Die Onion erklärt, wie ihr Twitter-Account gehackt wurde

Hacker, die den Twitter-Account von The Onion befehligten, nutzten einfache, aber effektive Phishing-Attacken, um Passwörter zu erhalten, so ein Bericht des Technologie-Teams des Verlegers.

Die Syrische Elektronische Armee (SEA), a Die Gruppe, die den umkämpften syrischen Präsidenten Baschar al-Assad unterstützt, hat auch prominente Twitter-Accounts kompromittiert, darunter jene der Associated Press, des Guardian, der BBC und der NBC News.

The Onion, der Spoof-Mediensender, der sich selbst "America's Finest News" nennt Source, "hat seinen Twitter-Account am Montag übernommen. Die Onion verspottete das Hacking mit einer Geschichte, dass Twitter ihr Passwort auf "OnionMan77" geändert hatte.

[Weiter lesen: Wie man Malware von Ihrem Windows PC entfernt]

Aber das Onion Technology Team hat eine ernsthafte Nachricht geschrieben Am Donnerstag wurde erklärt, wie die Kontrolle über das Konto vorübergehend verloren ging.

Die SEA kompromittierte die Google Apps-Konten von fünf Onion-Mitarbeitern. Der Angriff begann um den 3. Mai herum mit einer Runde Phishing-E-Mails an einige Mitarbeiter mit einem Link zu einer Washington Post-Geschichte.

Ein Bild zeigte, dass eine der E-Mails aus einem Bereich des Hohen Flüchtlingskommissars der Vereinten Nationen stammte.

Der Link zur Washington Post war jedoch eine List und leitete das Opfer auf eine gefälschte Google Apps-Anmeldeseite um. Das Tech-Team schrieb, dass mindestens ein Mitarbeiter seine Zugangsdaten eingegeben hatte.

Sobald die SEA die Kontrolle über ein echtes Konto hatte, nutzten sie es, um weitere Phishing-E-Mails am 6. Mai an andere Mitarbeiter von Onion zu senden.

vertrauenswürdige Adresse, klickten viele Mitarbeiter auf den Link, aber die meisten von ihren Anmeldeinformationen eingegeben ", schrieb The Onion. "Zwei Mitarbeiter haben ihre Zugangsdaten eingegeben, von denen einer Zugang zu allen unseren Social-Media-Accounts hatte."

Das Technologieteam der Zeitung warnte alle, ihre E-Mail-Passwörter zu ändern. Der Angreifer hat jedoch ein anderes, noch nicht gefundenes kompromittiertes Konto verwendet, um einen Link zum Zurücksetzen des Kennworts zu senden. Es war wirklich eine andere Phishing-Seite.

Zwei weitere Accounts wurden durch diese Bemühungen kompromittiert, von denen einer der SEA weiterhin Zugriff auf seinen Twitter-Account erlaubte.

Die Onion versuchte mit ihrem Gespür für Sarkasmus herauszufinden, welcher Account kompromittiert war. Es veröffentlichte eine Geschichte, "syrische elektronische Armee hat ein wenig Spaß vor unvermeidlichen bevorstehenden Todesfällen bei den Händen der Rebellen", die die Hacker, die dann begannen, auf Twitter posten, verschärften. Aber es war immer noch nicht klar.

"Nachdem wir das herausgefunden hatten, entschieden wir, dass wir nicht sicher wissen konnten, welche Accounts kompromittiert wurden und ein Passwort-Reset für jedes Google Apps-Konto eines Mitarbeiters erzwangen", schrieb The Onion

Die Onion sagte, der Angriff sei nicht kompliziert und hätte mit ein paar einfachen Sicherheitsmaßnahmen verhindert werden können.

Das Technologieteam des Papers sagte, dass die E-Mail-Adressen für Twitter-Accounts auf einem anderen System als der normalen E-Mail-Adresse eines Unternehmens gespeichert werden sollten. Solange die Passwörter stark sind, "werden Ihre Twitter-Konten dadurch praktisch unangreifbar für Phishing."

Außerdem empfahl The Onion, dass Tweets eine Anwendung wie HootSuite durchlaufen sollten, die passwortbasierten Zugriff auf Konten verhindert. HootSuite verwendet Single Sign-On und OAuth, die Sitzungs- und Sicherheitstoken zur Authentifizierung von Wiederholungsbenutzern verwenden.