29.01.2014 | 10:09

Adam Haertle

Jak stracić wszystkie domeny lub konto Twittera warte 50 tysiecy dolarów

Unikalne loginy w popularnych serwisach lub wartościowe domeny stają się coraz częściej celem przestępców. Boleśnie przekonał się o tym posiadacz konta @N na Twitterze, który musiał je oddać, by odzyskać domeny skradzione przez przestępców.

Krótkie nazwy użytkowników Twittera są celem ciągłych ataków. Kilka miesięcy temu opisywaliśmy, jak amerykański dziennikarz, posiadacz konta @mat, stracił w wyniku ataku całe swoje cyfrowe życie. Dzisiejsza historia opisuje podobny przypadek.

Jedno z 26

Naoki Hiroshima był szczęśliwym posiadaczem jednego z 26 jednoznakowych kont Twittera. Zarejestrował je dawno temu i praktycznie z niego nie korzystał, traktując pewnie jako inwestycję. Zapomnieć o nim raczej nie mógł, ponieważ regularnie otrzymywał albo oferty jego sprzedaży, albo informacje o próbie zmiany hasła przez włamywaczy. Z ofert wynikało, że konto warte jest 50 tysięcy dolarów, zatem Naoki pilnował, by nie trafiło w cudze ręce. Konto email powiązane z kontem Twittera znajdowało się w jego własnej domenie, poczta była obsługiwana przez Google, zatem spał spokojnie,

Od Paypala do GoDaddy

20 stycznia Naoki otrzymał SMSa od Paypala wskazującego, że ktoś próbuje przejąć jego konto. Nie był to pierwszy raz, zatem nie przejął się tą sytuacją. Krótko potem otrzymał niepokojącą wiadomość na swoją osobistą skrzynkę od rejestratora wszystkich swoich domen, GoDaddy. Wiadomość informowała go, że ustawienia danych jego konta uległy zmianie i jeśli ich nie przeprowadzał, to powinien skontaktować się z działem wsparcia.

Naoki zmian nie przeprowadzał, zatem zadzwonił na podany w emailu numer (jego hasło do GoDaddy już nie działało). Tam został poproszony o podanie 6 ostatnich cyfr numeru swojej karty kredytowej, jednak okazało się, że włamywacz zmienił już numer przypisanej karty. Naoki utracił w ten sposób możliwość potwierdzenia swojej tożsamości dla GoDaddy. Został wobec tego poproszony o przesłanie dowodu tożsamości i obiecano mu odpowiedź w ciągu 48 godzin.

Propagacja rekordów DNS na ratunek

W tym czasie atakujący zdążył już zmienić ustawienia serwerów DNS prywatnej domeny Naoki, na której znajdował się adres email przypisany do konta Twittera i wysłał wiele próśb o reset hasła. Emaile potwierdzające reset jednak ciągle przychodziły na skrzynkę Naoki, ponieważ rekordy MX, wskazujące na serwer obsługujący pocztę, nie zdążyły jeszcze dotrzeć do wszystkich serwerów DNS. Naoki zdążył zatem zmienić adres email na koncie Twittera, ratując je przed przejęciem. Ciągle jednak nie miał dostępu do swojego konta GoDaddy i powiązanych z nim domen i serwisów.

GoDaddy odmawia współpracy

Ku ogromnemu zaskoczeniu Naoki otrzymał po kilku godzinach negatywną odpowiedź od GoDaddy. Firma odmówiła dostępu do jego konta, ponieważ… nie był posiadaczem domen do niego przypisanych. Nie może zatem odzyskać dostępu dopóki nowy właściciel konta i domen nie wyrazi na to zgody. Okazało się zatem, że można przejąć konto u tego rejestratora tak skutecznie, by prawdziwy właściciel nie miał już szans na jego odzyskanie. Naoki próbował jeszcze dotrzeć prywatnymi ścieżkami do pracowników GoDaddy, ale nie osiągnęło to żadnego skutku.

W tym samym czasie z Naoki skontaktował się włamywacz, który postawił sprawę jasno – albo odda konto @N dobrowolnie, albo nigdy już nie zobaczy swoich domen. Atakujący zagroził, że popełni z użyciem jego konta w GoDaddy takie nadużycia, by firma przejęła kontrolę nad domenami i nigdy już ich nie zwróciła. Naoki bardzo zależało na odzyskaniu swoich domen, zatem zgodził się oddać cenne konto Twittera (licząc po cichu na to, że kiedyś je odzyska).

Jak doszło do przejęcia konta GoDaddy

Włamywacz był na tyle uprzejmy, że na prośbę Naoki opisał proces przejęcia jego konta. Pierwszym etapem było przekonanie pracownika PayPala do udostępnienia 4 ostatnich cyfr numeru karty kredytowej przypisanej do konta klienta. Z tą informacją włamywacz zadzwonił do GoDaddy, które, jak pewnie pamiętacie, wymaga do identyfikacji 6 ostatnich cyfr numeru karty. Włamywacz przekonał jednak pracownika GoDaddy, by ten pozwolił mu zgadywać 2 z 6 cyfr… Miał przy tym szczęście, ponieważ pierwsza cyfra była zerem, zatem przy jednej z pierwszych prób trafił.

Wnioski

Naoki zgłosił problem Twitterowi i od tygodnia czeka na odpowiedź. Aby nie stać się ofiarą podobnego ataku, należy przede wszystkim nie korzystać z usług GoDaddy, którego procedury najbardziej przyczyniły się do katastrofy. Drugą dobrą rekomendacją jest używanie do resetu hasła adresu email w domenie jednego z dużych dostawców usług, ponieważ prywatne domeny są podatne na przejęcie. Inną opcją jest zgłoszenie swojemu rejestratorowi domen chęci zablokowania możliwości dokonywania jakichkolwiek zmian jej dotyczących bez skomplikowanego procesu weryfikacji.

 Podobną historię możecie także przeczytać tutaj.

Powrót

Komentarze

  • 2014.01.29 10:44 HAHAHA

    ,,Stracił całe swoje cyfrowe życie” straszne…

    Choć z drugiej strony niektórzy żyją tylko w cyfrowym świecie – cyfrowi przyjaciele, cyfrowy sex itd, stąd może to większy problem niż mi przeciętnemu ciułaczowi chleba się wydaje.

    Odpowiedz
    • 2014.02.23 15:04 Adam

      No chyba tak… Ja też na przykład zarabiam jedynie za pomocą komputera, kto tutaj mówi o kolegach czy seksie, koledzy lub laski cię nie wykarmią. Mowa tutaj o zarabianiu na czynsz, żarcie czy paliwo.
      I teraz wyobraź sobie że ktoś przejmuje moje konta – tak na prawdę tracę jedyną możliwość godnego zarobku bo jest to jedyna rzecz jaką wykształciłem przez lata i potrafię tak skutecznie robić.
      Oczywiście mogę pójść na mechanika samochodowego albo programistę do kogoś – ale co to za życie, na czyichś usługach, za jakieś grosze?

      Odpowiedz
  • 2014.01.29 10:51 NIkow

    GoDaddy poprosił o przesłanie dowodu osobistego? Chyba nie był na tyle głupi aby go przesłać….

    Odpowiedz
  • 2014.01.29 11:25 alien

    Dzisiaj nie trzeba posiadać nawet wiedzy czysto technicznej wystarczy wykorzystywać błedy w logice biznesowej aplikacji i głupotę support :)

    Odpowiedz
  • 2014.01.29 11:33 Koziołek

    Ciała to dał PayPal a nie GoDaddy. Obsługując transakcje finansowe nie można sobie pozwolić by ktoś z ulicy zadzwonił i poprosił o końcówkę numeru karty kredytowej.
    GoDaddy odpuścił na poziomie „no wiesz nie ma przy sobie” co się zdarza, choć nie powinno.

    Odpowiedz
  • 2014.01.29 11:59 JackN

    Fajowy artykuł! Tylko sporo literóweczek.

    Odpowiedz
    • 2014.01.29 12:20 Adam

      Faktycznie, przepraszam, korekta zaspała. Powinno już być lepiej.

      Odpowiedz
  • 2014.01.29 19:23 Poncki

    „Drugą dobrą rekomendacją jest używanie do resetu hasła adresu email w domenie jednego z dużych dostawców usług, ponieważ prywatne domeny są podatne na przejęcie.” – nieco dyskusyjne, bo konta u dużych dostawców usług, szczególnie darmowe, są podatne na kasowanie (żeby daleko nie szukać, przypomnijmy sobie rzeź kont na G+). Poza tym, hasła u dużych operatorów też się resetuje i te maile też gdzieś idą…

    Przy okazji bezpieczeństwa własnych domen, to jest lekko off-topiczna, ale niezła historia: http://domainnamewire.com/2014/01/21/network-solutions-auto-enrolls-customer-into-1850-weblock-service/

    Odpowiedz
    • 2014.01.29 19:58 Adam

      Z tej procedury opt-out chyba się szybko po burzy na HN wycofali :)

      Odpowiedz
  • 2014.01.29 21:33 zxc

    „regularnie otrzymywał albo oferty jego sprzedaży”
    a nie kupna?

    Odpowiedz
    • 2014.01.30 07:19 Adam

      A nie zawarcia transakcji kupna – sprzedaży? Czepiasz się.

      Odpowiedz
  • 2014.01.29 23:29 Gracjan

    dziwię się, że tak łatwo można przejąć wszystko i to niby bezpowrotnie, przecież widać, że inny IP się zaczął logować i nagle zmieniać ustawienia typu hasło itd, coś takiego jest bez znaczenia dla firm hostingowych/twittera w kwestii dochodzenia swoich praw?

    Odpowiedz
    • 2014.01.30 10:05 lz

      Jeśli IP jest przydzielane dynamicznie, to nie można na tym zbudować żadnego mechanizmu uwierzytelniania.

      Odpowiedz
    • 2014.01.30 12:22 eeee

      Tym bardziej, że mógł komuś sprzedać dostęp, a potem odkręcać sprawę. Jednakże firma powinna być najpierw po stronie pierwszego właściciela, a nowy „nabywca” powinien się tłumaczyć.

      Odpowiedz
  • 2014.02.01 05:21 xxx

    „Włamywacz przekonał jednak pracownika GoDaddy, by ten pozwolił mu zgadywać 2 z 6 cyfr… Miał przy tym szczęście, ponieważ pierwsza cyfra była zerem, zatem przy jednej z pierwszych prób trafił”

    troche to malo prawdopodobne. a z druga co? zgadywal sobie pare razy i ten konsultant nic nie podejrzewal?

    Odpowiedz
    • 2014.02.01 06:11 Adam

      Zgadywał do skutku… O ile pamiętam to dostał 10 prób.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak stracić wszystkie domeny lub konto Twittera warte 50 tysiecy dolarów

Komentarze