¿Cómo accedieron al panel de administración de Twitter?


Es la moda, está claro. Hace unos minutos que me he enterado, y realmente tenía intención de no darle mayor importancia, debido al alto número de titulares parecidos que salen últimamente, ya sabéis, lo del worm y esas cosas. Pero al empezar a hilar posts, noticias, comentarios, traducciones del francés, análisis y aclaraciones, creo que este tema tiene algo de interés, ya que existen informaciones erróneas que he ido leyendo en diferentes medios.

En 10 minutos, por mi cabeza ha pasado el “¿mmm cómo, por el .htaccess?“, el “esto tiene que ser fake“, “demasiadas evidencias para ser fake“, “anda espera, puede ser por lo del correo“, “¡ahhh vale vale, ahora lo entiendo!“. Empecemos:

La noticia era clara: un usuario llamado Hacker Croll proclamaba por algunos foros que había conseguido entrar al panel de administración de twitter, y exactamente a través de esta dirección de administración: https://admin.twitter.com/admin/ protegida por .htaccess. Lo primero que se viene a la cabeza es la técnica “fuerza bruta” que tan buenos resultados da últimamente, que debido a ciertos antecedentes con este sistema de microblogging, podría ser no muy descabellado de llevar a cabo. Hacker Croll, ofrecía un conjunto muy amplio de evidencias/screenshoots, y las colgó en imageshack en las siguientes direcciones:

| |

| |

| |

| |

Al verlas todas, os daréis cuenta de que si se tratase de un fake…la verdad es que el chaval seguro que tardaría un tiempo en prepararlo, no lo haría con el paint precisamente. Muestra todos los entresijos de administración, con multitud de opciones, propio de un god@twitter, sin duda interesante. Como se suele decir, como Pedro por su casa…

De repente empezó a surgir la duda de si realmente había conseguido las credenciales, o si lo único que había conseguido eran las capturas por algún sitio, o si las imágenes habían sido filtradas desde dentro de la organización. ¿Por qué esto último? Fijémonos en la captura 1, el último tweet (marcado debajo de la caja de “What are you doing?” seguido del Latest) en el que hace un llamamiento a alguien de seguridad en Yahoo! y en esta entrada del señor Jason Goldman, en el que según si bio, trabaja en twitter:


Bueno, pues ya tenemos desde que perfil se accedió al panel de administración para realizar las capturas. Esto arroja las preguntas anteriores, ¿por qué Goldman iba a publicar esas capturas de lo más profundo de twitter?. Algunos ya le habréis sacado la conclusión hilando temas: todo fue gracias a la ingenieria social, pero no de hacerse pasar por alguien para pedirle la contraseña. Según Hacker Croll, simplemente respondió correctamente la pregunta de seguridad, consiguiendo acceder al correo personal de Goldman en Yahoo, en el que entre otros correos curiosos, se encontró la contraseña de acceso al panel.

En serio, ¿cuando la gente dejará de meter respuestas tan triviales a las preguntas de seguridad del tipo :

PREGUNTA:- ¿soy humano?
RESPUESTA:- si

PREGUNTA:– ¿primera letra del abecedario?
RESPUESTA:– a

PREGUNTA:– escribir hola
RESPUESTA:– hola

Como sigamos así, vamos a tener que volver a recomendar lo de poner las contraseñas en post-its en la pantalla del ordenador por si se te olvidan, porque para el caso…

Fuente: http://www.securitybydefault.com/2009/04/como-accedieron-al-panel-de.html

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: