de un empleado de Twitter.

El miércoles, un pirata informático anónimo llamado Hacker Croll publicó 13 capturas de pantalla en un foro de debate en línea francés, aparentemente capturado mientras estaba registrado en la cuenta de Twitter de Jason Goldman, un director de gestión de productos en Twitter.

El cofundador de Twitter Biz Stone confirmó la violación en una publicación de blog el jueves por la tarde. "Esta semana, el acceso no autorizado a Twitter fue obtenido por un tercero", escribió. "Nuestras revisiones e investigaciones de seguridad iniciales indican que ninguna información de la cuenta se modificó o eliminó de ninguna manera. Sin embargo, descubrimos que se vieron 10 cuentas individuales durante este acceso no autorizado."

[Más información: cómo eliminar el malware de su Windows PC]

Según las capturas de pantalla, Hacker Croll pudo acceder a la información de la cuenta perteneciente a usuarios de Twitter de alto perfil como Britney Spears y Ashton Kutcher. También podría hacer cosas como agregar o eliminar usuarios destacados, que se sugieren a los nuevos miembros de Twitter cuando se registren.

Es posible que el hacker haya podido acceder a información como direcciones de correo electrónico, números de teléfonos móviles y un lista de las cuentas bloqueadas por estos usuarios, escribió Stone. "Hemos contactado personalmente a los usuarios de Twitter cuyas cuentas se vieron comprometidas a través de este acceso no autorizado", dijo.

Contraseñas Adivinadas

Hacker Croll afirmó haber accedido a la contraseña de Twitter de Goldman al obtener acceso a su cuenta de Yahoo. "Uno de los administradores tiene una cuenta de Yahoo, he restablecido la contraseña respondiendo a la pregunta secreta. Luego, en el buzón, he encontrado su contraseña de [sic] twitter", dijo Hacker Croll el miércoles en una publicación en línea. foro de discusion. "He usado solo ingeniería social, ninguna vulnerabilidad de exploit, no xss, ni inyección de backdoor, np sql".

El lunes, Goldman envió un mensaje de Twitter diciendo que su cuenta de correo de Yahoo había sido pirateada.

Twitter tiene tuvo una avalancha de problemas de seguridad este año.

En enero, otro hacker llamado GMZ dijo que podía obtener acceso a una cuenta administrativa adivinando la contraseña de un empleado de soporte de Twitter. Se informó que la contraseña era una palabra fácil de adivinar: felicidad.

GMZ usó ese acceso para tomar el control de 33 cuentas de alto perfil, incluidas las de Spears, el presidente de los EE. UU. Barack Obama y Fox News.

Repetidos ataques

Twitter también ha sufrido varios ataques de gusanos de rápida propagación este año que se aprovechan de fallas de programación web en el sitio.

Aunque el CEO de Twitter Biz Stone prometió una "revisión de seguridad completa de todos los puntos de acceso a Twitter" después del El incidente de enero, la seguridad del sitio es "muy débil", según Manuel Dorne, el blogger francés y gerente de proyectos de TI que publicó por primera vez las noticias sobre el último hack de Twitter.

Stone también hizo una promesa similar esta vez. "Twitter se toma la seguridad muy en serio, por lo que realizaremos una auditoría de seguridad exhaustiva e independiente de todos los sistemas internos e implementaremos medidas anti intrusión adicionales para proteger aún más los datos de los usuarios", escribió el jueves.

Cualquier persona que intente iniciar sesión en administración. A twitter.com se le da un aviso de inicio de sesión, y dado que los nombres de usuario de Twitter ya son públicos, los atacantes solo tienen que adivinar la contraseña. Eso podría haber sido lo que sucedió con la cuenta de Goldman, dijo Dorne. "Tal vez la contraseña era el nombre de su hijo o de su esposa y el hacker lo sabía".

Este tipo de ataques, llamados ataques de ingeniería social por parte de los investigadores, son efectivos y comunes. El año pasado, un hacker utilizó la misma técnica descrita por Hacker Croll para acceder a la cuenta de correo electrónico de Yahoo de la candidata a la vicepresidencia Sarah Palin.

"Debemos ser cuidadosos y no subestimar los ataques de ingeniería social", dijo Lance James, cofundador de la firma consultora Secure Science, a través de un mensaje instantáneo. "Si trabajan para robar dinero de los bancos, será trivial secuestrar redes sociales como Twitter".