Meu nome de usuário do Twitter, que valia 50 mil dólares, foi roubado graças ao PayPal e ao GoDaddy

Eu tinha um nome de usuário raro: @N. Sim, só uma letra. Me ofereceram até 50 mil dólares por ele, e alguns tentaram roubá-lo. Instruções para resetar a minha senha são uma visão comum na minha caixa de entrada. Hoje, já não controlo mais @N. Fui extorquido até ter que abrir mão dele.

Em 20 de janeiro de 2014, recebi uma mensagem de texto do PayPal com um código de validação enquanto almoçava. Alguém estava tentando roubar minha conta do PayPal. Ignorei e continuei almoçando.

Mais tarde, naquele dia, abri meu email, que utiliza o meu nome de domínio próprio (registrado no GoDaddy) pelo Google Apps. Vi que a última mensagem que havia recebido era do GoDaddy, com o assunto “Confirmação para modificar configurações de conta” Havia uma boa razão para aquela mensagem ser a mais recente.

De: <[email protected]> GoDaddy
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 12:50 -0800
Assunto: Confirmação para modificar configurações de conta

Prezado naoki hiroshima,

Você está recebendo este email porque a seguinte conta teve as configurações modificadas:

XXXXXXXX

Haverá um breve período até que essa solicitação seja efetivada.

Se estas modificações foram realizadas sem o seu consentimento. por favor, entre na sua conta e atualize suas configurações de segurança.

Se você não conseguir entrar na sua conta, ou se mudanças não autorizadas foram realizadas nos nomes de domínios associados a esta conta, por favor, entre em contato com a nossa equipe de atendimento ao cliente, pelo email [email protected] ou telefone (480) 505–8877.

Observação: as contas estão sujeitas aos nossos Termos de Serviço Universais.

Atenciosamente,
GoDaddyy

Tentei entrar na minha conta do GoDaddy, mas não funcionou. Liguei para o GoDaddy e expliquei a situação. A pessoa que me atendeu pediu para que eu informasse os últimos seis dígitos do meu cartão de crédito como método de verificação. Isso não funcionou, porque a informação de cartão crédito já havia sido alterada por um hacker. Na verdade, toda minha informação havia sido alterada. Eu não tinha nenhuma forma de provar que era o verdadeiro dono do meu nome de domínio.

O atendente do GoDaddy sugeriu que eu preenchesse um relatório de ocorrência no site da empresa, usando minha identificação emitida pelo governo. Fiz isso e me informaram que a resposta poderia levar até 48 horas. Esperava que isso seria suficiente para provar a minha identidade e a propriedade da conta.

Que comece a extorsão

A maioria dos sites usam o email como método da verificação. Se sua conta de email estiver comprometida, um hacker pode tranquilamente resetar a sua senha em uma série de sites. Quando tomou posse do meu nome de domínio no GoDaddy, o hacker pôde controlar o meu email.

Com base em minha experiência prévia com ataques virtuais, logo percebi que o alvo era o meu cobiçado nome de usuário do Twitter. Estranhamente, alguém que eu não conhecia me mandou uma mensagem no Facebook, me incentivando a alterar o meu email registrado no Twitter. Imaginei que essa mensagem havia sido enviada pelo hacker, mas mudei mesmo assim. Agora, o email da minha conta do Twitter era um que ele não poderia acessar.

O hacker tentou resetar minha senha do Twitter diversas vezes e percebeu que não poderia receber nenhum dos emails com informações sobre novas senhas, porque houve uma demora para que houvesse a mudança do MX record do meu domínio, que controla o servidor de emails. O hacker abriu o chamado #16134409 na página de suporte técnico do Twitter na Zendesk.

N, 20 Jan 13:43:

Nome de usuário doTwitter: @n
Seu email: *****@*****.***
Último registro: Dezembro
Número de celular (opcional): não informado
Algo mais? (opcional): Não estou recebendo o reset da minha senha em meu email. Vocês poderiam me enviar manualmente?

O Twitter solicitou mais informações do hacker para dar continuidade, e ele desistiu dessa ideia.

Mais tarde, soube que ele havia atacado a minha conta no Facebook para que pudesse me chantagear. Fiquei horrorizado ao descobrir o que havia acontecido, assim que meus amigos começaram a me perguntar sobre atividade suspeita na minha conta de Facebook.

Finalmente, recebi um email do hacker. Ele tentou me extorquir com a seguinte mensagem:

De: <[email protected]> REI DA MÍDIA SOCIAL
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 15:55:43 -0800
Assunto: Olá.

Vi que você falou com um cúmplice meu. Apenas quero informá-lo que você estava certo, @N é o alvo. Parece bastante inativo. Também quero informá-lo que seus domínios do GoDaddy estão sob meu controle. Uma compra falsa e eles podem ser retomados pelo GoDaddy, para nunca mais serem vistos novamente.

Vi que você administra alguns sites bacanas, então resolvi deixar esses de lado por enquanto. Todos os dados nesses sites permaneceram intactos. Você estaria disposto a negociar? Acessar o @N por aproximadamente 5 minutos enquanto eu mudo o proprietário, em troca da sua conta do godaddy e de ajuda para manter os seus dados seguros??

Logo depois, recebi uma resposta do GoDaddy.

De: <[email protected]>
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 17:49:41 -0800
Assunto: Última atualização [ID do Incidente: 21773161]

Infelizmente, o Serviço de Domínios não poderá auxiliá-lo na sua solicitação de alteração, uma vez que você não é o registrante atual deste nome de domínio. Como registradores, só podemos fazer este tipo de alteração após verificar se há consentimento do registrante. Você pode seguir estas opções, caso queira dar continuidade a essa questão:

1. Entrar em http://who.godaddy.com/ para localizar a informação de WHOIS do nome de domínio e resolver a situação diretamente com o registrante;

2. Acessar http://www.icann.org/dndr/udrp/approved-providers.htm para encontrar um órgão autorizado pela ICANN para a resolução de litígios.

3. Fornecer ao seu representante jurídico o seguinte link para o envio de documentos legais ao GoDaddy http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA A partir de agora, o GoDaddy considera esse assunto encerrado.

Minha reclamação foi recusada por eu não ser o “registrante atual”. O GoDaddy perguntou para o hacker se poderiam trocar a informação da conta, enquanto não se preocuparam em perguntar a mim se poderiam trocar. Fiquei enfurecido ao ver que o GoDaddy deixou o verdadeiro dono na mão.

Um colega de trabalho conseguiu me colocar em contato com um executivo do GoDaddy, o qual tentou verificar o problema com a equipe de segurança da empresa, mas nada aconteceu. Talvez por causa do feriado do Dia de Martin Luther King Jr.

Então, recebi esta mensagem do hacker:

FDe: <[email protected]> REI DA MÍDIA SOCIAL
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 18:50:16 -0800
Assunto: … olá

Você vai fazer a troca? A conta do GoDaddy está pronta pra ser liberada. A senha foi trocada e um email genérico foi colocado.

Perguntei a um amigo no Twitter quais eram as chances de recuperar minha conta no Twitter se o hacker tomasse posse. Lembrei do que aconteceu com @mat e conclui que abrir mão da conta na mesma hora seria a única maneira de evitar um desastre irreversível. Assim, eu disse ao hacker:

De: <***** @*****.*** > Naoki Hiroshima
Para: <[email protected]> REI DA MÍDIA SOCIAL
Data: Segunda-feira, 20 janeiro de 2014 19:41:17 -0800
Assunto: Re: … olá

Eu liberei o @N. Pode pegar.

Mudei meu nome de usuário de @N para @N_is_stolen (N foi roubado) pela primeira vez desde que entrei no Twitter, no início de 2007. Dei adeus ao meu nome de usuário problemático, por enquanto.

Recebi a seguinte resposta:

De: <[email protected]> REI DA MÍDIA SOCIAL
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 19:44:02 -0800
Assunto: Re: … olá

Muito obrigado. Sua senha do GoDaddy é: V;Mz,3{;!’g&

Se você quiser, posso entrar em detalhes e mostrar como consegui ter acesso ao seu GoDaddy, e o que você pode fazer para se proteger.

O hacker rapidamente controlou o nome de usuário e eu recuperei a minha conta no GoDaddy.

PayPal e GoDaddy Facilitaram o Ataque

Perguntei ao hacker como que a conta do GoDaddy havia sido atacada e obtive a seguinte resposta:

De: <[email protected]> REI DA MÍDIA SOCIAL
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 19:53:52 -0800
Assunto: Re: … olá

- Liguei para o PayPal e usei algumas táticas bastante simples de engenharia social para obter os últimos quatro dígitos do seu cartão de crédito (isso pode ser evitado ligando para o PayPal e pedindo para o seu operador colocar uma observação em sua conta não autorizando a divulgação dos seus dados pelo telefone)

- Liguei para o GoDaddy e disse e eles que tinha perdido o meu cartão, mas que lembrava dos últimos quatro dígitos, o agente então me deixou tentar uma sequência de números (00–09 no seu caso). Não encontrei uma forma de aumentar a segurança da conta no GoDaddy, mas se você quiser, posso recomendar registros de domínio mais seguros, como: NameCheap ou eNom (não a network solutions, a enom.com)

É difícil saber o que é mais revoltante: o fato de que o PayPal deu os últimos quatro dígitos do meu cartão de crédito para um hacker pelo telefone, ou o fato de que o GoDaddy aceitou isso como verificação. Quando perguntei sobre isso, ele respondeu com a seguinte mensagem:

De: <[email protected]> REI DA MÍDIA SOCIAL
Para: < *****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 20:00:31 -0800
Assunto: Re: … olá

Sim, o paypal me falou os números pelo telefone (Eu fingi ser um funcionário) e o godaddy me deixou “adivinhar” os primeiros dois dígitos do cartão.

Mas adivinhar 2 dígitos corretamente não é tão fácil assim, certo?

De: <[email protected]> REI DA MÍDIA SOCIAL
Para: <*****@*****.*** > Naoki Hiroshima
Data: Segunda-feira, 20 janeiro de 2014 20:09:21 -0800
Assunto: Re: … olá

Eu consegui na primeira ligação. A maioria dos operadores vai tentar até conseguir.

Ele teve sorte por apenas ter que acertar dois números, e por ter conseguido com somente uma ligação. A questão é que o GoDaddy deixou que ele tentasse até acertar na mosca. É absurdo. Era como se eu estivesse lidando com alguém que queria ser Kevin Mitnick — como se as empresas ainda tivessem que aprender as façanhas de Mitnick em 1995.

Evite usar domínios personalizados para o seu email de logins

Assim que recuperei minha conta do GoDaddy, consegui também retomar acesso ao meu email. Mudei o email que uso em diversos serviços da web para um endereço @gmail.com. Usar o meu endereço de email com um domínio personalizado no Google Apps é legal, mas há a chance de roubo caso o servidor do domínio seja atacado. Se eu estivesse usando um endereço @gmail.com para o meu login no Facebook, o hacker não teria conseguido acessar a minha conta no Facebook.

Se você estiver usando o seu endereço do Google Apps para fazer login em vários sites, recomendo não fazer mais isso. Use um @gmail.com para os logins. Você pode usar um email personalizado, mais legal, para a troca de mensagens. Eu ainda uso.

Além disso, também recomendo muito usar um valor de TTL maior para o MX record, apenas para se certificar. No meu caso, era uma hora de TTL, e foi por isso que eu não tive tempo suficiente para continuar a receber emails para o domínio comprometido depois de perder controle do DNS. Se fosse uma semana de TTL, por exemplo, poderia ter tido uma chance maior de recuperar minhas contas roubadas.

Usar uma autenticação em dois fatores é fundamental. É provavelmente o que impediu que o hacker entrasse na minha conta do PayPal. Embora essa situação sirva para ilustrar que até mesmo a autenticação em dois fatores não funciona para todos os casos.

Conclusão

Empresas babacas podem dar sua informação pessoal (como parte do seu número de cartão de crédito) para a pessoa errada. Algumas dessas empresas ainda realizam a prática inaceitável de verificar a sua identidade com os últimos digitos do seu cartão de crédito.

Para evitar que a imprudência delas acabe com sua vida digital, não deixe empresas como PayPal e GoDaddy armazenarem sua informação de cartão de crédito. Eu acabei de remover minhas informações. Também irei cancelar minhas contas no GoDaddy e no PayPal o mais rápido possível.