Главная / twitter / Как PayPal и GoDaddy заставили меня отдать Twitter аккаунт ценой в $50 000

Как PayPal и GoDaddy заставили меня отдать Twitter аккаунт ценой в $50 000

У меня был редкий Twitter логин – @N. Да, только одна буква. Мне предлагали за него $50 000. Его часто хотели украсть. Инструкции по восстановлению пароля постоянно приходили мне на почту. К сожалению, на данный момент, я потерял @N. Хакеры забрали его.

20 января 2014 года на обеде, я получил сообщение от PayPal с кодом подтверждения. Кто-то пытался украсть мой счет PayPal. Я проигнорировал и продолжил есть.

Позже в тот же день, я проверил свою почту, которая использует мое доменное имя (зарегистрированное GoDaddy) через Google Apps. Последнее сообщение было от GoDaddy с темой «Настройки аккаунта. Изменения подтверждены.»

From: <support@godaddy.com> GoDaddy
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: Account Settings Change Confirmation

Уважаемый Наоки Хиросима,
Вы получили это письмо, потому что настройки учетной записи были изменены на следующий Номер Клиента:
XXXXXXXX

Через некоторое время ваша просьба вступает в силу.

Если эти изменения были сделаны без вашего согласия, пожалуйста, войдите в свой аккаунт и обновить настройки безопасности.

Если вы не можете войти в свой аккаунт или, если изменения внесены несанкционированным образом, обратитесь в нашу службу поддержки клиентов: support@godaddy.com или (480) 505-8877.

Обратите внимание, на Универсальные условия (Universal Terms of Service) предоставления услуг.

С уважением,
GoDaddy

Я пытался войти в свой аккаунт GoDaddy, но не смог. Я позвонил GoDaddy и объяснил ситуацию. Сотрудник спросил у меня последние 6 цифр моей кредитной карты в качестве способа проверки. Но ничего не вышло. Данные по кредитной карте уже были изменены. На самом деле, все данные в аккаунте поменяли. У меня не было возможности доказать, что я был реальным владельцем доменного имени.

Сотрудник GoDaddy предложил мне заполнить обращение на сайте GoDaddy. Я отправил все что требовали для подтверждения личности и аккаунта, ответ должен был прийти в течение 48 часов. Я подумал, что этого будет достаточно, чтобы подтвердить право собственности аккаунта.

Начало вымогательства

Большинство веб-сайтов используют электронную почту в качестве метода подтверждения. Если учетная запись электронной почты будет взломана, злоумышленник может легко сбросить пароль. Взяв под контроль мое доменное имя на GoDaddy, злоумышленник получил и мою почту на домене.

Вскоре я понял, что целью был Twitter аккаунт. Как ни странно, но мне пришло сообщение на Facebook от Twitter об смены почты. Скорее всего злоумышленник хотел сбросить пароль, но я все равно изменил почту. Поставил почту не на домене, а нейтральный аккаунт.

Злоумышленник попытался сбросить Twitter пароль несколько раз и обнаружил, что ему не приходят письма сброса писем. Так как требовалось время для изменения MX записи моего домена, который управляет сервер электронной почты. Злоумышленник создал тикет #16134409 на странице поддержки Zendesk.

N, Jan 20 01:43 PM:
Twitter username: @n
Your email: *****@*****.***
Last sign in: December
Mobile number (optional): n/a
Anything else? (optional): Я не получаю сообщение о сбросе пароля на мою электронную почту. Вы можете вручную отправить мне сообщение?

Но Twitter требует злоумышленнику предоставить более подробную информацию, чтобы продолжить и злоумышленник бросает это дело.

Позже я узнал, что злоумышленник скомпрометировал мой аккаунт на Facebook для того, чтобы торговаться со мной. Я был в ужасе, когда друзья начали спрашивать меня о странном поведении на моем Facebook.

Наконец я получил письмо от злоумышленника. Злоумышленник начал вымогать.

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 15:55:43 -0800
Subject: Hello.

Я видел, как ты говорил с мои сообщником, я просто хотел бы сообщить вам, что вы были правы. @N был целью. Я также хотел бы сообщить вам, что ваши домены GoDaddy в моем распоряжении.

Я вижу, вы запускаете довольно много хороших веб-сайтов, на данный момент все на сайтах осталась нетронутой. Вы готовы идти на компромисс? Нам нужен доступ к @N, в обмен на ваш аккаунт GoDaddy.

Вскоре после этого, я получил ответ от GoDaddy.

From: change@godaddy.com
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 17:49:41 -0800
Subject: Update [Incident ID: 21773161] — XXXXX.XXX

К сожалению, доменная служба не в состоянии помочь вам с вашим запросом об изменении, пока вы не владелец доменного имени. Как регистратор мы имеем право вносить изменения, только после подтверждения согласия от владельца. Также вы можете попробовать решить проблему одним из нескольких вариантов:

1. Посетите who.godaddy.com/ чтобы найти Whois запись для домена и решить вопрос с владельцем.
2. На www.icann.org/dndr/udrp/approved-providers.htm найти ICANN арбитражного поставщика.
3. Предоставьте следующую ссылку вашему адвокату для получения информации о подаче правовые документы для GoDaddy: www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA GoDaddy теперь считает этот вопрос закрытым.

Мне было отказано, потому что я не являюсь «владельцем». Я был взбешен, что GoDaddy не смогли найти истинного владельца, и не признали меня.

Мой коллега смог соединить меня с исполнительной поддержкой GoDaddy. Они пытались обратиться к службе безопасности, но ничего не вышло. Возможно, из-за праздника.

Тогда я получил сообщение от злоумышленника.

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 18:50:16 -0800
Subject: …hello
Ну что, порукам? GoDaddy счет готов к работе. Пароль изменен и нейтральная электронная почта привязана к аккаунту.

Я вспомнил, что случилось с mat и пришел к выводу, что отказ от аккаунта сразу станет единственным способом избежать катастрофы. Так что я ответил злоумышленнику:

From: <*****@*****.***> Naoki Hiroshima
To: <swiped@live.com> SOCIAL MEDIA KING
Date: Mon, 20 Jan 2014 19:41:17 -0800
Subject: Re: …hello
Я удалил @N. Возьмите его сейчас.

Я изменил свое имя пользователя @N, на @ N_is_stolen. Прощай, мое проблемное имя пользователя, на данный момент.

Я получил ответ.

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:44:02 -0800
Subject: RE: …hello

Спасибо большое, ваш GoDaddy пароль: *******
Если вы хотите, я могу рассказать о том, как я получил доступ к вашему аккаунту GoDaddy, и как вы можете обезопасить себя.

Злоумышленник быстро взял под свой контроль имя пользователя и я вновь получил доступ к моему аккаунту GoDaddy.

PayPal и GoDaddy способ атаки

Я спросил хакера, как мой счет GoDaddy был взломан и получил такой ответ:

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:53:52 -0800
Subject: RE: …hello

— Я обратился в службу техподдержки PayPal и, используя ряд весьма простых технических уловок, получил последние четыре цифры номера вашей пластиковой карты (вы можете устранить эту уязвимость, обратившись в службу техподдержки PayPal и попросив специалиста компании добавить примечание к вашей учетной записи, запрещающее сообщать какую-либо техническую информацию по телефону).

— Я позвонил GoDaddy и сказал им, что я потерял карту, но я вспомнил последние четыре цифры, агент согласился и я подтвердил (00-09 в вашем случае). Я не нашел способ повысить безопасность аккауна GoDaddy, Однако, если вы хотите, чтобы я порекомендовал вам более безопасных регистраторов, то я рекомендую: NameCheap или Enom.

Трудно решить, какой из фактов более шокирующий, то что PayPal дала злоумышленнику последние четыре цифры моей кредитной карты по телефону, или, что GoDaddy приняли их как проверку подтверждения. Когда я спросили об этом, злоумышленник ответил:

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:00:31 -0800
Subject: RE: …hello

Да PayPal рассказали мне их по телефону (я действовал в качестве сотрудника) и GoDaddy позволил мне «угадать» первые две цифры карты.

Но правильно угадать первые две цифры не так то просто?
Прим. (Это на самом деле легко: money.howstuffworks.com/personal-finance/debt-management/credit-card1.htm)

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:09:21 -0800
Subject: RE: …hello

Я угадал с первого звонка, большинство агентов просто ждут, пока они не получат их.

Ему повезло, что он смог угадать два числа. Дело в том, GoDaddy позволило ему продолжать пытаться вспомнить, пока он не подобрал их. Безумный.

Избегайте пользовательских доменов для электронной почты

Мой аккаунт GoDaddy восстановлен, я был в состоянии получить доступ к моей электронной почте. Я изменил адрес электронной почты и теперь использую на нескольких веб-сервисов почту **gmail.com. С помощью Google Apps адрес электронной почты используя домен чувствует себя хорошо, но у него есть шанс быть украденным, если сервер домена находится под угрозой. Если бы я использовал an@gmail.com адрес электронной почты для моего Facebook, злоумышленник не был бы в состоянии войти в мой аккаунт на Facebook.

Если вы используете Google Apps свой адрес электронной почты для входа в различные веб-сайты, я настоятельно рекомендую вам прекратить это делать. Используйте an@gmail.com для входа в систему.

Кроме того, я также настоятельно рекомендую вам использовать более длинный TTL для записи MX, на всякий случай. У меня был 1 час TTL, и именно поэтому у меня не было времени, чтобы продолжать получать письма после потери контроля DNS. Если бы это был недельный TTL, у меня было бы больше шансов найти украденные аккаунты.

Использование двухфакторной аутентификации является обязательным. Это, вероятно, то что помешало злоумышленнику для входа в мой аккаунт в PayPal. Хотя эта ситуация показывает, что даже двухфакторная аутентификация не всегда помогает.

Вывод

Глупые компании могут выдавать вашу личную информацию (например, часть номера вашей кредитной карты) левому человеку. Некоторые из этих компаний по-прежнему используют практику подтверждения через последние цифры вашей карты.

Чтобы избежать их неосторожности, не позволяйте таким компаниям, как PayPal и GoDaddy использовать привязку к картам. Планирую уйти от GoDaddy и PayPal как можно скорее.

UPD:
Очень хотелось поделиться с вами данной статьей. Но навыков перевода не много, переводил как мог, использовал переводчики. Сразу извиняюсь за это. [via habrahabr]