Лого vc.ru

Потерять юзернейм в Твиттере стоимостью $50 000? Проще простого!

Потерять юзернейм в Твиттере стоимостью $50 000? Проще простого!
Поделиться
Наоки Хирошима, создатель Cocoyon и разработчик твиттер-приложения Echofon, в своём блоге на Medium рассказал душещипательную историю о том, как злоумышленник путём шантажа забрал себе твиттер-аккаунт, который ранее предлагали выкупить за $50 000. Вольный перевод его рассказа прилагается.

***


У меня был редкий юзернейм в твиттере: @N. Да, просто одна буква. Мне предлагали за него $50 000. Люди постоянно пытались украсть его. Одно из самых частых писем в моем ящике — про попытку сброса пароля в твиттере.

Печально, но теперь @N не принадлежит мне.



20 января я обедал, когда получил смс от PayPal с одноразовым кодом. Кто-то пытался угнать мой аккаунт, но я проигнорировал сообщение и продолжил есть. Чуть позже я полез проверять свою почту на личном домене (зарегистрированном с помощью GoDaddy) через Google Apps. Там я нашёл письмо от GoDaddy с темой «Подтверждение изменения настроек аккаунта».

В нём сообщалось, что если изменения в настройки вносил не я, то следует залогиниться и изменить настройки приватности, - однако мне не удалось сделать это, так что я просто позвонил в GoDaddy. Для верификации нужно было назвать шесть последних цифр моей кредитной карты.

Увы, но это не сработало, потому что информация о способе платежа уже была изменена злоумышленником. На самом деле, он поменял всю мою личную информацию — так что у меня не осталось способа подтвердить, что владельцем аккаунта действительно являюсь я.

В качестве решения мне предложили заполнить специальную форму на сайте GoDaddy, используя данные паспорта. К сожалению, ответа в этом случае нужно было ждать 48 часов, но другого выхода не было.

Шантаж начался


Большинство сайтов используют для верификации электронную почту. Если вы потеряли к ней доступ, то злоумышленник может проще простого забрать ваши аккаунты на куче сервисов. Итак, получив доступ к моему аккаунту GoDaddy, атакующий получил доступ к моей почте. Очевидно, целью был мой твиттер.

Удивительно, но незадолго до этого мне на Facebook от неизвестного человека пришло сообщение с предложением сменить имейл, привязанный к твиттеру. Я не придал этому значения, но почту всё-таки сменил. Таким образом, получилось, что у злоумышленника был доступ к моей основной почте, но не к той, на которую зарегистрирован твиттер.

Атакующий попытался сбросить мой пароль несколько раз и, не получив ни одного письма, написал в техподдержку сервиса. Там его попросили указать больше личной информации и злоумышленник решил, что этим путём идти не стоит.

Мошенник написал мне на почту, представившись как SOCIAL MEDIA KING. Он подтвердил: целью является мой твиттер и у него есть доступ к моему GoDaddy, а, значит, и к доменам, а заодно и к почте, на которую завязана куча сервисов. Злоумышленник предложил сделку: я меняю свой ник в твиттере, он забирает себе @N и отдаёт обратно мои пароли.

Выждав время, я получил ответ от GoDaddy: простите, но этот аккаунт зарегистрирован на другого человека и мы не отдадим вам пароль без его разрешения. Удивительно, что, когда Social Media King воровал аккаунт, у меня никто ничего не спрашивал. Увы, но единственным способом вернуть мои данные было отдать злоумышленнику юзернейм в твиттере.

Итак, впервые с начала 2007 года, когда я только зарегистрировался в Твиттере, мой юзернейм сменился с @N на @N_is_stolen. Прощай, мой проблемный ник!



Злоумышленник тут же забрал себе юзернейм и прислал мне на почту пароль от моего аккаунта GoDaddy, и заодно предложил рассказать, как же ему удалось провернуть это дело.

Итак, последовательность такова


Злоумышленник позвонил в PayPal и с помощью социальной инженерии узнал там четыре последних цифры моей кредитной карты.

После он позвонил в GoDaddy и сказал, что потерял свою кредитку, но помнит последние четыре цифры. С помощью агента сервиса ему отдали доступ к аккаунту, позволив угадать ещё две цифры.

Тяжело описать, насколько я был шокирован тем, как безалаберно PayPal и GoDaddy отнеслись к моим персональным данным. Получив доступ к своей почте, первым делом я привязал к наиболее важным для меня сервисам @gmail.com адрес.

Заключение


Сотрудники некоторых компаний могут выдать вашу персональную информацию посторонним людям. Некоторые сервисы до сих пор почему-то верифицируют пользователей по последним цифрам номера кредитки.

Чтобы избежать этого, советую не предоставлять информацию о ваших картах подобным сервисам. Например, я просто удалил её из PayPal и теперь подумываю о смене регистратора доменов.

Upd.: В редакцию поступило письмо с комментарием от представителей PayPal.
Компания PayPal внимательно изучила данную ситуацию, о чем сообщила в своем официальном блоге. И мы можем заявить, что PayPal не разглашал каких-либо данных по кредитной карте, связанной с учётной записью пользователя @N.

Наши специалисты, занимающиеся поддержкой клиентов, обладают хорошей подготовкой в сфере предотвращения атак с использованием социальной инженерии, подобных той, которая была описана в данной публикации.

В блоге также отмечается, что учетная запись Наоки Хирошимы не была скомпрометирована.
Популярные статьи
Показать еще