黑客 Croll 如何入侵 Twitter 帐户

这件事刚刚传遍了全世界。本周，一名来自多姆山的年轻法国互联网用户因在 2009 年入侵微博网站 Twitter 上的多个账户而被捕。他遭到联邦调查局和 OCLCTIC 的追捕 (1)。

警方在克莱蒙费朗警察局拘留了 48 小时后，他于周三晚上被释放。“我不是黑客。我是一个善良的海盗自称黑客克罗尔的男子告诉法新社。我只是想证明大公司并不比任何互联网用户更安全，这就是我想传达的信息。»

然而，据法新社报道，这名年轻人因一次网络诈骗而被警方所知，据报道，他通过网络诈骗赚取了 15,000 欧元。由于他的新“功绩”，他于 6 月 24 日被刑事法庭传唤。

大约一年前，即 2009 年 6 月，Hacker Croll 接受了在线杂志 Zataz 的采访。然后，他解释了他闯入知名人士（其中提到了美国总统巴拉克·奥巴马的名字）或微博网站员工的 Twitter 帐户的方法，其中包括该网站的创始人之一埃文·威廉姆斯 (Evan Williams)，他的Gmail 和亚马逊账户也遭到黑客攻击。

Hacker Croll 技术基于社会工程，即收集个人信息以推断出某个人的行为的艺术。登录和密码。以下是他接受扎塔兹采访的一些摘录。

扎塔兹：可以–你向我们解释一下你的方法？
黑客卷轴： 哦，这几乎很简单。这需要一点时间、运气和好奇心。第一个行动，找到员工的电子邮件地址。我只需通过对属于员工的域名执行 whois (2) 进行搜索即可。然而，一开始，这很麻烦。一些注册商 [域名管理者，编者注]隐藏地址以对抗垃圾邮件并为客户保留更多的匿名性。我访问了 Twitter 的“关于我们”页面，查看了每位员工的个人资料。有些人提供了他们的网站网址。我只需要再做一次whois。

您对这些电子邮件做了什​​么？
一些员工的地址类似于“[电子邮件受保护]”。我认为在这种情况下不可能做任何事情，因为这些地址没有密码重置过程。其他员工的地址如@gmail.com。在 Gmail 中，另一个问题是，您只能在相关帐户 24 小时不活动后才能访问秘密问题 (3)。由于大多数员工每天都会登录，因此很难经历这一过程。

因此，雅虎发起了攻击！ ？
是的，还有其他员工提供了地址@yahoo.com。杰森·戈德曼（Jason Goldman）就是这样的例子。我去雅虎！我点击“忘记密码”并输入其地址。我遇到了第一个困难。

哪个 ？ 
雅虎！要求在能够访问秘密问题之前验证身份。为此，他要求您输入帐户中显示的出生日期、邮政编码和国家/地区。我从未成功迈出这一步，但幸运的是，该员工有一个 2002 年的博客，他在其中写下了自己的生活。他的个人资料包括他的年龄和星座。因此我能够确定他的出生年份。

你没有白天吗？
不，但是通过搜索文章，我很快就在 2004 年 10 月的一个页面中找到了答案。幸运的是，事实上，因为 Yahoo!十次错误尝试后阻止电子邮件帐户[在十次失败的连接尝试之后，编者注]。邮政编码并不复杂。我使用 whois 找到了它。对于他的秘密而简单的问题，这是他的出生地，圣路易斯。

套间？
然后我忘记了一个步骤，这就是毁了一切的原因。他和推特都不会看到或知道任何事情。

它是什么这个错误？
该男子提供了几封备份电子邮件来恢复他的密码。在 Yahoo!，一旦您更改密码、秘密问题的答案等，网络邮件就会发送电子邮件通知。他就是这么知道的！他当时登录了自己的 Gmail 帐户。

接下来你做了什么？
当我进入他的雅虎帐户后，我做的第一件事就是转发他的备份电子邮件。我还编辑了他的秘密问题。然后我开始用关键字“密码”搜索他的消息。我遇到过很多不同的密码。他实际上仍然使用相同的密码，只是有一点小小的变化，两个字母。使用该网站的前两个字母。谷歌给了GOxxxx；推特：TWxxx； Gmail：GMxxx； ETC。

[…]

一件事接二连三地发生，这名年轻人成功黑掉了几个推特账户。但他声称从未试图将他的信息货币化。尽管如此，他现在仍面临两年监禁。

找到整个采访关于你。

1. 打击与信息和通信技术相关的犯罪的中央办公室。

2. 搜索服务允许您获取有关域名的信息，特别是有关其所有者的信息。

3. 一些网络邮件在丢失密码的情况下使用此技术：帐户所有者必须回答一个问题，而他应该是唯一知道答案的人。如果他成功通过身份验证，则会通过电子邮件向他发送新密码。

🔴为了不错过01net的任何新闻，请关注我们谷歌新闻等WhatsApp。