Twitter-hacking, geheimen worden onthuld?

Vermoedelijke interne documenten en gevoelige informatie van Twitter en zijn werknemers kunnen vandaag op ne

worden geplaatst: Afbeelding: Diego Aguirrews-sites en andere internetwinkels. De bron van deze informatie is een Franse hacker met de naam Hacker Croll. De cybercriminele claimt toegang te hebben gehad tot persoonlijk gevoelige informatie voor verschillende Twitter-werknemers, waaronder persoonlijke accounts op PayPal, Amazon, AT & T, MobileMe, Facebook, zakelijke Gmail-accounts en het webregistraraccount voor Twitter.com, aldus de Franse blog Korben.

Hacker Croll heeft ook enkele vermeende interne documenten verspreid naar nieuwssites en blogs, waaronder een complete Twitter-werknemerslijst en salarisinformatie; voedselvoorkeuren van Twitter-werknemers; vertrouwelijke contracten met bedrijven zoals Nokia, Samsung, Dell, AOL, Microsoft en anderen; een contactenlijst van opmerkelijke persoonlijkheden op het gebied van internet en entertainment; vergaderverslagen; aanvrager hervat; en de originele toonhoogte voor het beruchte Twitter-tv-programma.

Nadat het nieuws over de inbreuk op de beveiliging openbaar werd, werd Twitter-oprichter Evan Williams gecontacteerd door TechCrunch om de diefstal van documenten te bevestigen. Williams heeft naar verluidt bevestigd dat Twitter enkele weken geleden een aanval heeft gehad, maar het evenement had geen verband met de aanval in april toen een hacker toegang kreeg tot verschillende spraakmakende gebruikersaccounts en de administratieve functies van Twitter. De hack van april werd ook gepleegd door een cybercrimineel met de naam Hacker Croll.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

Williams vertelde TC dat het bedrijf bekend is met de lijst met informatie Hacker Croll verkregen en een aantal claims van de hacker hebben gecounterd. De medeoprichter van Twitter bevestigde dat de hacker toegang kreeg tot het Gmail-account van zijn vrouw - waar een deel van Williams creditcardgegevens was opgeslagen - evenals een Gmail-account van een administratief medewerker en een aantal persoonlijke accounts van andere Twitter-werknemers. Williams zegt dat Hacker Croll geen toegang heeft gekregen tot William's Gmail-account en dat Twitter nu verdere beveiligingsmaatregelen heeft genomen om bedrijfseigendom en interne documenten te bewaken.

Journalistieke Dilemma

Dingen werden gecompliceerder toen Hacker Croll een gecomprimeerde e-mail stuurde bestand van 310 vermeende interne Twitter-documenten rechtstreeks aan TechCrunch. De blog zegt dat het enige tijd besteedt aan het beoordelen van de informatie en is van plan enkele van de documenten die ze in de loop van de dag op woensdag hebben verkregen te publiceren.

Oprichter van TC, Michael Arrington, zegt dat de site geen gevoelige informatie zal publiceren zoals toegangscodes of persoonlijk gênante informatie; TC zal echter een aantal vermeende documenten publiceren, waaronder 'financiële projecties, productplannen en aantekeningen van strategische vergaderingen van leidinggevenden', en de originele pitch voor Twitter's reality-gebaseerde televisieprogramma.

'Er is hier duidelijk een ethische lijn die we wil niet oversteken, "schreef Arrington in een blogpost," en de overgrote meerderheid van deze documenten zal niet worden gepubliceerd, tenminste door ons. Maar een paar van de documenten hebben zoveel nieuwswaarde dat we denken dat het gepast om ze te publiceren. "

Ethiek Fallout

De Britse krant Guardian die over dit verhaal berichtte, zei dat het om juridische redenen geen link zou plaatsen naar TC-verhalen over de Twitter-hack. Een online enquête over het lot van de Twitter-documenten neemt ook de temperatuur van internetgebruikers. Op het moment van dit schrijven was 56 procent van de 622 respondenten tegen TC die de documenten vrijgaven, terwijl 32 procent voorstander was, en 12 procent gaf er niet om.

Veel tech blog-lezers zijn ook tegen het besluit van TC. Lezers zeiden dat het oneerlijk was voor TC om de documenten te publiceren omdat ze onterecht werden 'gestolen' van Twitter, en daarom zijn de gegevens niet meer beschikbaar voor publicatie.

Om de beslissing van TC te verdedigen, parafraseert Arrington een opmerking van de Britse krantenmagnaat Lord Northcliffe die beroemde zei: "Nieuws is wat iemand ergens wil onderdrukken, de rest adverteert. <> De site voert aan dat als informatie landt in de inbox van een journalist is het een eerlijk spel, ongeacht hoe de gegevens zijn verkregen. Het is belangrijk om te benadrukken dat TC heeft gezegd dat het materiaal dat de veiligheid van het bedrijf kan aantasten of mogelijk de veiligheid of carrière van een persoon kan schaden door gevoelige informatie te onthullen. Moet de informatie worden gepubliceerd?

Het andere probleem is dat nieuws organisaties hebben niet de volledige controle over deze vermeende informatie, aangezien Hacker Croll ook de documenten heeft. Als de anonieme hacker dit wilde doen, kon hij of zij deze informatie gemakkelijk publiceren op zijn of haar eigen blog of website. Het is ook mogelijk dat deze informatie in handen is van Wikileaks, maar die site is het onwaarschijnlijk dat de informatie wordt gepubliceerd omdat deze alleen informatie van "politieke, diplomatieke of ethische betekenis" behandelt.

Als andere nieuwsorganisaties deze informatie verkrijgen, zijn ze waarschijnlijk een vergelijkbaar pad naar TC volgen of misschien kiezen ervoor om de informatie helemaal niet te publiceren. Dus het probleem is misschien niet wat TechCrunch, The Guardian, PC World of andere nieuwsuitgevers zullen doen met de informatie, maar wat Hacker Croll gaat doen. Volgens Korben zou dat misschien niets blijken te zijn, die een vermeende quote van de hacker die beweerde dat hij de Twitter-medewerkersaccounts had overtreden om Twitter een les over beveiliging te leren, en aantonen hoe gemakkelijk beveiligingsvragen en -wachtwoorden kunnen worden doorbroken. Deze beweringen dat beveiligingslekken aan het licht zijn gebracht, zijn vergelijkbaar met die van iemand die de hacker Croll heet tijdens de hack van Twitter.com. Op dat moment beweerde de hacker dat hij of zij toegang had tot de administratieve accounts van Twitter, simpelweg door "social engineering".

Webmail Security

Vorig jaar werd de universiteit van Tennessee, student David Kernell van Knoxville, gearresteerd op beschuldigingen die hij hackte een Yahoo Mail-account gebruikt door de toenmalige vice-presidentskandidaat Sarah Palin. De e-mailberichten van de hack werden uiteindelijk door Gawker geplaatst en waren potentieel schadelijk voor Palin. De proefperiode van Kernell begint op 16 december.

Het Palin-account is gehackt door Yahoo's wachtwoordherstelpagina te gebruiken, vergelijkbaar met de Hacker Croll hacker die eerder dit jaar werd gebruikt om toegang te krijgen tot Twitter-gebruikers- en beheerdersaccounts via Yahoo Mail. Dat proces leek heel eenvoudig, maar wat vreemd is aan de hack van Twitter's Gmail-accounts is dat het beveiligingsproces van Google niet zo eenvoudig is als dat van Yahoo ten tijde van de Palin-hack.

Op de pagina voor wachtwoordherstel vraagt ​​Google u om uw gebruikersnaam en moet u vervolgens een CAPTCHA invoeren. Vervolgens verzendt Google een link naar het e-mailadres dat u oorspronkelijk hebt ingevoerd toen u zich aanmeldde voor een Google-account. Als u geen toegang heeft tot dat account, staat Google u niet toe toegang tot uw account te krijgen door uw beveiligingsvraag te beantwoorden tot 24 uur nadat u de beveiligings-e-mail op uw alternatieve account hebt ontvangen. Yahoo Mail gebruikt momenteel een vergelijkbare methode voor wachtwoordherstel.

Het is niet duidelijk of deze beveiligingsmaatregel al aanwezig was op het moment dat Hacker Croll toegang kreeg tot de aan Twitter gekoppelde Gmail-accounts, maar het dient als herinnering dat u uw gegevens moet bewaren tot nu toe en kies een beveiligingsvraag die voor een hacker moeilijk te achterhalen is.

Ga naar uw Google-profielpagina om het secundaire e-mailadres voor uw Gmail-account te wijzigen en andere beveiligingsmaatregelen te treffen.

Maak contact met Ian Paul op Twitter (@ianpaul).