Autore: Guido Arata

Due giorni fa vi abbiamo parlato dei fantomatici twitt inviati da personalità di spicco quali Obama e Britney Spears, ambigui a tal punto da lasciar pensare all’azione di un hacker. Ebbene, l’hacker c’è stato, e si tratta di un ragazzo di 18 anni, non nuovo a fatti del genere. Si cela sotto il nickname GMZ, ed ha affermato di essere il responsabile dell’hackeraggio di Twitter.

Il giovane è riuscito a prendere il controllo degli account di Obama, Britney Spears, Fox News e molti altri dopo aver scovato la password di un amministratore del servizio, precisamente di Crystal. Accedendo in qualità di tale amministratore ha avuto accesso ad ogni account, con la possibilità di modificare le password ed i dati di registrazione di ciascun utente. Non è stato però lui, fa sapere, a sostituirsi ai celebri personaggi ed a twittare per loro. Ha infatti divulgato la notizia ai membri di diverse crew e community underground, fornendo i dati di accesso di ciascun utente qualora qualcuno gliel’avesse chiesti. Facile intuire come i più richiesti fossero quelli di personaggi noti, che GMZ non ha esitato a dare.

Il giovane ha inoltre spiegato le dinamiche grazie alle quali è venuto in possesso della password dell’amministratore Crystal: ha scelto a caso uno degli utenti più popolari di Twitter ed ha avviato su tale account un attacco di tipo brute force, di quelli che tentano la login a ripetizione, inserendo in automatico password più o meno casuali. Dopo molte ore il programmino da lui utilizzato ha fornito l’auspicato messaggio “Login Effettuato“. E la password era “happiness“. Direi un po’ poco elaborata per essere quella che da accesso alla gestione di tutti gli account di uno tra i più popolari servizi della Rete.

Due errori dunque, che hanno fatto il botto: l’ingenuità degli sviluppatori di Twitter nel non impedire rapidi tentativi di login in successione (classico antidoto agli attacchi brute-force), e l’ingenuità di Crystal nell’impostare una password semplice, reperibile appunto dopo diverse ore di attacco.

Dai visibilità al problema: