Trend Micros sikkerhetsspesialist Rik Ferguson skriver i dag på sin blogg at det er altfor enkelt å overta identiteten til brukere av mikrobloggen Twitter.
Sikkerhetssvikten ligger hovedsakelig i at Twitter lar sine ansatte ta over en konto med ett enkelt tastetrykk. De ansatte fungerer som administratorer og moderatorer av tjenesten og har derfor denne muligheten.
I tillegg kan ansatte få opp all informasjon brukerne har lagt inn om seg selv, uansett om den er offentlig eller ikke. Dette inkluderer mobilnumrene til Britney Spears, Ashton Kutcher og Lily Allen.
– Hva er hensikten med at Twitter-ansatte skal se denne informasjonen? De har ikke bruk for den i sitt virke. Og hvordan vil brukerne reagere om de får vite at Twitter-ansatte kan utgi seg for å være dem etter eget forgodtbefinnende?, spør Ferguson i sitt innlegg.
En hacker viser hvordan han enkelt fant telefonnummer og ip-adressen til Lily Allen ved å hacke en Twitter-ansatts Yahoo-mail konto. (Faksimile: countermeasures.trendmicro.eu)
Gjettet passordet
Informasjonen ble avdekket da en person med nettidentiteten Hacker Croll skrev på et undergrunnsforum at han hadde lykkes i å gjette seg til passordet til en kvinnelig Twitter-ansatt.
Da han logget seg inn på hennes Twitter-konto fikk han opp en ekstra «knapp» han kunne trykke på. Når han gikk inn på en Twitter-bruker kunne han klikke på «become» og vips hadde han all privat informasjon om brukeren tilgjengelig.
Som dokumentasjon la Hacker Croll ut en rekke skjermbilder han hadde tatt av sitt arbeid. Han hevder at han ikke har brukt noen verktøy for å trenge seg inn.
Alt han gjorde var å gjette seg til svaret på sikkerhetsspørsmålet som trengtes for å tilbakestille passordet til e-postkontoen til den Twitter-ansatte. Så snart han var inne i innboksen hennes, kunne han også få passordet til Twitter-kontoen.
Twitter-ansatte kan med ett klikk ta over identiteten til enhver Twitter-bruker. I den røde rammen står det «become». (Faksimile: countermeasures.trendmicro.eu)
