Sto facendo un'indagine di sicurezza per un mio amico, lavorando qui un po 'di Sherlock Holmes ... Cercando di capire un possibile scenario di hacking per quanto segue:
- Il mio amico riceve un messaggio "avvitiamo te e il tuo profilo Twitter" su una bacheca con tecnologia vBulletin, dove nessuno sa chi sia.
- Dopo un po 'si accorge che qualcuno ha cambiato la sua immagine del profilo su Twitter.
La bacheca non usa alcun account di Twitter oAuth connesso o qualcosa di simile, il nome utente del suo forum era un nome irreale "abracadabra", che non è "identificabile personalmente". Il suo profilo del forum è vuoto. L'unica cosa reale nel profilo era - la sua email.
L'unico scenario possibile che mi viene in mente è:
-
Qualcuno ha usato un exploit su vBulletin per ottenere la sua vera e-mail indirizzo o altro accesso al suo account (tramite forza bruta, ecc.)
-
Ha calcolato il suo account Twitter tramite indirizzo email (ad esempio, da generare un'immagine Gravatar dalla posta elettronica e quindi eseguire un Ricerca Google "per immagine")
-
Usati alcuni noti exploit (nei circoli sotterranei) per qualche "app" Twitter che aveva collegato nel suo account.
Vedi altre possibilità?
PS. Peccato che Twitter non abbia un controllo di accesso ...
PPS. Non sto cercando istruzioni "come puoi hackerare il Twitter di qualcuno", sto cercando di trovare (basato sullo scenario), come possiamo proteggere i suoi altri dati (se ha hackerato Twitter - chissà che altro può essere compromesso ).
PPP. Alcune informazioni di base sulla persona per escludere l'ovvio: lei 'un ingegnere del software e CEO di un piccolo negozio di software, non la tua media "casalinga Nancy", è su un mac (non Windows), utilizza 2 fattori sulla maggior parte dell'account ( gmail, amazon-aws ecc., ma non twitter), usa un gestore pwd con 2 fattori. Il suo forum pwd era davvero debole (6 lettere), il suo pwd di Twitter era piuttosto strong.