PayPal и GoDaddy помогли хакеру украсть Twitter-аккаунт ценой в $50000 (+комментарий PayPal)

Naoki Hiroshima рассказал, как из-за небрежности и безответственности PayPal и GoDaddy он потерял Twitter-аккаунт @N (из одной буквы), за который ему когда-то предлагали $50000.

По словам Naoki, атаки на этот аккаунт проводились постоянно и сообщения со ссылкой на сброс пароля регулярно падали в его почтовый ящик. Однако в последний раз атакующему удалось получить заветный юзернейм.

Сперва атакер получил доступ к домену, зарегистрированному через GoDaddy, и изменил там всю контактную информацию, включая привязку новой платежной карты. Когда Naoki попытался восстановить контроль, то в GoDaddy не стали разбираться и вежливо послали старого владельца. Подключение знакомых, знакомых с executive-менеджментом GoDaddy, не помогло.

Целью захвата домена был доступ к e-mail адресам на этом домене. Но так как MX домена обновляется не сразу, то атакер не успел сбросить пароль в Twitter, потому что Naoki Hiroshima поменял адрес в Твиттер-аккаунте. А вот контроль над Facebook-акканутом атакер получил.

Затем атакующий вышел на контакт с жертвой и предложил «компромисс»: он вернет жертве контроль над доменом и сохранит всю информацию на сайте (который, видимо, тоже хостился в том же аккаунте, что и домен) и расскажет, как получил контроль над доменом, в обмен на @N. Уже получив отказ от GoDaddy, Naoki Hiroshima подумал, что в случае чего от поддержки Twitter тоже помощи не дождешься, и согласился.

По словам атакующего, сперва он позвонил в PayPal и, представившись сотрудником PayPal, узнал 4 цифры кредитки жертвы. Затем, имея эти цифры, он позвонил в GoDaddy и там, хотя по регламенту для аутентификации по телефону требуется 6 цифр, согласились на 4.

То есть, вывод простой: в 2014 году, когда каждая интернет-компания заявляется, что аж кушать не может, как постоянно думает о безопасности, хакер с навыками социальной инженерии может позвонить в эти компании и узнать персональную и платежную информацию третьего лица. А затем с этой информацией на руках получить доступ куда угодно. Это, естественно, не первый случай. Не так давно аналогичный случай был с Amazon WS.

30 января, 22:02 добавлен официальный комментарий PayPal:

Безопасность ваших персональных данных и финансовой информации является наивысшим приоритетом для PayPal. Все наши сотрудники, от департамента клиентского сервиса до разработчиков новых продуктов, уделяю максимальное внимание вопросам безопасности.

Многие из вас уже слышали о сложной ситуации, затрагивающей вопросы персональных данных, с которой столкнулся один из наших клиентов.

В подобных ситуациях мы всегда немедленно начинаем расследование, чтобы выяснить все детали происшествия. Обычно мы не обсуждаем подробности, касающиеся учетных записей клиентов. Тем не менее, в данном случае мы бы хотели довести до вашего сведения некоторые факты.

* Мы тщательно проанализировали имеющиеся у нас записи, и можем подтвердить, что имела место неудачная попытка получения информации по данному клиенту от сотрудников PayPal.

* PayPal не разглашал каких либо данных по кредитной карте, связанной с этой учётной записью.

* PayPal не разглашал каких-либо персональных данных и финансовой информации, имеющих отношение к данной учетной записи.

* Данная конкретная учётная запись PayPal не была скомпрометирована.

Наши специалисты, занимающиеся поддержкой клиентов, обладают хорошей подготовкой в сфере предотвращения атак с использованием социальной инженерии, подобных той, которая была описана в данной публикации.

Мы лично связываемся с нашими клиентами, чтобы понять, имеется ли у нас возможность оказать какую-либо помощь.

Мы постоянно совершенствуем процессы валидации доступа и обеспечения безопасности учётных записей PayPal, а также информируем своих клиентов, как необходимо себя вести для предотвращения подобного рода преступлений. Полезная информация и конкретные советы по данному вопросу опубликованы на страницах нашего Центра безопасности.

Лучшие комментарии

Добавить 7 комментариев

  • Ответить
    Альтер Эго

    ^^ да, спасибо, за подсказку! Именно этот случай с Амазон и Эпл имелся ввиду, просто из головы уже вылетело участие Эпл и драма с айклаудом.

  • Ответить

    В обеих историях фигурируют цифры кредитки. Странный способ восстанавливать пароли и доступ к аккаунтам с использованием информации, которой ты везде светишь.

  • Ответить

    > для аутентификации по телефону требуется 6 цифр, согласились на 4. „ервы“ифры отгадал: «and godaddy let me «guess» for the first two digits of the card» «He was lucky that he on«to guess two numbers and was able to do it in a single call. «

  • Ответить

    Там же в ответ на статью основатель стартапа Droplr рассказывает похожую историю, только у него при этом на облаке Amazon лежал весь его стартап, и его спасло только то, что хакер не пошёл смотреть содержимое подсоединённого AWS. Amazon — это не только подарочки родителям на праздники. http://d.pr/n/KUMK

  • Ответить
    M D

    >>Про угадайку с первого раза верится с трудом, а по алгоритму Луна вычислить так еще две цифры не выйдет. Возможно звонил несколько раз и пробовал угадывать по очереди, сначала первую цифру, потом вторую. Интересно что он сказал поддержке пейпала, что ему сразу выдали 4 последних цифры кредитки.