O dia em que GoDaddy e PayPal ficaram do lado de um hacker

Nós já vimos casos e mais casos de ataques hackers a contas de diversos serviços ou ajustaríeis individuais, entretanto há algumas ocasiões em que a esperteza do atacante e a incompetência de profissionais e serviços se encontram, bastando um simples caso de engenharia social para ferrar a vida de outrem. O caso de Naoki Hiroshima, criador do App Cocoyon e dev do Echofon é um desses.
 

Tudo aconteceu porque Hiroshima possuía uma conta no Twitter incomum, @N. O fato de controlar um perfil com apenas uma letra já lhe rendeu uma oferta de US$ 50 mil e tentativas de apropriação. Entretanto ele perdeu a conta da forma mais inesperada possível, quando um hacker contatou o PayPal com uma conversa mole e foi atendido, resultando numa série de chantagens que o fizeram ceder o nome da conta do Twitter.

Hiroshima percebeu que algo estava errado quando recebeu uma notificação do PayPal a respeito de alguém tentando roubar sua conta. No dia seguinte, ao acessar seus e-mails de sua conta pessoal ele checou uma mensagem que dizia que sua conta de hospedagem no site GoDaddy.com foi modificada por outra pessoa. O hacker havia de alguma forma adquirido seu domínio, mudado as configurações e dados de confirmação e o trancado do lado de fora. Mesmo fazendo vários contatos com o site, inclusive com o setor executivo explicando a situação, nada foi feito pelo simples fato de que “ele não era o usuário registrado da conta”.

O pior ainda estava por vir. O hacker entrou em contato com Hiroshima e o extorquiu, exigindo que ele cedesse o domínio do Twitter @N para que ele devolvesse a conta do GoDaddy para ele. Sem opções, ele cedeu. O hacker não acessou (segundo ele) nenhum dado de seus sites, mas explicou o método que utilizou para conseguir surrupiar a conta do GoDaddy, e a simplicidade é de deixar os cabelos em pé.

O invasor contou que ele entrou em contato com o PayPal, alegando que havia perdido seu cartão de crédito mas que lembrava dos últimos quatro dígitos. O atendente então deixou que ele adivinhasse a combinação, chutando várias combinações dos dois primeiros dígitos. Em suma, ele poderia chutar de 00 a 99 que o atendente esperaria até que ele acertasse, liberando por fim o número completo. De posse desses dados ele conseguiu se apropriar da conta do GoDaddy. Ele diz que conseguiu na primeira ligação e precisou de poucos chutes, mas disse que outros hackers chutam várias vezes até acertar.

É insano que a essa altura do campeonato empresas idiotas ainda tratem o usuário como lixo, não se dão ao trabalho de checar informações e liberar dados cruciais a qualquer um. Hiroshima recomenda que as pessoas evitem utilizar endereços customizados de e-mail para esses tipos de serviços, preferindo contas do Gmail e similares. Além disso ele aconselha a não armazenar informações de cartões de crédito em tais serviços, se bem que o ideal seria evitá-los completamente.
Procurados para comentar o assunto, o PayPal não respondeu, um porta-voz do Twitter disse que o site está investigando assim como o GoDaddy, que alega “levar a segurança muito a sério”. Nota-se.

Fonte: TNW.