Hacker: Jag bröt mig in i Twitter

För andra gången i år har en hackare fått administrativ tillgång till en Twitter-anställdas konto.

På onsdagen skickade en anonym hackare som heter Hacker Croll 13 skärmdumpar till ett franskt online diskussionsforum, tydligen fångas när du är inloggad på Twitter-kontot av Jason Goldman, en chef för produkthantering med Twitter.

Twitter Cofounder Biz Stone bekräftade överträdelsen i ett blogginlägg torsdag eftermiddag. "Den här veckan fick obehörig tillgång till Twitter en extern part," skrev han. "Våra första säkerhetsrapporter och undersökningar indikerar att ingen kontoinformation har ändrats eller tagits bort på något sätt. Vi upptäckte dock att 10 enskilda konton visades under denna obehöriga åtkomst."

[Ytterligare läsning: Så här tar du bort skadlig kod från dina Windows PC]

Enligt skärmdumparna kunde Hacker Croll få tillgång till kontouppgifter som tillhör högprofilerade Twitter-användare som Britney Spears och Ashton Kutcher. Han kan också göra saker som att lägga till eller ta bort utvalda användare, som föreslås nya Twitter-medlemmar när de registrerar sig.

Hackern kan ha kunnat få tillgång till information som e-postadresser, mobilnummer och en lista över konton som blockerats av dessa användare, skrev stone. "Vi har personligen kontaktat Twitter-användare vars konton har äventyras via denna obehöriga åtkomst," sa han.

Gissade lösenord

Hacker Croll hävdade att han hade tillgång till Goldmans Twitter-lösenord genom att först få tillgång till hans Yahoo-konto. "En av administratörerna har ett Yahoo-konto, jag har återställt lösenordet genom att svara på den hemliga frågan. Sedan har jag hittat sitt [sic] twitter lösenord i brevlådan, sade Hacker Croll onsdagen i en inlägg till en online diskussionsforum. "Jag har bara använt socialteknik, ingen exploatering, ingen xss sårbarhet, ingen bakdörr, np sql-injektion."

På måndag skickade Goldman ett Twitter-meddelande som sa att hans Yahoo-postkonto hade hackats.

Twitter har hade ett utslag av säkerhetsproblem i år.

I januari sa en annan hacker som heter GMZ att han kunde få tillgång till ett administrativt konto genom att gissa lösenordet för en Twitter-supportpersonal. Lösenordet var enligt uppgift ett lätt att gissa ord: lycka.

GMZ använde sedan den åtkomsten för att ta kontroll över 33 profilerade konton, inklusive de för Spears, USA: s president Barack Obama och Fox News.

Upprepade attacker

Twitter har också drabbats av flera snabba ormattacker i år som förekom på webprogrammeringsbrister på webbplatsen.

Även om Twitter-VD Biz Stone lovade en "fullständig säkerhetsgranskning av alla åtkomstpunkter till Twitter" efter Januari händelsen är webbplatsens säkerhet "mycket svag", enligt Manuel Dorne, den franska bloggern och IT-projektledaren som först publicerade nyheter om det senaste Twitter-hacket.

Stone gjorde också ett liknande löfte denna gång också. "Twitter tar säkerhet väldigt seriöst så att vi kommer att genomföra en grundlig oberoende säkerhetsrevision av alla interna system och genomföra ytterligare anti-intrångsåtgärder för att ytterligare skydda användardata," skrev han på torsdag.

Den som försöker logga in på admin. twitter.com ges en inloggningsprompning, och eftersom Twitter användarnamn redan är offentliga, måste angriparna bara gissa lösenordet. Det kunde ha varit vad som hände med Goldmans konto, sa Dorne. "Kanske var lösenordet namnet på hans barn eller hans fru och hackaren visste det."

Dessa typer av attacker, som kallas socialtekniska attacker av forskare, är effektiva och vanliga. Förra året använde en hackare samma teknik som beskrivits av Hacker Croll för att få tillgång till Yahoo-e-postkontot för vice presidentkandidat Sarah Palin.

"Vi måste vara försiktiga och inte underskatta socialtekniska attacker", sa Lance James, medgrundare av konsultföretaget Secure Science, via direktmeddelande. "Om de arbetar för att stjäla pengar från banker kommer det att vara trivialt att kapa sociala nätverk som Twitter."