BREAKING: Ny sikkerhetsfeil i Gmail. Flere domener blir stjålet!

Annonse

Som mange av dere allerede vet 2. november, ble MakeUseOf.com-domenet stjålet fra oss. Det tok oss omtrent 36 timer å få domenet tilbake. Som vi har påpekt Tidligere hackeren klarte på en eller annen måte å få tilgang til Gmail-kontoen min og derfra til GoDaddy-kontoen, låse opp domenet og flytte det til en annen registrar.

Du kan se hele historien på vår midlertidige blogg makeuseof-temporary.blogspot.com/

Jeg hadde ikke planer om å publisere noe om hendelsen eller cracker (person som stjeler domener) og hvordan han klarte å trekke den av med mindre jeg var helt sikker på det selv. Jeg hadde en god følelse av at det var en sikkerhetsfeil i Gmail, men ønsket å bekrefte det før jeg la ut noe om det på MakeUseOf. Vi elsker Gmail, og å gi dem dårlig reklame er ikke noe vi noen gang skulle ønske å gjøre.

Så hvorfor skrive om dette nå da?

Flere ting har skjedd de siste to dagene som har fått meg til å tro at Gmail har en alvorlig sikkerhetsfeil og alle burde være klar over det. Spesielt i de tider der enkeltpersoner som Steve Rubel forteller deg det

Hvordan gjøre Gmail til din gateway til nettet. Gjør meg ikke feil her, Gmail er et AWESOME e-postprogram. Det beste sannsynligvis. Problemet er at det kanskje ikke er en pålitelig når det gjelder sikkerhet. Når det er sagt, betyr det ikke nødvendigvis at du har det bedre med Yahoo eller Live Mail.

Hendelse 1: MakeUseOf.com - 2. november

Da domenet vårt ble stjålet, mistenkte vi at hackeren brukte et hull i Gmail, men vi var ikke sikre på det. Hvorfor mistenkte jeg at det hadde noe med Gmail å gjøre? For en ting er jeg ganske forsiktig med sikkerhet og kjører sjelden noe jeg ikke er sikker på. Jeg holder også systemet mitt oppdatert og har alle nødvendigheter, inkludert 2 malware-skjermer, et antivirus og 2 brannmurer. Jeg har også en tendens til å bruke sterke og unike passord for alle kontoene mine.

Hackeren fikk tilgang til Gmail-kontoen min og satte opp noen filtre der som til slutt hjalp ham med å få tilgang til GoDaddy-kontoen vår. Det jeg ikke visste er hvordan han klarte det. Var det et sikkerhetshull i Gmail? Eller var det en keylogger på min PC? Jeg var ikke sikker på det. Etter hendelsen skannet jeg systemet mitt med en rekke fjerning av skadelig programvare og fant ikke noe. Jeg gikk også gjennom hver løpsprosess. Alt semed for å være ren.

Så jeg er tilbøyelig til å tro at problemet var med Gmail.

Hendelse 2: YuMP3.org - 19. november

Den 18. november fikk jeg en e-post fra noen som het Edin Osmanbegovic som driver siden yump3.org. (Han fant sannsynligvis e-posten min via Google da hendelsen med MakeUseOf ble dekket på flere populære blogger, mange hvorav min e-post-ID.) I e-posten fortalte Edin meg at domenet hans ble stjålet og flyttet til en annen registrar. Jeg googled raskt yoump3 og så at et ganske etablert nettsted nå serverte en lenke gårdsside (akkurat som i vårt tilfelle).

Google (på siste indeks):

YouMP3.org hjemmeside (nåværende):

Her er en kopi av den aller første e-posten jeg fikk fra Edin:

Hallo,
Jeg har samme problem med domenet mitt.
Domenet har overført fra Enom til GoDaDDy.
Jeg har straks sendt supportbillett angående det problemet.

Tittelene til ny domeneeier er:

Navn: Amir Emami
Adresse 1: P.O. Boks 1664
By: League City
Stat: Texas
Glidelås: 77574
Land: USA
Telefon: +1.7138937713
E-post:Administrativ kontaktinformasjon:
Navn: Amir Emami
Adresse 1: P.O. Boks 1664
By: League City
Stat: Texas
Glidelås: 77574
Land: USA
Telefon: +1.7138937713
E-post:

Teknisk kontaktinformasjon:
Navn: Amir Emami
Adresse 1: P.O. Boks 1664
By: League City
Stat: Texas
Glidelås: 77574
Land: USA
Telefon: +1.7138937713
E-post:

E-postadresse er: [email protected]
I går hadde fyren fra den e-postadressen kontaktet meg via Gtalk.
Han sa at han vil ha 2000 dollar for domenet.
Jeg trenger råd, vær så snill, jeg har kontaktet Enom.

Takk skal du ha.

Og gjett hva, det er den samme fyren som tidligere denne måneden stjal MakeUseOf.com. Vi ble også kontaktet fra den samme e-postadressen: [email protected]. Edin sendte meg også e-post i dag og bekreftet at fyren også fikk tilgang til domenekontoen sin via sin Gmail-konto. Så det er igjen Gmail.

I sin siste e-post (mottatt i dag) inkluderte Edin en rask oversikt over hendelsene

Jeg har historien om hvordan han gjorde alt.

10. november var jeg eier.
13. november Mark Morphew.
18. november Amir Emami.

Han brukte [email protected] på begge personene.

Jeg har sendt i går også alt til Moniker.
De vil undersøke.

Hendelse 3: Cucirca.com - 20. november

Denne siste e-posten var hovedgrunnen til dette innlegget. Det kom fra Florin Cucirka, eieren av cucirca.com. Nettstedet har en alexa rangering av 7681 og mottar i følge Florin over 100 000 besøk daglig.

Første e-post fra Florin:

Hei Aibek

Jeg er i samme situasjon som makeuseof.com kom ut.

Jeg er Cucirca Florin og domenet mitt www.cucirca.com var
overført fra min godaddy-konto uten min tillatelse.

Det ser ut til at tyven kjente mitt Gmail-passord som er underlig.
Han klarte å lage noen filtre til kontoen min.

Jeg har lagt ved to skjermbilder.

Kan du hjelpe meg? Gi meg noen detaljer om hvordan jeg kunne få det
ut av denne dårlige drømmen? Jeg fant nettopp i dag om dette og jeg
tror ikke jeg klarer å sove i natt.

Takk på forhånd.

Florin Cucirca.

Jeg sendte e-post til Florin og spurte ham noen detaljer om domenet hans, om han kontaktet GoDaddy og hva slags informasjon han fikk om domenekrakeren (betegnelsen brukt for domenestealer) fyr så langt.

Andre e-post fra Florin:

Hackeren hadde tilgang til e-postkontoen min (gmail). Domenet ble hostet på godaddy.
Jeg brukte utvidelse av gmail på firefox. kanskje det er den store feilen.
Han overførte domenet til register.com

Jeg har ikke snakket med hackeren. Jeg vil få det lovlig tilbake, og hvis det ikke er noen annen løsning, vil jeg kanskje betale ham

www.cucirca.com har en Alexa Rank på 7681 og over 100 000 besøk daglig.

Jeg vil legge ved 2 skjermbilder av gmail-kontoen min.

[email protected] og i det andre [email protected]

Hvis du gjør et googlesøk på [email protected], vil du finne dette:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jeg tror noen burde stoppe dem.

Jeg sendte e-post til [email protected] og ventet på svar.

Hva tror du? Får jeg tilbake domenet mitt?

Ser ut som det er Gmail igjen! Her er de delvise skjermbildene fra det han sendte meg:

I Florins tilfelle skiftet hackeren eierskap til domenet for flere måneder siden. Cucirca.com ble overført fra GoDaddy til Register.com. Siden hackeren avlyttet e-postene hans og aldri skiftet navneservere, antar jeg at Florin ikke ante noe om at noe var galt. Da jeg spurte ham hvordan det tok det så lang tid å finne ut at han sendte meg følgende:

2008-09-05 overførte han domenet til navnet sitt, og gjorde navneserveringene uendret. Derfor har jeg ikke lagt merke til at undergangen min ble stjålet før i går da en venn av meg gjorde en whois på mitt domene ...

Jeg hadde ingen grunn til å sjekke whois poster fordi domenet var registrert over 7 år (til 2013-11-08)

Jeg har ikke mottatt noen e-postmeldinger fra denne personen.

Og igjen ser det ut til å være den samme fyren! Hvorfor tror jeg det? Hvis du sjekker den lenken som Florin inkluderte i en av e-postene hans (jeg la den til nedenfor også), får du se at i noen andre lignende hendelser (som vet hvor mange flere domener han har stjålet som dette) e-post adresse [email protected] ble nevnt sammen med navnet ‘Aydin Bolourizadeh’. Den samme e-postmeldingen dukket også opp i fremoverregelen i Florins Gmail-konto (se første skjermdump).

Da MakeUseOf.com ble hentet fra oss, ba crackeren meg om 2000 $. Og da jeg spurte ham hvor og hvordan han ønsker å få betalt, ba han meg sende penger via Western Union til følgende adresse:

Aydin Bolourizadeh
Tyrkia
Ankara
Cukurca kirkkonaklar mah 3120006954

skjermbilde fra http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jeg er ganske pen for at det var den samme fyren i alle de tre hendelsene og sannsynligvis 788 andre som er nevnt i lenken ovenfor, inkludert domener som yxl.com, visitchina.net og visitjapan.net.

Da jeg søkte etter den adressen på Google, oppdaget jeg også at han eier følgende domener (sannsynligvis stjal dem også):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Jeg antar at fyren faktisk er fra Tyrkia og sannsynligvis vil bo et sted i følgende område.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Tyrkia

Vi vet også at han bruker [email protected] som sin e-post. Så hvis vi vet hvem som står bak domainsgames.org, kan vi komme et skritt nærmere. Faktisk sendte han e-post for flere dager siden og ba meg fjerne alle forekomster av e-posten sin fra nettstedet, og hvis vi ikke overholder dette, ville han DDOS oss.

Her er hans eksakte ord:

Hei,
Jeg ber deg om å fjerne e-postadressen min ([email protected]) fra nettstedet ditt!
Gjør det hvis du ikke vil ha noe problem i fremtiden. Ellers vil jeg begynne å ha den store DDOS-en på nettstedet ditt og vil gjøre det ...
Jeg er veldig seriøs, så fjern e-postadressen og navnet mitt på domainsgame.org

Så det virker som om vi kan komme til IDen bak domainsgame.org vi kan få fyren vår og sannsynligvis avdekke mange flere domener han har stjålet. Les mer om det nedenfor. La oss snakke om Gmail.

Sikkerhetsproblem i Gmail

Husker noen hva som skjedde med David Airey i fjor? Domenet hans ble også stjålet. Historien var over hele nettet.

– ADVARSEL: Googles sikkerhetssvikt i Gmail, etterlater virksomheten min
- Kollektiv innsats gjenoppretter David Airey.com

Både vi og David klarte å få domenet tilbake. Men jeg er ikke sikker på om alle er like heldige som vi er. Dessverre vil ikke registrarer samarbeide med deg om dette med mindre historien får litt oppmerksomhet. Så jeg er ikke i tvil om at det er hundrevis av mennesker der ute som ikke har noen sjanse til å verken oppgi domenenavnet sitt eller betale fyren.

Uansett, tilbake til Gmail.

I sin første artikkel refererte David Airey til en Gmail-sårbarhet som (hvis jeg ikke tar feil) ble nevnt her flere måneder tidligere. Å oppsummere:

Offeret besøker en side mens han er logget på GMail. Ved henrettelse utfører siden en POST med flere deler / formdata til et av GMail-grensesnittene og injiserer et filter i offerets filterliste. I eksemplet over skriver angriperen et filter, som ganske enkelt ser etter e-poster med vedlegg og videresender dem til en e-post etter eget valg. Dette filteret overfører automatisk alle e-postmeldinger som samsvarer med regelen. Husk at fremtidige e-poster også blir videresendt. Angrepet vil forbli til stede så lenge offeret har filteret i filterlisten, selv om den opprinnelige sårbarheten, som var årsaken til injeksjonen, er rettet av Google.

original side: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Nå er den interessante delen at oppdateringen av GNU Citizen-koblingen ovenfor sier at sårbarheten ble løst før 28. september 2007. Men i Davids tilfelle skjedde hendelsen i desember, 2-3 måneder senere.

Så, var utnyttelsen virkelig fikset da? Eller var det en ny utnyttelse i Davids tilfelle? Og viktigst av alt, er det en lignende sikkerhetsfeil i Gmail NÅ?

Hva bør du gjøre nå?

(1) Vel, mitt aller første råd vil være å sjekke e-postinnstillingene dine og sørge for at e-posten din ikke blir kompromittert. Sjekk fowarding alternativer og filtre. Sørg også for å deaktivere IMAP hvis du ikke bruker det. Dette gjelder også Google Apps-kontoer.

(2) Endre e-postadresse til kontakt i de sensitive webkontoer (paypal, domeneregistrator osv.) Fra din primære Gmail-konto til noe annet. Hvis du eier nettstedet, kan du endre kontakt-e-postadressen for verts- og registrarkontoer til annen e-post. Helst til noe du ikke er logget på når du surfer på nettet.

(3) Sørg for å oppgradere domenet ditt til privat registrering slik at kontaktinformasjonen din ikke vises på WhoIS-søk. Hvis du er på GoDaddy, vil jeg anbefale å gå med beskyttet registrering.

(4) Ikke åpne lenker i e-posten din hvis du ikke kjenner personen de kommer fra. Og hvis du bestemmer deg for å åpne lenken, må du huske å logge ut først.

OPPDATER:

Jeg oppdaget noen gode artikler som diskuterer potensiell sikkerhetsfeil som svar på MakeUseOfs artikkel:

– Gmail sikkerhetsfeil bevis for konsept
– Kommentarer om dette på YCombinator
- (nov. 26'th) Gmail-sikkerhet og nylig phishing-aktivitet [Offisielt svar fra Google]

Hjelp oss med å fange fyren!

Bortsett fra postadressen over, vet vi også at han bruker [email protected] som e-posten hans. Så hvis vi finner ut hvem som nå eier domainsgames.org, kan vi komme et skritt nærmere. eller i det minste returnere domenene han stjal til deres respektive eiere.

Nå er saken domenenavnet domainsgames.org er beskyttet av Moniker, og de skjuler all kontaktinfo for det.

Domenen ID: D154519952-LROR
Domenenavn: DOMAINSGAME.ORG
Opprettet den: 22-okt-2008 07:35:56 UTC
Sist oppdatert den: 08-nov-2008 12:11:53 UTC
Utløpsdato: 22-okt-2009 07:35:56 UTC
Sponsor-registrar: Moniker Online Services Inc. (R145-LROR)
Status: KLIENT SLETT FORBUDT
Status: KUNDETILFØRSEL FORBUDT
Status: Klientsoppdatering forbudt
Status: OVERFØRSEL FORBUDT
Registrant ID: MONIKER1571241
.
.
.
.
Navneserver: NS3.DOMAINSERVICE.COM
Navneserver: NS2.DOMAINSERVICE.COM
Navneserver: NS1.DOMAINSERVICE.COM
Navneserver: NS4.DOMAINSERVICE.COM

Jeg har allerede sendt dem e-post (så gjorde Edin) om det, og vil oppdatere deg her så snart jeg hører noe fra dem.

Jeg har også noen forespørsler om å følge selskaper som nå leverer sine tjenester til den personen.

Når du gikk gjennom headerfiler i flere e-postmeldinger, var det tydelig at hackeren brukte Google Apps. Vennligst se nærmere på det. Domenet er domainsgame.org. Og vær så snill FIX! Gmail.

Først av alt, vennligst hjelp Edin og Florin med å få tilbake domenene sine. En smart ting å gjøre ville være å sjekke IP-adressene til kontoen pålogging for alle lignende rapporterte tilfeller. For eksempel brukte hackeren 64,72.122.156 IP-adresse både i Adins tilfelle og vår (ikke sikker på Florin). (Som for øvrig viste seg å være en kompromittert server på Alpha Red Inc.) Eller enda enklere, bare lås domenenavnet og be nåværende kontohaver om å bevise sin identitet. Siden hackeren brukte forskjellige identiteter overalt, ville det være umulig for ham å gjøre det. Det er i beste interesse å sikre at denne personen ikke lenger bruker tjenestene dine.

Lukk kontoen hans! (det er den for domainsgame.org). Eventuell tilleggsinfo eller assistanse du kan tilby vil bli verdsatt.

Jeg er ikke helt sikker, men jeg tror DomainSponsor er selskapet som tjener penger på domenene som denne fyren stjeler. Det skjedde med MakeUseOf.com og nå skjermer med YouMP3.org.

5- Til PayPal. COM: (DIN STØTTE ER FANTASTISK)

Jeg er sikker på at de ikke en gang vil lese dette, så jeg skal bare si deg i stedet. Jeg sendte en e-post til [email protected] og advarte dem om at personen som stjal domenet vårt og utpresset oss tidligere, brukte [email protected] (han bruker også noen andre kontoer). Jeg ba dem om å se nærmere på det. I stedet får jeg en e-post som ikke har noe å gjøre med det jeg sa. I utgangspunktet er det en e-postmal som var ment å se ekte ut og sendt til folk som ble forfalsket. Kom igjen! Vi betaler 3% provisjonsgebyr for hver transaksjon, kan ikke dere folk tilby bedre kundesupport?

Det er alt jeg har!

Nok en gang er jeg veldig lei meg for det som har skjedd med Florin og Edin. Jeg håper virkelig at de snart vil få tilbake domenene sine. Det er alt i hendene på de respektive registrarene nå. Men viktigst av alt, jeg vil se at noe blir gjort av store korps (ikke kundene) for å fange den personen. Jeg er sikker på at hver blogger der ute vil sette pris på det og sannsynligvis til og med skrive om det på bloggen hans.

Det er tid for ENDRE ;-)

Med vennlig hilsen
Aibek

image credit: takk til maskin for topp ‘Mr Cracker’ bilde