Hackowanie Twittera

jp78

Shark Fights
Featherweight
Panowie, może ktoś już się z tym spotkał. Wczoraj na twitterze wygrałem golden ticket na UFC Berlin i odpowiedziałem jakiemuś Ruskowi dlaczego Polacy nie przepadają za Rosją. Dziś rano dostałem maila od Twittera, że moje hasło zostało zmienione, a po minucie, że zostało zablokowane.

Grzeje mnie kto to zrobił, ale dobrze, że twitter tak szybko zareabgował. Na szczęście mogłem zmienić hasło i dostać się na konto. Dodałem weryfikację sms przy logowaniu i mam już spokój. Zastanawia mnie tylko jak można zmienić hasło twittera. Na pewno intruz nie znał mojego hasła do twittera, bo by go nie zmieniał. Jeżeli po minucie konto zostało zablokowane to znaczy, że nic nie zdążył zrobić i rzeczywiście nic nie zostało opublikowane, ani zmienione. Ale jak mógł zmienić hasło skoro nie dostałem na maila linku do odzyskania hasła? Czy jest inna metoda? Czy to znaczy, że ma dostęp do mojej poczty?
 

OD

BAMMA
Flyweight
Średnio się znam, ale jedyna metoda na zalogowanie się na czyjeś konto, nie znając hasła o jakiej wiem to tzw. kradzież sesji. Tutaj wygooglowałem Ci pierwszy lepszy artykuł na ten temat. http://niebezpiecznik.pl/post/firesheep-firefox-ataki-na-sesje/ Nie wiem natomiast czy mógł Ci tak łatwo zmienić hasło, bo zazwyczaj przy zmianie hasła trzeba je podać. Nie wiem jak jest w twitterze, ale zgaduje, że bez znajomości hasła by Ci go nie zmienił.

Druga sprawa to możliwość złamania Twojego hasła. Nie wiem na ile prób zmiany hasła/logowania pozwala twitter, ale jest dużo programów, które wpisują kilkadziesiąt haseł na sekundę. Wiele z nich pozwala podać słowa kluczowe, które mogą mieć związek z hasłem. Patrząc na Twój login i avatar sam bym miał parę pomysłów jakie słowa kluczowe podać. Dodatkowo jeśli miałeś hasła typu zxczxc, asdasd - literki obok siebie, to każda aplikacja tego typu wpisuje je jako pierwsze. Dodatkowo wiele aplikacji wpisuje jakieś popularne słówka + popularne kombinacje cyferek na końcu itp.
 

jp78

Shark Fights
Featherweight
Złamanie hasła raczej nie wchodzi w grę. Przechwytywanie sesji z zewnątrz też się wydaje średnio prawdopodobne, bo twitter w całości lata po ssl. Chyba, że aplikacja na androida już nie. Wydaje mi się, że najbardziej prawdopodobny jest włam na telefon. Nie miałem żadnej aplikacji chroniącej. Jeśli ktoś miałby dostęp do smartfona mógłby spokojnie przejąć sesję. Ale to ciągle mało. Zmiana hasła lub adresu mailowego wiąże się z podaniem starego. Zakładając, że napastnik go nie znał, a przejął sesję to teoretycznie nie mógł tego zrobić. Ale niestety twitter zostawia dziurę umożliwiając zmianę hasła bez wysyłania kodu weryfikacyjnego na adres email podany w ustawieniach. Trzeba podać kiedy było mniej więcej ostatnie logowanie, dowolny adres email i wysłać. Nie wiem jaka jest dalsza procedura, bo nie sprawdzałem. Ale po przejęciu sesji, mając dostęp do danych personalnych ofiary można spokojnie odpowiedzieć na pytania weryfikacyjne. Stąd nie było maila na moją skrzynkę, aby zmienić hasło, tylko już po fakcie. Dlatego też pewnie taka szybka reakcja twittera, z zablokowaniem konta.

To wszystko ku przestrodze innych. Aplikacje na smartfony, zapamiętywanie haseł i ciągłe działanie w tle nie są tak bezpieczne. A jak ktoś do tego ma dostęp do konta bankowego to już robi się nieciekawie. Pozmieniałem hasła na twitterze, dodałem weryfikację sms przy logowaniu i zresetowałem telefon do fabrycznych. Do androida zalogowałem się już na nowe hasło google. Dużo więcej nie mogę zrobić. Nie wiem czy to zbieg okoliczności czy ktoś próbował złapać golden ticket. Czas pokaże czy to wystarczy.
 

OD

BAMMA
Flyweight
Przechwytywanie sesji z zewnątrz też się wydaje średnio prawdopodobne, bo twitter w całości lata po ssl.

Cytat z tego linka, który Ci poprzednio dałem:
Firesheep wspiera kradzież ciastek z Amazon.com, Basecamp, bit.ly, Cisco, Dropbox, Evernote, Facebook, Flickr, Github, Google, Windows Live, NY Times, tumblr, Twitter, WordPress, Yahoo, …ale narzędzie pozwala nam na łatwe definiowanie swoich stron.

Nie korzystałem nigdy z tej aplikacji, ale skoro podali Twittera, czy Dropboxa, który z tego co wiem też śmiga na ssl, to chyba jest to możliwe, a z tego co widzę to przy użyciu tej aplikacji nawet banalnie proste.
 

jp78

Shark Fights
Featherweight
Cytat z tego linka, który Ci poprzednio dałem:


Nie korzystałem nigdy z tej aplikacji, ale skoro podali Twittera, czy Dropboxa, który z tego co wiem też śmiga na ssl, to chyba jest to możliwe, a z tego co widzę to przy użyciu tej aplikacji nawet banalnie proste.
To jest artykuł z 2010 roku. Widocznie wtedy nie latał w całości po ssl. Nie jesteś w stanie złamać ssla swoim kompem w skończonym czasie.
 

OD

BAMMA
Flyweight

jp78

Shark Fights
Featherweight
W obu przypadkach atakujący musiałby być po stronie lanu ofiary lub na serwerze. Swoją drogą język w tych artykułach jest przerażający. :)
 
Top