BREAKING: Ny säkerhetsfel i Gmail. Fler domäner blir stulna!

Annons

Som många av er redan vet den 2 november stalde MakeUseOf.coms domän från oss. Det tog oss ungefär 36 timmar att få domänen tillbaka. Som vi har påpekat tidigare hackaren lyckades på något sätt få tillgång till mitt Gmail-konto och därifrån till vårt GoDaddy-konto, låsa upp domänen och flytta den till en annan registrator.

Du kan se hela historien på vår tillfälliga blogg makeuseof-temporary.blogspot.com/

Jag planerade inte att publicera någonting om händelsen eller cracker (person som stjäl domäner) och hur han lyckades dra bort den om jag inte var helt säker på det själv. Jag hade en bra känsla att det var en säkerhetsbrist i Gmail men ville bekräfta det innan jag publicerade något om det på MakeUseOf. Vi älskar Gmail och att ge dem dålig reklam är inte något vi någonsin vill ha att göra.

Så varför skriva om det här nu?

Flera saker har hänt de senaste två dagarna som har fått mig att tro att Gmail har en allvarlig säkerhetsbrist och alla borde vara medvetna om det. Särskilt under de tider då individer som Steve Rubel berättar

Hur du gör Gmail till din gateway till webben. Nu får jag inte fel här, Gmail är ett AWESOME e-postprogram. Bäst förmodligen. Problemet är att det kanske inte är tillförlitligt när det gäller säkerhet. Med det sagt betyder det inte nödvändigtvis att du kommer att ha det bättre med Yahoo eller Live Mail.

Incident 1: MakeUseOf.com - 2 november

När vår domän stal misstänkte vi att hackaren använde ett hål i Gmail men vi var inte säkra på det. Varför misstänkte jag att det hade något att göra med Gmail? Tja för en sak är jag ganska försiktig med säkerhet och kör sällan något jag inte är säker på. Jag håller också mitt system uppdaterat och har allt väsentligt inklusive 2 skärm för skadlig programvara, ett antivirusprogram och 2 brandväggar. Jag brukar också använda starka och unika lösenord för alla mina konton.

Hackaren fick åtkomst till mitt Gmail-konto och skapade några filter där som så småningom hjälpte honom att få tillgång till vårt GoDaddy-konto. Det jag inte visste är hur han lyckades göra det. Var det ett säkerhetshål i Gmail? Eller var det en keylogger på min PC? Jag var inte säker på det. Efter incidenten skannade jag mitt system med ett antal borttagningar av skadlig programvara och hittade ingenting. Jag gick också igenom alla processer. Allt semed för att vara ren.

Så jag är benägen att tro att problemet var med Gmail.

Incident 2: YuMP3.org - 19 november

Den 18 november fick jag ett e-postmeddelande från någon med namnet Edin Osmanbegovic som driver webbplatsen yump3.org. (Han hittade antagligen min e-post via Google eftersom händelsen med MakeUseOf täcktes på flera populära bloggar, många varav mitt e-post-ID.) I hans e-postmeddelande berättade Edin för mig att hans domän stal och flyttades till en annan registrator. Jag googlade snabbt yoump3 och såg att en ganska etablerad webbplats nu serverade en länk gårdsida (precis som i vårt fall).

Google (på sista indexet):

YouMP3.org-hemsida (nuvarande):

Här är en kopia av det allra första e-postmeddelandet jag fick från Edin:

Hej,
Jag har samma problem med min domän.
Domänen har överförts från Enom till GoDaDDy.
Jag har genast skickat supportbiljett angående problemet.

Vem som den nya domänägaren är:

Namn: Amir Emami
Adress 1: P.O. Ruta 1664
Stad: League City
Stat: Texas
Zip: 77574
Land: USA
Telefon: +1.7138937713
E-post:Administrativ kontaktinformation:
Namn: Amir Emami
Adress 1: P.O. Ruta 1664
Stad: League City
Stat: Texas
Zip: 77574
Land: USA
Telefon: +1.7138937713
E-post:

Teknisk kontaktinformation:
Namn: Amir Emami
Adress 1: P.O. Ruta 1664
Stad: League City
Stat: Texas
Zip: 77574
Land: USA
Telefon: +1.7138937713
E-post:

E-postadress är: [email protected]
Igår hade killen från den e-postadressen kontaktat mig via Gtalk.
Han sa att han vill ha 2000 $ för domänen.
Jag behöver råd snälla, jag har kontaktat Enom.

Tack.

Och gissa vad, det är samma kille som tidigare denna månad stal MakeUseOf.com. Vi kontaktades också från samma e-postadress: [email protected]. Edin mailade mig också idag och bekräftade att killen också fick tillgång till sitt domänkonto via sitt Gmail-konto. Så det är igen Gmail.

I sitt senaste e-postmeddelande (mottaget idag) inkluderade Edin en snabb sammanfattning av händelserna

Jag har historien om hur han gjorde allt.

Den 10 november var jag ägare.
Den 13 november Mark Morphew.
Den 18 november Amir Emami.

Han använde [email protected] på båda personerna.

Jag har skickat igår också allt till Moniker.
De kommer att undersöka.

Incident 3: Cucirca.com - 20 november

Den här sista e-postadressen var den främsta anledningen till detta inlägg. Det kom från Florin Cucirka, ägaren till cucirca.com. Webbplatsen har en alexa rankning av 7681 och får enligt Florin över 100 000 besök dagligen.

Första e-postmeddelande från Florin:

Hej Aibek

Jag är i samma situation som makeuseof.com kom ut.

Jag är Cucirca Florin och min domän www.cucirca.com var
överförs från mitt godaddy-konto utan mitt tillstånd.

Det verkar som att tjuven kände mitt gmail-lösenord som är konstigt.
Han lyckades skapa några filter till mitt konto.

Jag har bifogat två skärmdumpar.

Kan du hjälpa mig? Ge mig några detaljer om hur jag kunde få det
ur den dåliga drömmen? Jag hittade just idag om detta och jag
tror inte att jag kan sova ikväll.

Tack på förhand.

Florin Cucirca.

Jag mailade Florin och frågade honom några detaljer om hans domän, om han kontaktade GoDaddy och vilken information han fick om domänkrackaren (term som används för domänstealer) kille hittills.

Andra e-postmeddelande från Florin:

Hackaren hade tillgång till mitt e-postkonto (gmail). Domänen var värd på godaddy.
Jag använde gmail notifier förlängning på Firefox. kanske är det det stora felet.
Han överförde domänen till register.com

Jag har inte pratat med hackaren. Jag vill få tillbaka det lagligt och om det inte finns någon annan lösning kanske jag betalar honom

www.cucirca.com har en Alexa Rank på 7681 och över 100 000 besök dagligen.

Jag ska bifoga dig 2 skärmdumpar av mitt gmail-konto.

[email protected] och i den andra skärmdomä[email protected]

Om du gör en google-sökning av [email protected] hittar du detta:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jag tycker att någon borde stoppa dem.

Jag mailade [email protected] och väntar på svar.

Vad tror du? Får jag tillbaka mitt domän?

Det verkar som om det är Gmail igen! Här är de delvisa skärmdumparna från vad han skickade mig:

I Florins fall bytte hackaren äganderätten till domänen för flera månader sedan. Cucirca.com överfördes från GoDaddy till Register.com. Eftersom hackaren avlyssnade sina e-postmeddelanden och aldrig bytte namngivare antar jag att Florin inte hade någon aning om att något var fel. När jag frågade honom hur det tog tog det så lång tid att ta reda på att han skickade mig följande:

Han överförde domänen till sitt namn 2008-09-05 och lämnade namnservrarna oförändrade. Det är därför jag inte märkte att min undergång var stulen förr igår när en vän till mig gjorde en whois på min domän ...

Jag hade ingen anledning att kontrollera vem som registrerar eftersom domänen var registrerad över 7 år (till 2013-11-08)

Jag har inte fått några e-postmeddelanden från den här personen.

Och igen verkar det vara samma kille! Varför tror jag det? Om du kontrollerar den länken som Florin inkluderade i en av hans e-postmeddelanden (jag har lagt till den nedan också) ser du att i vissa andra liknande incidenter (vem vet hur många fler domäner han har stulit så här) e-post adress [email protected] nämndes tillsammans med namnet 'Aydin Bolourizadeh'. Samma e-postmeddelande dök också upp i framåtregeln i Florins Gmail-konto (se första skärmdump).

När MakeUseOf.com togs från oss bad cracker mig om 2000 $. Och när jag frågade honom var och hur han vill få betalt, sa han till mig att skicka pengar via Western Union till följande adress:

Aydin Bolourizadeh
Kalkon
ankara
Cukurca kirkkonaklar mah 3120006954

skärmdump från http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jag är ganska vacker att det var samma kille i alla tre incidenter och förmodligen 788 andra nämnda i länken ovan, inklusive domäner som yxl.com, visitchina.net och visitjapan.net.

När jag sökte efter den adressen på Google upptäckte jag också att han äger följande domäner (förmodligen stal dem också):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Jag antar att killen faktiskt kommer från Turkiet och kommer sannolikt att bo någonstans i följande område.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turkiet

Vi vet också att han använder [email protected] som sin e-post. Så om vi vet vem som står bakom domainsgames.org kanske vi bara kommer ett steg närmare. Faktum är att han mailade för flera dagar sedan och bad mig ta bort alla instanser av hans e-post från webbplatsen och om vi inte följer det skulle han DDOS oss.

Här är hans exakta ord:

Hej,
Jag ber dig ta bort min e-postadress ([email protected]) från din webbplats!
Gör det om du inte vill ha några problem i framtiden. Annars börjar jag först ha den stora DDOS på din webbplats och kommer att göra det ...
Jag är mycket seriuos så ta bort mitt e-postmeddelande och domainsgame.org-namn

Så det verkar som om vi kan komma till ID bakom domainsgame.org vi kan få vår kille och förmodligen avslöja många fler domäner som han har stulen. Läs mer om det nedan. Låt oss nu prata om Gmail.

Sårbarhet i Gmail

Kommer du ihåg vad som hände med David Airey förra året? Hans domän stalde också. Historien var över hela webben.

– VARNING: Googles säkerhetsfel i GMail lämnar mitt företag saboterat
- Den kollektiva insatsen återställer David Airey.com

Både vi och David lyckades få tillbaka domänen. Men jag är inte säker på om alla är lika lyckliga som vi är. Tyvärr samarbetar registratorer inte riktigt med dig om det inte är berättelsen. Så jag tvivlar inte på att det finns hundratals människor där ute utan någon chans än att antingen ge sitt domännamn eller betala killen.

Hur som helst, tillbaka till Gmail.

I sin första artikel hänvisade David Airey till en Gmail-sårbarhet som (om jag inte misstar mig) nämndes här flera månader tidigare. För att sammanfatta:

Offret besöker en sida medan han är inloggad på GMail. Vid körning utför sidan en POST med flera delar / formdata till ett av GMail-gränssnitten och injicerar ett filter i offrets filterlista. I exemplet ovan skriver angriparen ett filter som helt enkelt letar efter e-postmeddelanden med bilagor och vidarebefordrar dem till ett e-postmeddelande efter eget val. Detta filter överför automatiskt alla e-postmeddelanden som matchar regeln. Tänk på att framtida e-postmeddelanden också kommer att vidarebefordras. Attacken kommer att finnas kvar så länge som offeret har filtret i sin filterlista, även om den ursprungliga sårbarheten, som var orsaken till injektionen, är fixad av Google.

original sida: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Nu är den intressanta delen att uppdateringen av ovanstående GNU Citizen-länk säger att sårbarheten fixades före 28 september 2007. Men i Davids fall inträffade händelsen i december, 2-3 månader senare.

Så, var utnyttjandet verkligen fixat då? Eller var det en ny exploit i Davids fall? Och viktigast är det att det finns en liknande säkerhetsbrist i Gmail NU?

Vad ska du göra nu?

(1) Mitt första råd skulle vara att kontrollera dina e-postinställningar och se till att din e-post inte äventyras. Kontrollera fowardingalternativ och filter. Se också till att inaktivera IMAP om du inte använder det. Detta gäller också Google Apps-konton.

(2) Byt kontakt e-postmeddelanden i dina känsliga webbkonton (paypal, domänregistrator etc.) från ditt primära Gmail-konto till något annat. Om du äger webbplatsen ska du ändra kontaktmeddelandet för dina värd- och registratorkonton till någon annan e-post. Helst till något som du inte är inloggad på när du surfar på webben.

(3) Se till att uppgradera din domän till privat registrering så att dina kontaktuppgifter inte dyker upp i WhoIS-sökningar. Om du är på GoDaddy rekommenderar jag att du går med skyddad registrering.

(4) Öppna inte länkar i din e-post om du inte känner personen de kommer från. Och om du väljer att öppna länken, se till att logga ut först.

UPPDATERING:

Jag upptäckte några bra artiklar som diskuterade potentiella säkerhetsbrister som svar på MakeUseOfs artikel:

– Gmail-säkerhetsfel bevis för koncept
– Kommentarer om detta på YCombinator
- (nov. 26'th) Gmail-säkerhet och nylig phishing-aktivitet [Officiellt svar från Google]

Hjälp oss att fånga killen!

Förutom ovanstående postadress vet vi också att han använder [email protected] som hans e-post. Så om vi tar reda på vem som nu äger domainsgames.org kan vi komma ett steg närmare. eller åtminstone returnera domänerna han stal till deras respektive ägare.

Nu är saken domännamnet domainsgames.org är skyddad av Moniker och de döljer all kontaktinformation för det.

Domän-ID: D154519952-LROR
Domännamn: DOMAINSGAME.ORG
Skapad den: 22-okt-2008 07:35:56 UTC
Senast uppdaterad den: 08-nov-2008 12:11:53 UTC
Utgångsdatum: 22-okt-2009 07:35:56 UTC
Sponsoring Registrar: Moniker Online Services Inc. (R145-LROR)
Status: KLÄNTTJÄRT BÖR
Status: KUNDÖVERFÖRING FÖRBJUDANDE
Status: UPPDATERING AV KUNDEN
Status: ÖVERFÖRT FORBUD
Registrant ID: MONIKER1571241
.
.
.
.
Namnserver: NS3.DOMAINSERVICE.COM
Namnserver: NS2.DOMAINSERVICE.COM
Namnserver: NS1.DOMAINSERVICE.COM
Namnserver: NS4.DOMAINSERVICE.COM

Jag har redan mailat (så gjorde Edin) dem om det och kommer att uppdatera dig här så snart jag hör något från dem.

Jag har också några förfrågningar till att följa företag som nu tillhandahåller sina tjänster till den personen.

När man gick igenom rubrikfiler i flera e-postmeddelanden var det tydligt att hacker använde Google Apps. Snälla undersöka det. Domänen är domainsgame.org. Och snälla FIX! Gmail.

Först av allt, snälla hjälp Edin och Florin att få sina domäner tillbaka. En smart sak att göra skulle vara att kontrollera IP-adresserna för kontoinloggning för alla liknande rapporterade fall. Till exempel, både i Edinks fall och vår (osäker på Florin), använde hackaren 64.72.122.156 IP-adress. (Som förresten visade sig vara en kompromitterad server på Alpha Red Inc.) Eller ännu enklare, lås bara domännamnet och be den nuvarande kontoinnehavaren att bevisa sin identitet. Eftersom hackaren använder olika identiteter överallt skulle det vara omöjligt för honom att göra det. Det är i ditt bästa intresse att se till att den här personen inte längre använder dina tjänster.

Stäng hans konto! (det är den för domainsgame.org). All ytterligare information eller hjälp du kan ge kommer att uppskattas.

Jag är inte riktigt säker men jag tror att DomainSponsor är företaget som tjänar pengar på de domäner som den här killen stjäl. Det hände med MakeUseOf.com och nu harpenderats med YouMP3.org.

5- Till PayPal. COM: (Din stöd är AWFUL)

Jag är säker på att de inte ens kommer att läsa det här så jag ska bara säga det istället. Jag skickade ett e-postmeddelande till [email protected] och varnade dem för att personen som stal vår domän och utpressat oss tidigare använde [email protected] (han använder också några andra konton). Jag bad dem bara undersöka det. Istället får jag ett e-postmeddelande som inte har något att göra med vad jag sa. I grunden är det en e-postmall som var tänkt att se äkta ut och skickas till de människor som blev förfalskade. Kom igen! Vi betalar 3% provision för varje transaktion, kan ni inte få bättre kundsupport?

Det är allt jag har!

Återigen är jag djupt ledsen för vad som hände med Florin och Edin. Jag hoppas verkligen att de snart kommer att få tillbaka sina domäner. Det är allt i händerna på respektive registrator nu. Men viktigast av allt, jag vill se att något blir gjort av stora korps (inte kunderna) för att fånga den personen. Jag är säker på att varje bloggare där ute skulle uppskatta det och förmodligen till och med skriva om det på hans / hennes blogg.

Det är dags för ÄNDRING ;-)

vänliga hälsningar
Aibek

bildkredit: tack till maskin för bästa bilden av Mr Cracker