BREAKING: Cacat Keamanan Gmail Baru. Lebih Banyak Domain Dicuri!

Iklan

Seperti yang sudah Anda ketahui pada 2 November, domain MakeUseOf.com dicuri dari kami. Kami butuh sekitar 36 jam untuk mendapatkan domain kembali. Seperti yang telah kami tunjukkan sebelumnya peretas entah bagaimana berhasil mendapatkan akses ke akun Gmail saya dan dari sana ke akun GoDaddy kami, buka kunci domain dan pindahkan ke pendaftar lain.

Anda dapat melihat keseluruhan cerita di blog sementara kami makeuseof-turnal.blogspot.com/

Saya tidak berencana untuk menerbitkan apa pun tentang insiden atau cracker (orang yang mencuri domain) dan bagaimana ia berhasil melakukannya kecuali saya sendiri benar-benar yakin tentang hal itu. Saya merasa itu adalah kelemahan keamanan Gmail tetapi ingin mengonfirmasi sebelum memposting apa pun tentang hal itu di MakeUseOf. Kami menyukai Gmail dan memberi mereka publisitas buruk bukanlah sesuatu yang kami inginkan melakukan.

Jadi mengapa menulis tentang ini sekarang?

Beberapa hal telah terjadi dalam dua hari terakhir yang membuat saya percaya bahwa Gmail memiliki kelemahan keamanan yang serius dan semua orang harus mengetahuinya. Terutama saat orang-orang seperti Steve Rubel memberi tahu Anda

Cara Membuat Gmail sebagai GateWay Anda Ke Web. Sekarang, jangan salah paham di sini, Gmail adalah program email yang MENGAGUMKAN. Mungkin yang terbaik. Masalahnya adalah bahwa itu mungkin bukan yang dapat diandalkan ketika datang ke keamanan. Meskipun demikian, itu tidak berarti bahwa Anda akan lebih baik dengan Yahoo atau Live Mail.

Insiden 1: MakeUseOf.com - 2 November

Ketika domain kami dicuri, kami menduga bahwa peretas menggunakan beberapa lubang di Gmail tetapi kami tidak yakin tentang hal itu. Mengapa saya curiga ada hubungannya dengan Gmail? Yah untuk satu hal saya agak berhati-hati tentang keamanan dan jarang menjalankan apa pun yang saya tidak yakin. Saya juga terus memperbarui sistem saya dan memiliki semua hal yang penting termasuk 2 monitor malware, antivirus, dan 2 firewall. Saya juga cenderung menggunakan kata sandi yang kuat dan unik untuk setiap akun saya.

Peretas mengakses akun Gmail saya dan membuat beberapa filter di sana yang akhirnya membantunya mendapatkan akses ke akun GoDaddy kami. Apa yang saya tidak tahu adalah bagaimana dia berhasil melakukan itu. Apakah ini lubang keamanan di Gmail? Atau apakah itu keylogger di PC saya? Saya tidak yakin tentang itu. Setelah kejadian itu saya memindai sistem saya dengan sejumlah penghapusan malware dan tidak menemukan apa pun. Saya juga melewati setiap proses yang berjalan juga. Semua semed menjadi bersih.

Jadi, saya cenderung percaya bahwa masalahnya ada pada Gmail.

Insiden 2: YuMP3.org - 19 November

Pada 18 November, saya mendapat email dari seseorang bernama Edin Osmanbegovic yang menjalankan situs yump3.org. (Dia mungkin menemukan email saya melalui Google karena insiden MakeUseOf diliput di beberapa blog populer, banyak di antaranya termasuk ID email saya.) Dalam emailnya, Edin mengatakan kepada saya bahwa domainnya dicuri dan dipindahkan ke registrar lain. Saya cepat-cepat mencari Google di yoump3 dan melihat bahwa situs web yang lebih mapan sekarang melayani halaman tautan pertanian (persis seperti dalam kasus kami).

Google (pada indeks terakhir):

Hompage YouMP3.org (sekarang):

Ini salinan email pertama yang saya dapatkan dari Edin:

Halo,
Saya memiliki masalah yang sama dengan domain saya.
Domain telah ditransfer dari Enom ke GoDaDDy.
Saya segera mengirim tiket dukungan mengenai masalah itu.

Whois pemilik domain baru adalah:

Nama: Amir Emami
Alamat 1: P.O. Kotak 1664
Kota: Kota Liga
Negara bagian: Texas
Zip: 77574
Negara: AS
Telepon: +1.7138937713
Surel:Informasi Kontak Administratif:
Nama: Amir Emami
Alamat 1: P.O. Kotak 1664
Kota: Kota Liga
Negara bagian: Texas
Zip: 77574
Negara: AS
Telepon: +1.7138937713
Surel:

Informasi Kontak Teknis:
Nama: Amir Emami
Alamat 1: P.O. Kotak 1664
Kota: Kota Liga
Negara bagian: Texas
Zip: 77574
Negara: AS
Telepon: +1.7138937713
Surel:

Email adalah: [email protected]
Kemarin pria dari alamat email itu telah menghubungi saya melalui Gtalk.
Dia mengatakan bahwa dia ingin $ 2.000 untuk domain.
Saya butuh saran, saya sudah menghubungi Enom.

Terima kasih.

Dan coba tebak, itu orang yang sama yang awal bulan ini mencuri MakeUseOf.com. Kami juga dihubungi dari alamat email yang sama: [email protected]. Edin juga mengirimi saya email hari ini dan mengkonfirmasi bahwa pria itu juga mendapat akses ke akun domainnya melalui akun Gmail-nya. Jadi itu lagi Gmail.

Dalam email terakhirnya (diterima hari ini) Edin menyertakan rekap cepat dari acara tersebut

Saya memiliki sejarah bagaimana dia melakukan segalanya.

Pada 10 November saya adalah pemiliknya.
Pada 13 November Mark Morphew.
Pada tanggal 18 November Amir Emami.

Dia menggunakan [email protected] pada kedua orang.

Saya telah mengirim kemarin juga semua barang ke Moniker.
Mereka akan menyelidiki.

Insiden 3: Cucirca.com - 20 November

Email terakhir ini adalah alasan utama untuk posting ini. Itu datang dari Florin Cucirka, pemilik cucirca.com. Situs ini memiliki peringkat alexa 7681 dan menurut Florin menerima lebih dari 100.000 kunjungan setiap hari.

Email pertama dari Florin:

Hai Aibek

Saya dalam situasi yang sama makeuseof.com keluar.

Saya Cucirca Florin dan domain saya www.cucirca.com
ditransfer dari akun godaddy saya tanpa izin saya.

Tampaknya pencuri itu tahu kata sandi gmail saya yang aneh.
Dia berhasil membuat beberapa filter ke akun saya.

Saya telah memasang 2 tangkapan layar.

Bisakah kamu membantuku? Berikan saya beberapa detail tentang bagaimana saya bisa mendapatkan
keluar dari mimpi buruk ini? Saya baru saja menemukan hari ini tentang ini dan saya
jangan mengira aku bisa tidur malam ini.

Terima kasih sebelumnya.

Florin Cucirca.

Saya mengirim email ke Florin dan menanyakan kepadanya beberapa perincian tentang domainnya, apakah ia menghubungi GoDaddy dan informasi apa pun yang ia dapatkan di domain cracker (istilah yang digunakan untuk pencuri domain) sejauh ini.

Email kedua dari Florin:

Peretas memiliki akses ke akun email saya (gmail). Domain diinangi di godaddy.
Saya menggunakan ekstensi notifier gmail di firefox. mungkin ada bug besar.
Dia mentransfer domain ke register.com

Saya belum berbicara dengan peretas. Saya ingin mendapatkannya kembali secara hukum dan jika tidak ada solusi lain mungkin saya akan membayarnya

www.cucirca.com memiliki Peringkat Alexa dari 7681 dan lebih dari 100.000 kunjungan setiap hari.

Saya akan melampirkan 2 tangkapan layar dari akun gmail saya.

[email protected] dan di domain layar [email protected]

Jika Anda melakukan pencarian google [email protected] Anda akan menemukan ini:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Saya pikir seseorang harus menghentikan mereka.

Saya mengirim email ke [email protected] dan menunggu balasan.

Bagaimana menurut anda? Apakah saya akan mendapatkan kembali domain saya?

Sepertinya itu Gmail lagi! Berikut screenshot sebagian dari apa yang ia kirimkan kepada saya:

Dalam kasus Florin, peretas mengubah kepemilikan domain beberapa bulan lalu. Cucirca.com dipindahkan dari GoDaddy ke Register.com. Karena peretas itu mencegat surel-surelnya dan tidak pernah berganti server, saya berasumsi Florin tidak tahu ada yang salah. Ketika saya bertanya kepadanya, mengapa butuh waktu lama untuk mengetahuinya, dia mengirim saya sebagai berikut:

Dia mentransfer domain ke namanya pada 2008-09-05 meninggalkan nameserver tidak berubah. Itu sebabnya saya tidak memperhatikan bahwa doomain saya dicuri sampai kemarin ketika seorang teman saya melakukan whois di domain saya….

Saya tidak punya alasan untuk memeriksa catatan whois karena domain telah terdaftar lebih dari 7 tahun (hingga 2013-11-08)

Saya belum menerima email apa pun dari orang ini.

Dan lagi-lagi sepertinya orang yang sama! Mengapa saya berpikir demikian? Jika Anda memeriksa tautan yang dimasukkan Florin dalam salah satu emailnya (saya menambahkannya di bawah ini juga), Anda akan melihatnya bahwa dalam beberapa insiden serupa lainnya (siapa yang tahu berapa banyak lagi domain yang dia curi seperti ini) email alamat [email protected] disebutkan bersama dengan nama 'Aydin Bolourizadeh'. Email yang sama juga muncul dalam aturan penerusan di akun Gmail Florin (lihat tangkapan layar pertama).

Ketika MakeUseOf.com diambil dari kami, cracker itu meminta saya $ 2.000. Dan ketika saya bertanya di mana dan bagaimana dia ingin dibayar, dia mengatakan kepada saya untuk mengirim uang melalui Western Union ke alamat berikut:

Aydin Bolourizadeh
Turki
Ankara
Cukurca kirkkonaklar mah 3120006954

tangkapan layar dari http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Saya cukup cantik bahwa itu adalah orang yang sama dalam semua 3 insiden dan mungkin 788 lainnya disebutkan dalam tautan di atas, termasuk domain seperti yxl.com, visitchina.net dan visitjapan.net.

Ketika saya mencari alamat itu di Google, saya juga menemukan bahwa dia memiliki domain berikut (mungkin mencurinya juga):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Saya berasumsi pria itu memang dari Turki, dan kemungkinan akan tinggal di suatu tempat di daerah berikut.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turki

Kita juga tahu bahwa dia menggunakan [email protected] sebagai emailnya. Jadi jika kita tahu siapa yang berdiri di belakang domainsgames.org kita mungkin hanya selangkah lebih dekat. Faktanya, dia mengirim email beberapa hari yang lalu dan meminta saya untuk menghapus semua contoh emailnya dari situs web dan jika kita tidak mematuhi dia akan DDOS kita.

Inilah kata-kata persisnya:

Hai,
Saya meminta Anda untuk menghapus alamat email saya ([email protected]) dari situs web Anda!
Lakukan jika Anda tidak ingin memiliki masalah di masa depan, Jika tidak, pertama-tama saya akan mulai memiliki DDOS besar di situs web Anda dan akan menyelesaikannya ...
Saya sangat seriuos jadi hapus email saya dan nama domainsgame.org

Jadi, tampaknya jika kita bisa mendapatkan ID di belakang domainsgame.org kita mungkin mendapatkan orang kita dan mungkin menemukan lebih banyak domain yang telah dia bengkak. Baca lebih lanjut di bawah ini. Sekarang mari kita bicara tentang Gmail.

Kerentanan Gmail

Adakah yang ingat apa yang terjadi dengan David Airey tahun lalu? Domainnya juga dicuri. Kisah itu ada di seluruh web.

– PERINGATAN: Kegagalan keamanan GMail Google membuat bisnis saya disabotase
- Upaya kolektif mengembalikan David Airey.com

Kami dan David berhasil mendapatkan kembali domain tersebut. Tetapi saya tidak yakin apakah setiap orang seberuntung kita. Sayangnya, pendaftar tidak akan benar-benar bekerja sama dengan Anda dalam hal ini kecuali cerita tersebut mendapat perhatian. Jadi, saya tidak ragu ada ratusan orang di luar sana yang tidak memiliki kesempatan selain memberikan nama domain mereka atau membayar orang itu.

Bagaimanapun, kembali ke Gmail.

Dalam artikel pertamanya David Airey merujuk pada kerentanan Gmail yang (jika saya tidak salah) disebutkan sini beberapa bulan sebelumnya. Untuk menyimpulkan:

Korban mengunjungi halaman saat sedang login ke GMail. Setelah eksekusi, halaman melakukan POST multi-formulir / data ke salah satu antarmuka GMail dan menyuntikkan filter ke dalam daftar filter korban. Pada contoh di atas, penyerang menulis filter, yang hanya mencari email dengan lampiran dan meneruskannya ke email pilihan mereka. Filter ini akan secara otomatis mentransfer semua email yang sesuai dengan aturan. Perlu diingat bahwa email di masa mendatang akan diteruskan juga. Serangan akan tetap ada selama korban memiliki filter dalam daftar filter mereka, bahkan jika kerentanan awal, yang merupakan penyebab injeksi, diperbaiki oleh Google.

halaman asli: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Sekarang, bagian yang menarik adalah pembaruan pada tautan GNU Citizen di atas menyatakan bahwa kerentanan telah diperbaiki sebelum 28 September 2007. Tetapi dalam kasus David, insiden itu terjadi pada bulan Desember, 2-3 bulan kemudian.

Jadi, apakah eksploitasi benar-benar diperbaiki saat itu? Atau apakah itu eksploitasi baru dalam kasus David? Dan yang paling penting adalah apakah ada kelemahan keamanan serupa di Gmail SEKARANG?

Apa yang harus kamu lakukan sekarang?

(1) Nah, saran pertama saya adalah memeriksa pengaturan email Anda dan memastikan email Anda tidak terganggu. Periksa opsi dan filter fowarding. Pastikan juga untuk menonaktifkan IMAP jika Anda tidak menggunakannya. Ini juga berlaku untuk akun Google Apps.

(2) Ubah email kontak di akun web sensitif Anda (paypal, pendaftar domain, dll.) Dari akun Gmail utama Anda ke yang lain. Jika Anda memiliki situs web, maka ubah email kontak untuk host dan akun pendaftar Anda ke beberapa email lain. Lebih disukai sesuatu yang Anda tidak masuk saat menjelajah web.

(3) Pastikan untuk meningkatkan domain Anda ke pendaftaran pribadi sehingga detail kontak Anda tidak muncul pada pencarian WhoIS. Jika Anda menggunakan GoDaddy, saya sarankan untuk pergi dengan Pendaftaran Terlindungi.

(4) Jangan membuka tautan di email Anda jika Anda tidak tahu dari siapa mereka. Dan jika Anda memutuskan untuk membuka tautannya, pastikan untuk keluar terlebih dahulu.

MEMPERBARUI:

Saya menemukan beberapa artikel bagus yang membahas kelemahan keamanan potensial sebagai tanggapan terhadap artikel MakeUseOf:

– Keamanan Gmail. Bukti Konsep
– Komentar Tentang Ini di YCombinator
- (Nov. 26th) Keamanan Gmail dan Aktivitas Phishing Terbaru [Tanggapan Resmi dari Google]

Bantu Kami Menangkap Pria!

Selain dari alamat surat di atas, kita juga tahu bahwa dia menggunakan [email protected] sebagai email-nya. Jadi jika kita mengetahui siapa yang sekarang memiliki domainsgames.org kita mungkin akan selangkah lebih dekat. atau paling tidak mengembalikan domain yang ia curi ke pemiliknya masing-masing.

Sekarang masalahnya adalah nama domain domainsgames.org dilindungi oleh Moniker dan mereka menyembunyikan semua info kontak untuk itu.

ID Domain: D154519952-LROR
Nama Domain: DOMAINSGAME.ORG
Dibuat Pada: 22-Okt-2008 07:35:56 UTC
Terakhir Diperbarui Pada: 08-Nov-2008 12:11:53 UTC
Tanggal Kedaluwarsa: 22-Okt-2009 07:35:56 UTC
Pendaftar Pendaftar: Moniker Online Services Inc. (R145-LROR)
Status: KLIEN DELETE DILARANG
Status: KLIEN TRANSFER DILARANG
Status: KLIEN DIPERBARUI DILARANG
Status: TRANSFER DILARANG
ID Pendaftar: MONIKER1571241
.
.
.
.
Name Server: NS3.DOMAINSERVICE.COM
Name Server: NS2.DOMAINSERVICE.COM
Name Server: NS1.DOMAINSERVICE.COM
Name Server: NS4.DOMAINSERVICE.COM

Saya sudah mengirim email (begitu juga Edin) kepada mereka tentang hal itu dan akan memperbarui Anda di sini segera setelah saya mendengar sesuatu dari mereka.

Saya juga memiliki beberapa permintaan untuk mengikuti perusahaan yang sekarang menyediakan layanan mereka untuk individu tersebut.

Saat menelusuri file tajuk di beberapa email, jelas peretas menggunakan Google Apps. Silakan melihatnya. Domainnya adalah domainsgame.org. Dan juga tolong TETAP! Gmail.

Pertama-tama, tolong bantu Edin dan Florin mendapatkan kembali domain mereka. Satu hal yang cerdas untuk dilakukan adalah memeriksa alamat IP login akun untuk semua kasus yang dilaporkan serupa. Misalnya, baik dalam kasus Edin maupun kami (tidak yakin tentang Florin), peretas menggunakan 64.72.122.156 alamat IP. (Yang omong-omong ternyata server yang dikompromikan di Alpha Red Inc.) Atau bahkan lebih mudah, cukup kunci nama domain dan minta pemegang akun berjalan untuk membuktikan identitasnya. Karena peretas menggunakan identitas berbeda di mana-mana, tidak mungkin baginya melakukan itu. Adalah demi kepentingan terbaik Anda untuk memastikan bahwa orang ini tidak lagi menggunakan layanan Anda.

Tutup akunnya! (itu yang untuk domainsgame.org). Setiap info atau bantuan tambahan yang dapat Anda berikan akan dihargai.

Saya tidak begitu yakin tetapi saya pikir DomainSponsor adalah perusahaan yang menghasilkan uang dari domain yang dicuri orang ini. Itu terjadi dengan MakeUseOf.com dan sekarang terjadi dengan YouMP3.org.

5- To PayPal. COM: (DUKUNGAN ANDA MENGERIKAN)

Saya yakin mereka bahkan tidak akan membaca ini jadi saya hanya akan memberi tahu Anda. Saya mengirim email ke [email protected] dan memperingatkan mereka bahwa orang yang mencuri domain kami dan memeras kami sebelumnya menggunakan akun [email protected] (dia menggunakan beberapa akun lain juga). Saya hanya meminta mereka untuk melihatnya. Sebaliknya saya mendapatkan email yang tidak ada hubungannya dengan apa yang saya katakan. Pada dasarnya ini adalah templat email yang dimaksudkan untuk terlihat asli dan dikirim ke orang-orang yang dipalsukan. Ayo! Kami membayar biaya komisi 3% untuk setiap transaksi, tidak bisakah kalian memberikan dukungan pelanggan yang lebih baik?

Hanya itu yang saya dapat!

Sekali lagi saya sangat menyesal atas apa yang terjadi pada Florin dan Edin. Saya benar-benar berharap mereka akan mendapatkan kembali domain mereka segera. Semuanya ada di tangan pendaftar masing-masing sekarang. Tetapi yang paling penting, saya ingin melihat sesuatu dilakukan oleh korps besar (bukan pelanggan) untuk menangkap orang itu. Saya yakin setiap blogger di luar sana akan menghargai itu dan mungkin bahkan menulis tentang hal itu di blognya.

Saatnya untuk MENGUBAH ;-)

salam Hormat
Aibek

kredit gambar: terima kasih mesin untuk gambar top ‘Mr Cracker’