Juntando los pedazos después de que el @n Twitter robo de cuenta ars technica bitcoin calculadora de minería 2017

Incapaz de ganar acceso a la cuenta @N, el delantero, a continuación, e-mail Hiroshima y amenazó con tomar medidas contra los dominios del sitio web de Hiroshima, a menos que él cambió su puño de Twitter a algo más, lo que permite al atacante tomar el "@N" manejar-que él, entonces, es de suponer que vender.

Hiroshima trató de recuperar el acceso a tu cuenta de GoDaddy, pero GoDaddy no restaurar su acceso, ya que Hiroshima no parecía ser el legítimo propietario de la cuenta de CAJEROS automáticos locales bitcoin cerca de mí. Incluso con un ejecutivo de GoDaddy no apareció para arreglar las cosas. Un día después, tras nuevas amenazas del agresor, Hiroshima el relevo de la correa @N, y el delantero de inmediato envió Hiroshima sus credenciales de inicio de sesión de GoDaddy.

Fue un intercambio de rehenes éxito, como estas cosas van, pero Hiroshima se encontró víctimas sin función aparente que no ceder a las exigencias del atacante.

el real "cambio" no implicó cambio de nada, Hiroshima ha cambiado la manija en su cuenta de Twitter para " @N_is_stolen", Lo que permitió que el atacante para cambiar la correa en su propia cuenta de todo lo que fue anteriormente "@N" Hiroshima mantuvo sus tweets, su lista de amigos, y todas las otras propiedades de la cuenta.

Después de ganar el control del nombre @N, el delantero volvió francamente magnánimo, describiendo lo que él supuestamente hizo en cada etapa del proceso. De PayPal, el delantero dijo que adquirió los cuatro últimos dígitos de la tarjeta de crédito de Hiroshima amazon minería bitcoin. Estos cuatro dígitos eran prueba suficiente para el servicio de atención al cliente de GoDaddy para supuestamente dejar el delantero repetidamente adivinar dos números de tarjeta de crédito, que ganó el atacante un restablecimiento de la contraseña de la cuenta de GoDaddy. Desde el punto de vista de Twitter, nada ilícito había pasado-sólo algunas cuentas cambiando las asas. La respuesta de PayPal

Llamé a paypal y utilizar algunas tácticas de ingeniería muy simple para obtener el último cuatro de su tarjeta (evitar esto llamando a paypal y pedir el agente para agregar una nota a su cuenta para no liberar cualquier información a través del teléfono) la respuesta de la GoDaddy

Cuando Ars contactado GoDaddy para obtener su versión de lo que sucedió, el grupo de PR de la empresa respondió con una declaración preparada a partir de Todd Redfoot, su director de seguridad de la información:

Nuestra revisión de la situación revela que el hacker estaba ya en posesión de una gran parte de la información del cliente necesaria para acceder a la cuenta en el momento en que contactamos a GoDaddy. El hacker entonces la ingeniería social de un empleado para proporcionar la información restante necesarios para acceder a la cuenta del cliente. El cliente, desde entonces, recuperó el pleno acceso a su cuenta de GoDaddy, y estamos trabajando con socios de la industria para ayudar a los servicios de otros proveedores como es un bitcoin pena hoy restauración. Estamos haciendo los cambios necesarios para el entrenamiento de los empleados para garantizar que seguimos a proporcionar seguridad líder en la industria para nuestros clientes y mantenerse por delante de la evolución de las técnicas de los hackers.

Aquí, GoDaddy corrobora algunos elementos de explicación-Copping del delantero a un intento de ingeniería social exitosa y confirmando acceso a la cuenta fue concedido al atacante. Sin embargo, GoDaddy también apunta que el delantero "ya estaba en posesión de una gran parte de la información del cliente necesaria" para acceder a la cuenta de Hiroshima. Se Marchite Twitter?

Twitter no ha hecho ninguna declaración sobre el ataque, además de decir que aún es investigando bitcoin cajeros automáticos cerca de mí. El miércoles, la página de Twitter para @N mostró que la cuenta ha sido privado; por la noche, la cuenta parece haber sido excluido (ya sea por el atacante o por Twitter por supuesto). Sin embargo, a partir de ahora, el @N correa muestra el nombre de "siga Badal_NEWS" (Y @badal_news actualmente parece ser una cuenta particular).

Hiroshima (bajo su puño @N_is_stolen actualizado) sigue tweet, teniendo en cuenta que la respuesta que recibió de Twitter ha sido hasta ahora que es incapaz de ayudar: Y sobre los federales?

El alambre comentario de ayer no contaba con un pequeño número de usuarios de Ars lo que sugiere que Hiroshima debe ponerse en contacto con las palabras-cuando el FBI como "robo" se juegan alrededor, entrar en contacto con el FBI parece ser un curso lógico de acción.

Hay un gran número de factores involucrados, sin embargo, no menos que es que no está claro si el atacante está basado en los estados UNIDOS bitcoin. Además, hay la cuestión del valor del elemento-si fuera una maleta llena de US $ 50.000 en efectivo, el valor sería, por supuesto, pero estamos hablando de una correa de Twitter. Como es que un oficial de la ley de evaluar el valor de esto? Sin violencia o amenaza de violencia fue utilizada para adquirir la correa @N, por lo que no hubo robo tradicional.

Ars extendió la mano para el FBI para comentar, y Bureau portavoz de los medios de comunicación Paul Bresson dijo que, aunque él todavía no había oído los detalles de la historia de Hiroshima, "animamos a cualquier persona que cree haber sido extorsionado o una víctima de un delito en ponerse en contacto con nosotros. Podemos reunir los hechos para determinar si una violación federal ha ocurrido y, por lo tanto, investigar o hacer referencia a otro órgano adecuado para el seguimiento necesario."

Había dos avenidas abajo que el ataque contra las cuentas de Hiroshima procedían de: electrónica y sociales comprar bitcoin ninguna verificación. Vamos a enfrentarlos uno a la vez, pero la respuesta basada cínico acerca de este y muchos otros incidentes, incluyendo una muy similares hace dos años en que el escritor Wired Mat Honan han perdido el acceso a su propio poca cuenta de Twitter, @ mat-si que si usted está disparado por un atacante suficientemente motivados, es casi seguro que perder.

en Primer lugar, sin embargo, el electrónico. La mayoría de los sitios permiten que los reajustes de contraseña vía e-mail, y así tener acceso a la cuenta de e-mail de la víctima y, a continuación, restablecer su contraseña es una manera de tener acceso a otras cosas como ganar bitcoins de forma gratuita. En este caso, el atacante intentó asumir el e-mail de Hiroshima no por adivinar la contraseña, pero cambiando el destino para el cual e-mail de Hiroshima fue entregado.

Esto vale la pena un poco de explicación, porque incluso a un gran número de usuarios de Internet más experimentados, e-mail, es una especie de caja negra. Es como el agua corriente o eléctricos luces-usted no suele pensar acerca de cómo o por qué funciona. Para enviar el e-mail de mí para usted, sin embargo, I debe tener una manera de saber el servidor de e-mail de la bandeja de entrada vive (o, al menos, mi servidor de e-mail). Esta información es proporcionada por los registros DNS especiales llamados "los registros MX" (Abreviatura de Mail eXchange) bitcoin ASIC. Para que un dominio de Internet como arstechnica.com para ser capaz de recibir e-mail, este dominio debe tener registros MX válidos. Aquí está la nuestra, por ejemplo, que usted puede mirar para arriba usando la herramienta de excavación: $ cavar arstechnica.com -t MX

Hiroshima tiene su propio dominio, h7a.org, registrados a través de GoDaddy. E-mail a las direcciones que terminan en "@ h7a.org" es proporcionado por Google a través de su servicio Google Apps (que, hasta diciembre de 2012, tenía un nivel gratuito utilizable por cualquier persona que quería costumbre dominio de alojamiento de correo electrónico, entre otros servicios) el mejor grifo de bitcoin de los rotadores. Los registros MX para h7a.org correctamente mostrar servidores de correo electrónico de propiedad de Google: $ cavar h7a.org -t MX

GoDaddy es el registrador para h7a.org de modo que el atacante tiene en cuenta GoDaddy de Hiroshima y los registros MX de h7a.org modificada. En vez de apuntar a los servidores de correo de Google, el correo enviado a *@h7a.org fue trasladado para el propio servidor o servidores del delantero. De esta forma, el atacante puede tener el Facebook o el Twitter enviar restablecimiento de contraseña e-mails a la dirección de e-mail de Hiroshima; los correos electrónicos serán enviados directamente al buzón de entrada creada por el atacante.

En su reportaje, Hiroshima lamenta el uso de su propio dominio de correo electrónico al registrarse en servicios como Facebook y Twitter, diciendo que el uso de una dirección de Gmail o algo similar habría mantenido el delantero de utilizar este método para obtener acceso a su cuenta de Facebook, entre otras cosas bitcoin candelero. Esto es verdad, pero también es tirar el bebé con el agua del baño.

Hiroshima es correcto en el sentido de que es muy poco probable que alguien iba a convencer a un registrador para transferir la propiedad del google.com o gmail.com o googlemail.com o cualquier dominio claramente Google-owned. Sin embargo, la falta de esta táctica, un atacante puede volver a caer métodos de compromiso contraseña más tradicionales para el Gmail cuenta-probablemente comenzando con la reutilización de contraseñas de otros lugares comprometidos. Por otro lado, incluso con un registro de dominio personal para comprometerse, password piratería sigue siendo una opción. Todo se convierte en una cuestión de cuánto trabajo el delantero está dispuesto a poner en el trabajo.

en Este caso en particular, sin embargo, el intento de secuestrar a los registros MX de Hiroshima fue bloqueado temporalmente por el DNS TTL-el "tiempo de Vivir" establecer en los propios registros. DNS es una cosa jerárquica, y mirando hacia arriba de una única dirección IP puede implicar una serie de consultas para un número de diferentes servidores de DNS; a fin de mantener el tráfico de DNS para abajo, registros incluyen una configuración de TTL para decir solicitando equipos cuánto tiempo para almacenar en la memoria caché de un registro específico antes de consultar al servidor DNS autoritario de nuevo. el delantero de Hiroshima secuestrado tus registros MX, pero la configuración TTL de los registros impedido mail de inmediato que fluye hacia el atacante. Sin embargo, esto fue sólo un revés temporal porque el atacante tenía herramientas adicionales a su disposición, incluyendo, en última instancia, sólo entrar en contacto con Hiroshima y amenazando con eliminar sus sitios de GoDaddy-bien.

Muchos registradores-GoDaddy incluyó oferta autenticación de dos factores para las cuentas. Este método requiere que usted escriba no sólo una contraseña, pero un código adicional a partir de un smartphone, de llavero, o una aplicación en su ordenador. Hiroshima había autenticación de dos factores activa en muchas de las cuentas en cuestión, al parecer, haciéndolos más seguros, pero eso no ayuda ni un poco.