Estoy haciendo una investigación de seguridad para un amigo mío, trabajando un poco como Sherlock Holmes aquí ... Intentando descubrir un posible escenario de pirateo para lo siguiente:
- Mi amigo recibe un mensaje de "atornílle a usted y a su perfil de Twitter" en un tablero de mensajes impulsado por vBulletin, donde nadie sabe quién es ella.
- Al cabo de un rato, se da cuenta de que alguien cambió su foto de perfil en Twitter.
El tablero de mensajes no usa ninguna cuenta conectada de Twitter oAuth ni nada similar, su nombre de usuario del foro era un nombre irreal "abracadabra" sin sentido, que no es "identificable personalmente". Su perfil en el foro está vacío. La única cosa real en el perfil fue su correo electrónico.
El único escenario posible que se me ocurre es:
-
Alguien usó un exploit en vBulletin para obtener su correo electrónico real dirección o accedió a su cuenta (a través de Brute force, etc.)
-
Calculé su cuenta de Twitter por dirección de correo electrónico (por ejemplo, por generar una imagen de Gravatar fuera del correo electrónico y luego realizar una Búsqueda de Google "por imagen")
-
Usó algún exploit conocido (en los círculos clandestinos) para alguna "aplicación" de Twitter que había conectado en su cuenta.
¿Ves otras posibilidades?
PS. Lástima que Twitter no tiene una auditoría de inicio de sesión ...
PPS. No estoy buscando instrucciones "cómo puedo hackear el Twitter de alguien", estoy tratando de encontrar (según el escenario), cómo podemos asegurar sus otros datos (si él hackeó Twitter, quién sabe qué más se puede comprometer) ).
PPPS. Alguna información de fondo sobre la persona para descartar lo obvio: ella es una ingeniera de software y directora general de una pequeña tienda de software, no su "ama de casa Nancy" promedio, tiene un mac (no ventanas), usa 2-factor en la mayoría de las cuentas ( gmail, amazon-aws, etc., pero no twitter), utiliza un gestor pwd con 2 factores. Su pwd del foro era muy débil (6 letras), su pwd de Twitter era bastante fuerte.