[NEWS] Furto d’account, ecco la curiosa e assurda disavventura di Naoki Hiroshima

[c.m.g]

Scritto da: Daniele Particelli - mercoledì 29 gennaio 2014

Spoiler:

Quote: Ecco la disavventura di Naoki Hiroshima, sviluppatore preso di mira da un hacker che voleva impossessarsi del proprio account di Twitter.

In questo periodo, forse più che in passato, si fa un gran parlare di sicurezza online, di password forti e di metodi per proteggere i propri account. Le grandi aziende ci mettono a disposizioni una grande varietà di opzioni - dalla verifica in due passaggi alla seconda mail da associare a un dato account, passando per il cambio di password obbligatorio e chi più ne ha più ne metta.

Spesso, però, sono proprio le grandi aziende, con le loro regole ferree, a permettere o comunque facilitare il furto di account. La denuncia che arriva da Naoki Hiroshima, creatore di Cocoyon e sviluppatore per Echofon, deve farci riflettere.

Hiroshima era il proprietario di un account su Twitter tra i più ricercati, @N, una singola lettera che aveva fatto schizzare il valore dello stesso a oltre 50 mila dollari. Quell’account faceva gola a molti e qualcuno è riuscito a impossessarsene, sfruttando le rigide regole di PayPal e GoDaddy, il popolare provider di hosting che non certo nuovo ad attacchi.

Tutto è cominciato il 20 gennaio scorso con un messaggio di PayPal che inviava al telefono cellulare di Hiroshima il codice di verifica. Qualcuno stava tentato di accedere al suo account, ma senza quel codice della verifica in due passaggi non avrebbe potuto farlo.

GoDaddy compromesso, primo passaggio di un’epopea di furti e ricatti
Poi è arrivata la mail di GoDaddy, che informava lo sviluppatore di un cambio correttamente eseguito alle impostazioni del suo account. C’era poco da fare, ormai: il ladro di account era riuscito a cambiare i dati personali di Hiroshima e cambiare anche la carta di credito associata all’account, informazione che GoDaddy utilizza per il recupero dell’account.

Hiroshima ha tentato inutilmente a contattare l’assistenza, ma non c’era modo di provare che lo sviluppatore forse il vero proprietario di quell’account. La soluzione: inoltrare un reclamo e attendere almeno 48 ore. Nel frattempo, però, il ladro di account è andato avanti.

Da GoDaddy l’hacker è riuscito in un attimo ad appropriarsi dell’email di Hiroshima e da lì ha cominciato a tentare di appropriarsi anche dell’account di Twitter. Non riuscendoci, lo stesso ha involtato una segnalazione a Twitter, sostenendo di essere il proprietario dell’account e chiedendo il reset della password.

Violato anche l’account di Facebook
Nel frattempo anche l’account di Facebook di Hiroshima era stato compromesso, solo e soltanto perchè l’hacker voleva mettersi in contatto con lui. Alla fine è arriva l’email, un vero e proprio ricatto: concedimi l’accesso all’account di Twitter e ti restituirò l’account di GoDaddy.

Ogni tentativo di Hiroshima si è rivelato vano e alla fine, pur di non perdere i tanti siti ospitati su GoDaddy, si è visto costretto a cedere al ricatto: ha liberato l’account di Twitter, liberando così @N, ed è tornato in possesso di GoDaddy.

Come ci è riuscito?
L’hacker, a quel punto, gli inviato un’ultima mail spiegando come era riuscito nel suo intento. E qui la cosa si fa ancora più preoccupante.

- ho chiamato PayPal e usato alcune semplici tattiche di social engineering per ottenere le quattro cifre finali della sua carta di credito (puoi evitare che accade in futuro chiamando PayPal e facendo aggiungere una nota al tuo account di non rilasciare mai informazioni via telefono).
- ho chiamato GoDaddy e detto che avevo perso la mia carta di credito ma che ricordavo le ultime quattro cifre, l’operatore mi ha permesso di provare un range di numeri (00-09 nel tuo caso).

Strano, ma vero. Il ladro di account è riuscito nel suo intento e Hiroshima ha rischiato molto, dal momento che il malvivente era in possesso dei suoi dati sensibili. Quale conclusione ha tratto il nostro sfortunato sviluppatore? Non permettere mai alle grandi aziende di conservare i dati della tua carta di credito. E, ovviamente, cercare un provider diverso da GoDaddy.








Fonte: DownloadBlog via | Medium