Скандальная история о похищении злоумышленниками уникального однобуквенного твиттер-аккаунта
@N облетела весь Интернет.
Его бывший владелец программист Наоки Хиросима
рассказал о том, как хакерам удалось получить доступ к его
доменным именам и шантажом заставить его отдать редкий аккаунт в социальной сети. По его словам, сам же злоумышленник не стал скрывать то, каким образом ему удалось получить личные данные владельца
доменов :
— Я обратился в службу техподдержки PayPal и, используя довольно простые уловки, получил последние четыре цифры номера вашей пластиковой карты (вы можете избежать этого, обратившись в службу техподдержки PayPal и попросив специалиста компании добавить примечание к вашей учетной записи, запрещающее сообщать какую-либо техническую информацию по телефону).
— Я позвонил GoDaddy и сказал им, что я потерял карту, но я вспомнил последние четыре цифры. Собеседник согласился и я назвал их (00-09 в вашем случае). Я не знаю, как сделать аккаунт в GoDaddy более безопасным.
На вопрос о том, как ему удалось, хакер ответил, что в разговоре с PayPal он представился их сотрудником, и ему действительно назвали последние четыре цифры кредитной карты. GoDaddy же сочли эти данные почти достаточными для того, чтобы дать злоумышленнику права доступа к
доменным именам. В разговоре они предложили ему попробовать вспомнить первые две цифры номера карты, и злоумышленнику удалось сделать это сразу или почти сразу. Шансы угадать первые цифры
весьма высоки, если знать что они обозначают: первая из них - код типа карты: Visa, MasterCard и т.д., вторая - код номера банка.
После этого происшествия GoDaddy
изменил правила безопасности: теперь для получения доступа требуется назвать 8 цифр карты, а пользователю дается не более трех попыток "угадать" номер. Также была введена двухфакторная аутентификация.
Комментарий Webnames.ru:
Мы не рекомендуем пользоваться услугами компаний, использующих авторизацию по телефону.
Во-первых: вся информация произносится вслух и может быть записана из помещения, где она произносится.
Во-вторых: телефон - небезопасный канал для передачи данных.
И в-третьих: сотрудники регистратора видят всю информацию для авторизации, т.е. есть вероятность утечки данных через сотрудников колл-центра.
В нашей компании подобных случаев быть не может.
Аккаунты записываются на конкретных лиц, включая номер паспорта. Пользователи и злоумышленники не могут самостоятельно изменить эти данные.
В случае угона аккаунта его владельцу достаточно лично с паспортом явиться в любой из наших офисов и написать там заявление на восстановление доступа. Также возможен вариант с нотариально заверенным документом по почте.
Также у нас есть настройки безопасности для аккаунтов.
Можно, например, разрешить доступ только с определенного IP или диапазона IP.
По телефону мы только консультируем клиентов. Совершить какое-либо действие с доменом или изменить какие-либо настройки по телефону невозможно.
05/02/2014
Полезные статьи
