Потерять юзернейм в Твиттере стоимостью $50 000? Проще простого!
Наоки Хирошима, создатель Cocoyon и разработчик твиттер-приложения Echofon, в своём блоге на Medium рассказал душещипательную историю о том, как злоумышленник путём шантажа забрал себе твиттер-аккаунт, который ранее предлагали выкупить за $50 000. Вольный перевод его рассказа прилагается.
У меня был редкий юзернейм в твиттере: @N. Да, просто одна буква. Мне предлагали за него $50 000. Люди постоянно пытались украсть его. Одно из самых частых писем в моем ящике — про попытку сброса пароля в твиттере.
Печально, но теперь @N не принадлежит мне.
20 января я обедал, когда получил смс от PayPal с одноразовым кодом. Кто-то пытался угнать мой аккаунт, но я проигнорировал сообщение и продолжил есть. Чуть позже я полез проверять свою почту на личном домене (зарегистрированном с помощью GoDaddy) через Google Apps. Там я нашёл письмо от GoDaddy с темой «Подтверждение изменения настроек аккаунта».
В нём сообщалось, что если изменения в настройки вносил не я, то следует залогиниться и изменить настройки приватности, - однако мне не удалось сделать это, так что я просто позвонил в GoDaddy. Для верификации нужно было назвать шесть последних цифр моей кредитной карты.
Увы, но это не сработало, потому что информация о способе платежа уже была изменена злоумышленником. На самом деле, он поменял всю мою личную информацию — так что у меня не осталось способа подтвердить, что владельцем аккаунта действительно являюсь я.
В качестве решения мне предложили заполнить специальную форму на сайте GoDaddy, используя данные паспорта. К сожалению, ответа в этом случае нужно было ждать 48 часов, но другого выхода не было.
Большинство сайтов используют для верификации электронную почту. Если вы потеряли к ней доступ, то злоумышленник может проще простого забрать ваши аккаунты на куче сервисов. Итак, получив доступ к моему аккаунту GoDaddy, атакующий получил доступ к моей почте. Очевидно, целью был мой твиттер.
Удивительно, но незадолго до этого мне на Facebook от неизвестного человека пришло сообщение с предложением сменить имейл, привязанный к твиттеру. Я не придал этому значения, но почту всё-таки сменил. Таким образом, получилось, что у злоумышленника был доступ к моей основной почте, но не к той, на которую зарегистрирован твиттер.
Атакующий попытался сбросить мой пароль несколько раз и, не получив ни одного письма, написал в техподдержку сервиса. Там его попросили указать больше личной информации и злоумышленник решил, что этим путём идти не стоит.
Мошенник написал мне на почту, представившись как SOCIAL MEDIA KING. Он подтвердил: целью является мой твиттер и у него есть доступ к моему GoDaddy, а, значит, и к доменам, а заодно и к почте, на которую завязана куча сервисов. Злоумышленник предложил сделку: я меняю свой ник в твиттере, он забирает себе @N и отдаёт обратно мои пароли.
Выждав время, я получил ответ от GoDaddy: простите, но этот аккаунт зарегистрирован на другого человека и мы не отдадим вам пароль без его разрешения. Удивительно, что, когда Social Media King воровал аккаунт, у меня никто ничего не спрашивал. Увы, но единственным способом вернуть мои данные было отдать злоумышленнику юзернейм в твиттере.
Итак, впервые с начала 2007 года, когда я только зарегистрировался в Твиттере, мой юзернейм сменился с @N на @N_is_stolen. Прощай, мой проблемный ник!
Злоумышленник тут же забрал себе юзернейм и прислал мне на почту пароль от моего аккаунта GoDaddy, и заодно предложил рассказать, как же ему удалось провернуть это дело.
Тяжело описать, насколько я был шокирован тем, как безалаберно PayPal и GoDaddy отнеслись к моим персональным данным. Получив доступ к своей почте, первым делом я привязал к наиболее важным для меня сервисам @gmail.com адрес.
Сотрудники некоторых компаний могут выдать вашу персональную информацию посторонним людям. Некоторые сервисы до сих пор почему-то верифицируют пользователей по последним цифрам номера кредитки.
Чтобы избежать этого, советую не предоставлять информацию о ваших картах подобным сервисам. Например, я просто удалил её из PayPal и теперь подумываю о смене регистратора доменов.
Upd.: В редакцию поступило письмо с комментарием от представителей PayPal.
В блоге также отмечается, что учетная запись Наоки Хирошимы не была скомпрометирована.
***
У меня был редкий юзернейм в твиттере: @N. Да, просто одна буква. Мне предлагали за него $50 000. Люди постоянно пытались украсть его. Одно из самых частых писем в моем ящике — про попытку сброса пароля в твиттере.
Печально, но теперь @N не принадлежит мне.
20 января я обедал, когда получил смс от PayPal с одноразовым кодом. Кто-то пытался угнать мой аккаунт, но я проигнорировал сообщение и продолжил есть. Чуть позже я полез проверять свою почту на личном домене (зарегистрированном с помощью GoDaddy) через Google Apps. Там я нашёл письмо от GoDaddy с темой «Подтверждение изменения настроек аккаунта».
В нём сообщалось, что если изменения в настройки вносил не я, то следует залогиниться и изменить настройки приватности, - однако мне не удалось сделать это, так что я просто позвонил в GoDaddy. Для верификации нужно было назвать шесть последних цифр моей кредитной карты.
Увы, но это не сработало, потому что информация о способе платежа уже была изменена злоумышленником. На самом деле, он поменял всю мою личную информацию — так что у меня не осталось способа подтвердить, что владельцем аккаунта действительно являюсь я.
В качестве решения мне предложили заполнить специальную форму на сайте GoDaddy, используя данные паспорта. К сожалению, ответа в этом случае нужно было ждать 48 часов, но другого выхода не было.
Шантаж начался
Большинство сайтов используют для верификации электронную почту. Если вы потеряли к ней доступ, то злоумышленник может проще простого забрать ваши аккаунты на куче сервисов. Итак, получив доступ к моему аккаунту GoDaddy, атакующий получил доступ к моей почте. Очевидно, целью был мой твиттер.
Удивительно, но незадолго до этого мне на Facebook от неизвестного человека пришло сообщение с предложением сменить имейл, привязанный к твиттеру. Я не придал этому значения, но почту всё-таки сменил. Таким образом, получилось, что у злоумышленника был доступ к моей основной почте, но не к той, на которую зарегистрирован твиттер.
Атакующий попытался сбросить мой пароль несколько раз и, не получив ни одного письма, написал в техподдержку сервиса. Там его попросили указать больше личной информации и злоумышленник решил, что этим путём идти не стоит.
Мошенник написал мне на почту, представившись как SOCIAL MEDIA KING. Он подтвердил: целью является мой твиттер и у него есть доступ к моему GoDaddy, а, значит, и к доменам, а заодно и к почте, на которую завязана куча сервисов. Злоумышленник предложил сделку: я меняю свой ник в твиттере, он забирает себе @N и отдаёт обратно мои пароли.
Выждав время, я получил ответ от GoDaddy: простите, но этот аккаунт зарегистрирован на другого человека и мы не отдадим вам пароль без его разрешения. Удивительно, что, когда Social Media King воровал аккаунт, у меня никто ничего не спрашивал. Увы, но единственным способом вернуть мои данные было отдать злоумышленнику юзернейм в твиттере.
Итак, впервые с начала 2007 года, когда я только зарегистрировался в Твиттере, мой юзернейм сменился с @N на @N_is_stolen. Прощай, мой проблемный ник!
Злоумышленник тут же забрал себе юзернейм и прислал мне на почту пароль от моего аккаунта GoDaddy, и заодно предложил рассказать, как же ему удалось провернуть это дело.
Итак, последовательность такова
Злоумышленник позвонил в PayPal и с помощью социальной инженерии узнал там четыре последних цифры моей кредитной карты.
После он позвонил в GoDaddy и сказал, что потерял свою кредитку, но помнит последние четыре цифры. С помощью агента сервиса ему отдали доступ к аккаунту, позволив угадать ещё две цифры.
Тяжело описать, насколько я был шокирован тем, как безалаберно PayPal и GoDaddy отнеслись к моим персональным данным. Получив доступ к своей почте, первым делом я привязал к наиболее важным для меня сервисам @gmail.com адрес.
Заключение
Сотрудники некоторых компаний могут выдать вашу персональную информацию посторонним людям. Некоторые сервисы до сих пор почему-то верифицируют пользователей по последним цифрам номера кредитки.
Чтобы избежать этого, советую не предоставлять информацию о ваших картах подобным сервисам. Например, я просто удалил её из PayPal и теперь подумываю о смене регистратора доменов.
Upd.: В редакцию поступило письмо с комментарием от представителей PayPal.
Компания PayPal внимательно изучила данную ситуацию, о чем сообщила в своем официальном блоге. И мы можем заявить, что PayPal не разглашал каких-либо данных по кредитной карте, связанной с учётной записью пользователя @N.
Наши специалисты, занимающиеся поддержкой клиентов, обладают хорошей подготовкой в сфере предотвращения атак с использованием социальной инженерии, подобных той, которая была описана в данной публикации.
В блоге также отмечается, что учетная запись Наоки Хирошимы не была скомпрометирована.