Qualcuno ha aggiornato il profilo twitter del mio amico dopo un abuso in un forum internet [chiuso]

1

Sto facendo un'indagine di sicurezza per un mio amico, lavorando qui un po 'di Sherlock Holmes ... Cercando di capire un possibile scenario di hacking per quanto segue:

  1. Il mio amico riceve un messaggio "avvitiamo te e il tuo profilo Twitter" su una bacheca con tecnologia vBulletin, dove nessuno sa chi sia.
  2. Dopo un po 'si accorge che qualcuno ha cambiato la sua immagine del profilo su Twitter.

La bacheca non usa alcun account di Twitter oAuth connesso o qualcosa di simile, il nome utente del suo forum era un nome irreale "abracadabra", che non è "identificabile personalmente". Il suo profilo del forum è vuoto. L'unica cosa reale nel profilo era - la sua email.

L'unico scenario possibile che mi viene in mente è:

  1. Qualcuno ha usato un exploit su vBulletin per ottenere la sua vera e-mail indirizzo o altro accesso al suo account (tramite forza bruta, ecc.)

  2. Ha calcolato il suo account Twitter tramite indirizzo email (ad esempio, da generare un'immagine Gravatar dalla posta elettronica e quindi eseguire un Ricerca Google "per immagine")

  3. Usati alcuni noti exploit (nei circoli sotterranei) per qualche "app" Twitter che aveva collegato nel suo account.

Vedi altre possibilità?

PS. Peccato che Twitter non abbia un controllo di accesso ...

PPS. Non sto cercando istruzioni "come puoi hackerare il Twitter di qualcuno", sto cercando di trovare (basato sullo scenario), come possiamo proteggere i suoi altri dati (se ha hackerato Twitter - chissà che altro può essere compromesso ).

PPP. Alcune informazioni di base sulla persona per escludere l'ovvio: lei 'un ingegnere del software e CEO di un piccolo negozio di software, non la tua media "casalinga Nancy", è su un mac (non Windows), utilizza 2 fattori sulla maggior parte dell'account ( gmail, amazon-aws ecc., ma non twitter), usa un gestore pwd con 2 fattori. Il suo forum pwd era davvero debole (6 lettere), il suo pwd di Twitter era piuttosto strong.

    
posta Serge Shultz 26.05.2015 - 23:29
fonte

1 risposta

3

Non conosco un modo per recuperare chi ha fatto a meno di chiedere a Twitter. Per quanto riguarda la prevenzione, esigendo la disponibilità, potresti dire al tuo amico di abilitare l'autenticazione a 2 fattori Questo renderà qualsiasi tentativo di accesso più evidente a causa di ottenere un sms.

Ulteriori informazioni sulla sicurezza su Twitter sono disponibili su Centro sicurezza Twitter

Possiamo solo immaginare cosa è successo senza l'assistenza di twitters. Ma un breve elenco di possibili vettori di attacco è

  • dirottamento di sessione / furto
  • password / account indovinando
  • xss attacco

Molto probabilmente se ha usato un collegamento sul forum è stata un'iniezione di xss tramite uno script remoto.

Il dirottamento o il furto della sessione è probabile se il forum stesso è stato compromesso (e ha aggiunto script dannosi alle pagine per abilitarlo)

Probabilità di password / account è molto probabile negli altri casi. (Questo include la forza bruta)

    
risposta data 26.05.2015 - 23:45
fonte

Leggi altre domande sui tag