Kan du hackas som Twitter?

Konstverk: Diego Aguirre Den franska hacker som bröt in i Twitters Google Apps och stal mer än 300 privata företagsdokument har avslöjat i detalj hur han gjorde det. Med hjälp av en metod som kallas "cracking", kunde mannen som heter Hacker Croll bryta ner Twitter-säkerhet genom att trolla på webben för offentligt tillgänglig information, enligt TechCrunch. Så småningom fann Croll en svaghet som många av oss är skyldiga till - med ett lösenord för allt - och kvittens säkerhet har äventyras. Läs vidare för att se hur Hacker Croll gjorde det och överväga om tillgången till ditt digitala liv skulle kunna brytas med hans metoder.

Croll Cracks Twitter

Hacker Croll började genom att bygga en profil för sitt målbolag, i det här fallet Twitter. I grund och botten sammanställde han en lista över anställda, deras positioner inom företaget och deras tillhörande e-postadresser. Efter det att den grundläggande informationen hade ackumulerats, byggde Croll en liten profil för varje anställd med födelsedatum, namn på husdjur och så vidare.

När Croll hade skapat dessa profiler gick han bara och knackade på dörrar tills en föll ner. Det var just vad som hände när han gjorde en återställningsprocess för lösenord för en Twitter-anställds personliga Gmail-konto. Croll upptäckte att det sekundära kontot som bifogades den här personens Gmail var ett Hotmail-konto. Problemet var att Hotmail-kontot hade raderats och återvinns på grund av inaktivitet - en långvarig policy om Hotmail. Nu måste alla Hacker Croll göra omregistrera Hotmail-kontot för sig själv, gå tillbaka och återställa Gmail-lösenordet, och sedan skickade Gmail informationen om lösenordsåterställning direkt till den dåliga killen.

Men det är inte över än. Gmail frågade Hacker Croll om att återställa lösenordet för Twitter-medarbetarens personliga e-postkonto, vilket han gjorde. Men nu var den ursprungliga användaren låst ur sitt konto, vilket skulle skicka upp en uppenbar röd flagga. Så allting Croll gjorde sökte i Gmail-kontot själv för lösenord från personens andra aktiva tjänster. Då gick han in i ett vanligt använd lösenord som han hade hittat och väntade på att se om personen började använda sitt konto normalt. Croll hade nu tillgång till Gmail-kontot bakom kulisserna och kunde få tillgång till information som inte upptäcktes. Gör livet till och med eaiser, Twitter-anställd använde samma lösenord på sina affärer och personliga konton, så hackern hade nu tillgång till båda, och resten var historia.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Är du utsatt för samma crack?

Den oroväckande saken om Crolls metoder är att de kan hända med någon. Jag kollade mitt eget Google-konto förra veckan och upptäckte att jag var öppen för

samma säkerhetsfel som Twitter-medarbetaren var. Jag hade registrerat mitt Gmail-konto för länge sedan, att jag hade glömt allt om min sekundära e-postadress. Precis som Twitter-anställda, var den sekundära e-posten som bifogades mitt Google-konto slopat och eventuellt öppet för omregistrering av någon annan. Det har sedan dess ändrats. Jag gjorde också en sökning inom mitt eget e-postmeddelande för lösenord som jag har använt, och jag blev förvånad över hur många resultat som returnerades. Gör en sökning i ditt e-postkonto med dina vanligaste lösenord och se vad som dyker upp. Du kan bli förvånad.

Men det finns många olika sätt att hackare kan få din information. Har du någonsin fått en grattis på födelsedagen på en offentlig tjänst som Twitter? Har du någonsin skickat någon ditt telefonnummer eller någon annan information så? Vilken information sitter på dina sociala nätverk? Är dina MySpace- och Facebook-konton avstängda, eller kan någon se dem som söker efter dig? Har din Facebook-sida din födelsedatum, de tidigare skolorna du har deltagit, ditt husdjurs namn? Skulle din mors pigenamn - en vanlig säkerhetsfråga - kunna upptäckas via ditt sociala nätverkskonto? Vad sägs om mängden andra tjänster du använder? Om du tycker att det inte är troligt att någon kan hitta den här informationen, försök att söka själv i de så kallade "Deep Web" -sökmotorer som Pipl eller Spokeo och se vad som händer. Du kan hitta onlinekonton du helt glömt bort.

Webmail Security Liknande

Det andra problemet är att de flesta av de stora e-posttjänsterna använder liknande återställningsmetoder till Googles. Hotmail är nästan exakt samma som Gmail. Yahoo är ännu enklare, eftersom om du säger till Yahoo kan du inte få tillgång till ditt sekundära e-postkonto kan du svara på en hemlig fråga. Dessa säkerhetsåtgärder är det som gjorde det möjligt för en elev att hacka i Alaska Gov. Sarah Palins Yahoo Mail-konto förra året. I mina tester av Yahoo Mails återställningssida fick jag det som verkade som ett obegränsat antal möjligheter att gissa min Yahoo Mail hemliga fråga. AOL Mail är inte mycket bättre, eftersom du har möjlighet att skriva in ditt sekundära e-postmeddelande (du måste känna till det eller gissa) eller du kan ange ditt exakta födelsedatum plus din postnummer på filen med AOL. Zip code barriären gör det svårare för någon att bryta in, men inte omöjligt.

Om du har upptäckt att du är öppen för samma brister som Twitter var, anser du det här ditt väckarklocka. Du måste regelbundet kontrollera säkerhetsinställningarna på dina olika onlinekonton så att du fortfarande har kontroll över din säkerhetsinformation eftersom det är så lätt att glömma det du skrev in för år sedan. Var särskilt uppmärksam på sekundära e-postkonton kopplade till din primära e-postadress; överväga att ge ett falskt svar (som du bara kommer ihåg) till säkerhetsfrågor; och regelbundet ändra dina lösenord, antingen genom din egen uppfinning eller med en slumpmässig lösenordsgenerator som GRC eller Strong Password Generator. Du kan också komma ifrån bara ett eller två lösenord och använd lösenordshanterare som Clipperz, KeePass eller Yubico för att komma ihåg dina uppgifter istället. Men kanske viktigast är att söka efter de vanligaste lösenord som du använder i dina egna webbmailkonton och radera dessa meddelanden. Om det värsta inträffar och ditt konto äventyras, kommer du att vara glad att du gjorde det.