Por meio de recurso para recuperação de senhas do serviço de webmail, da Microsoft, usuário obteve informações hospedadas em vários serviços.

O usuário mal intencionado que roubou documentos confidenciais do serviço de microblog Twitter usou um recurso do Hotmail, da Microsoft, para invadir a conta de um dos funcionários da empresa, informou o blog TechCrunch no domingo (19/7).

O TechCrunch recebeu e divulgou, na semana passada, algumas informações de mais de 300 documentos confidenciais do Twitter, que caíram na internet após um invasor ter acesso a eles.

O invasor, identificado como Hacker Croll, teria se aproveitado de um recurso de recuperação de senhas para invadir uma conta no Hotmail e contou os detalhes de seu ataque ao TechCrunch.

A princípio, Croll invadiu a conta do serviço de webmail do Google, o Gmail, de um funcionário do Twitter. Para  tanto, ele respondeu a algumas questões pessoais para recuperar uma senha. As respostas tiveram inspiração em pesquisas pela web sobre a vida do funcionário.

A senha teria sido enviada a uma conta secundária de e-mail, que o cracker descobriu ser do Hotmail. Lá, o invasor iniciou um novo processo de recuperação de senhas, mas a conta estava inativa, o que permitiu que ele se registrasse como este usuário.

Voltando ao Gmail, o invasor reiniciou o processo para recuperar a senha, especificando uma de sua autoria, que foi enviada para a conta invadida do Hotmail. A partir daí, ele encontrou confirmações de senha de outros serviços.

Na semana passada, alguns especialistas de segurança especularam que a raiz da brecha do Twitter foi o mesmo processo usado pelo estudante que invadiu a conta de e-mail da política norte-americana Sarah Palin. “A invasão foi fruto da existência de uma senha fraca e fácil de adivinhar, com uma grande ajuda de quem compartilha informações pessoais online”, afirmou Sam Masiello, vice-presidente de segurança da informação da empresa de serviços de segurança online MX Logic.

Gregg Keizer, do Computerworld