Possuidor do nick @N no Twitter foi forçado por hackers a cedê-lo

Não é a primeira vez que assistimos a casos assustadores de hackers que não olham a meios para conseguirem o que pretendem. Ainda recentemente tivemos um caso de um autêntico pesadelo digital que praticamente apagou todas as memórias digitais de um jornalista (curiosamente, também com o propósito de se apoderarem do seu nick do Twitter), e hoje temos outro caso idêntico que irá reacender a questão da verdadeira segurança de serviços como o GoDaddy e o PayPal.

Naoki Hiroshima poderia ser uma pessoa como qualquer outra, mas havia um pequeno pormenor que o tornava mais interessante para certos grupos de pessoas... Numa altura em que praticamente todos os nomes e palavras se encontram já utilizados em todos os serviços, Naoki era o detentor do nick @N no Twitter (sim, uma única letra.) Algo que poderia não passar de uma curiosidade não fosse alguns interessados já lhe terem oferecido $50 mil dólares por ele - e frequentemente receber emails a informar da tentativa de reset da password, feita por atacantes desejosos de se apoderar do seu nick.

Só que há alguns dias, a coisa foi diferente... e em breve Naoki estaria na ingrata posição de ser forçado a ceder o seu nick a um atacante que contou com a "ajuda" do PayPal e GoDaddy para o conseguir.


O início do pesadelo

No dia 20 de Janeiro, Naoki recebeu um email com um código temporário do PayPal enquanto almoçava e, já estando habituado a este tipo de tentativas por parte de atacantes, ignorou-o como fazia habitualmente. Horas mais tarde ao espreitar o email (que utilizava o seu domínio próprio como endereço) viu uma mensagem do GoDaddy a informar da confirmação de alteração das configurações... e era o último email que tinha.

No email surgia o aviso de que caso estas alterações fossem fraudulentas ou caso não conseguisse entrar na sua conta deveria contactar os serviços de assistência - e efectivamente era este o caso. Naoki já não conseguia entrar na sua conta do GoDaddy, e quando contactou os serviços e este lhe pediram os dados do seu cartão de crédito para validar a identidade, estes já não batiam certo pois o atacante já os tinha alterado, assim como todas as informações pessoais da conta!

O controlo de todos os seus domínios no GoDaddy tornava-se profundamente gravoso, pois o seu email estava associado a um desses mesmos domínios, fazendo com que os seus emails estivessem acessíveis aos atacantes, que os poderiam usar para fazer a recuperação de passwords de todo e qualquer site/serviço que ele utilizasse. Já suspeitando que o propósito fosse o seu nick no Twitter, apressou-se a mudar o email usado no serviço para outro que não estaria acessível pelos hackers... mas isto era apenas o início.

Pouco depois começou a receber os habituais emails de tentativa de reset de password do seu nick no Twitter; chegando ao ponto do atacante abrir um "ticket" no Twitter queixando-se que não estava a receber os emails de recuperação da password - mas rapidamente desaparecendo assim que o Twitter lhe pediu dados extra para confirmar a sua legitimidade.

Em breve estava a receber um email do atacante que confirmava o desejo de ficar com o seu nick @N; ameaçando-o de que todos os seus domínios poderiam facilmente "esfumar-se" e ficar fora do seu alcance para o resto da vida; e sugerindo uma "troca" do nick por todos os seus domínios assim como ajuda em evitar que este tipo de situação voltasse a acontecer.

Por essa altura, todos os pedidos de ajuda ao GoDaddy continuavam a ser respondidos com email típicos dizendo que nada podiam fazer e que teria que tentar resolver a situação por outras vias... sendo o mais caricato o facto de terem perguntado ao atacante se permitia a mudança da conta... quando anteriormente não o fizeram com o legítimo dono quando foi o atacante a apoderar-se dela.

Mesmo alguns contactos "VIP" com o GoDaddy não estavam a dar qualquer resultado, pelo que entrou em modo de redução de danos: eventualmente seria mais simples poder vir a recuperar o seu nick no futuro falando com o Twitter, do que arriscar-se a perder todos os seus domínios. E assim... passou o nick para o atacante, que caricatamente se prontificou a explicar-lhe como tinha conseguido o acesso à sua conta do GoDaddy.


A culpa foi do PayPal e do GoDaddy

Como é que tudo isto foi possível? O atacante telefonou para o PayPal, fazendo-se passar por funcionário e inventando uma história que fez com que eles lhe dessem os quatro últimos dígitos do cartão de crédito (o atacante alerta para que os utilizadores do PayPal contactem o serviço e peçam expressamente para que nunca sejam fornecidos quaisquer dados sobre as suas contas - algo que a maioria dos utilizadores poderia pensar estar implícito!)

Actualização: o PayPal diz não ter revelado quaisquer dados sobre o utilizador.

Com esses dados, ligou para o GoDaddy dizendo que tinha perdido o seu cartão de crédito mas que ainda se lembrava dos quatro últimos dígitos. E novamente um absurdo caso flagrante de falha de segurança, o assistente deixou que ele fosse tentando os restantes dois dígitos necessários (de 00 a 99) até acertar.

E daí para a frente... foi o que se viu.



Para além da flagrante facilidade com que estes serviços permitiram esta situação, neste caso tudo se tornou possível por o seu email estar associado a um domínio próprio que fez com que o ataque ao GoDaddy permitisse aos atacantes ficar a controlar os seus emails. Caso tivesse usado um email do gmail/hotmail/etc. os seus emails de recuperação continuaram a estar sob o seu controlo.

Ainda assim, ficaria sujeito à chantagem de que os seus domínios poderiam ficar perdidos para sempre... o que não deixa de ser altamente desagradável - e poderiam também ter conseguido o acesso à sua conta do PayPal, caso ele não estivesse a usar 2-step validation. No caso de Mat Honan o incidente fez com que a Apple revisse as suas políticas de segurança.... vamos lá ver se neste caso também o PayPal e o GoDaddy decidirão fazer alguma coisa quanto a isto - e se o Twitter rectificará a situação devolvendo o nick ao seu legítimo dono.