BREAKING: Nauja „Gmail“ saugos klaida. Daugiau domenų bus pavogta!

Skelbimas

Kaip daugelis iš jūsų jau žino lapkričio 2 d., „MakeUseOf.com“ domenas buvo pavogtas iš mūsų. Domeno grąžinimas užtruko apie 36 valandas. Kaip mes atkreipėme dėmesį anksčiau įsilaužėliui kažkaip pavyko gauti prieigą prie mano „Gmail“ paskyros ir iš ten į mūsų „GoDaddy“ sąskaitą, atrakinti domeną ir perkelti jį į kitą registratorių.

Visą istoriją galite pamatyti mūsų laikinajame tinklaraštyje makeuseof-temporary.blogspot.com/

Neplanavau nieko skelbti apie įvykį ar įsilaužėlį (asmenį, kuris vagia domenus) ir apie tai, kaip jam pavyko jį nutempti, nebent pats būčiau visiškai tikras. Man buvo geras jausmas, kad tai yra „Gmail“ saugos trūkumas, tačiau prieš ką nors paskelbdamas norėjau tai patvirtinti apie tai „MakeUseOf“. Mes mėgstame „Gmail“ ir blogo viešumo suteikimas nėra tai, ko mes kada nors norėtume daryti.

Taigi kodėl tada rašyti apie tai?

Per pastarąsias dvi dienas nutiko keletas dalykų, kurie privertė mane patikėti, kad „Gmail“ turi rimtų saugumo trūkumų ir visi turėtų apie tai žinoti. Ypač tais laikais, kai tau sako tokie žmonės kaip Steve'as Rubelis

Kaip paversti „Gmail“ jūsų „GateWay“ žiniatinkliu. Nesuklyskite čia neteisingai, „Gmail“ yra nuostabi el. Pašto programa. Geriausias turbūt. Problema ta, kad, kalbant apie saugumą, jis gali būti nepatikimas. Nepaisant to, tai nebūtinai reiškia, kad jums geriau seksis naudojant „Yahoo“ ar „Live Mail“.

1 incidentas: MakeUseOf.com - lapkričio 2 d

Kai mūsų domenas buvo pavogtas, įtarėme, kad įsilaužėlis panaudojo kokią nors skylę „Gmail“, bet mes tuo nebuvome tikri. Kodėl įtariau, kad tai yra kažkas bendro su „Gmail“? Aš, viena vertus, esu gana atsargus dėl saugumo ir retai darau viską, dėl ko nesu tikras. Aš taip pat nuolat atnaujinu savo sistemą ir turiu visą būtiną informaciją, įskaitant 2 kenkėjiškų programų monitorius, antivirusinę programą ir 2 ugniasienes. Aš taip pat linkęs naudoti tvirtus ir unikalius slaptažodžius kiekvienoje savo paskyroje.

Įsilaužėlis padarė prieigą prie mano „Gmail“ paskyros ir ten nustatė kelis filtrus, kurie galiausiai padėjo jam pasiekti mūsų „GoDaddy“ paskyrą. Aš nežinojau, kaip jam pavyko tai padaryti. Ar tai buvo „Gmail“ saugos skylė? Ar tai buvo mano kompiuterio klaviatūra? Aš nebuvau tikras dėl to. Po įvykio nuskaitydavau sistemą, pašalindama daugybę kenkėjiškų programų, ir nieko neradau. Aš taip pat išgyvenau kiekvieną bėgimo procesą. Visi pririšti prie švarumo.

Taigi esu linkęs manyti, kad problema buvo „Gmail“.

2 incidentas: YuMP3.org - lapkričio 19 d

Lapkričio 18 d. Gavau el. Laišką iš asmens, vardu Edin Osmanbegovic, kuris vadovauja svetainei yump3.org. (Jis tikriausiai rado mano el. Laišką per „Google“, nes incidentas su „MakeUseOf“ buvo aptartas keliuose populiariuose tinklaraščiuose iš kurių buvo nurodytas mano el. pašto ID.) Savo el. laiške Edinas man pasakė, kad jo domenas buvo pavogtas ir perkeltas į kitą registratorių. Greitai susiradau „yoump3“ ir pamačiau, kad gana nusistovėjusi svetainė dabar teikia nuorodų ūkio puslapį (lygiai taip, kaip mūsų atveju).

„Google“ (paskutiniame indekse):

„YouMP3.org“ puslapis (dabartinis):

Štai pirmojo el. Laiško, kurį gavau iš Edino, kopija:

Sveiki,
Aš turiu tą pačią problemą su savo domenu.
Domenas buvo perkeltas iš „Enom“ į „GoDaDDy“.
Aš nedelsdamas išsiunčiu palaikymo bilietą dėl šios problemos.

Naujo domeno savininko Whois yra:

Vardas: Amir Emami
1 adresas: P.O. 1664 dėžutė
Miestas: Lygos miestas
Valstybė: Teksasas
Pašto indeksas: 77574
Šalis: JAV
Telefonas: +1.7138937713
El. Paštas:Administracinė kontaktinė informacija:
Vardas: Amir Emami
1 adresas: P.O. 1664 dėžutė
Miestas: Lygos miestas
Valstybė: Teksasas
Pašto indeksas: 77574
Šalis: JAV
Telefonas: +1.7138937713
El. Paštas:

Techninė kontaktinė informacija:
Vardas: Amir Emami
1 adresas: P.O. 1664 dėžutė
Miestas: Lygos miestas
Valstybė: Teksasas
Pašto indeksas: 77574
Šalis: JAV
Telefonas: +1.7138937713
El. Paštas:

Paštas: [email protected]
Vakar vaikinas iš to el. Pašto adreso susisiekė su manimi per „Gtalk“.
Jis sakė, kad nori 2000 USD už domeną.
Man reikia patarimo, prašau, susisiekiau su „Enom“.

Ačiū.

Ir atspėk, tai tas pats vaikinas, kuris anksčiau šį mėnesį pavogė „MakeUseOf.com“. Su mumis taip pat susisiekta tuo pačiu el. Pašto adresu: ž[email protected]. Šiandien Edinas taip pat išsiuntė man el. Laišką ir patvirtino, kad vaikinas taip pat gavo prieigą prie savo domeno paskyros per „Gmail“ paskyrą. Taigi tai vėl yra „Gmail“.

Į savo paskutinį laišką (gautą šiandien) Edinas įtraukė trumpą įvykių apžvalgą

Aš turiu istoriją, kaip jis viską padarė.

Lapkričio 10 d. Buvau savininkas.
Lapkričio 13 d. Markas Morphew.
Lapkričio 18 d. Amir Emami.

Abiejais asmenimis jis naudojosi [email protected].

Aš taip pat vakar siunčiau kiekvieną trečiąjį į Monikerį.
Jie ištirs.

3 incidentas: Cucirca.com - lapkričio 20 d

Šis paskutinis el. Laiškas buvo pagrindinė šio įrašo priežastis. Ją pateikė Florin Cucirka, cucirca.com savininkas. Šios svetainės alexa reitingas yra 7681 ir, pasak Florino, kasdien apsilanko daugiau nei 100 000 apsilankymų.

Pirmasis Florino el. Laiškas:

Sveikas, Aibekai

Aš atsidūriau tokioje pačioje situacijoje, kaip makeuseof.com.

Aš esu „Cucirca Florin“ ir mano domenas www.cucirca.com buvo
perkeltas iš mano „godaddy“ sąskaitos be mano leidimo.

Panašu, kad vagis žinojo mano „gmail“ slaptažodį, kuris yra keistas.
Jam pavyko sukurti kelis filtrus į mano sąskaitą.

Prisegiau 2 ekrano kopijas.

Ar gali man padėti? Pateikite keletą informacijos, kaip galėčiau gauti
iš šio blogo sapno? Aš ką tik šiandien sužinojau apie tai ir aš
nemanau, kad galiu miegoti šį vakarą.

Ačiū iš anksto.

Florinas Cucirca.

Aš nusiųstu el. Laišką Florinui ir paprašiau jo kai kurių duomenų apie savo domeną, ar jis susisiekė su „GoDaddy“ ir kokią informaciją iki šiol gavo apie domenų nulaužimo (terminas naudojamas domeno vagystei) vyruką.

Antrasis Florino el. Laiškas:

Įsilaužėlis turėjo prieigą prie mano el. Pašto paskyros („gmail“). Domenas buvo priglobtas godaddy.
„Firefox“ naudojau „gmail notifier“ plėtinį. gal ten yra didžioji klaida.
Jis perkėlė domeną į register.com

Aš nekalbu su įsilaužėliu. Noriu jį susigrąžinti legaliai ir, jei nėra kito sprendimo, gal aš jam sumokėsiu

www.cucirca.com „Alexa Rank“ yra 7681 ir apsilanko per 100 000 per dieną.

Aš jums pridėsiu 2 savo „Gmail“ paskyros ekrano kopijas.

[email protected] ir antrame ekrane [email protected]

Jei „Google“ ieškosite [email protected], rasite šią informaciją:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Manau, kad kažkas turėtų juos sustabdyti.

Aš elektroniniu paštu [email protected] ir laukiu atsakymo.

Ką tu manai? Ar aš gausiu savo domeną?

Panašu, kad tai vėl yra „Gmail“! Čia yra dalinės ekrano nuotraukos iš to, ką jis man atsiuntė:

Florino atveju įsilaužėlis prieš keletą mėnesių pakeitė domeno savininką. Cucirca.com buvo perkeltas iš „GoDaddy“ į „Register.com“. Kadangi įsilaužėlis perėmė jo el. Laiškus ir niekada nekeitė vardų serverių, manau, kad Florinas neturėjo minties, kad kažkas ne taip. Kai jo paklausiau, kodėl ilgai užtruko, kol sužinojo, kad jis man atsiuntė:

Jis 2008-09-05 perdavė domeną savo vardu palikdamas vardo serverius nepakeistus. Štai kodėl aš nepastebėjau, kad mano domenas buvo pavogtas iki vakar, kai mano draugas mano domene padarė WHOIS.

Neturėjau priežasties tikrinti Whois įrašų, nes domenas buvo įregistruotas per 7 metus (iki 2013-11-08)

Negavau jokių el. Laiškų iš šio asmens.

Ir vėl atrodo, kad tas pats vaikinas! Kodėl aš taip manau? Jei pažymėsite tą nuorodą, kurią Florinas įtraukė į vieną iš savo el. Laiškų (aš ją pridėjau ir žemiau), pamatysite kad kai kuriais kitais panašiais atvejais (kas žino, kiek daugiau domenų jis pavogė taip) el adresą [email protected] buvo paminėtas kartu su pavadinimu „Aydin Bolourizadeh“. Tas pats el. Paštas taip pat pasirodė „Florin“ „Gmail“ paskyros persiuntimo taisyklėje (žr. Pirmą ekrano kopiją).

Kai iš mūsų buvo paimtas „MakeUseOf.com“, įsilaužėlis manęs paprašė 2000 USD. Kai manęs paklausė, kur ir kaip jis nori gauti užmokestį, jis man liepė nusiųsti pinigus per „Western Union“ šiuo adresu:

Aydinas Bolourizadehas
Turkija
Ankara
„Cukurca kirkkonaklar mah“ 3120006954

ekrano kopija iš http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Man labai gražu, kad tai buvo tas pats vaikinas visais 3 atvejais ir turbūt 788 kiti, paminėti aukščiau esančioje nuorodoje, įskaitant domenus, tokius kaip yxl.com, visitchina.net ir visitjapan.net.

Ieškodamas to adreso „Google“ taip pat sužinojau, kad jam priklauso šie domenai (tikriausiai juos taip pat pavogė):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Manau, kad vaikinas iš tikrųjų yra iš Turkijos ir greičiausiai gyvena kažkur toliau esančioje srityje.

• „Cukurca kirkkonaklar mah“ 3120006954

Ankara, Turkija

Mes taip pat žinome, kad jis el. Paštu naudoja [email protected]. Taigi, jei žinosime, kas stovi už domainsgames.org, galime žengti tik vieną žingsnį arčiau. Tiesą sakant, jis prieš kelias dienas išsiuntė el. Laišką ir paprašė manęs pašalinti visus jo el. Laiško egzempliorius iš svetainės. Jei mes to nepaisysime, jis mums DDOS.

Čia yra tikslūs jo žodžiai:

Sveiki,
Prašau pašalinti mano el. Pašto adresą ([email protected]) iš savo svetainės!
Atlikite tai, jei norite, kad ateityje nekiltų problemų, kitaip aš pirmiausia turėsiu didelę DDOS jūsų svetainėje ir pašalinsiu ją ...
Aš labai seriuos, todėl pašalinu mano el. Pašto adresą ir domainsgame.org vardą

Taigi atrodo, kad jei mes galime patekti į ID, esančią už domainsgame.org, mes galime gauti mūsų vaikiną ir tikriausiai aptikti dar daugiau domenų, kuriuos jis užmėtė. Skaitykite daugiau apie tai žemiau. Dabar pakalbėkime apie „Gmail“.

„Gmail“ pažeidžiamumas

Ar kas nors prisimena, kas praėjusiais metais sielvartavo su Deividu Airey? Jo domenas taip pat buvo pavogtas. Pasakojimas buvo žiniatinklyje.

– ĮSPĖJIMAS: dėl „Google GMail“ saugos klaidų mano verslas tapo sabotažu
- Kolektyvinėmis pastangomis atkuriamas Davidas Airey.com

Tiek mums, tiek Deividui pavyko susigrąžinti domeną. Bet nesu tikras, ar visiems pasisekė taip, kaip mums. Deja, registratoriai tikrai su jumis nebendradarbiaus, nebent pasakojimas sulaukia tam tikro dėmesio. Taigi, neabejoju, kad šimtai žmonių ten liko be jokios galimybės duoti savo domeno vardą arba sumokėti vaikinui.

Bet kokiu atveju, grįžkite į „Gmail“.

Pirmame savo straipsnyje Davidas Airey užsiminė apie „Gmail“ pažeidžiamumą, kuris (jei neklystu) buvo paminėtas čia keliais mėnesiais anksčiau. Apibendrinant:

Auka apsilanko puslapyje prisijungdama prie „Gmail“. Vykdydamas puslapį, vienas iš „GMail“ sąsajų atlieka kelių dalių / formos duomenų POST ir įveda filtrą į aukos filtrų sąrašą. Aukščiau pateiktame pavyzdyje užpuolikas rašo filtrą, kuris paprasčiausiai ieško el. Laiškų su priedais ir persiunčia juos į pasirinktą el. Pašto adresą. Šis filtras automatiškai perduos visus el. Laiškus, atitinkančius taisyklę. Atminkite, kad būsimi el. Laiškai taip pat bus persiųsti. Ataka bus vykdoma tol, kol auka turės filtrą savo filtrų sąraše, net jei pradinį pažeidžiamumą, kuris buvo injekcijos priežastis, nustatė „Google“.

originalus puslapis: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Įdomi dalis yra ta, kad minėto „GNU Citizen“ nuorodos atnaujinimas teigia, kad pažeidžiamumas buvo ištaisytas iki 2007 m. Rugsėjo 28 d. Bet Dovydo atveju incidentas įvyko gruodžio mėn., Praėjus 2–3 mėnesiams.

Taigi, ar tada išnaudojimas iš tikrųjų buvo fiksuotas? O gal tai buvo naujas išnaudojimas Dovydo atveju? Ir svarbiausia, ar „Gmail“ DABAR yra panašus saugos trūkumas?

Ką dabar turėtum daryti?

(1) Na, mano pirmasis patarimas būtų patikrinti el. Pašto nustatymus ir įsitikinti, kad jūsų el. Patikrinkite tiekimo galimybes ir filtrus. Taip pat būtinai išjunkite IMAP, jei jo nenaudojate. Tai taip pat taikoma „Google Apps“ paskyroms.

(2) Keiskite kontaktinį el. Pašto adresą jautriose žiniatinklio paskyrose („paypal“, domenų registratoriui ir kt.) Iš savo pagrindinės „Gmail“ paskyros į ką nors kitą. Jei jums priklauso svetainė, pakeiskite pagrindinio ir registratoriaus paskyrų kontaktinį el. Pašto adresą į kitą el. Pašto adresą. Pageidautina to, prie ko neprisijungėte naršydami internete.

(3) Įsitikinkite, kad naujovinote savo domeną į privačią registraciją, kad kontaktinė informacija nebūtų rodoma „WhoIS“ paieškose. Jei naudojate „GoDaddy“, rekomenduočiau naudotis saugoma registracija.

(4) Neatidarykite nuorodų savo el. Laiške, jei nežinote asmens, iš kurio jie ateina. Ir jei nuspręsite atidaryti nuorodą, būtinai atsijunkite.

ATNAUJINTA:

Atsakydamas į „MakeUseOf“ straipsnį atradau keletą gerų straipsnių, kuriuose aptariamos galimos saugos spragos:

– „Gmail“ saugos klaidų koncepcijos įrodymas
– Komentarai apie tai „YCombinator“
- (lapkritis 26-oji) „Gmail“ sauga ir naujausia sukčiavimo veikla [Oficialus „Google“ atsakymas]

Padėkite mums sugauti vaikiną!

Be aukščiau nurodyto pašto adreso, mes taip pat žinome, kad jis naudojasi ž[email protected] kaip jo el. Taigi, jei išsiaiškinsime, kam dabar priklauso domainsgames.org, galime žengti dar vieną žingsnį arčiau. arba bent jau grąžinti pavogtus domenus jų atitinkamiems savininkams.

Dabar domeno vardą domainsgames.org saugo „Moniker“ ir jie slepia visą kontaktinę informaciją.

Domeno ID: D154519952-LROR
Domeno vardas: DOMAINSGAME.ORG
Sukurtas: 2008-10-22 07:35:56 UTC
Paskutinį kartą atnaujinta: 2008 m. Lapkričio 8 d. 12:11:53 UTC
Galiojimo pabaiga: 2009-10-22 07:35:56 UTC
Remiantis registratorių: „Moniker Online Services Inc.“ (R145-LROR)
Būsena: KLIENTO NUSTATYMAS draudžiamas
Būsena: KLIENTŲ PERDAVIMAS draudžiamas
Būsena: KLIENTO ATNAUJINIMAS draudžiamas
Statusas: PERDAVIMAS draudžiamas
Registruotojo ID: MONIKER1571241
.
.
.
.
Vardų serveris: NS3.DOMAINSERVICE.COM
Vardų serveris: NS2.DOMAINSERVICE.COM
Vardų serveris: NS1.DOMAINSERVICE.COM
Vardų serveris: NS4.DOMAINSERVICE.COM

Aš jau elektroniniu paštu (taip ir Edinui) jiems apie tai pranešsiu ir atnaujinsiu jus čia, kai tik išgirsiu ką nors iš jų.

Taip pat turiu keletą prašymų toms įmonėms, kurios dabar teikia paslaugas tam asmeniui.

Peržiūrėjus antraštės failus keliuose el. Laiškuose buvo aišku, kad įsilaužėlis naudoja „Google Apps“. Prašau pažvelgti į tai. Domenas yra domainsgame.org. Ir taip pat prašau FIX! „Gmail“.

Visų pirma, padėkite Edinui ir Florinui susigrąžinti domenus. Vienas protingas dalykas, kurį reikia padaryti, yra patikrinti paskyros prisijungimo IP adresus visais panašiais atvejais, apie kuriuos pranešta. Pavyzdžiui, tiek Edino, tiek mūsų atveju (nesate tikri dėl Florino) įsilaužėlis naudojo 64.72.122.156 IP adresą. (Kuris, beje, pasirodė kaip kompromituotas serveris „Alpha Red Inc.“). Ar net paprasčiau, tiesiog užrakinkite domeno vardą ir paprašykite esamos sąskaitos savininko įrodyti savo tapatybę. Kadangi įsilaužėlis visur naudojo skirtingas tapatybes, jam to padaryti būtų neįmanoma. Jūsų interesams yra užtikrinti, kad šis asmuo nebenaudotų jūsų paslaugų.

Uždarykite jo sąskaitą! (tai yra domainsgame.org). Bet kokia papildoma informacija ar pagalba, kurią galite suteikti, bus įvertinta.

Nesu tikras, bet manau, kad „DomainSponsor“ yra įmonė, kuri užsidirba pinigų domenams, kuriuos vagia šis vaikinas. Tai atsitiko su MakeUseOf.com, o dabar - su YouMP3.org.

5 iki „PayPal“. KOM: (Jūsų PARAMA TIKRA)

Esu tikras, kad jie to net neskaitys, todėl vietoj to jums pasakysiu. Aš nusiunčiau laišką el. Paštu [email protected] ir perspėjau, kad asmuo, pavogęs mūsų domeną ir anksčiau šantažavęs mus, naudojasi [email protected] sąskaita (jis naudoja ir kai kurias kitas paskyras). Aš tiesiog paprašiau jų pažiūrėti. Vietoj to gaunu el. Laišką, kuris neturi nieko bendra su tuo, ką sakiau. Iš esmės tai yra el. Pašto šablonas, kuris turėjo atrodyti tikras ir išsiųstas žmonėms, kurie buvo apgauti. C'mon! Mes mokame 3% komisinio mokesčio už kiekvieną operaciją. Ar negalite suteikti žmonėms geresnės paramos klientams?

Tai viskas, ką aš gavau!

Dar kartą labai apgailestauju dėl to, kas nutiko Florinui ir Edinui. Aš labai tikiuosi, kad jie greitai atgaus savo domenus. Dabar viskas yra atitinkamų registratorių rankose. Bet svarbiausia, kad noriu pamatyti, kaip dideli korpusai (ne klientai) ką nors padaro, kad sugautų tą žmogų. Esu tikras, kad kiekvienas ten esantis tinklaraštininkas tai įvertins ir tikriausiai net apie tai rašo savo tinklaraštyje.

Atėjo laikas PAKEISTI ;-)

Geriausi linkėjimai
Aibekas

vaizdo kreditas: ačiū mašina viršutiniam „pono Crackerio“ atvaizdui