Svakt admin-passord rammet Twitter-kjendiser

Obama og Fox News ble kuppet fordi administratoren slurvet med sikkerheten.

7. jan. 2009 - 10:35

Twitter er et raskt voksende sosialt nettverk der brukerne kan kommunisere med hverandre gjennom korte meldinger på maks 140 tegn.

Tjenesten har blitt populær også blant kjendiser som holder sine fans oppdatert, og ble flittig brukt av kommende president Barack Obama i den amerikanske valgkampen.

Mandag denne uken opplevde Obama og en rekke andre Twitter-kjendiser at noen hadde hacket seg inn på deres brukerkontoer, for så å sende ut falske meldinger.

Det viste seg at det var en 18-åring som sto bak, og at han enkelt hadde funnet frem til passordet for en av Twitters ansatte på support. Alt han trengte å gjøre var å bruke et automatisert passordgjettingsprogram, og så fant han raskt frem til passordet "happiness".

- Jeg mener det dreier seg om nok et eksempel der administratorer ikke gidder å ta seg bryet med å stoppe en av de mest opplagte og mest brukte sikkerhetsfeilene, sier hackeren i et lynmeldingsintervju med Wired.

Twitter hadde ikke lagt inn noen form for sperre som hindret slike automatiserte forsøk, og dermed tok det ikke lang tid å komme seg inn.

Ved hjelp av passordet til den Twitter-ansatte personen med brukernavnet Crystal, fikk hackeren muligheten til å resette hvilken som helst brukers passord gjennom administrasjonsgrensesnittet.

Istedenfor å selve ta over brukerkontoene til andre, valgte han å legge ut en oppskrift på et forum for hackere slik at andre kunne gjøre det samme. Dermed ble Twitter-kontoene til blant annet kjendiser og organisasjoner som Barack Obama, Britney Spears, Facebook, CBS News, Fox News, CNN og Digg-gründer Kevin Rose tatt over på kort tid.

Det resulterte blant annet at den kontroversielle og konservative programlederen Bill o'Reilly ble hengt ut som homofil av sin egen arbeidsgiver.

Twitter tok raskt affære, og ryddet opp, men vil ikke si noe om sine sikkerhetsrutiner.

Her kan du følge digi.no på Twitter, samt journalistene Marius, Harald og Anders.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.