DoSECU 安全分析 7月23日消息:一名入侵Twitter网站上Google Apps软件并窃取超过300份私人公司文件的法国黑客日前透露了他作案的细节。根据TechCrunch的说法,这名黑客使用的是一种叫做"cracking"的方法,黑客以Hacker Croll的名字通过拖捕提供公开信息的网络来攻破Twitter的安全防御系统。最终Croll发现了我们很多人都会犯下的一个错误–即在所有的网站都使用同样的密码,这样Twitter网站就存在被攻击的安全风险。了解Hacker Croll是如何入侵安全系统的,想一想他的方法是否会让你的数字生活不堪一击。
Croll入侵Twitter
Hacker Croll首先是建立一个目标公司的简历,Twitter就是这样沦为他的攻击目标。基本上说,他编制了一个员工,公司岗位和他们相关电子邮件地址的列表。在基本信息汇总完毕后,Croll为他的每一位员工用他们的生日,宠物姓名等信息建立了一个小型档案。这些档案建立完毕后,他只是去挨个去敲门直到有人相信他。当他为Twitter员工的私人Gmail邮箱实施密码恢复流程后,问题就这样发生了。Croll发现与这名员工Gmail关联在一起的次级帐户是一个Hotmail邮箱。问题是Hotmial邮箱由于始终处于静止状态已经被删除和重复再用–这也是Hotail长期实行的政策。如今,Hacker Croll所有要做的事情就是为他自己重新注册Hotmail邮箱,返回然后恢复Gmail密码,然后Gmail会将密码重设信息直接发送到犯罪分子重新激活的邮箱当中。但是事情到此并没有结束。Gmail会要求Hacker Croll重新设置Twitter网站上员工私人电子邮箱的密码,然后Hacker Croll就这样做了。但是如今原来的用户被他们自己的邮箱账号拒之门外,邮箱被标注上明显的红色小旗作为警告。因此Croll所做的就是搜索Gmail本身的邮箱账号,查找此人其他活动服务的密码。然后他键入他所发现的常用密码,看看邮箱主人是否在正常使用他们的邮箱。目前Croll从屏幕背后访问Gmail邮箱,还能访问未经发现的信息。为了让使用起来更加方便,Twitter的员工通常在他们的业务邮箱和私人邮箱中使用同样的登录密码,因此黑客就可以轻而易举的入侵这两个邮箱。
你会受到同样的攻击吗?
令人担忧的是Croll使用的方法可能在每个人身上都会发生。笔者上周检查了自己的谷歌邮箱,发现自己也暴露在Twitter员工同样的安全风险之下。笔者很久以前就注册了Gmail账号,已经忘记了所有二级电子邮件地址的信息。就像Twitter的员工一样,和Gmail关联的二级电子邮件处于休眠状态,可能会被任何人重新注册。一切都改变了。笔者在自己的电子邮件中搜索用过的密码,困惑的是反馈回来很多结果。使用你最常用的密码在你的电子邮箱中进行搜索,看看结果会是什么。你可能会感到十分意外。但是黑客可能会有各种方法来获取你的信息。你曾经在Twitter这样的公共服务网站上收到过生日贺卡吗?你曾经向别人透露过电话号码或者任何其他信息吗?你的社交网站上有哪些信息?你的MySpace和Facebook帐户关闭了吗?或者任何人都可以在这些社交网站上通过搜索找到你吗?你的Facebook网页上有你的生日,你曾经上学的学校和宠物的名字吗?你母亲的娘家姓名(这是一个常见的安全提问)会通过你的社交网站帐户被发现吗?你使用的其他服务都是什么?如果你认为比人发现这些信息的可能性不大,那么在你所谓的"Deep Web"搜索引擎(比如说Pipl或Spokeo)上搜索你自己的信息,看看会发生什么。你可能会发现你自己都完全忘记的网上账户。
类似的电子邮件安全
其他的问题是多数电子邮件服务使用的都是类似的密码恢复方法。Hotmail和Gmial几乎完全一样。雅虎的邮箱甚至更加简单,因为如果你告诉雅虎你无法访问你的二级电子邮件账号,你只需回答一个秘密问题即可。在笔者对雅虎电子邮箱恢复网页的测试中,笔者发现似乎你可以有无限次尝试的机会去猜测雅虎电子邮件提问的秘密问题的答案。AOL Mail也好不到哪去,因为你可以选择键入你的二级电子邮件或者键入你确切的生日外加文件的Zip代码即可。ZIp代码对于一些人可能很难攻破,但是并非完全没有可能。如果你发现你暴露在Twitter这样的漏洞风险之下,将把它当做是你的叫醒电话吧。你必须定期检查你的各种电子邮箱的安全设置,以便这些安全信息还在你的控制之列,因为这些信息可能是你在很久以前输入的,很容易被遗忘。要注意与你初始电子邮件地址关联的二级电子邮件帐户;对于安全提问设置一个只有你知道的答案;定期更换你的密码,无论是自行更改还是通过GRC或者Strong Password Generator这样的工具来随机产生密码。不要只使用一到两个密码,使用Clipperz, KeePass或者Yubic这样的密码管理器来记住你替换的密码信息。但是或许最重要的是,在你自己的电子邮箱中搜索你使用的最常见的密码,然后删除这些信息。如果最糟糕的事情发生了,你的电子邮件帐户正处在危险之中,你很对曾经做过的一切感到高兴。