30 abril 2009

¿Cómo accedieron al panel de administración de Twitter?

Es la moda, está claro. Hace unos minutos que me he enterado, y realmente tenía intención de no darle mayor importancia, debido al alto número de titulares parecidos que salen últimamente, ya sabéis, lo del worm y esas cosas. Pero al empezar a hilar posts, noticias, comentarios, traducciones del francés, análisis y aclaraciones, creo que este tema tiene algo de interés, ya que existen informaciones erróneas que he ido leyendo en diferentes medios.

En 10 minutos, por mi cabeza ha pasado el "¿mmm cómo, por el .htaccess?", el "esto tiene que ser fake", "demasiadas evidencias para ser fake", "anda espera, puede ser por lo del correo", "¡ahhh vale vale, ahora lo entiendo!". Empecemos:

La noticia era clara: un usuario llamado Hacker Croll proclamaba por algunos foros que había conseguido entrar al panel de administración de twitter, y exactamente a través de esta dirección de administración: https://admin.twitter.com/admin/ protegida por .htaccess. Lo primero que se viene a la cabeza es la técnica "fuerza bruta" que tan buenos resultados da últimamente, que debido a ciertos antecedentes con este sistema de microblogging, podría ser no muy descabellado de llevar a cabo. Hacker Croll, ofrecía un conjunto muy amplio de evidencias/screenshoots, y las colgó en imageshack en las siguientes direcciones:

| |

| |

| |

| |


Al verlas todas, os daréis cuenta de que si se tratase de un fake...la verdad es que el chaval seguro que tardaría un tiempo en prepararlo, no lo haría con el paint precisamente. Muestra todos los entresijos de administración, con multitud de opciones, propio de un god@twitter, sin duda interesante. Como se suele decir, como Pedro por su casa...

De repente empezó a surgir la duda de si realmente había conseguido las credenciales, o si lo único que había conseguido eran las capturas por algún sitio, o si las imágenes habían sido filtradas desde dentro de la organización. ¿Por qué esto último? Fijémonos en la captura 1, el último tweet (marcado debajo de la caja de "What are you doing?" seguido del Latest) en el que hace un llamamiento a alguien de seguridad en Yahoo! y en esta entrada del señor Jason Goldman, en el que según si bio, trabaja en twitter:


Bueno, pues ya tenemos desde que perfil se accedió al panel de administración para realizar las capturas. Esto arroja las preguntas anteriores, ¿por qué Goldman iba a publicar esas capturas de lo más profundo de twitter?. Algunos ya le habréis sacado la conclusión hilando temas: todo fue gracias a la ingenieria social, pero no de hacerse pasar por alguien para pedirle la contraseña. Según Hacker Croll, simplemente respondió correctamente la pregunta de seguridad, consiguiendo acceder al correo personal de Goldman en Yahoo, en el que entre otros correos curiosos, se encontró la contraseña de acceso al panel.

En serio, ¿cuando la gente dejará de meter respuestas tan triviales a las preguntas de seguridad del tipo :

PREGUNTA:- ¿soy humano?
RESPUESTA:- si


PREGUNTA:- ¿primera letra del abecedario?
RESPUESTA:- a

PREGUNTA:- escribir hola
RESPUESTA:- hola

Como sigamos así, vamos a tener que volver a recomendar lo de poner las contraseñas en post-its en la pantalla del ordenador por si se te olvidan, porque para el caso...

4 comments :

Unknown dijo...

Buen analisis. con esto podemos decir que Twitter no fue "hackeado", simplemente se accedio a la cuenta de un usuario X con ciertos privilegios.

No me he dedicado a navegar o a investigar, pero las personas de Twitter no han dado ninguna información al respecto?

Nork dijo...

Pues yo creo que sigue siendo un "hackeo", ya que la ing social es otra técnica más para llegar al mismo resultado.

Lo que si que es cierto es que el fallo no ha sido tecnológico sino humano.

Asfasfos dijo...

Bueno la ingeniería social efectivamente es otra forma de hacerse con credenciales o datos de personas desde luego, si el único sistema de twitter de recordar contraseñas es mediante la respuesta a la pregunta secreta pues yo creo que nos encontramos antes un pequeño fallo de seguridad a nivel de usuarios de administración.

Sinceramente, yo creo que los usuarios con permisos de administración no deberían de poder recuperar su pass mediante la opción de la respuesta a la pregunta...ya que son usuarios especiales deberían de tener otros métodos mas robustos en caso de pérdida de contraseña o de olvido

José A. Guasch dijo...

Realmente recuperaron la contraseña de su correo de Yahoo, recordemos, como enlazo en el post en una de las palabras, el caso de la Palin:

http://www.securitybydefault.com/2008/09/sarah-palin-owned.html

Aquí, la contraseña la consiguió por encontrarse en su correo entre otras cosas