PayPal и GoDaddy помогли хакеру украсть Twitter-аккаунт ценой в $50000 (+комментарий PayPal)

Naoki Hiroshima рассказал, как из-за небрежности и безответственности PayPal и GoDaddy он потерял Twitter-аккаунт @N (из одной буквы), за который ему когда-то предлагали $50000.

По словам Naoki, атаки на этот аккаунт проводились постоянно и сообщения со ссылкой на сброс пароля регулярно падали в его почтовый ящик. Однако в последний раз атакующему удалось получить заветный юзернейм.

Сперва атакер получил доступ к домену, зарегистрированному через GoDaddy, и изменил там всю контактную информацию, включая привязку новой платежной карты. Когда Naoki попытался восстановить контроль, то в GoDaddy не стали разбираться и вежливо послали старого владельца. Подключение знакомых, знакомых с executive-менеджментом GoDaddy, не помогло.

Целью захвата домена был доступ к e-mail адресам на этом домене. Но так как MX домена обновляется не сразу, то атакер не успел сбросить пароль в Twitter, потому что Naoki Hiroshima поменял адрес в Твиттер-аккаунте. А вот контроль над Facebook-акканутом атакер получил.

Затем атакующий вышел на контакт с жертвой и предложил «компромисс»: он вернет жертве контроль над доменом и сохранит всю информацию на сайте (который, видимо, тоже хостился в том же аккаунте, что и домен) и расскажет, как получил контроль над доменом, в обмен на @N. Уже получив отказ от GoDaddy, Naoki Hiroshima подумал, что в случае чего от поддержки Twitter тоже помощи не дождешься, и согласился.

По словам атакующего, сперва он позвонил в PayPal и, представившись сотрудником PayPal, узнал 4 цифры кредитки жертвы. Затем, имея эти цифры, он позвонил в GoDaddy и там, хотя по регламенту для аутентификации по телефону требуется 6 цифр, согласились на 4.

То есть, вывод простой: в 2014 году, когда каждая интернет-компания заявляется, что аж кушать не может, как постоянно думает о безопасности, хакер с навыками социальной инженерии может позвонить в эти компании и узнать персональную и платежную информацию третьего лица. А затем с этой информацией на руках получить доступ куда угодно. Это, естественно, не первый случай. Не так давно аналогичный случай был с Amazon WS.

30 января, 22:02 добавлен официальный комментарий PayPal:

Безопасность ваших персональных данных и финансовой информации является наивысшим приоритетом для PayPal. Все наши сотрудники, от департамента клиентского сервиса до разработчиков новых продуктов, уделяю максимальное внимание вопросам безопасности.

Многие из вас уже слышали о сложной ситуации, затрагивающей вопросы персональных данных, с которой столкнулся один из наших клиентов.

В подобных ситуациях мы всегда немедленно начинаем расследование, чтобы выяснить все детали происшествия. Обычно мы не обсуждаем подробности, касающиеся учетных записей клиентов. Тем не менее, в данном случае мы бы хотели довести до вашего сведения некоторые факты.

* Мы тщательно проанализировали имеющиеся у нас записи, и можем подтвердить, что имела место неудачная попытка получения информации по данному клиенту от сотрудников PayPal.

* PayPal не разглашал каких либо данных по кредитной карте, связанной с этой учётной записью.

* PayPal не разглашал каких-либо персональных данных и финансовой информации, имеющих отношение к данной учетной записи.

* Данная конкретная учётная запись PayPal не была скомпрометирована.

Наши специалисты, занимающиеся поддержкой клиентов, обладают хорошей подготовкой в сфере предотвращения атак с использованием социальной инженерии, подобных той, которая была описана в данной публикации.

Мы лично связываемся с нашими клиентами, чтобы понять, имеется ли у нас возможность оказать какую-либо помощь.

Мы постоянно совершенствуем процессы валидации доступа и обеспечения безопасности учётных записей PayPal, а также информируем своих клиентов, как необходимо себя вести для предотвращения подобного рода преступлений. Полезная информация и конкретные советы по данному вопросу опубликованы на страницах нашего Центра безопасности.

Лучшие комментарии

Добавить 7 комментариев

  • Ответить
    Альтер Эго

    ^^ да, спасибо, за подсказку! Именно этот случай с Амазон и Эпл имелся ввиду, просто из головы уже вылетело участие Эпл и драма с айклаудом.

  • Ответить

    В обеих историях фигурируют цифры кредитки. Странный способ восстанавливать пароли и доступ к аккаунтам с использованием информации, которой ты везде светишь.

  • Ответить

    > для аутентификации по телефону требуется 6 цифр, согласились на 4. Он первые 2 цифры отгадал: «and godaddy let me „guess“ for the first two digits of the card» «He was lucky that he only had to guess two numbers and was able to do it in a single call. «

  • Ответить

    Там же в ответ на статью основатель стартапа Droplr рассказывает похожую историю, только у него при этом на облаке Amazon лежал весь его стартап, и его спасло только то, что хакер не пошёл смотреть содержимое подсоединённого AWS. Amazon — это не только подарочки родителям на праздники. http://d.pr/n/KUMK

  • Ответить
    M D

    >>Про угадайку с первого раза верится с трудом, а по алгоритму Луна вычислить так еще две цифры не выйдет. Возможно звонил несколько раз и пробовал угадывать по очереди, сначала первую цифру, потом вторую. Интересно что он сказал поддержке пейпала, что ему сразу выдали 4 последних цифры кредитки.