Kako su PayPal i GoDaddy dozvolili da mi bude ukraden Twitter nalog
GoDaddyjev agent dozvolio je napadaču da pokušava da pogodi kombinaciju dok nije pogodio tačnu
Informatičar Naoki Hirošima imao je neobično korisničko ime na Twitteru '@N'. I, kako je ispričao, nudili su mu 50.000 dolara da ga proda, pokušali su da mu ga ukradu, uputstva za resetovanjee lozinke stizale su mu stalno u sandučić e-maila. Ali, on nije želio da se odrekne tog naloga dok na kraju nije postao žrtva iznude.
20. januara, dok je ručao, primio je SMS-poruku PayPala.
"U poruci je stajalo uputstvo o jednokratnoj provjeri koda. Neko je pokušavao da ukrade moj PayPal nalog. Ignorisao sam poruku i nastavio da jedem. Kasnije toga dana bacio sam pogled na email sa svog domena putem Google Appsa, a koji je registrovan na GoDaddy. Vidio sam da mi je stigla poruka od GoDaddya o potvrdi promjena podataka korisničkog naloga", kaže Hirošima.
Pokušao je da otvori svoj GoDaddy-profil, međutim kako mu nije uspjelo, nazvao je kompaniju koja se bavi prodajom internet domena. Kao provjeru tražili su posljednjih šest brojeva njegove kreditne kartice. Ali, to nije uspjelo jer je napadač na njegov profil već promijenio pristupne podatke. Naoki više nije mogao da dokaže da je vlasnik domena. Nije pomoglo ni to što je na njihovom sajtu putem obrasca prijavio slučaj i naveo svoje lične podatke.
"Većina web-stranica koristi e-mail adresu kao metod provjere. Ako je vaš e-mail napadnut, lako se može doći do vaših lozinki te na taj način resetovati lozinka drugim web-stranicama. Nakon preuzimanja kontrole nad mojim domenom na GoDaddy, napadač je mogao da kontroliše i moj e-mail", priča Hirošima te nastavlja:
"Ubrzo sam shvatio da je zapravo moj profil na Twitteru meta pa sam promijenio domen. Nakon što mi je provalio u profil na Facebooku, napadač mi se konačno obratio e-mailom".
"Većina web-stranica koristi e-mail adresu kao metod provjere. Ako je vaš e-mail napadnut, lako se može doći do vaših lozinki te na taj način resetovati lozinka drugim web-stranicama. Nakon preuzimanja kontrole nad mojim domenom na GoDaddy, napadač je mogao da kontroliše i moj e-mail""Želim da te obavijestim da si bio u pravu. @N je meta. Posjedujem tvoje domene sa GoDaddyja. Podaci na stranicama zasad su netaknuti. Jesi li spreman na kompromis? U zamjenu za pet minuta pristupa @N nalogu nudim ti pristup tvojim domenama i pomoć u osiguravanju podataka", pisalo je u napadačevoj poruci.
Hirošima više nije imao izbora te je napadaču prepustio korisničko ime koje je kreirao još 2007, a svoj profil nazvao je @N_is_stolen.
Ono što je posebno zanimljivo jeste način na koji je napadač došao do podataka kojima je mogao upasti u Naokijevu e-poštu. Jednostavno je nazvao PayPal, a kako je Naoki u slučaju izgubljenih podataka imao uključenu opciju odavanja podataka putem telefona, doznao je posljednja četiri broja njegove kreditne kartice. Potom je nazvao GoDaddy i rekao da je izgubio karticu, ali da se sjeća posljednje četiri cifre.
Kako bi dobio pristupne podatke za Hirošimin korisnički nalog, morao je da pogodi kombinaciju dva broja (od 0 do 9) koji su se nalazili ispred četiri broja sa kartice. GoDaddyjev agent dozvolio mu je da pokušava dok nije pogodio tačnu kombinaciju te mu nakon toga proslijedio korisničke podatke.
( Vecernji.hr )