2014/01/29
Possuidor do nick @N no Twitter foi forçado por hackers a cedê-lo
Não é a primeira vez que assistimos a casos assustadores de hackers que não olham a meios para conseguirem o que pretendem. Ainda recentemente tivemos um caso de um autêntico pesadelo digital que praticamente apagou todas as memórias digitais de um jornalista (curiosamente, também com o propósito de se apoderarem do seu nick do Twitter), e hoje temos outro caso idêntico que irá reacender a questão da verdadeira segurança de serviços como o GoDaddy e o PayPal.
Naoki Hiroshima poderia ser uma pessoa como qualquer outra, mas havia um pequeno pormenor que o tornava mais interessante para certos grupos de pessoas... Numa altura em que praticamente todos os nomes e palavras se encontram já utilizados em todos os serviços, Naoki era o detentor do nick @N no Twitter (sim, uma única letra.) Algo que poderia não passar de uma curiosidade não fosse alguns interessados já lhe terem oferecido $50 mil dólares por ele - e frequentemente receber emails a informar da tentativa de reset da password, feita por atacantes desejosos de se apoderar do seu nick.
Só que há alguns dias, a coisa foi diferente... e em breve Naoki estaria na ingrata posição de ser forçado a ceder o seu nick a um atacante que contou com a "ajuda" do PayPal e GoDaddy para o conseguir.
O início do pesadelo
No dia 20 de Janeiro, Naoki recebeu um email com um código temporário do PayPal enquanto almoçava e, já estando habituado a este tipo de tentativas por parte de atacantes, ignorou-o como fazia habitualmente. Horas mais tarde ao espreitar o email (que utilizava o seu domínio próprio como endereço) viu uma mensagem do GoDaddy a informar da confirmação de alteração das configurações... e era o último email que tinha.
No email surgia o aviso de que caso estas alterações fossem fraudulentas ou caso não conseguisse entrar na sua conta deveria contactar os serviços de assistência - e efectivamente era este o caso. Naoki já não conseguia entrar na sua conta do GoDaddy, e quando contactou os serviços e este lhe pediram os dados do seu cartão de crédito para validar a identidade, estes já não batiam certo pois o atacante já os tinha alterado, assim como todas as informações pessoais da conta!
O controlo de todos os seus domínios no GoDaddy tornava-se profundamente gravoso, pois o seu email estava associado a um desses mesmos domínios, fazendo com que os seus emails estivessem acessíveis aos atacantes, que os poderiam usar para fazer a recuperação de passwords de todo e qualquer site/serviço que ele utilizasse. Já suspeitando que o propósito fosse o seu nick no Twitter, apressou-se a mudar o email usado no serviço para outro que não estaria acessível pelos hackers... mas isto era apenas o início.
Pouco depois começou a receber os habituais emails de tentativa de reset de password do seu nick no Twitter; chegando ao ponto do atacante abrir um "ticket" no Twitter queixando-se que não estava a receber os emails de recuperação da password - mas rapidamente desaparecendo assim que o Twitter lhe pediu dados extra para confirmar a sua legitimidade.
Em breve estava a receber um email do atacante que confirmava o desejo de ficar com o seu nick @N; ameaçando-o de que todos os seus domínios poderiam facilmente "esfumar-se" e ficar fora do seu alcance para o resto da vida; e sugerindo uma "troca" do nick por todos os seus domínios assim como ajuda em evitar que este tipo de situação voltasse a acontecer.
Por essa altura, todos os pedidos de ajuda ao GoDaddy continuavam a ser respondidos com email típicos dizendo que nada podiam fazer e que teria que tentar resolver a situação por outras vias... sendo o mais caricato o facto de terem perguntado ao atacante se permitia a mudança da conta... quando anteriormente não o fizeram com o legítimo dono quando foi o atacante a apoderar-se dela.
Mesmo alguns contactos "VIP" com o GoDaddy não estavam a dar qualquer resultado, pelo que entrou em modo de redução de danos: eventualmente seria mais simples poder vir a recuperar o seu nick no futuro falando com o Twitter, do que arriscar-se a perder todos os seus domínios. E assim... passou o nick para o atacante, que caricatamente se prontificou a explicar-lhe como tinha conseguido o acesso à sua conta do GoDaddy.
A culpa foi do PayPal e do GoDaddy
Como é que tudo isto foi possível? O atacante telefonou para o PayPal, fazendo-se passar por funcionário e inventando uma história que fez com que eles lhe dessem os quatro últimos dígitos do cartão de crédito (o atacante alerta para que os utilizadores do PayPal contactem o serviço e peçam expressamente para que nunca sejam fornecidos quaisquer dados sobre as suas contas - algo que a maioria dos utilizadores poderia pensar estar implícito!)
Actualização: o PayPal diz não ter revelado quaisquer dados sobre o utilizador.
Com esses dados, ligou para o GoDaddy dizendo que tinha perdido o seu cartão de crédito mas que ainda se lembrava dos quatro últimos dígitos. E novamente um absurdo caso flagrante de falha de segurança, o assistente deixou que ele fosse tentando os restantes dois dígitos necessários (de 00 a 99) até acertar.
E daí para a frente... foi o que se viu.
Para além da flagrante facilidade com que estes serviços permitiram esta situação, neste caso tudo se tornou possível por o seu email estar associado a um domínio próprio que fez com que o ataque ao GoDaddy permitisse aos atacantes ficar a controlar os seus emails. Caso tivesse usado um email do gmail/hotmail/etc. os seus emails de recuperação continuaram a estar sob o seu controlo.
Ainda assim, ficaria sujeito à chantagem de que os seus domínios poderiam ficar perdidos para sempre... o que não deixa de ser altamente desagradável - e poderiam também ter conseguido o acesso à sua conta do PayPal, caso ele não estivesse a usar 2-step validation. No caso de Mat Honan o incidente fez com que a Apple revisse as suas políticas de segurança.... vamos lá ver se neste caso também o PayPal e o GoDaddy decidirão fazer alguma coisa quanto a isto - e se o Twitter rectificará a situação devolvendo o nick ao seu legítimo dono.
Subscrever:
Enviar feedback (Atom)
Estou curiosa para saber se há desenvolvimentos desta história, quanto mais não seja um pedido de desculpas do PayPal e/ou GoDaddy, e uma declaração de que tal não voltará a acontecer...
ResponderEliminarPor agora, o PayPal diz que não teve nada a ver com o assunto e que não revelou qualquer informação. http://thenextweb.com/insider/2014/01/29/paypal-denies-providing-payment-information-hacker-hijacked-50000-twitter-username/
Eliminar(Não seria de admirar que o hacker mentisse sobre como conseguiu os dados - mas também fica a dúvida sobre se o PayPal não estará simplesmente a tentar esquivar-se a esta situação... )
Mas pelo link que vem no final desse artigo, a GoDaddy admite alguma culpa no processo...
EliminarPois, esses não o podem negar - resta saber quais as mudanças que irão fazer para prevenir que este tipo de coisa se repita no futuro.
Eliminar