GoDaddy y PayPal cómplices sin saberlo en el robo de una cuenta de Twitter

Cuando te vas a registrar en Twitter, posiblemente tengas que probar distintos nombres de usuario antes de encontrar uno que ya esté libre. Es más, te tocará casi seguro utilizar números o guiones hasta llegar a un nombre válido que nadie esté usando. Por eso, en general, los nombres de cuatro letras o menos están especialmente cotizados hoy en día.

@N, de tan sólo una letra, pertenecía desde 2007 a Naoki Hiroshima y por él le habían llegado a ofrecer hasta 50.000 dólares. Otros, menos sutiles, habían intentado hacerse con él a través de la recuperación de contraseña, lo que hacía que emails con esta información le llegaran prácticamente cada día. Nadie lo había conseguido hasta que un atacante, con la ayuda de GoDaddy y Paypalcomenzó el chantaje.

Según explica Naoki, todo comenzó cuando un día recibió un correo de GoDaddy diciéndole que se habían modificado los datos de su cuenta. En ella no sólo tenía varios sitios alojados sino que además el propio dominio de su correo, que funcionaba a través de Google Apps, también estaba registrado allí. Y acababa de perder el acceso.

Intentó contactar con GoDaddy pero no tuvo éxito: le preguntaron información, como los últimos dígitos de su tarjeta de crédito, que el atacante ya había cambiado. “No tenía forma de probar que era el dueño real del dominio”, cuenta Naoki, que corrió a cambiar el email asociado a su cuenta de Twitter consciente de que era el objetivo. Lo consiguió pero, con el correo en manos de su atacante, comenzó el chantaje.

No sólo el atacante consiguió acceso a Facebook y comenzó a hacer tonterías con los amigos de Naoki, sino que amenazó con deshacerse de todo lo que tenía asociado en su cuenta de GoDaddy. Sabiendo lo que podía perder, Naoki cedió y le dio el control de @N. Inmediatamente después, el atacante le devolvió su cuenta en GoDaddy y, paradójicamente, le explicó cómo había conseguido realizar este ataque.

GoDaddy y Paypal, colaboradores necesarios

Pero ¿cómo consiguió el atacante cambiar de manera tan sencilla los datos de la cuenta de GoDaddy? Aquí es donde entra Paypal: llamó por teléfono a este servicio y se las arregló para que el agente de soporte le dijera cuáles eran los últimos dígitos de su tarjeta. Con estos datos fue a GoDaddy, aseguró que había perdido su tarjeta de crédito pero que recordaba los últimos dígitos.

Lo curioso es que GoDaddy también le exigía los dos primeros dígitos de la tarjeta, algo que no conocía el intruso. ¿Qué hizo? Comenzó a decir números aleatoriamente hasta que acertó. Todo en una misma llamada. El agente de GoDaddy no puso pegas a los varios intentos que hizo el atacante. Como si esto fuera una verificación de identidad, GoDaddy permitió al atacante que cambiara los datos de su cuenta.

Tanta seguridad para esto

Identificación en dos pasos, códigos que se envían a través de teléfono… y mil formas más de asegurar una cuenta para que, por teléfono, un agente de soporte te desvele información vital sobre una persona. Por muy refinada que fuera la táctica del atacante, tanto PayPal como GoDaddy tendrían que tener una política de conservación de datos mucho más eficaz: no se dan datos personales por teléfono. Y punto.

Este caso resulta muy similar a uno que se produjo hace casi dos años. Apple, también por soporte telefónico y mediante un ataque de ingeniería social, reveló los datos de la cuenta de iCloud de Mat Honan a un usuario que no era él. Desde entonces Appleasegura haber cambiado el procedimiento y que no es posible obtener el acceso de forma tan sencilla.

¿Y qué va a ocurrir con @N? Pues no está muy claro. Por ahora sigue en posesión del atacante aunque, en declaraciones a The Next Web, desde Twitter aseguran estar investigando el caso. Paypal y GoDaddy también dicen estar investigando lo que ha ocurrido, aunque por para Naoki Hiroshima, ya es demasiado tarde.

Tomado de Genbeta

alexricand

Ing. Electrónico, interesado y apasionado por las TIC. Director DATIC / CIO de @AlcaldiaDeTulua 2016 - 2019 Facilitador @StartupWeekend #BrigadaDigital

Deja un comentario