Könnten Sie wie Twitter gehackt werden?

Artwork: Diego AguirreDer französische Hacker, der in Twitter's Google Apps eingebrochen ist und mehr als 300 private Unternehmensdokumente gestohlen hat, hat im Detail gezeigt, wie er es gemacht hat. Mit einer Methode, die als "Cracking" bekannt ist, konnte der Mann, der den Namen Hacker Croll trägt, Twitter-Sicherheit durch Trolling des Webs nach öffentlich zugänglichen Informationen brechen, so TechCrunch. Schließlich fand Croll eine Schwäche, die viele von uns begangen haben - mit einem Passwort für alles - und die Sicherheit von Twitter wurde kompromittiert. Lesen Sie weiter, um zu sehen, wie Hacker Croll das gemacht hat und überlegen Sie, ob der Zugang zu Ihrem digitalen Leben durch seine Methoden beeinträchtigt werden könnte.

Croll Cracks Twitter

Hacker Croll begann mit dem Aufbau eines Profils seiner Zielfirma, in diesem Fall Twitter. Im Wesentlichen stellte er eine Liste der Mitarbeiter, ihrer Positionen innerhalb des Unternehmens und der zugehörigen E-Mail-Adressen zusammen. Nachdem die Basisinformationen angesammelt waren, erstellte Croll für jeden Mitarbeiter ein kleines Profil mit Geburtsdatum, Namen der Tiere usw.

Nachdem Croll diese Profile erstellt hatte, klopfte er nur noch an Türen, bis einer fiel. Genau das passierte, als er einen Passwortwiederherstellungsprozess für das persönliche Gmail-Konto eines Twitter-Angestellten durchführte. Croll stellte fest, dass das sekundäre Konto, das mit dem Google Mail dieser Person verknüpft war, ein Hotmail-Konto war. Das Problem war, dass das Hotmail-Konto aufgrund von Inaktivität gelöscht und wiederverwendet wurde - eine langjährige Hotmail-Richtlinie. Jetzt musste Hacker Croll nur noch das Hotmail-Konto für sich registrieren, die Gmail-Passwortwiederherstellung durchführen und dann schickte Gmail die Kennwortzurücksetzungsinformationen direkt an den Bösewicht.

Aber es ist noch nicht vorbei. Google Mail hat Hacker Croll gebeten, das Passwort des persönlichen E-Mail-Kontos des Twitter-Mitarbeiters zurückzusetzen, was er getan hat. Aber jetzt wurde der ursprüngliche Benutzer von seinem Konto ausgeschlossen, was eine offensichtliche rote Flagge anzeigen würde. Croll hat also das Google Mail-Konto selbst nach Passwörtern von anderen aktiven Diensten der Person durchsucht. Dann gab er ein häufig verwendetes Passwort ein, das er gefunden hatte, und wartete ab, ob die Person ihren Account normal verwendete. Croll hatte nun hinter den Kulissen Zugriff auf das Google Mail-Konto und konnte unbemerkt auf Informationen zugreifen. Da der Twitter-Mitarbeiter das Leben noch einfacher machte, verwendete er dasselbe Passwort für seine geschäftlichen und privaten Accounts, sodass der Hacker nun Zugriff auf beides hatte und der Rest war Geschichte.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Sind Sie anfällig für den gleichen Riss?

Das alarmierende an Crolls Methoden ist, dass sie jedem passieren können. Ich habe letzte Woche mein eigenes Google-Konto überprüft und festgestellt, dass ich für

die gleiche Sicherheitslücke wie der Twitter-Mitarbeiter hatte. Ich hatte mein Google Mail-Konto vor so langer Zeit registriert, dass ich meine sekundäre E-Mail-Adresse vergessen hatte. Genau wie der Twitter-Mitarbeiter war die sekundäre E-Mail-Adresse, die meinem Google-Konto beigefügt war, nicht mehr gültig und möglicherweise von jedem neu registriert. Das hat sich seitdem geändert. Ich habe auch in meiner eigenen E-Mail nach Passwörtern gesucht, die ich verwendet habe, und ich war erstaunt, wie viele Ergebnisse zurückgegeben wurden. Führen Sie eine Suche in Ihrem E-Mail-Konto mit den am häufigsten verwendeten Passwörtern durch und sehen Sie, was auftaucht. Sie könnten überrascht sein.

Aber es gibt eine Vielzahl anderer Möglichkeiten, wie ein Hacker Ihre Informationen erhalten könnte. Haben Sie jemals einen Happy Birthday-Gruß auf einem öffentlichen Dienst wie Twitter erhalten? Haben Sie schon einmal jemandem Ihre Telefonnummer oder andere Informationen geschickt? Welche Informationen befinden sich auf Ihren sozialen Netzwerkseiten? Sind Ihre MySpace- und Facebook-Konten gesperrt oder kann jemand sie anzeigen, der nach Ihnen sucht? Hat Ihre Facebook-Seite Ihr Geburtsdatum, die letzten besuchten Schulen, den Namen Ihres Haustiers? Könnte der Mädchenname Ihrer Mutter - eine allgemeine Sicherheitsfrage - über Ihr soziales Netzwerkkonto entdeckt werden? Was ist mit den unzähligen anderen Diensten, die Sie verwenden? Wenn Sie denken, dass es unwahrscheinlich ist, dass jemand diese Informationen finden kann, dann versuchen Sie in den so genannten "Deep Web" -Suchmaschinen wie Pipl oder Spokeo nach sich selbst zu suchen und sehen Sie, was auftaucht. Sie können Online-Konten finden, die Sie völlig vergessen haben.

Webmail Security Ähnliche

Das andere Problem ist, dass die meisten großen E-Mail-Dienste ähnliche Wiederherstellungsmethoden wie Google verwenden. Hotmail ist fast genau dasselbe wie Google Mail. Yahoo ist noch einfacher, denn wenn Sie Yahoo sagen, dass Sie nicht auf Ihren sekundären E-Mail-Account zugreifen können, können Sie eine geheime Frage beantworten. Diese Sicherheitsmaßnahmen haben es einem Studenten ermöglicht, sich im vergangenen Jahr in den Yahoo Mail-Account von Alaska Gov Sarah Palin zu hacken. In meinen Tests der Wiederherstellungsseite von Yahoo Mail habe ich eine scheinbar unbegrenzte Anzahl von Möglichkeiten bekommen, meine geheime Frage zu Yahoo Mail zu erraten. AOL Mail ist nicht viel besser, da Sie Ihre sekundäre E-Mail eingeben können (Sie müssen es wissen oder erraten) oder Sie können Ihr genaues Geburtsdatum und Ihre Postleitzahl mit AOL eingeben. Die Postleitzahlbarriere macht es für jemanden schwieriger einzubrechen, aber keineswegs unmöglich.

Wenn Sie entdeckt haben, dass Sie für die gleichen Mängel wie Twitter offen sind, dann betrachten Sie dies als Ihren Weckruf. Sie müssen regelmäßig die Sicherheitseinstellungen Ihrer verschiedenen Online-Konten überprüfen, damit Sie die Kontrolle über Ihre Sicherheitsinformationen behalten, da Sie so schnell vergessen können, was Sie vor Jahren eingegeben haben. Achten Sie besonders auf sekundäre E-Mail-Konten, die mit Ihrer primären E-Mail-Adresse verbunden sind. Überlegen Sie, ob Sie Sicherheitsfragen falsch beantworten (an die Sie sich nur erinnern); und ändern Sie regelmäßig Ihre Passwörter, entweder durch Ihre eigene Erfindung oder mit einem zufälligen Passwort-Generator wie GRC oder Strong Password Generator. Sie könnten auch davon wegkommen, nur ein oder zwei Passwörter zu verwenden, und Passwortverwalter wie Clipperz, KeePass oder Yubico verwenden, um sich stattdessen an Ihre Daten zu erinnern. Am wichtigsten ist jedoch, dass Sie nach den häufigsten Passwörtern suchen, die Sie in Ihren eigenen Webmail-Konten verwenden, und diese Nachrichten löschen. Wenn das Schlimmste passiert und Ihr Konto kompromittiert ist, werden Sie froh sein, dass Sie es getan haben.