BREAKING: uus Gmaili turvavea. Rohkem domeene varastatakse!

Reklaam

Nagu paljud teist juba 2. novembril teavad, varastati meilt MakeUseOf.com'i domeen. Domeeni tagasi saamine võttis meil umbes 36 tundi. Nagu me oleme märkinud varem häkkeril õnnestus kuidagi pääseda juurde minu Gmaili kontole ja sealt meie GoDaddy kontole, domeen lahti võtta ja see teisele registripidajale teisaldada.

Kogu lugu saate näha meie ajutisest ajaveebist makeuseof-temporary.blogspot.com/

Ma ei plaaninud midagi vahejuhtumi või kräkkerist (domeene varastav isik) ja sellest, kuidas tal õnnestus see ära tõmmata, avaldada, kui ma polnud selles ise täiesti kindel. Mul oli hea tunne, et see oli Gmaili turvaveaga, kuid tahtsin seda enne midagi postitada kinnitada sellest saidil MakeUseOf. Me armastame Gmaili ja halva reklaamimise pakkumine pole midagi sellist, mida me kunagi tahaksime tegema.

Miks siis sellest nüüd kirjutada?

Viimase kahe päeva jooksul on juhtunud mitu asja, mis on pannud mind uskuma, et Gmailis on tõsine turvanõue ja kõik peaksid sellest teadlikud olema. Eriti neil aegadel, kui Steve Rubeli-sugused isikud teile seda räägivad

Kuidas muuta Gmail oma GateWay veebiks. Ärge nüüd mind siin valesti ajage, Gmail on VÕNAS e-posti programm. Parim ilmselt. Probleem on selles, et turvalisuse osas ei pruugi see olla usaldusväärne. Sellegipoolest ei tähenda see tingimata seda, et teil on parem Yahoo või Live Mailiga.

1. juhtum: MakeUseOf.com - 2. november

Kui meie domeen varastati, kahtlustasime, et häkker kasutas Gmailis mingit auku, kuid me polnud selles kindlad. Miks ma kahtlustasin, et see on Gmailiga pistmist? Esiteks olen ma turvalisuse suhtes üsna ettevaatlik ja juhin harva kõike, milles ma pole kindel. Samuti hoian oma süsteemi ajakohasena ja mul on olemas kõik vajalik, sealhulgas 2 pahavaramonitori, viirusetõrje ja 2 tulemüüri. Samuti kipun kasutama oma kontode jaoks tugevaid ja kordumatuid paroole.

Häkker pääses mu Gmaili kontole ja seadistas seal mõned filtrid, mis aitasid tal lõpuks juurdepääsu meie GoDaddy kontole. Mida ma ei teadnud, on see, kuidas ta sellega hakkama sai. Kas see oli Gmailis turvaauk? Või oli see minu arvuti klahvilogija? Ma polnud selles kindel. Pärast vahejuhtumit kontrollisin oma süsteemi paljude pahavara eemaldustega ega leidnud midagi. Samuti läbisin ka kõik jooksuprotsessid. Kõik õmmeldud puhtaks.

Niisiis, ma kaldun arvama, et probleem oli Gmailis.

Juhtum 2: YuMP3.org - 19. november

18. novembril sain meili kelleltki Edin Osmanbegovicilt, kes seda saiti haldab yump3.org. (Tõenäoliselt leidis ta minu e-posti Google'i kaudu, kuna MakeUseOfiga seotud juhtumit kaeti mitmetes populaarsetes ajaveebides millest e-posti aadress sisaldas minu e-posti aadressi.) Edin ütles mulle oma meilis, et tema domeen varastati ja koliti teisele registripidajale. Ma googeldasin kiiresti yoump3 ja nägin, et üsna väljakujunenud veebisait teenib nüüd linki talu lehte (täpselt nagu meie puhul).

Google (viimasel indeksil):

YouMP3.org koduleht (praegu):

Siin on koopia esimesest Edinilt saadud meilisõnumist:

Tere,
Mul on sama probleem ka oma domeeniga.
Domeen on Enomist üle läinud GoDaDDy-le.
Saatsin kohe selle probleemiga seotud tugipileti.

Uue domeeni omaniku Whois on:

Nimi: Amir Emami
Aadress 1: P.O. Kast 1664
Linn: Liiga linn
Osariik: Texas
Postiindeks: 77574
Riik: USA
Telefon: +1.7138937713
E-post:Administratiivne kontaktteave:
Nimi: Amir Emami
Aadress 1: P.O. Kast 1664
Linn: Liiga linn
Osariik: Texas
Postiindeks: 77574
Riik: USA
Telefon: +1.7138937713
E-post:

Tehniline kontaktteave:
Nimi: Amir Emami
Aadress 1: P.O. Kast 1664
Linn: Liiga linn
Osariik: Texas
Postiindeks: 77574
Riik: USA
Telefon: +1.7138937713
E-post:

E-post on: [email protected]
Eile oli selle e-posti aadressi kutt minuga Gtalki kaudu ühendust võtnud.
Ta ütles, et soovib domeeni eest 2000 dollarit.
Vajan palun nõu, olen võtnud ühendust Enomiga.

Aitäh.

Ja arvake ära, see on sama tüüp, kes selle kuu alguses varastas MakeUseOf.com. Ka meiega võeti ühendust samalt e-posti aadressilt: [email protected]. Edin saatis mulle täna ka e-kirja ja kinnitas, et kutt pääses ka oma Gmaili konto kaudu oma domeenikontole. See on jälle Gmail.

Oma viimasesse meilisse (täna saabunud) lisas Edin sündmuste kiire kokkuvõtte

Mul on ajalugu, kuidas ta tegi kõik.

10. novembril olin omanik.
13. novembril Mark Morphew.
18. novembril Amir Emami.

Mõlemal isikul kasutas ta [email protected].

Ma saatsin eile ka iga kolmandiku Monikerisse.
Nad uurivad.

3. juhtum: Cucirca.com - 20. november

Viimane e-kiri oli selle postituse peamine põhjus. See tuli aadressilt cucirca.com omanik Florin Cucirka. Selle saidi Alexa auaste on 7681 ja Florini andmetel külastab see päevas üle 100 000 külastuse.

Esimene e-kiri Florinilt:

Tere Aibek

Olen samas olukorras, mille said makeuseof.com välja.

Olen Cucirca Florin ja minu domeen www.cucirca.com oli
minu loata minu godaddy kontolt üle kantud.

Näib, et varas teadis mu gmaili parooli, mis on veider.
Tal õnnestus minu kontole mõned filtrid luua.

Lisasin 2 ekraanipilti.

Kas sa saad mind aidata? Andke mulle üksikasju, kuidas ma saaksin
sellest halvast unenäost välja? Leidsin just täna selle ja mina
ära arva, et ma ei suuda täna õhtul magada.

Ette tänades.

Florin Cucirca.

Saatsin Florinile meilisõnumi ja küsisin talt oma domeeni kohta üksikasju, kas ta võttis ühendust GoDaddyga ja mis tahes teavet, mida ta seni domeenipraakija (domeeni varastaja jaoks kasutatud termini) kohta sai.

Florini teine ​​e-kiri:

Häkkeril oli juurdepääs minu e-posti kontole (gmail). Domeen oli hostitud godaddy saidil.
Kasutasin Firefoxis gmaili teataja laiendit. võib-olla on seal suur viga.
Ta edastas domeeni register.com

Ma ei räägi häkkeriga. Ma tahan selle legaalselt tagasi saada ja kui muud lahendust pole, siis maksan talle maksta

www.cucirca.com on Alexa Rank 7681 ja külastab päevas üle 100 000.

Lisan teile oma Gmaili kontolt 2 ekraanipilti.

rõõ[email protected] ja teises ekraanis [email protected]

Kui teete google otsingut [email protected], leiate selle:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Arvan, et keegi peaks nad peatama.

Ma saatsin e-kirjaga [email protected] ja ootan vastust.

Mida sa arvad? Kas ma saan oma domeeni tagasi?

Paistab, et see on jälle Gmail! Siin on osalised ekraanipildid sellest, mida ta mulle saatis:

Florini puhul vahetas häkker mitu kuud tagasi domeeni omaniku. Cucirca.com viidi GoDaddyst üle saidile Register.com. Kuna häkker peatas tema e-kirju ega muutnud kunagi nimeservereid, siis pole Florinil aimugi, et midagi on valesti. Kui ma temalt küsisin, miks kulus tal nii kaua aega, et teada saada, saatis ta mulle järgmist:

Ta võõrandas domeeni oma nimele 2008-09-05, jättes nimeserverid muutmata. Sellepärast ei ole ma märganud, et mu domeen varastati alles eile, kui mu sõber tegi minu domeenil vingerpussi ...

Mul polnud põhjust Whoisi kirjeid kontrollida, kuna domeen oli registreeritud üle 7 aasta (kuni 2013-11-08)

Ma pole sellelt inimeselt e-kirju saanud.

Ja jälle tundub, et see on sama mees! Miks ma nii arvan? Kui kontrollite linki, mille Florin sisaldas ühes tema e-kirjadest (lisasin selle ka allpool), näete seda et mõne muu sarnase juhtumi korral (kes teab, kui palju veel domeene ta on niimoodi varastanud) e-kirjad aadress [email protected] mainiti koos nimega Aydin Bolourizadeh. Sama e-kiri ilmus edasisuunamise reeglis ka Florini Gmaili kontol (vt esimene ekraanipilt).

Kui meilt MakeUseOf.com ära viidi, küsis krakkija minult 2000 dollarit. Ja kui ma küsisin talt, kus ja kuidas ta tahab maksta, käskis ta mul saata Western Unioni kaudu raha järgmisel aadressil:

Aydin Bolourizadeh
Türgi
Ankara
Cukurca kirkkonaklar mah 3120006954

ekraanipilt alates http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Olen üsna kena, et see oli sama mees kõigis 3 juhtumis ja tõenäoliselt oli ülaltoodud lingis mainitud 788 teist, sealhulgas sellised domeenid nagu yxl.com, visitchina.net ja visitjapan.net.

Kui otsisin Google'ilt seda aadressi, avastasin ka, et ta omab järgmisi domeene (ilmselt varastas ka need):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Eeldan, et tüüp on pärit Türgist ja elab tõenäoliselt kuskil järgmises piirkonnas.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Türgi

Samuti teame, et ta kasutab oma e-posti aadressil [email protected]. Nii et kui me teame, kes seisab domainsgames.org taga, võime jõuda vaid ühe sammu lähemale. Tegelikult saatis ta mitu päeva tagasi e-kirja ja palus mul eemaldada veebisaidilt kõik tema e-posti aadressid ja kui me ei täida seda, saadaks ta meile DOS-i.

Siin on tema täpsed sõnad:

Tere,
Palun teil eemaldada minu e-posti aadress ([email protected]) oma veebisaidilt!
Tehke seda siis, kui soovite, et tulevikus ei tekiks mingeid probleeme, vastasel juhul hakkan teie veebisaidil olema suuri DDOSe ja teen selle maha ...
Ma olen väga seriuos, nii et eemaldage minu e-posti aadress ja domainsgame.org nimi

Seega näib, et kui me pääseme domeinsgame.org taga asuvale ID-le, võime oma mehe saada ja tõenäoliselt paljastada veel palju domeene, mille ta on kinni pannud. Loe selle kohta lähemalt allpool. Räägime nüüd Gmailist.

Gmaili haavatavus

Kas keegi mäletab, mis David Aireyga eelmisel aastal pahandas? Ka tema domeen varastati. Lugu oli kogu veebis.

– HOIATUS: Google'i GMaili turvatõrge jätab minu ettevõtte saboteerimise
- Kollektiivsed jõupingutused taastavad David Airey.com

Nii meil kui ka Davidil õnnestus domeen tagasi saada. Kuid ma pole kindel, kas kõigil on sama vedanud kui meil. Kahjuks ei tee registripidajad teiega selles küsimuses tõelist koostööd, kui lugu ei võta pisut tähelepanu. Niisiis, ma ei kahtle, et seal on sadu inimesi, kellel pole muud võimalust, kui anda oma domeeninimi või maksta mehele.

Igatahes tagasi Gmaili.

Oma esimeses artiklis viitas David Airey Gmaili haavatavusele, mida (kui ma ei eksi) mainiti siin mitu kuud varem. Kokkuvõtteks:

Ohver külastab GMaili sisse logitud lehte. Pärast täitmist täidab leht mitme osa / vormi-andmete POST-i ühte GMaili liidesesse ja süstib filtri ohvri filtriloendisse. Ülaltoodud näites kirjutab ründaja filtri, mis otsib lihtsalt manustega e-kirju ja edastab need enda valitud e-posti aadressile. See filter edastab automaatselt kõik reeglile vastavad meilid. Pidage meeles, et ka edaspidiseid e-kirju edastatakse. Rünnak toimub seni, kuni ohvril on filter nende filtriloendis, isegi kui Google on fikseerinud esialgse haavatavuse, mis oli süstimise põhjuseks.

algne leht: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Huvitav on see, et ülaltoodud GNU Citizen'i lingi värskendus väidab, et haavatavus fikseeriti enne 28. septembrit 2007. Kuid Taaveti juhtum leidis aset detsembris, 2–3 kuud hiljem.

Niisiis, kas ekspluateerimine oli sel ajal tõesti fikseeritud? Või oli see Taaveti puhul uus ärakasutamine? Ja mis kõige tähtsam, kas Gmailis on KOHE sarnane turvavea?

Mida sa nüüd tegema peaksid?

(1) Noh, minu esimene nõuanne oleks kontrollida oma e-posti seadeid ja veenduda, et teie e-posti aadressi ei kahjustata. Kontrollige tarnimisvõimalusi ja filtreid. Keelake ka IMAP, kui te seda ei kasuta. See kehtib ka Google Appsi kontode kohta.

(2) Muutke tundlikel veebikontodel (paypal, domeenide registripidaja jne) kontaktmeil oma peamiselt Gmaili kontolt millekski muuks. Kui teil on veebisait, siis muutke oma host- ja registripidajate konto e-posti aadress mõne muu e-posti aadressi vastu. Eelistatult midagi, millesse te pole veebis sirvimisel sisse logitud.

(3) Uuendage kindlasti oma domeen privaatseks registreerimiseks, et teie kontaktandmeid ei kuvataks WhoIS-i otsingutes. Kui olete GoDaddy-s, soovitaksin kasutada kaitstud registreerimist.

(4) Ärge avage oma meilides linke, kui te ei tea inimest, kellelt nad tulevad. Ja kui otsustate lingi avada, logige kindlasti kõigepealt välja.

UPDATE:

Ma avastasin vastuseks MakeUseOfi artiklile mõned head artiklid, kus arutatakse potentsiaalseid turvavigu:

– Gmaili turvavea kontseptsiooni tõestus
– Kommentaarid selle kohta YCombinatoris
- (nov. 26.) Gmaili turvalisus ja hiljutine andmepüügitegevus [Google'i ametlik vastus]

Aidake meil poissi püüda!

Lisaks ülaltoodud postiaadressile teame ka, et ta kasutab [email protected] nagu tema e-post. Nii et kui saame teada, kellele kuulub nüüd domainsgames.org, võime jõuda ühe sammu lähemale. või vähemalt tagastama domeenid, mille ta varastas, nende vastavatele omanikele.

Nüüd on asi selles, et domeeni nime domainsgames.org kaitseb Moniker ja nad peidavad kogu selle kontaktteabe.

Domeeni ID: D154519952-LROR
Domeeninimi: DOMAINSGAME.ORG
Loodud: 22. oktoober-2008 07:35:56 UTC
Viimati värskendatud: 08-Nov-2008 12:11:53 UTC
Aegumiskuupäev: 22. oktoober-2009 07:35:56 UTC
Sponsoreeriv registripidaja: Moniker Online Services Inc. (R145-LROR)
Staatus: KLIENDI KUSTUTAMINE KEELATUD
Staatus: KLIENDI ÜLEANDMINE KEELATUD
Staatus: KLIENDI UUENDAMINE KEELATUD
Staatus: ÜLEANDMINE KEELATUD
Registreerija ID: MONIKER1571241
.
.
.
.
Nimeserver: NS3.DOMAINSERVICE.COM
Nimeserver: NS2.DOMAINSERVICE.COM
Nimeserver: NS1.DOMAINSERVICE.COM
Nimeserver: NS4.DOMAINSERVICE.COM

Ma saatsin neile (nii ka Edin) neile selle kohta meilisõnumi ja värskendan teid siin kohe, kui neilt midagi kuulen.

Mul on ka mõned taotlused järgmistele ettevõtetele, kes pakuvad nüüd sellele isikule oma teenuseid.

Mitmetes e-kirjades päisefaile lugedes oli selge, et häkker kasutab Google Appsi. Palun uurige seda. Domeen on domainsgame.org. Ja palun ka FIX! Gmaili.

Esiteks aidake Edinil ja Florinil oma domeenid tagasi saada. Üks nutikas asi oleks kontrollida konto sisselogimise IP-aadresse kõigi sarnaste juhtumite kohta. Näiteks nii Edini kui meie puhul (pole Florini osas kindel) kasutas häkker 64.72.122.156 IP-aadressi. (Mis muide osutus Alpha Red Inc.-i ohustatud serveriks.) Või veelgi lihtsam, lukustage lihtsalt domeeninimi ja paluge praeguse konto omanikul oma isikut tõestada. Kuna häkker kasutas kõikjal erinevaid identiteete, oleks tal võimatu seda teha. Teie huvides on tagada, et see inimene ei kasuta enam teie teenuseid.

Sulge tema konto! (see on domeenidgame.org). Lisateavet või abi, mida saate anda, hinnatakse.

Ma pole päris kindel, kuid arvan, et DomainSponsor on ettevõte, mis rahastab neid domeene, mida see mees varastab. See juhtus veebisaidil MakeUseOf.com ja nüüd koos YouMP3.orgiga.

5- kuni PayPal. KOM: (Teie TOETUS ON VAIKNE)

Olen kindel, et nad isegi ei loe seda, seega ütlen selle asemel teile lihtsalt. Saatsin meili aadressile [email protected] ja hoiatasin neid, et inimene, kes meie domeeni varastas ja meid varem väljapressis, kasutas [email protected] kontot (ta kasutab ka mõnda muud kontot). Ma lihtsalt palusin neil seda uurida. Selle asemel saan meili, millel pole midagi pistmist minu öelduga. Põhimõtteliselt on see e-posti mall, mis pidi välja nägema ehtsa ja saadetud inimestele, kes said kelmuse. C’mon! Me maksame iga tehingu eest 3% vahendustasu. Kas te ei saa paremat kliendituge pakkuda?

See on kõik, mis ma sain!

Taaskord on mul väga kahju Florini ja Ediniga juhtunu pärast. Ma tõesti loodan, et nad saavad oma domeenid varsti tagasi. See on nüüd vastavate registripidajate käes. Aga mis kõige tähtsam, ma tahan näha, et suured korpused (mitte kliendid) selle inimese tabamiseks midagi ära teeksid. Olen kindel, et kõik sealsed blogijad hindavad seda ja arvatavasti isegi kirjutavad sellest oma blogis.

Aeg on muutuda ;-)

parimate soovidega
Aibek

pildi krediit: tänu masin ülemise 'Mr Cracker' pildi jaoks