Como muitos de vocês já sabem em 2 de novembro, o domínio de MakeUseOf.com foi roubado de nós. Demorou cerca de 36 horas para obter o domínio de volta. Como já apontado anteriormente que o hacker de alguma forma conseguiu ter acesso à minha conta do Gmail e de lá para a nossa conta GoDaddy, desbloquear o domínio e movê-lo para outro registrador.
Você pode ver toda a história em nosso makeuseof-temporary.blogspot.com/ blogue temporária
Eu não estava planejando publicar nada sobre o incidente ou biscoito (pessoa que rouba domínios) e como ele conseguiu retirá-lo a menos que eu estava completamente certo sobre ele próprio. Eu tive uma boa sensação que era uma falha de segurança do Gmail, mas queria para confirmá-la antes de postar qualquer coisa sobre ele no MakeUseOf. Nós amo Gmail e dando-lhes má publicidade não é algo que jamais iria querer fazer.
Então, por que escrever sobre isso agora, então?
Várias coisas aconteceram nos últimos dois dias que fizeram-me acreditar que o Gmail tem uma séria falha de segurança e todos devem estar cientes sobre isso. Especialmente durante os momentos em que pessoas como Steve Rubel dizer-lhe como fazer Gmail seu gateway para a Web. Agora, não me interpretem mal aqui, o Gmail é um programa de e-mail IMPRESSIONANTE. O melhor provavelmente. O problema é que ele pode não ser um confiável um quando se trata de segurança. Dito isto, não significa necessariamente que você vai ser melhor fora com o Yahoo ou Live Mail.
Incidente 1: MakeUseOf.com – 02 de novembro
Quando o nosso domínio foi roubado, nós suspeitamos que o hacker usou algum buraco no Gmail, mas não tínhamos certeza sobre isso. Por que eu suspeito que era algo a ver com o Gmail? Bom para uma coisa estou um pouco cauteloso sobre a segurança e qualquer coisa raramente correr Eu não estou certo sobre. Eu também manter meu sistema atualizado e ter todos os elementos essenciais, incluindo 2 monitores de malware, um antivírus e 2 firewalls. Eu também tendem a usar senhas fortes e únicas para cada uma das minhas contas.
O hacker fez o acesso a minha conta do Gmail e configurar alguns filtros lá que eventualmente o ajudaram a obter acesso à nossa conta GoDaddy. O que eu não sei é como ele conseguiu fazer isso. Foi uma falha de segurança no Gmail? Ou era um keylogger no meu PC? Eu não tinha certeza sobre isso. Após o incidente, eu digitalizados meu sistema com um número de remoções de malware e não encontrou nada. Eu também fui através de cada processo em execução também. Todos semed para ser limpo.
Então, eu estou inclinado a acreditar que o problema era com o Gmail.
Incidente 2: YuMP3.org – 19 de novembro
No November 18`th, eu recebi um email de alguém chamado Edin Osmanbegovic que dirige o yump3.org site. (Ele provavelmente encontrou o meu e-mail através do Google como o incidente com MakeUseOf foi coberto em vários blogs populares, muitos dos quais incluídos meu ID e-mail.) Em seu e-mail, Edin me disse que seu domínio foi roubado e se mudou para outro registrador. Eu rapidamente pesquisei o yoump3 e viu que um site em vez estabelecido foi agora servindo uma página link fazenda (exatamente como no nosso caso).
Google (no último índice):
YouMP3.org hompage (presente):
Aqui está uma cópia do primeiro e-mail que recebi de Edin:
Olá,
Eu tenho o mesmo problema com o meu domínio.
O domínio tem transferidos de Enom para GoDaddy.
Eu enviar imediatamente ticket de suporte em relação a esse problema.
O whois do novo proprietário de domínio é:
- Nome: Amir Emami
Endereço 1: P.O. box 1664
Cidade: League City
Estado: Texas
Zip: 77574
País: US
Telefone: 1,7138937713
O email:
Administrativa Informações para contato:
Nome: Amir Emami
Endereço 1: P.O. box 1664
Cidade: League City
Estado: Texas
Zip: 77574
País: US
Telefone: 1,7138937713
O email:
Informações para contato técnico:
Nome: Amir Emami
Endereço 1: P.O. box 1664
Cidade: League City
Estado: Texas
Zip: 77574
País: US
Telefone: 1,7138937713
O email:
E-mail é: [email protected]
Ontem o cara daquele endereço de e-mail me tinha contactado via Gtalk.
Ele disse que quer $ 2000 para o domínio.
Eu preciso de conselhos por favor, eu tenho contato com o Enom.
Obrigado.
E adivinhem, é o mesmo cara que no início deste mês roubou MakeUseOf.com. Nós também foram contatados a partir do mesmo endereço de e-mail: [email protected]. Edin também me enviaram hoje e confirmou que o cara também tem acesso à sua conta de domínio através de sua conta do Gmail. Portanto, é novamente Gmail.
Em seu último e-mail (recebeu hoje) Edin incluiu uma breve recapitulação dos eventos
Eu tenho a história de como ele fez tudo.
Em 10 de novembro eu era o proprietário.
Em 13 de novembro Mark Morphew.
Em 18 de novembro Amir Emami.
Ele usou [email protected] tanto sobre as pessoas.
Tenho enviar ontem também everythig a Moniker.
Eles vão investigar.
Incidente 3: Cucirca.com – 20 de novembro
Este último e-mail foi a principal razão para este post. Ela veio de Florin Cucirka, o proprietário do cucirca.com. O site tem uma classificação de Alexa de 7681 e de acordo com Florin recebe mais de 100.000 visitas diárias.
Primeiro e-mail de Florin:
oi Aibek
Estou na mesma situação makeuseof.com saiu.
Estou Cucirca Florin e meu cucirca.com domínio foi
transferidos da minha conta GoDaddy sem minha permissão.
Parece que o ladrão sabia que a minha senha do Gmail que é estranho.
Ele conseguiu criar alguns filtros para minha conta.
Anexei 2 screenshots.
Pode me ajudar? Dê-me alguns detalhes sobre como eu poderia começar
fora deste sonho ruim? Eu só descobri hoje sobre isso e eu
não acho que eu sou capaz de dormir esta noite.
Desde já, obrigado.
Florin Cucirca.
Mandei um email Florin e pediu-lhe alguns detalhes sobre o seu domínio, se ele entrou em contato GoDaddy e qualquer informação que ele pegou o biscoito de domínio (termo usado para ladrão de domínio) cara até agora.
Segundo e-mail a partir de Florin:
O hacker teve acesso a minha conta de e-mail (gmail). O domínio foi hospedado no GoDaddy.
Eu costumava extensão notificador gmail no firefox. talvez haja grande erro.
Ele transferiu o domínio para register.com
Eu não falar com o hacker. Eu quero recuperá-lo legalmente e se não houver outra solução, talvez eu vou pagar-lhe
cucirca.com tem uma classificação de Alexa de 7681 e mais de 100 000 visitas diárias.
Vou anexar-lhe 2 screenshots da minha conta do gmail.
[email protected] e na segunda tela [email protected]
Se você fizer uma pesquisa no google de [email protected] você vai encontrar este:
Acho que alguém deve detê-los.
Mandei um email [email protected] e à espera de uma resposta.
O que você acha? Vou receber meu domínio de volta?
Parece que é o Gmail novamente! Aqui estão as imagens parciais do que ele me enviou:
No caso de Florin o hacker mudou propriedade do domínio vários meses atrás. O cucirca.com foi transfrred da GoDaddy para Register.com. Desde o hacker foi interceptando seus e-mails e nunca servidores de nomes alterados Presumo Florin não tinha idéia de que algo estava errado. Quando eu perguntei-lhe como é que ele levou tanto tempo para descobrir que ele me envie seguinte:
Ele transferiu o domínio para seu nome em 2008-09-05 deixando os servidores de nomes inalterado. É por isso que eu não ter notado que minha doomain foi roubado até ontem, quando um amigo meu fez um whois no meu domínio ….
Eu não tinha nenhuma razão para verificar os registros Whois porque o domínio foi registrado ao longo de 7 anos (até 2013/11/08)
Eu não recebi nenhum e-mails a partir desta pessoa.
E novamente parece ser o mesmo cara! Por que eu penso assim? Se você verificar que apontam que Florin incluído em um de seus e-mails (i acrescentou que abaixo também), você verá que em alguns outros incidentes semelhantes (quem sabe quantos mais domínios que ele tenha roubado como este) endereço de email [email protected] foi mencionado junto com o nome ‘Aydin Bolourizadeh`. Nesse mesmo e-mail também apareceu na regra para a frente na conta do Gmail de Florin (veja primeira imagem).
Quando MakeUseOf.com foi tirado de nós, o cracker foi me pedindo US $ 2000. E quando eu perguntei-lhe onde e como ele quer ser pago, ele me disse para enviar dinheiro via Western Union para o seguinte endereço:
Aydin Bolourizadeh
Peru
Ancara
Cukurca mah kirkkonaklar 3120006954
screenshot de http://domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/
Estou muito bem que era o mesmo cara em todos os 3 incidentes e, provavelmente, 788 outros mencionados no link acima, incluindo domínios como yxl.com, visitchina.net e visitjapan.net.
Quando eu procurei por esse endereço no Google, descobri também que ele possui os seguintes domínios (provavelmente roubou-los também):
- Elli.com – http://whois.domaintools.com/elli.com
Ttvx.net – http://dnforum.com/post252-post-1399775.html
Presumo que o cara é realmente da Turquia, e é provável que residem em algum lugar na área seguinte.
- Cukurca mah kirkkonaklar 3120006954
Ankara, Turquia
Sabemos também que ele usa [email protected] como seu e-mail. Então, se nós sabemos quem está por trás domainsgames.org nós só poderia obter um passo mais perto. Na verdade, ele enviada há vários dias e me pediu para remover todas as instâncias do seu e-mail do site e se não cumprir ele nos DDoS.
Aqui estão suas palavras exatas:
Oi,
Peço-lhe para remover o meu endereço de e-mail ([email protected]) a partir de seu site!
Fazê-lo se você quiser não tem qualquer problema no futuro, caso contrário, em primeiro lugar eu vou começar a ter os grandes DDOS em seu site e vai fazê-lo para baixo …
Im muito seriuos assim retirar o meu e-mail e nome domainsgame.org
Assim, parece se podemos chegar ao ID trás domainsgame.org poderíamos obter o nosso cara e provavelmente descobrir muitos mais domínios que ele tem stollen. Leia mais sobre ele abaixo. Agora vamos falar sobre o Gmail.
Vulnerabilidade Gmail
Alguém se lembra o que hapeened com David Airey no ano passado? Seu domínio foi roubado também. A história era toda a web.
– AVISO: falha de segurança do Gmail do Google deixa meu negócio sabotado
– Mutirão restaura David Airey.com
Tanto nós como David conseguiu obter o domínio de volta. Mas eu não tenho certeza se todo mundo é tão sortudo quanto nós. Infelizmente, os registradores realmente não vai cooperar com você sobre isso, a menos que a história fica um pouco de atenção. Então, eu não tenho dúvida de que existem centenas de pessoas lá fora deixado sem chance, mas que quer dar seu nome de domínio ou pagar o cara.
De qualquer forma, de volta ao Gmail.
Em seu primeiro artigo David Airey estava se referindo a uma vulnerabilidade Gmail que foi (se não me engano) mencionado aqui há vários meses. Resumindo:
A vítima visita uma página ao ser conectado ao GMail. Após a execução, a página executa um POST multipart / form-data para uma das interfaces Gmail e injeta um filtro na lista de filtros da vítima. No exemplo acima, o atacante escreve um filtro, que simplesmente olha para e-mails com anexos e encaminhá-los para um e-mail de sua escolha. Este filtro irá transferir automaticamente todos os e-mails correspondentes a regra. Tenha em mente que futuros e-mails serão enviados também. O ataque permanecerá presente durante o tempo que a vítima tem o filtro dentro de sua lista de filtros, mesmo se a vulnerabilidade inicial, que foi a causa da injeção, é fixado pelo Google.
página original: http://gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
Agora, a parte interessante é que atualização no link estados GNU Cidadão Acima de que a vulnerabilidade foi fixado antes de 28 de setembro de 2007. Mas no caso de David, o incidente ocorreu em dezembro, 2-3 meses depois.
Então, foi a façanha realmente fixo naquela época? Ou era um novo exploit no caso de Davi? E o mais importante é não uma falha de segurança semelhante no Gmail AGORA?
O que você deve fazer agora?
(1) Bem, meu primeiro conselho seria para verificar suas configurações de e-mail e verifique se o e-mail não seja comprometida. Verifique as opções e filtros fowarding. Também certifique-se de desativar IMAP se você não usá-lo. Isso também se aplica a contas do Google Apps.
(2) Alterar e-mail para contato em suas contas de web sensíveis (paypal, registro de domínio etc.) da sua conta principal do Gmail para outra coisa. Se você possui o site, em seguida, mudar o e-mail de contato para o seu anfitrião e contas registrador para algum outro e-mail. De preferência a algo que você não está conectado para quando se navega na web.
(3) Certifique-se de atualizar seu domínio para registo confidencial de modo que seus detalhes de contato não aparecem em pesquisas Whois. Se você estiver em GoDaddy eu recomendo ir com Registro protegido.
(4) Não abra links em seu e-mail se você não conhece a pessoa que eles estão vindo. E se você decidir abrir o link inicie a sessão em primeiro lugar.
ATUALIZAR:
Eu descobri alguns bons artigos discutindo potencial falha de segurança em resposta ao artigo de MakeUseOf:
– Gmail Segurança Flaw prova de conceito
– Comentários sobre esta em YCombinator
– (26`th de novembro) Gmail Segurança e recentes Phishing Atividade [resposta oficial do Google]
Ajude-nos a pegar o Guy!
Além de acima de endereço, também sabemos que ele usa [email protected] como seu e-mail. Então, se nós descobrimos que agora possui o domainsgames.org poderíamos obter um passo mais perto. ou pelo menos devolver os domínios que roubou aos seus respectivos proprietários.
Agora, a coisa é o nome de domínio domainsgames.org é protegido por Moniker e eles se escondem todas as informações de contato para ele.
Domínio ID: D154519952-LROR
Domain Name: DOMAINSGAME.ORG
Criado em: 22-Oct-2008 7:35:56 UTC
Última actualização: 08-Nov-2008 00:11:53 UTC
Data de Vencimento: 22-Oct-2009 7:35:56 UTC
Patrocínio secretário: Moniker Online Services Inc. (R145-LROR)
Status: CLIENT proibido excluir
Status: cliente de transferência PROIBIDO
Status: cliente de atualização PROIBIDO
Status: TRANSFERÊNCIA PROIBIDO
Registrant ID: MONIKER1571241
.
.
.
.
Nome do servidor: NS3.DOMAINSERVICE.COM
Nome do servidor: NS2.DOMAINSERVICE.COM
Nome do servidor: NS1.DOMAINSERVICE.COM
Nome do servidor: NS4.DOMAINSERVICE.COM
Eu já enviado (fez Edin) eles sobre isso e irá atualizá-lo aqui assim que eu ouvir alguma coisa com eles.
Eu também tenho alguns pedidos para seguir as empresas que estão fornecendo os seus serviços a esse indivíduo.
1- Para Gmail Equipe:
Ao passar por arquivos de cabeçalho em vários e-mails, ficou claro que hackers estava usando o Google Apps. Por favor olhar para ele. O domínio é domainsgame.org. E também por favor corrija! o Gmail.
2- Para GoDaddy.COM & ENOM & Register.COM
Antes de mais nada, por favor ajude Edin e Florin obter os seus domínios de volta. Uma coisa inteligente a fazer seria a de verificar os endereços IP de login da conta para todos os casos relatados semelhantes. Por exemplo, tanto no caso e nosso (não tenho certeza sobre Florin) do Edin o hacker estava usando 64.72.122.156 endereço IP. (Que por sinal acabou por ser um servidor comprometido em Alpha Red Inc.) Ou ainda mais fácil, apenas bloquear o nome de domínio e pedir o titular da conta corrente para provar a sua identidade. Desde o hacker estava usando diferentes identidades em todos os lugares que seria impossível para ele fazer isso. É no seu melhor interesse para garantir que essa pessoa não está mais usando seus serviços.
3 a Moniker.COM:
Feche sua conta! (Que é a única para domainsgame.org). Qualquer informação adicional ou assistência que você pode fornecer será apreciada.
4- Para Domainsponsor.COM
Eu não sou realmente certo, mas acho que DomainSponsor é a empresa que rentabiliza os domínios que esse cara rouba. Foi o que aconteceu com MakeUseOf.com e agora hapening com YouMP3.org.
5 a PayPal.COM: (seu apoio É HORRÍVEL)
Estou certo de que eles não vão mesmo ler este então eu vou apenas dizer-lhe em seu lugar. Enviei um e-mail para [email protected] e advertiu-lhes que a pessoa que roubou o nosso domínio e nos chantageado anteriormente estava usando conta [email protected] (ele usa algumas outras contas também). Eu só lhes pediu para olhar para ele. Em vez disso eu recebo um email que não tem nada a ver com o que eu disse. Basicamente, é um modelo de email que foi feito para olhar genuíno e enviado para as pessoas que foram falsificados. Vamos lá! Estamos pagando 3% taxa de comissão sobre cada transação, não podem vocês proporcionar um melhor apoio ao cliente?
Isso é tudo o que tenho!
Mais uma vez estou profundamente arrependido pelo que aconteceu com Florin e Edin. I trully espero que eles irão receber os seus domínios de volta em breve. É tudo nas mãos dos respectivos registradores agora. Mas o mais importante, eu quero ver algo ser feito por grande corpo (e não os clientes) para pegar essa pessoa. Estou certo de que todos os blogueiros lá fora, apreciaria isso e provavelmente até mesmo escrever sobre ele em sua / seu blog.
É hora para a MUDANÇA -)
Cumprimentos
Aibek
