Yahoo!メールを乗っ取りTwitterの管理アカウントをハッキング

このドキュメントの内容は、以下の通りです。

• Twitter関連記事

Hacker Crollと名乗るこのハッカーが Twitterの管理者アカウントをハッキングしたそうです。

侵入手段として最初にYahoo!アカウントをハッキングしています。

• Twitter管理者のYahoo!アカウントにたいして、秘密の質問に答えてアカウントのパスワードリセットを行う
• 乗っ取ったアカウントのYahoo!メールの受信箱にTwitterのパスワードを見つけた
• そのパスワードを利用してTwitterの管理者権限を手に入れた

攻撃コード、XSS、バックドア、SQLインジェクションといった攻撃テクニックは利用せず、ソーシャルエンジニアリングだけしか行っていないようです。

今回の件を考える限り、パスワードの管理方法の問題と管理アカウントがインターネットからアクセスしてログイン可能というアプリケーションの設計の問題があると思います。管理アカウントが通常のアカウントと同じログインシステムっていうのもイマイチです。インターネットから管理アカウントにログイン可能という部分を修正するだけでも、かなりセキュアになるのではないかと思います。

メールになんでもかんでも、大事な情報をメモっておくのは、危険ですね。

Twitter関連記事

[2009-04-13-1] Twitterが言語をRuby on RailsからScalaへ置き換え
[2009-04-06-1] Yahoo!Inc Adobe AIRのデスクトップTwitterアプリ
[2008-03-18-1] vimからミニブログTwitterに投稿する方法
[2008-03-16-1] Twitter用Adobe AIRクライアント twhirlを使ってみた
[2008-01-16-2] Twitterの統計
[2008-01-16-1] Twitterのプラットフォーム
[2008-01-13-2] Twitter用Windowsクライアント Twitを使ってみた
[2007-07-27-2] scaling Twitter
[2007-05-30-6] twitter api
[2007-05-30-5] twitter を json で試す

---