¿Cómo se hackeo la cuenta de Twitter de Enrique Dans?

Primero, los chicos de Security by Default (autores del hack) buscaron un sitio desde el que poder enviar SMS falseando el número de origen del mismo (para hacerse pasar por otra persona). Lo primero que probaron fue BromaSMS, pero con este servicio sólo se podían usar números nacionales, y el número necesario para postear en Twitter tenía que ser con prefijo +44, ingles. Por suerte, Lleida.net cuenta con un servicio parecido, por lo que el usado fue este.

Una vez con la herramienta de falseo SMS necesaria, probaron con su propia cuenta de Twitter. Por suerte, y para su sorpresa, esto funcionaba perfectamente. Twitter aceptaba el origen de estos SMS. Así que sólo quedaba buscar a alguien cuyo Twitt generase el máximo ruido posible. El elegido fue Entique Dans, conocido blogger pro-Twitter. Pero claro, era necesario su número de teléfono para poder falsear su origen.

twitterbugedans ¿Cómo se hackeo la cuenta de Twitter de Enrique Dans?

Para ver la captura de pantalla completa,

click en la imagen.

Por suerte, en los datos de contacto, el señor Dans incluye su propio número de teléfono, el mismo que usa para el ya mentado servicio de MicroBlogging, en vez de ser un número que redirigiese hasta el número real (una medida en principio básica de seguridad, pero… no) Así que solo quedaba mandar el SMS correspondiente y ver si surtía efecto. El resultado fue claramente satisfactorio.

Lo relatan los autores del Hak | Security By Default

Leave a comment

Your email address will not be published. Required fields are marked *