Webnames.ru
Компания
24,74
рейтинг
21 марта 2015 в 01:54

Разное → Доступ к аккаунту GoDaddy удалось получить с помощью фотошопа

Недавно была опубликована статья, о том, как удалось обойти многоуровневую систему защиты крупнейшего регистратора GoDaddy при помощи фотошопа.

Автор статьи Стив Рейган провел эксперимент: он попросил знакомого специалиста по безопасности Винни Троя, директора Night Lion Security, взломать его аккаунт. Взлом оказался успешным, и все, что для этого понадобилось — звонок в техподдержку и несколько часов работы в фотошопе.

Процедура восстановления оказалась легкой. Разговор с девушкой из техподдержки начался с подтверждения личных данных, легко доступных через Whois. Когда понадобился адрес электронной почты, на который был зарегистрирован домен и который Троя не знал, он вошел в роль расстроенного подчиненного, которому не дали полной информации, и о сложных правилах внутри организации. Шум играющей дочери во время разговора также создал подходящую атмосферу для того, чтобы подавить на жалость оператору техподдержки.

Люди — самое уязвимое звено в любой системе защиты. Это касается и операторов техподдержки. Их задача состоит только в том, чтобы помогать клиентам и облегчать решение их проблем. Высказывать клиентам подозрения и обвинять их — не входит в их обязанности. В большинстве организаций оператор просто не имеет права отказать клиенту, исходя лишь из своих подозрений.
Эту особенность работы операторов часто используют мошенники.

Далее оператор попросила Троя назвать пин-код и последние цифры кредитной карты, с которой был приобретен домен. Тот ответил, что не знает ни того ни другого, так как домен за него регистрировал помощник. «Я извиняюсь, и за то, что не могу представить вам нужной информации, и за то, что моя дочь все время шумит», — сказал он.

После этого она направила Троя на страницу, через которую владелец домена может восстановить свои права на него, представив фото документа, удостоверяющего личность.

Около четырех часов понадобилось взломщику на то, чтобы подделать водительское удостоверение на имя Стива Рейгана. Также он создал адрес электронной почты Gmail и аккаунт в Google+ на его имя. Этого было сделано для того, чтобы создать иллюзию присутствия Троя в сети как Стива Рейгана.

Оператора удовлетоврили полученные данные. Соответствие фотографии в «удостоверении», сделанном в фотошопе реальной фотографии Рейгана никто проверять не стал. Не было и никаких других проверок личности заявителя.

Последним ее вопросом были данные о юридическом лице, на которое были зарегистрированы домены. Троя также честно ответил, что у него нет информации об этом. На что она сама пошла навстречу взломщику, сказав, что это обычное дело, и многие регистрируют домены на несуществующие фирмы.

После этого аккаунт был перерегистрирован на почтовый адрес Троя, и тот получил к нему полный доступ. Операция завершена успешно.

Стоит отметить и то, что Стив Рейган получил уведомление о смене данных аккаунта не сразу, а только через несколько дней. Если бы взлом был настоящим, вернуть домены, скорее всего, было бы невозможно: их бы уже продали или перевели к другому регистратору.

Функция восстановления доступа через фото документа ненадежна, и многие регистраторы не пользуются ей как раз потому, что каждый может нарисовать что угодно в фотошопе. Однако у крупнейшего регистратора в мире GoDaddy она есть. Эта возможность была введена для того, чтобы пользователи могли восстановить права на домены, зарегистрированные много лет назад. Пользователи часто не помнят номера старых кредитных карт и другие данные.

Однако риск взлома аккаунтов GoDaddy с ее помощью очень высок, и регистратору стоит изменить эту процедуру. Интересно, что, например, Network Solutions также восстанавливает права на домены через личные документы, только их необходимо передавать по факсу, а не загружать фото с компьютера.

Стив Рейган сообщил, что статья была написана для того, чтобы выявить проблему, которая может стать причиной похищения множества доменов. Для защиты своих доменов он рекомендует пользоваться всеми дополнительными услугами, которые предлагает регистратор, и заранее интересоваться тем, что можно будет сделать в случае похищения домена.
Автор: @webnames
Webnames.ru
рейтинг 24,74
Компания прекратила активность на сайте

Комментарии (50)

  • +29
    Читаю заголовок представлял себе нечто мегатруЪхакерское, это же надо, взломать GoDaddy фотошопом!
    А по факту, обычная социнженерия и подделка документов.
    История с зеками сделавшими ксивы из газетных обрезков и то круче.
    • +32
      А по-моему по заголовку вполне очевидно, что речь про подделку документов или чего-то такого.
      • +5
        да нет, я сначала подумал что через встроенный браузер работал ))))
      • +2
        Или немыслимо жестокая пытка сотрудников GoDaddy при участии диска с фотошопом и прочей атрибутики.
      • 0
        Я по заголовку подумал, что речь о новых статистических алгоритмах деконволюции, которые позволяют восстановить размытое изображение :) Мол, кто-то заблюрил какие-то закрытые данные, выложил, а их восстановили :)
    • +4
      А что за история? Или это просто метафора?
      • +10
        Один из побегов из Крестов.
        Копипаста из вики:
        Очередной групповой побег случился 20 сентября 1984 года. Двое заключенных изготовили поддельные служебные удостоверения сотрудников милиции из газетных вырезок и цветных ниток из расплетённых носков. В этот день выдавали заработную плату персоналу, и часть контролёров отсутствовала. На пути с прогулки беглецы отстали, незаметно проникли в следственные помещения и вышли наружу через посты контроля вместе с посетителями тюрьмы. Впрочем, один из бежавших вернулся на следующий день, а ещё через день был задержан и второй.

        Это вам не доки фотошопить
        • 0
          > Впрочем, один из бежавших вернулся на следующий день

          Но зачем?
          • 0
            Это философский вопрос, но видел людей, которые без зоны жить не могут
          • 0
            Джентельмены удачи

  • 0
    Лично на мой взгляд, это халатность и безответственность оператора и собственно системы определения личности.
    И самое забавное, чаще всего самые эпические «взлому» именно у GoDaddy.
    • +5
      Godaddy — самый известный регистратор, поэтому и проблемы кажутся эпичнее.

      Стали бы газеты писать о каком-нибудь мелком регистраторе с такими же проблемами? Стал бы кто-нибудь переводить статью о неизвестном русскоязычному обывателю регистраторе?
  • –9
    4 часа на подделку прав? За это время можно физическую подделку сделать 3 раза.
  • +52
    > например, Network Solutions также восстанавливает
    > права на домены через личные документы, только
    > их необходимо передавать по факсу, а не загружать
    > фото с компьютера.
    Чёрт! Это ж в корне меняет дело! Факс — это вам не хухры-мухры!
    • +5
      Круче факса только нотариально заверенный скриншот :)
    • 0
      Они их вообще не восстанавливают, ниже написал (никогда им этого не прощу).
      Но в целом идентификация по факсу — еще хуже, учитывая качество передачи у факса. Фейк, который будет виден невооруженным глазом на скане через факс вполне себе сойдет за легитимный документ.
      • 0
        Передача по факсу покажет номер и засветит канал связи, с которого идёт факс. С публичных сервисов факсы можно и не принимать.
        • +2
          Ну пошлю я с VoxOx факс, номер там не отличить, зарегистрировать можно хоть на папуаса, денег платить не надо (на отправку хватит стартового баланса). Зато для нормальных клиентов сколько лишнего гемороя, учитывая сколько стоит передача факса в США, что факс нужно еще найти, а обычный вариант отправки факса с отделения почты уже не сканает, публичный же сервис.
        • 0
          Но ведь большинство VoIP провайдеров имеют возможность указывать произвольный номер вызывающего абонента. Есть даже сервисы на просторах интернета, предоставляющих подобные услуги (звони с произвольного номера, например) за небольшую плату.
  • +3
    Комментарий GoDaddy из оригинальной статьи:
    “GoDaddy has stringent processes and a dedicated team in place for verifying the identification of customers when a change of account/email is requested. While our processes and team are extremely effective at thwarting illegal requests, no system is 100 percent efficient. Falsifying government issued identification is a crime, even when consent is given, that we take very seriously and will report to law enforcement where appropriate.”
    • +6
      Прекрасный ответ. Вы нашли у нас уязвимость, а мы вас заложим за подделку документов. Кто-то ещё вообще пользуется этой конторой?
    • +3
      Терять клиентов — так с музыкой!
  • 0
    По-моему достаточно попросить клиентов фотографировать свой документ и делать селфи с документом, — тогда все вопросы отпадают автоматически.
    • +11
      Это плюс час работы с фотошопом. Короткий видео ролик подделать куда сложнее (например).
      Вообще нужно после таких операций с аккаунтом не давать выполнять необратимых действий с доменами (какое-то время), это позволит минимизировать возможный ущерб.
      • +3
        Для получения доступа к VPN в одну крупную фирму на букву А — надо включить видеокамеру и показать рядом с собой водительские права или паспорт.
        • +6
          вполне разумно, что не отменяет страховки в виде запрета необратимых действий.
          Ибо физическая подделка пройдет эту проверку.
        • +2
          И что мешает распечатать фотошоп на картоночке и показать камере?
          • +2
            Для этого ваше лицо совпадать с тем что есть у регистратора, а нелинейный монтаж — это ближе к уровню Диснея
            • 0
              А откуда годядя знает, какое у меня лицо? Я когда домен регистрировал меня фотку прислать не просили.
              • 0
                У меня скан/фотку паспорта спросили через пару недель после покупки доменов, а иначе грозились заблокировать их (при том что оплатил каждый на несколько лет вперед).
      • –3
        Ну вот есть владелец домена, который живет где-то за океаном. Да или хотя бы даже на одной улице с вами. Как вы заставите человека сфотографироваться держа что-то в руках перед собою? К тому же можно ввести правила, что должно быть видно на фото, как требования к фотографии в американское посольство. Плюс ведь есть программы, которые подсказывают был ли тут фотошоп или нет. Видеоролик конечно же +. Не сомневаюсь, что подделать можно всё, но введя несколько вариантов авторизации, или даже обычный звонок в скайп + пара местных документов решит все вопросы.
        • +3
          А зачем мне заставлять его фотографироваться?
        • +1
          «Плюс ведь есть программы, которые подсказывают был ли тут фотошоп или нет.» — и те которые позволяют читать смс переписку вашей подруги, достаточно отправить СМС…
          • –14
            Да любой просмотрщик картинок может показать, редактировалась ли картинка в Фотошопе.
            Вот, например:
            Скрытый текст

            • +8
              Вы же прекрасно понимаете, что подправить заголовки не составит большого труда?
            • +2
              Минута в любом HEX редакторе и ничего никто показывать не будет.
              • –3
                Да, конечно. Но это позволит отсекать хотя бы часть поддельных картинок.
                • +3
                  Если человек смог найти бланк и его подредактировать, а уж тем более нарисовать с нуля, то заголовки он уберет с вероятностью 99.9%, особенно если будет знать, что их проверяют.
                  С другой стороны легальный владелец домена получит «отлуп» всего лишь из-за того, что решил обрезать полученный скан в фотошопе, а не в пэйнте.
                  • 0
                    Зачем убирать заголовки? Стандартный ответ: «ужимал картинку, потому что 25 мегабайт в вашу форму не пролазят» должен в 99% быть достаточным.
  • +6
    GoDaddy — большой хостер с кучей низкоквалифицированных «индусов» в саппорте. Сам сталкивался с ними, несли полную чушь. Например, на вопрос «почему перестала отправляться почта функцией mail() в php?» они ответили, типа, «если вы хотите отправлять на почту заполненную форму обратной связи, то вот по этой ссылке пример скрипта». Такое ощущение, что отвечает бот с наиболее подходящим ответом из базы знаний по ключевым словам. Так что ничего удивительного, что не замечают подвоха.

    А еще лет 13 назад местный провайдер, он же хостер, говорил пароль от фтп сайта просто по телефонному звонку. Ну не может же левый человек интересоваться паролем от вашего сайта, ну зачем он ему. :))
  • 0
    Этого взломщика за решётку не упекут за подделку документов? Это дело подсудное, вообще то.
    • 0
      Он не документ подделывал, а картинку на компьютере, но упечь его, наверное, могут за мошенничество какое-нибудь обычное, он выдавал себя за другого человека
    • 0
      Наверно, должен быть ущерб, чтоб привлекли к ответственности. Тут ущерба нет, он проверял безопасность.
  • 0
    На самом деле все не так уж и печально с GoDaddy. Да действительно «вернуть» домен не зная данных учетки возможно.
    Но по моему личному горькому опыту, когда домен был зарегистрирован сотрудником компании который в этой компании больше не работал, вернуть домен оказалось нереально.
    Они действительно передали права на домен на новую учетку в течение 2-3 дней.
    Все документы были реальными и не нарисованными. Карта на которую покупался домен была тоже реальной и принадлежала генеральному директору.
    И все бы хорошо, но через неделю сотрудник компании смог обратиться в тех поддержку и вернуть домен, сказав что раз учетка его и у него есть к ней доступ. Объяснить сотрудникам тех поддержки что домен куплен на другую кредитку и данные whois гласят о другом владельце мы не смогли. Домен был потерян.
    • 0
      Похоже сотрудника обидели, да? ;)
    • 0
      Я бы сказал, что это как раз ещё более печально.
      Идеальный вариант работы саппорта — когда всегда восстанавливают домен в правомерных случаях и никогда — в неправомерных.

      В данном случае получается же наоборот — в правомерном случае домен не вернули, а в неправомерном — отдали.
    • –1
      Offtopic. Постоянно читаю слово «учетка» как утечка. Из-за этой херни предпочитаю синоним «акаунт».
  • +4
    Network Solutions домены вообще не восстанавливает, можно им эти сканы отсылать сотню раз и ничего не получить. Они так уже «отжали» очень хороший и дорогой домен, когда после попытки взлома им же об этом и сообщили, они его просто заблочили и стали требовать документы. Однако все отправленные им факсом документы их не устроили (понятия не имею почему, даже с нотариально заверенным переводом). $1500 потеряны навсегда.
    Network Solutions — ужасный регистратор с неадекватными ценами, даже GoDaddy отбирающий купонные домены и то лучше в разы.
    Никогда с ними не связывайтесь.
    • 0
      Кстати, помимо того, что они его залочили, так еще и перевели на свои ns сервера сразу же. Учитывая сколько у них занимает процесс восстановления — это две недели простоя минимум.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное