Naoki Hiroshima рассказал, как из-за небрежности и безответственности PayPal и GoDaddy он потерял Twitter-аккаунт @N (из одной буквы), за который ему когда-то предлагали $50000.
По словам Naoki, атаки на этот аккаунт проводились постоянно и сообщения со ссылкой на сброс пароля регулярно падали в его почтовый ящик. Однако в последний раз атакующему удалось получить заветный юзернейм.
Сперва атакер получил доступ к домену, зарегистрированному через GoDaddy, и изменил там всю контактную информацию, включая привязку новой платежной карты. Когда Naoki попытался восстановить контроль, то в GoDaddy не стали разбираться и вежливо послали старого владельца. Подключение знакомых, знакомых с executive-менеджментом GoDaddy, не помогло.
Целью захвата домена был доступ к e-mail адресам на этом домене. Но так как MX домена обновляется не сразу, то атакер не успел сбросить пароль в Twitter, потому что Naoki Hiroshima поменял адрес в Твиттер-аккаунте. А вот контроль над Facebook-акканутом атакер получил.
Затем атакующий вышел на контакт с жертвой и предложил «компромисс»: он вернет жертве контроль над доменом и сохранит всю информацию на сайте (который, видимо, тоже хостился в том же аккаунте, что и домен) и расскажет, как получил контроль над доменом, в обмен на @N. Уже получив отказ от GoDaddy, Naoki Hiroshima подумал, что в случае чего от поддержки Twitter тоже помощи не дождешься, и согласился.
По словам атакующего, сперва он позвонил в PayPal и, представившись сотрудником PayPal , узнал 4 цифры кредитки жертвы. Затем, имея эти цифры, он позвонил в GoDaddy и там, хотя по регламенту для аутентификации по телефону требуется 6 цифр, согласились на 4.
То есть, вывод простой: в 2014 году, когда каждая интернет-компания заявляется, что аж кушать не может, как постоянно думает о безопасности, хакер с навыками социальной инженерии может позвонить в эти компании и узнать персональную и платежную информацию третьего лица. А затем с этой информацией на руках получить доступ куда угодно. Это, естественно, не первый случай. Не так давно аналогичный случай был с Amazon WS.
30 января, 22:02 добавлен официальный комментарий PayPal:
Безопасность ваших персональных данных и финансовой информации является наивысшим приоритетом для PayPal. Все наши сотрудники, от департамента клиентского сервиса до разработчиков новых продуктов, уделяю максимальное внимание вопросам безопасности.
Многие из вас уже слышали о сложной ситуации, затрагивающей вопросы персональных данных, с которой столкнулся один из наших клиентов.
В подобных ситуациях мы всегда немедленно начинаем расследование, чтобы выяснить все детали происшествия. Обычно мы не обсуждаем подробности, касающиеся учетных записей клиентов. Тем не менее, в данном случае мы бы хотели довести до вашего сведения некоторые факты.
* Мы тщательно проанализировали имеющиеся у нас записи, и можем подтвердить, что имела место неудачная попытка получения информации по данному клиенту от сотрудников PayPal.
* PayPal не разглашал каких либо данных по кредитной карте, связанной с этой учётной записью.
* PayPal не разглашал каких-либо персональных данных и финансовой информации, имеющих отношение к данной учетной записи.
* Данная конкретная учётная запись PayPal не была скомпрометирована.
Наши специалисты, занимающиеся поддержкой клиентов, обладают хорошей подготовкой в сфере предотвращения атак с использованием социальной инженерии, подобных той, которая была описана в данной публикации.
Мы лично связываемся с нашими клиентами, чтобы понять, имеется ли у нас возможность оказать какую-либо помощь.
Мы постоянно совершенствуем процессы валидации доступа и обеспечения безопасности учётных записей PayPal, а также информируем своих клиентов, как необходимо себя вести для предотвращения подобного рода преступлений. Полезная информация и конкретные советы по данному вопросу опубликованы на страницах нашего Центра безопасности.
История повторяется: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/ Если про Amazon имеется в виду этот случай.