Как загубих Twitter акаунта си за $50 000

Наоки Хирошима е създателя на Cocoyon и разработчик за Echofon. Тази статия първоначално се появи в неговия блог, но много бързо беше препубликувана в още няколко блога и бързо обиколи интернет пространството. Статията е преведена, но си заслужава да бъде прочетена. Хвърля много светлина върху методи за разбиване на пароли, акаунти и т.н. Погрижете се за дигиталния си живот!
Автора казва: “Това е история, която разказва как две от най-големите компании в И.Т. бранша – GoDaddy и PayPal позволиха атаката да бъде осъществена и заради това загубих Twitter акаунта си за 50 000 щатски долара!”

Twitter HackСамата статия в оригинал, можете да прочетете тук.

Имах рядко име в Twitter – @N. Да, просто една буква. Предлагали са ми суми от порядъка на 50 000 долара за него. Много хора са се опитвали да го откраднат. Често получавам инструкции за подмяна на паролата в пощата си.

НО от днес вече нямам контрол върху @N. Бях принуден да го предам.

Докато обядвах на 20-ти Януари 2014, получих SMS от PayPal, за валидиращ код. Явно някой се опитваше да ми открадне акаунта в PayPal. Игнорирах съобщението и продължих да ям.
По-късно през деня проверих е-мейла си през Google Apps, който беше разположен на личен домейн (регистриран при GoDaddy). Видях, че последното съобщение, които съм получил е било от GoDaddy с тема: “Account Settings Change Confirmation” (Потвърждение за промяна на настройките на акаунта). Имаше причина това да е последното ми съобщение.

От: GoDaddy
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 12:50:02 -0800
Тема: Account Settings Change Confirmation
Скъпи Наоки Хирошима,
Получавате този мейл защото настройките на акаунта ви бяха променени за този акаунт:
XXXXXXXX
Ще има кратко забавяне, преди заявката за промяна да стане валидна.
Ако тези промени са направени без ваше знания, моля влезете в акаунта си и променете настройките за сигурност.
Ако не можете да влезете в своя акаунт или са направени неоторизирани промени по домейн имената асоциирани с този акаунт, моле свържете се с нашия екип по поддръжка за помощ: support [at] godaddy.com или (480) 505-8877.
Моля, имайте предвид, че акаунтите са обект на нашите универсални правила за ползване.
С уважение, GoDaddy

Опитах да вляза в своя GoDaddy акаунт, но не стана. Обадих се на GoDaddy и обясних каква е ситуацията. Техния представител ме попита за последните 6 цифри от номера на кредитната ми карта, за да мога да се идентифицирам.
Това не свърши работа, тъй като информацията за кредитната карта вече беше сменена от атакуващия. Всъщност, цялата ми информация в акаунта беше сменена. Нямаше никакъв начин, по който да докажа, че аз съм истинския собственик на това домейн име.

$50,000

Представителя на GoDaddy ми предложи да попълня доклад за злоупотреба на сайта им, като използвам личната си карта. Направих го и ми беше казано, че отговора може да се забави до 48 часа. Очаквах, че това ще е достатъчно, за да докаже моята самоличност и правата ми за собственост над акаунта.

Нека изнудването да започне!

Повечето уебсайтове използват е-мейлите като метод за идентификация. Ако мейлът ви е изложен на риск и загубите достъп до него, до атакуващия може да подмени паролите ви за много сайтове, в които сте се регистрирали. Като е поел контрола над моя домейн в GoDaddy, атакуващия е можел да контролира мейл адреса ми.
Базирайки се на предишните пъти, в които съм бил атакуване, скоро разбрах, че именно акаунта ми в Twitter е бил мишената. Странно, някой когото не познавах ми изпрати съобщение във Facebook подканвайки ме да сменя е-мейл адреса си в Twitter.
Предположих, че това е изпратено от самия атакуващ, но въпреки това смених мейла. Е-Мейл адреса в Twitter сега беше сменен с друг мейл, до който атакуващия нямаше достъп.

Атакуващия опита да подмени паролата ми в Twitter на няколко пъти, но видя че не получава нито един от мейлите, защото е нужно време да се опреснят MX данните на моя домейн, които са управлявали мейл сървъра. Атакуващия откри проблем с номер #16134409 в Zendesk страницата за поддръжка на Twitter.

N, Януари 20 01:43 PM:
Twitter потребителско име: @n
Вашия мейл: *****@*****.***
Последно влизане: Декември
Мобилен номер (по желание): n/a
Нещо друго? (по избор): Не получавам автоматичните мейли за промяна на паролата, според вас ще можете ли ръчно да ми изпратите един?

От Twitter са изискали от атакуващия да предостави повече информация, за да продължи, но той се е предал и е избрал друг начин.
По-късно разбрах, че атакуващия се е добрал до моя Facebook акаунт, за да може да се спазари с мен. Бях ужасен, когато мои приятели започнаха да ме разпитват на какво се дължи странното ми поведение във Фейсбук.

Най-накрая получих мейл от атакуващия. Той се опита да ме изнуди със следното съобщение:

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 15:55:43 -0800
Тема: Здравей.
Видях, че си говорил с мой съучастник и искам да те информирам, че си прав, целта ни беше @N. Изглежда изключително неактивен. Искам да те информирам, също така, че домейните ти в GoDaddy са под мой контрол. Едно грешно действие и могат да се окажат иззети от GoDaddy и никога повече да не бъдат видени. D:
Виждам, че поддържаш няколко хубави сайта, затова не съм пипал нищо там, информацията на хоста е непокътната. Готов ли си на компромиси? Даваш ми достъп за 5 минути до @N, колкото да поема контрола, в замяна на твоя GoDaddy акаунт, а и ще ти помогна да си подсигуриш данните?

Малко след това получих отговор от GoDaddy:

От: change@godaddy.com
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 17:49:41 -0800
Тема: Update [Incident ID: 21773161]?—?XXXXX.XXX
За съжаление, екипа ни не може да ви помогне да осъществите промените, които желаете, тъй като вие не сте текущия собственик на домейн името. Като регистратор можем да направим тези промени единствено след като потвърдим собствеността на регистранта. Може би ще се заинтригувате от една или няколко от следните възможни действия:
1. Посетете http://who.godaddy.com/ , за да намерите Whois записите на домейна и да поискате директна намеса от регистратора.
2. Посетете http://www.icann.org/dndr/udrp/approved-providers.htm , за да намерите одобрен от ICANN посредник за арбитраж.
3. Дайте следния линк на своя адвокат, ако желаете да подадете правни документи към GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA
GoDaddy вече счита този въпрос за приключен.

Жалбата ми беше отхвърлена, защото не съм “текущия регистрант на домейна”. От GoDadddy са попитали атакуващия дали може да променят информацията в акаунта, но не са си направили труда да попитат мен същото, когато той го е направил. Бях страшно разгневен, че GoDaddy обременяват истинския собственик.
Мой колега успя да ме свърже с директор от GoDaddy. Директора се опита да постави въпроса пред екипа по сигурността, но нищо не се случи. Може би заради почивката за Мартин Лутър Кинг младши.

След това последва друго съобщение от атакуващия:

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 18:50:16 -0800
Тема: …здравей
Ще ми предадеш ли контрола? Акаунта в godaddy е готов за прехвърляне. Паролата е сменена и към него е прикрепен неутрален мейл.

Попитах мой приятел от Twitter – какви са шансовете да си възстановя акаунта там след това, ако атакуващия поеме контрол над него? Спомних си какво се случи с @mat и прецених, че ще е по-добре да предам акаунта веднага, за да предотвратя по-сериозно и необратимо бедствие. Затова казах на атакуващия:

От: <*****@*****.***> Naoki Hiroshima
До: SOCIAL MEDIA KING
Дата: Понеделник, 20 Jan 2014 19:41:17 -0800
Тема: Re: …здравей
Освободих @N. Можеш да го вземеш веднага.

Смених потребителското си име от @N на @N_is_stolen за първи път, откакто го регистрирах през ранната 2007 година. Сбогом на проблемното ми име, засега.

Получих следния отговор:

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 19:44:02 -0800
Тема: RE: …здравей
Много ти благодаря, паролата ти за godaddy е: V;Mz,3{;!’g&
Ако желаеш мога да ти дам подробности за това как успях да поема контрол над акаунта ти в godaddy и как можеш да се защитиш

Атакуващия бързо пое контрол над потребителското ми име, а аз се добрах до акаунта си в GoDaddy.

PayPal и GoDaddy подпомогнаха атаката.

Попитах атакуващия как е успял да поеме контрол над акаунта ми в GoDadddy и получих следния отговор:

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 19:53:52 -0800
Тема: RE: …здравей
– Обадих се на PayPal и използвах някои доста прости похвати, за да получа последните четири цифри от кредитната ти карта (можеш да избегнеш това като се обадиш на хората от PayPal и ги помолиш да добавят бележка към акаунта ти да не предоставят никакви детайли по телефона)
– Обадих се на GoDaddy и им казах, че съм си изгубил картата, но си спомням последните четири цифри от номера й. Агента ми даде възможност да избера измежду серия цифри (00-09 в твоя случай). Не успях да намеря начин да повиша сигурността на акаунтите в GoDaddy, но ако искаш да ти препоръчам по-сигурни регистратори препоръчвам NameCheap или eNom (enom.com)

Трудно е да преценя кое е по-шокиращо. Факта, че PayPal са предоставили на атакуващия последните 4 цифри от номера на кредитната ми карта по телефона, или че от GoDaddy са приели това като потвърждение. Когато попитах и за това, атакуващия ми отговори така:

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 20:00:31 -0800
Тема: RE: …здравей
Да, от PayPal ми дадоха последните цифри по телефона (преструвах се на служител) и GoDaddy ми позволиха да “налучкам” първите две цифри от картата ти.

Но да познаеш две цифри не е толкова лесно, нали?

От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 Jan 2014 20:09:21 -0800
Тема: RE: …здравей
Уцелих цифрите още с първото си обаждане. Повечето агенти ще ти позволят да налучкваш, докато не познаеш.

Бил е щастливец. Трябвало е да познае само две цифри и е успял да го направи само с едно обаждане. Работата е там, че от GoDaddy са му позволили да опитва докато накрая не ги е нацелил. Лудост! Звучеше така сякаш си имах работа с протеже на Кевин Митник. Изглежда компаниите имат какво да научат от неговите експлойти от 1995.

Hacker Attack

Избягвайте лични домейни за е-мейли, с които ще се регистрирате в различни сайтове!

След като възстанових акаунта си в GoDaddy, успях да си възвърна контрола върху е-мейлите. Промених мейл адресите, които ползвам, в много сайтове на @gmail.com. Да използвам Google Apps мейл адрес с личен домейн е удобно и готино, но има шанс мейла да бъде откраднат, ако сървъра на домейна е поддал. Ако бях използвал мейла си в GMail за регистрация и вход, атакуващия нямаше да може да се добере до моя Facebook акаунт.

Моя съвет е да подмените всичките си регистрации и мейли за достъп с мейл в Gmail.com. Да, все още можете да ползвате мейли в собствени домейни за кореспонденция (аз го правя), но не и за регистрации в сайтове.
Съветвам ви, като допълнение, да използвате по-дълги TTL за MX записи, просто за всеки случай. Моя беше само час и затова нямах време да получавам мейли на компроментираният мейл адрес след като загубих DNS достъп. Ако TTL-а ми беше около седмица щях да имам по-голям шанс да си възстановя откраднатите акаунти.
Използването на два метода за идентификация е задължително! Вероятно това е попречило на атакуващия да влезе в PayPal акаунта ми. Въпреки, че тази ситуация добре илюстрира, че и две метода за индентификация не винаги вършат работа.

В заключение…
Глупави компании може да издадат ваша лична информация (например част от номера на кредитната ви карта) на грешния човек. Някои от тези компании все още използват непростимата практика да приемат последните няколко цифри от номера на кредитната ви карта като средство за идентификация и потвърждение.
За да избегнете тяхната непредпазливост и глупост да разрушат вашия виртуален живот, не позволявайте на компании като PayPal и GoDaddy да съхраняват информация за кредитната ви карта. Аз вече премахнах своята. А също така ще напусна GoDaddy и PayPal при първа възможност.


Twitter PayPal GoDaddy

От The Next Web са се свързали с GoDaddy, PayPal и Twitter за коментар:

  • От PayPal отрекоха техния отдел за връзка с клиенти да е разкривал информация за кредитни карти през телефона.
  • Говорител на Twitter ни каза: “Не коментираме индивидуални акаунти, но разследваме този случай.” В крайна сметка акаунта @N не е в ръцете на атакуващия, а в нечии други, след като Twitter го деактивираха, а след това отново го освободиха.
  • Директора по сигурността на GoDaddy Тод Редфорт даде следното изявление:

Нашето разследване на ситуацията показа, че хакера вече е притежавал голямо количество информация за жертвата в момента, в който се е свързал с GoDaddy. Тогава хакера умело е манипулирал един от служителите ни, за да получи останалата нужна информация за достъп до акаунта. Наоки Хирошима вече си възвърна пълния контрол на акаунта си в GoDaddy и в момента работим с партньори от индустрията, за да му помогнем да си възвърне услугите от другите доставчици. Правим необходимите промени в програмата за обучение на персонала, за да се подсигурим, че ще продължим да предлагаме най-добрата сигурност на нашите клиенти и че ще сме нащрек за разни хакерски техники.

Leave a Comment

Your email address will not be published.