21:19
29/1/2014

Naoki Hiroshima to właściciel (a obecnie były właściciel) unikatowego, jednoliterowego konta na Twitterze o nazwie @n. Wartość tego konta wycenia się na ok. 150 000 PLN, a przynajmniej takie oferty zakupu otrzymywał Naoki. Wiele osób chciałoby mieć jego konto …i z tego powodu, Naoki notorycznie poddawany był atakom wszelkiej maści phisherów i zgadywaczy haseł. I mimo, że ani razu nie dał się nabrać, to i tak tydzień temu stracił konto. W jaki sposób? O tym poniżej.

konto n na twitterze

konto n na twitterze

Smutny SMS od PayPala i beton po stronie GoDaddy

20 stycznia Naoki otrzymał SMS-a od PayPala z kodem do 2 składnikowego uwierzytelnienia — oznaka tego, że ktoś próbuje dobrać się do jego konta. Ale Naoki zignorował to — w końcu w przypadku dwuskładnikowego uwierzytelnienia, nawet jeśli atakujący odgadłby hasło do konta Naoki, to musiałby też mieć kontrolę nad jego telefonem — a telefon przecież Naoki trzymał w swojej ręce.

Tego samego dnia miało miejsce jeszcze jedno istotne zdarzenie — po zalogowaniu się do swojej poczty na Google Apps (domena pocztowa była zarejestrowana w GoDaddy) Naoki zauważył, że ostatnia wiadomość jaką tego dnia otrzymał to wiadomość właśnie od GoDaddy …informująca go o udanej zmianie ustawień jego konta. Oto pełna treść wiadomości:

From: support@godaddy.com GoDaddy
To: *****@*****.*** Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: Account Settings Change Confirmation

Dear naoki hiroshima,

You are receiving this email because the Account Settings were modified for the following Customer Account:
XXXXXXXX
There will be a brief period before this request takes effect.

Oczywiście, od razu spróbował zalogować się na swoje konto w usłudze GoDaddy, ale na nic się to zdało — zadzwonił więc do usługodawcy. Obsługujący incydent pracownik GoDaddy przyjął do wiadomości nakreśloną przez Hiroshimę sytuację i poprosił o ostatnie 6 cyfr z jego numeru karty kredytowej w celu weryfikacji jego tożsamości.

Niestety, podane przez Naoki cyfry nie pasowały do karty podpiętej do jego konta GoDaddy — złodziej najwyraźniej zdążył już ją zmienić, zresztą tak samo jak i wszystkie inne przypisane do konta informacje. To spowodowało, że Naoki do którego de facto należała domena, nie był w stanie udowodnić iż jest jej rzeczywistym właścicielem… Pracownik GoDaddy zasugerował, aby wypełnić wniosek reklamacyjny z kopią dowodu tożsamości — odpowiedź jednak miała nastąpić dopiero po 48 godzinach… (przyszła szybciej, ale była odmowna. GoDaddy nie był w stanie nic zrobić, bo Naoki nie był wedle ich systemu, właścicielem domeny)

Powolny DNS na ratunek

Naoki szybko zdał sobie sprawę z tego, że celem wymierzonego w niego ataku były nie tyle jego domeny podpięte do konta na GoDaddy, co konto atrakcyjne na Twitterze. Atakujący po przejęciu domeny Naoki chcieli po prostu zresetować hasło do konta @n, a do tego potrzebowali dostępu do skrzynki pocztowej, z której Naoki zarejestrował konto na Twitterze. Dobrze się domyślacie — był to adres e-mail w domenie, którą miał podpiętą pod przejęte konto na GoDaddy.

Niestety, atakujący polegli. Z racji wolnej propagacji DNS-ów, nie byli w stanie odebrać e-maila z przypomnieniem hasła wysłanego przez Twittera. Postanowili więc zgłosić błąd do Twittera:

Jan 20 01:43 PM:
Twitter username: @n
Your email: *****@*****.***
Last sign in: December
Mobile number (optional): n/a
Anything else? (optional): I’m not receiving the password reset to my email, do you think you could manually send me one?

Twitter jednak nie dał się na to nabrać i poprosił o “więcej informacji” — atakujący porzucił tę drogę…

W tym samym czasie Naoki otrzymał na Facebooku tajemniczą informację, aby jak najszybciej zmienić e-mail do konta na Twitterze. Zastosował się do niej, zmieniając e-mail na koncie Twittera na taki, który znajdował się w domenie nieprzypisanej do jego, obecnie przejętego konta na GoDaddy. To uratowało jego Twitterowe konto przed przejęciem, a prośby o reset hasła generowane przez atakujących zaczęły spływać na konto w domenie, do której atakujący nie mieli dostępu. Naoki ciągle jednak nie miał dostępu do swoich domen w GoDaddy. I wtedy skontaktował się z nim atakujący.

Złodziej szantażuje

Atakujący był bezpośredni:

zwrócę twoje domeny, nic z nimi nie zrobiłem, ba! opowiem ci jak cię zhackowałem, ale musisz przekazać mi konto @n

Szybki rachunek zysków i strat skłonił Naoki do przystania na prośbę atakującego. Zmienił swojego nicka na Twitterze na n_is_stolen, aby atakujący mógł przejąć zwolnione n.

Atakujący wywiązał się z obietnicy i przekazał hasło do konta w GoDaddy, a brzmiało ono: V;Mz,3{;!’g&

Atakujący wyjaśnił jak przejął konto Naoki

Odpowiedzią jak zawsze, jest socjotechnika, czyli wykorzystanie podatności nie w maszynie, a w człowieku i procedurach.

I called paypal and used some very simple engineering tactics to obtain the last four of your card (avoid this by calling paypal and asking the agent to add a note to your account to not release any details via phone)

Atakujący wykonał telefon do PayPala, i podszywając się pod pracownika udało mu się uzyskać 4 ostatnie cyfry numeru karty kredytowej Naoki. Ujawnił też, jak się przed tym zabezpieczyć: wystarczy zadzwonić do PayPala i poprosić, aby przy naszym koncie odnotowanonie udzielać informacji przez telefon“.

Mając 4 ostatnie cyfry numeru karty kredytowej zadzwonił do GoDaddy i powiedział, że zgubił kartę, ale pamięta jej ostatnie 4 cyfry. Wszystko wskazuje na to, że obsługa techniczna potrzebowała jeszcze 2 pierwszych cyfr numeru karty, ale …pozwoliła atakującemu na ich zgadywanie (!!!). Udało się to ponoć za pierwszym podejściem — co zresztą nie jest bardzo zaskakujące, jeśli ktoś wie, że numer karty kredytowej podlega ścisłej regulacji ISO, i wszystkie karty płatnicze zaczynają się głównie od 4 lub 5, a potem następuje (także znany) identyfikator banku. Wiedząc jakie banki są w danym kraju…

Wnioski i rady

Naoki, z nowym bagażem doświadczeń postanowił zminimalizować ryzyko tego typu sytuacji w przyszłości i pozmieniał w każdej z usług, które posiada konto e-mail na adres w domenie gmail.com. Naoki zakłada, że atakującym nigdy nie uda się przejąć domeny gmail.com, w przeciwieństwie do domen, które on sam posiada i rejestrował w GoDaddy.

Dodatkowo, Naoki zaleca wydłużenie TTL dla rekordu MX, w przypadku gdy korzystamy z zewnętrznej domeny pocztowej. Dłuższy rekord pozwala jeszcze przez jakiś czas po ataku kontrolować już — de facto przejętą — domenę. A to może się przydać przy odkręcaniu sytuacji.

Ostatnia rada Naokiego, to używanie dwuskładnikowego uwierzytelnienia wszędzie tam, gdzie jest to możliwe. Gdyby nie włączone dwuskładnikowe uwierzytelnienie, atakujący zalogowałby się na jego konto na PayPalu. A tak, zdobył tylko część informacji przypisaną do tego konta, które następnie wykorzystał w ataku na inną firmę (GoDaddy).

Wszystkim z Was, którzy posiadają serwisy internetowe zalecamy przy okazji wykonywania najbliższych testów penetracyjnych dołożenie wariantu testów socjotechnicznych, aby sprawdzić, czy w waszych regulaminach i procesach obsługi klienta nie ma żadnych tzw. błędów logiki biznesowej (bo w naszym kraju mało który serwis decyduje się na samodzielne przechowywanie numerów kart kredytowych użytkowników)

Nie pierwsze takie “włamanie”

Na koniec przypomnijmy historię dziennikarza Wired, który stracił wszystkie swoje dane na sprzęcie Apple, ponieważ atakującemu udało się przejąć jego kontrolę nad kontem iCloud, do którego miał podpięte swoje urządzenia.

W tamtym ataku, atakujący nie dostał się bezpośrednio do iClouda — najpierw zaatakował Amazon, przez telefon prosząc o dodanie nowej karty kredytowej do konta dziennikarza w tym serwisie. Kiedy to się udało, zadzwonił jeszcze raz, tym razem prosząc o reset hasła do konta — a jako metodę uwierzytelnienie wybrał podanie 4 ostatnich cyfr numery karty kredytowej …którą chwilę wcześniej sam dodał do konta dziennikarza. Po zalogowaniu się na konto Amazonowe, odczytan 4 ostatnie cyfry pierwszego numeru karty kredytowej dziennikarza i ten zestaw danych wykorzystał do resetu hasła do jego konta na iCloud.

PS. Wszystkie trzy firmy wykorzystane do ataku na konto Naoki, tj. PayPal, GoDaddy i Twitter zostały powiadomione o incydencie i “analizują swoje procedury bezpieczeństwa”. Na chwilę obecną Naoki dalej nie posiada dostępu do konta @n.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Za parę dni okaże się że cały ten opis miał służyć do przejęcia @n ;)

  2. Konto ma taka wartosc tylko przez to, ze jest jednoliterowe? Jeszcze rozumiem jakies konkretne nazwy czy cos, ale z tak prostego powodu? To znaczy, ze tych kont jest 26 z liter + 10 z cyfr(jesli da rade takie tez zrobic)?
    I po co to komu?

    • a co szybciej zapamietasz, np podczas reklamy: @matidz czy @m ? Ja np to @n pewnie bede pamietal przez kilka dni po jednym przeczytaniu artykulu, ewentualnie pomysli mi sie z z @m ale zeby sobie przypomniec @”naoki” musialem przewinac strone

  3. @Qu, mniej wiecej z tego samego dla którego masz nicka 2-literowego ;-)

  4. Ja kiedys na kurniku mialem staaaaaaare konto z 32 znakami i tez wzbudzalem “szacun” kiedy rejestracja nowych nickow zostala skrocona do 16 znakow… coz, opchnalem ja za 100, ale co to za szmal dla 13 latka ;P

  5. Nie jestem w stanie pojąć głupoty pracowników paypala, że o GoDaddy już nie wspomne (brak danych o historii zmian na koncie???)

  6. poca to sie nogi a czasami pod pachami

  7. Z tego samego powodu, dla którego “facebook” to nie “thefacebook”. Tak samo było z “nk”. Krótkie nazwy są widocznie bardziej chwytliwe. Jak to po co? Platforma n byłaby pewnie zadowolona :)

  8. tez nie rozumiem co takiego wartosciowego jest w koncie twitterowym o jakiejkolwiek nazwie… ktos moze wyjasnic?

    • To samo co numer telefonu 67384791 a 600600600

  9. Swoją drogą to konta już nie ma?

    • No niema. I pisze że dostępne z pod formularza ale jak klikasz dalej to wywala że zajęte;)

  10. Nasz rząd nie pisał by oświadczeń pod @RządRP tylko @RP ^.^

    Pozdrawiam

    • Myślę, że @chlew było by nawet prostsze do zapamiętania i skojarzenia.

  11. Nie wiem czy jeszcze ale kiedyś szło shakować konto w bardzo znanym polskim portalu telefonicznym. Prościzna to była z luką w postępowaniu .A co i jak to daruję Wam .
    Sprawdzę czy jeszcze mają tę lukę .

    • To po co o tym piszesz ?? myślisz że będziesz cool ?? :)

  12. hahahaah spryciarze

    zawiedli konsultanci – jak wiadomo dzwoniąc na infolinię szansa że trafi się na ta sama osobe to jak gra w lotka :)
    a mając inne dane sprawa jest już prosta tylko trzeba się nakombinować

    dlatego proste zabezpieczenia i odpowiednie ich pilnowanie są wciąz najlepsze

  13. @Wookieb

    masakra nie?to bardzo źle o nich świadczy

    @hmm
    posiadacz kolego posiadacz
    trochę ludzi to sledzi a szczególnie media

  14. Mogę poprosić o uzupełnienie dwóch informacji?

    Jedna tutaj: “Atakujący (..) podszywając się pod pracownika” – pod jakiego pracownika? Bo chyba nie chodzi tu o to, że zatrudnieni = uwierzytelnieni, a bezrobotni nie :)

    Druga tutaj: “atakujący zalogowałby się na jego konto na PayPalu” – nie odnotowałem dlaczego miałby taką możliwość.

    • Poznał 4 ostatnie cyfry numeru karty, których prawdopodobnie mógł użyć do resetu hasła przez telefon.

  15. telewizja n bedzie miala profil na twitterze hehe a tak na serio to twitter powinien oddac to konto

    • Platforma n od jakiegos czasu jest polaczona z cyfra+ tworzac nc+. Watpie, ze canal+ zaakceptowal by uzywanie przez ich spolke z iti nazwy “n”.

  16. To jest pseudonim, czy facet na prawdę jazywa się Hiroshima ? :D

    • Nie, naprawdę nazywa się Nagasaki :-PPP

  17. A Ja przed 5 minutami “hacknąłem” wypełniacz tzw. survey -.- hasło 00000 – bardzo skomplikowane a survey miał max. 5 cyfrowy PIN.

  18. Naoki powinien pozwać teraz PayPal i domagać się odszkodowania (minimum 150k $ za konto na Twiterze + ewentualne ‘straty moralne’) bo:

    “Atakujący wykonał telefon do PayPala, i podszywając się pod pracownika udało mu się uzyskać 4 ostatnie cyfry numeru karty kredytowej Naoki.”

    Pytanie, czy znajdzie na tyle dobrą papugę by udowodnić PayPal’owi, że to z ich winy (powyższy cytat) nastąpiło włamanie.

  19. Jak zwykle okazuje sie ze najsłabsze ogniwo to człowiek. Po co sa te rożne procedury, skoro nikt sie ich nie trzyma – moga byc one najlepsze, hasła najmocniejsze, i co z tego jesli jakis debil i tak wpuści intruza do systemu ot tak.

  20. A tak a propos domen, to nie należy się specjalnie do nich przywiązywać, bo jednak czasem można je stracić.

    Ostatnio mam mały zonk, by mój rejestrator padł, ICANN przekazał domeny jakimś Chińczykom z Tajwanu, a tu data wygaśnięcia nadchodzi wielkimi krokami. W ogóle to myślałem, że ktoś się na ryby wybrał, bo lakoniczny mail o przejęciu przyszedł 25 grudnia, z jakiejś wirtualki, reverse DNS jeszcze od starego klienta hostingu, co miał przedtem ten sam adres IP, i tym podobne kwiatki. Próbuję się zalogować do starego rejestratora – strona istnieje, ale hasła nie przyjmuje! Co jest, awruk! no ale znalazłem stosowny komunikat na stronach ICANN…

    Skośnoocy są kompletnie niefrasobliwi. Przysłali email z linkiem do założenia konta – no OK, inaczej się specjalnie nie dało, jeśli nie byli w stanie przejąć bazy danych z użytkownikami i hasłami starego rejestratora (dane o domenach pewnie wyciągnęli skądinąd dzięki ICANNowskiemu programowi “registry data escrow”). No ale dalej to już porażka – formularz bez httpsa, regulamin łamaną angielszczyzną i to – jak wynika z treści – na chybcika przetłumaczony regulamin dla partnerów/dystrybutorów a nie dla użytkowników końcowych – główna strona i logowanie też bez httpsa, płatność tylko z salda konta, doładowanie salda kartą, PayPalem lub przelewem minimum 100 USD, transferu domeny nie da się zrobić, nie ma takiej opcji w serwisie, dane osobowe wywalone na świat whoisem (stary rejestrator oferował ukrywanie danych w whoisie – dlatego go wybrałem). WTF!!!

    Na szczęście do supportu zatrudnili w miarę kumatych i piszących po angielsku ludków – już po kilku godzinach dostałem odpowiedź na maila – maskowany whois “kiedyś” będzie, transferu nie można zrobić, bo jest blokada na 60 dni zgodnie z regułami ICANN (faktycznie…), a zapłacić się da te dziewięć dolców z hakiem, paypalem przez inny link na ich stronie. Istotnie, był taki link na głównej, ale po zalogowaniu znikał… Tylko procedura też boska: najpierw zapłacić, potem wysłać maila do supportu podając kto płaci i za którą domenę. Przedłużyli. Teraz tylko czekam, aż minie te 60 dni i spierniczam od nich gdzieś.

    Aha, już wiem, żeby BiegnijTatusiu omijać szerokim łukiem.

  21. GoDaddy – wiadomo juz kogo wspisac na czarna liste uslugodawcow. Idealna antyreklama tego betonu korporacyjnego.

  22. Przecież GoDaddy mogło sprawdzić z której karty domeny były opłacane – takie coś jest jak najbardziej możliwe – skoro w banku mają wykaz transakcji z wielu lat. Jeżeli do konta podpięta jest karta na inne dane niż ta, z której była domena opłacana to wiemy że coś jest nie tak.

    • Oczywiscie, ale korporacje takie “drobiazgi” maja, piszac wprost, w DU*IE. Dla nich liczy sie kasa i tylko kasa, a kto placi to juz nie wazne.

  23. Przed socjotechniką nie ma całkowitego zabezpieczenia, dobry manipulator może wkręcić każdego, nawet jeśli przeczytał Sztukę Podstępu i skończył szkolenia Niebezpiecznika ;)

  24. Zaskoczyło mnie iż ta osoba uwierzyła iż włamywacz się wymieni. Jeszcze bardziej zaskoczyło mnie że wymiana rzeczywiście nastąpiła.

  25. Rano czytam ten tekst po angielsku na arstechnica.com, a wieczorem – po polsku, na niebezpieczniku. Przypadek, współpraca, czy kopiowanie bez podania żródła?
    Przeciw przypadkowi przemawia fakt, że zbieżność artykułów z obu portali jest spora…

    • Przed arstechnicą chyba jednak był jeszcze thenextweb.com/socialmedia/2014/01/29/lost-50000-twitter-username ;) A źródło wiadomości, czyli post samego poszkodowanego, masz przecież podlinkowane w pierwszym akapicie, Watsonie :-)

  26. ciekawe co mial za domeny bo wnioskujac z artykuly byly warte duzo wiecej niz 50k$ za konto na twiterze

  27. […] o której często piszemy na łamach Niebezpiecznika. Ponadto warto jeszcze przypomnieć historię Naoki Hiroshimy, który był właścicielem atrakcyjnego konta @n, które przy pomocy rozbudowanego, ale prostego w […]

  28. […] hasła telefonicznego). Wystarczy porównać ostatnie ataki socjotechniczne na Apple CloudID oraz Twittera aby docenić jak wielkim ułatwieniem mogą być dodatkowe dane na temat danej […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.