譯自 《How I Lost My $50,000 Twitter Username》

我有一個極其罕見的 Twitter 帳號 @N撞牢，曾經(jīng)有人出價 $50000 買它。經(jīng)常有人嘗試偷它币绩。我的郵箱經(jīng)常有密碼重置信〗懈椋現(xiàn)在，我已經(jīng)不再擁有 @N吐葵，因?yàn)楸磺迷p不得已放棄污筷。

2014 年 1 月 20 號我在吃中飯的時候工闺，我收到來自 Paypal 的驗(yàn)證碼消息。有人嘗試偷我的 Paypal 帳號瓣蛀。我忽略了它繼續(xù)吃飯陆蟆。

當(dāng)天晚些時候，我查了一下自己 Google Apps 的郵箱惋增， 這個郵箱用了我通過 GoDaddy 注冊的域名叠殷。
我發(fā)現(xiàn)來自 GoDaddy 的最后一封郵件：“賬戶設(shè)置變更確認(rèn)”。你懂得诈皿，這為什么是最后一個林束。

From: support@godaddy.com GoDaddy
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: 賬戶設(shè)置變更確認(rèn)
Dear naoki hiroshima,
收到這封郵件是因?yàn)槟男畔⒈幌旅娴馁~戶修改：
XXXXXXXX

修改有一定的有效時間

如果不是您自己修改，請到賬戶修改安全設(shè)置纫塌。

如果無法訪問帳號或者該賬戶下的域名發(fā)生了未授權(quán)的變更，請聯(lián)系 support@godaddy.com or (480) 505-8877.
Please note that Accounts are subject to our Universal Terms of Service.
Sincerely,
GoDaddy

我嘗試登錄我的 GoDaday 帳號讲弄，但沒用措左。我打電話給 GoDaddy 并解釋了問題”艹客服問了我信用卡后六位做為驗(yàn)證方式怎披。因?yàn)樾庞每ㄐ畔⒁呀?jīng)被攻擊者修改所以這個方法行不通。事實(shí)上瓶摆，我的所有信息都被修改了凉逛。我沒有辦法來證明我是域名的所有者。

GoDaddy 的客服建議我使用公民身份信息在 Godaday 官網(wǎng)來填一個申請報告群井。我這么做了状飞，然后告訴我需要 48 小時。我期待這個可以證明我的身份和賬戶所有權(quán)书斜。

敲詐繼續(xù)

大多的網(wǎng)站使用郵箱做為驗(yàn)證方式诬辈。如果你的郵箱被攻擊了，攻擊者會很容易重置你的密碼荐吉”涸悖控制我的域名后，攻擊者試圖控制我的郵件样屠。

基于之前的攻擊穿撮，我很快意識到缺脉，我那令人垂涎的 Twitter 帳號才是目標(biāo)。很奇怪的是悦穿，在 Facebook 有陌生人發(fā)了消息給我鼓勵我修改我的 Twitter 郵件地址攻礼。我認(rèn)為這是從攻擊者發(fā)送的，但我還是改了它咧党。Twitter 帳號的郵件地址現(xiàn)在攻擊者已經(jīng)訪問不了了秘蛔。

由于花時間變更了可以控制我域名服務(wù)器的 MX 記錄，攻擊者嘗試重置了幾次我的 Twitter 密碼發(fā)現(xiàn)他不能收到任何重置郵件傍衡。攻擊者在 Twitter 的客服系統(tǒng)上開了個工單 #16134409苇瓣。

N，1 月 20 號 下午 1:43:

Twitter 賬戶：@n
郵箱：****@****.***
最后登錄：十二月
手機(jī)號: n/a
其它信息：我收不到我的密碼重置郵件哺徊，你可以手動發(fā)一個給我么驰弄？

Twitter 要求攻擊者提供更多信息，攻擊者放棄了這個方式绣的。

然后我才知道為了和我討價還價叠赐，攻擊者已經(jīng)破壞了我的 Facebook 帳號。我才意識到當(dāng)一個朋友開始在 Facebook 上問的很奇怪意味著什么屡江。

我最后收到了來自于攻擊者的郵件芭概。攻擊者要敲詐我：

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 15:55:43 -0800
Subject: Hello.
我看到了你和我的同伴談話，我只想告訴你惩嘉，你是正確的罢洲，@N 才是目標(biāo)。現(xiàn)在已經(jīng)是未激活狀態(tài)了文黎，我通知你我已經(jīng)掌握了你的 Godday 域名惹苗，只需一個假冒的支付就可以讓 Godaddy 交換所有權(quán)并且不會被看到 D:

我看到你訪問過不少網(wǎng)站，我還留著這些帳號耸峭，所有這些網(wǎng)站的數(shù)據(jù)都還算保持完整桩蓉。你是否要妥協(xié)？讓我訪問 @N 5 分鐘直到我交換你的 Godaddy 控制權(quán)劳闹，并且可以幫你保護(hù)你的信息院究？

很短時間，我收到了 GoDaddy 的回復(fù)本涕。

From: change@godaddy.com
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 17:49:41 -0800
Subject: Update [Incident ID: 21773161]?—?XXXXX.XXX
不幸的是儡首，域名服務(wù)部門不能幫助你來修改，因?yàn)槟悴皇怯蛎?dāng)前的所有者偏友。由于注冊商原因蔬胯，我們必須在注冊所有人的同意后做出修改。你可以嘗試通過下面的選項(xiàng)來幫助你繼續(xù)：

1. Visit http://who.godaddy.com/ to locate the Whois record for the domain name and resolve the issue with the registrant directly.
2. Go to http://www.icann.org/dndr/udrp/approved-providers.htm to find an ICANN approved arbitration provider.
3. Provide the following link to your legal counsel for information on submitting legal documents to GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA GoDaddy now considers this matter closed.

因?yàn)槲也皇恰府?dāng)前所有者」位他，我的申請被拒絕了氛濒，GoDaddy 問了攻擊者是否同意要做出改變产场，在他們攻擊的時候它們當(dāng)然不同意。GoDaday 把我激怒了舞竿，它把麻煩都給了我這個真正的所有者京景。

我的一個同事可以聯(lián)系到 GoDaddy 的執(zhí)行官，執(zhí)行官嘗試讓安全團(tuán)隊(duì)來幫助解決骗奖，但沒有下文了确徙。也許是因?yàn)椤格R丁路德金日」。

然后我收到了攻擊者的郵件执桌。

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 18:50:16 -0800
Subject: …h(huán)ello
你準(zhǔn)備好交換了么鄙皇？GoDadday 帳號準(zhǔn)備好了，密碼修改好了并且我放到了電子郵件仰挣。

我問了我一個 Twitter 的朋友如果攻擊者拿到我的 Twitter 帳號會發(fā)生什么伴逸。我記得 @mat 出了什么事兒 中的結(jié)論是放棄賬戶是避免逆天災(zāi)難的唯一辦法。所以我告訴攻擊者：

From: <*****@*****.***> Naoki Hiroshima
To: swiped@live.com SOCIAL MEDIA KING
Date: Mon, 20 Jan 2014 19:41:17 -0800
Subject: Re: …h(huán)ello
@N 我不要了膘壶，拿走它吧错蝴。

我從 2007 年至今第一次修改了我的用戶名 @N 為 @N_is_stolen。至此告別了我的問題帳號颓芭。

我收到下面的回復(fù)顷锰。

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:44:02 -0800
Subject: RE: …h(huán)ello
非常感謝，你的 godaddy 密碼是：V;Mz,3{;!’g&
如果你喜歡我可以告訴你我是如何入侵你的 godaddy 賬戶的亡问，并且可以告訴你怎么保護(hù)好它官紫。

攻擊者很快掌握了用戶名，我的 GoDaddy 賬戶也失而復(fù)得了玛界。

PayPal 和 GoDaday 方便了攻擊者

我問攻擊者如何被攻擊的万矾，然后收到了下面的回復(fù)：

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:53:52 -0800
Subject: RE: …h(huán)ello

• 我打電話給 paypal 并且用了非常簡單的工程學(xué)策略來獲得你信用卡的后四位（防止的方案是打電話給 paypal 要求客服為你的賬戶添加一個不通過電話獲得資料的備注）

• 我打電話給 godaddy 告訴他們我的信用卡丟失了并且我只記得后四位悼吱，客服讓我嘗試號碼（就是 00-99）我沒有發(fā)現(xiàn)可以提高 godaday 帳號安全性的方式慎框，然而如果你讓我推薦注冊商的話建議是：NameCheap 或者 eNom（不要用 networks solutions 用 enom.com）

很難說有多震撼，事實(shí)是 Paypal 通過在電話里給了攻擊者我的信用卡后四位號碼后添，而 GoDaddy 支持用它來做驗(yàn)證笨枯。當(dāng)我準(zhǔn)備再問點(diǎn)什么的時候，攻擊者回了我一個郵件：

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:00:31 -0800
Subject: RE: …h(huán)ello
paypal 通過電話告訴我（我扮演一個員工）的信息遇西，然后 godaday 讓我「猜」信用卡的前兩位馅精。

猜 2 位不那么容易是吧？

From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:09:21 -0800
Subject: RE: …h(huán)ello
我第一個電話就知道了粱檀，很多客服會讓你試到成功為止洲敢。

他很幸運(yùn)他只需要通過電話猜兩個號碼。問題是茄蚯，GoDaday 允許他猜中為止压彭。

避免使用自定義域名做為登錄郵件地址

當(dāng)我的 GoDaday 賬戶恢復(fù)后睦优，我重獲訪問我郵件的權(quán)限，我修改了很多網(wǎng)站的郵件地址為 @gmail.com 的地址壮不。使用自定義域名的 Google Apps 會很好玩汗盘，但是會存在被攻擊的可能性。如果我的 Facebook 用了 @gmail.com 郵箱地址询一，攻擊者不可能獲得我的 Facebook 訪問權(quán)隐孽。

如果你在使用自定義域名來登錄不同的網(wǎng)站，我強(qiáng)烈建議你不要用健蕊，只使用 @gmail.com 做為登錄地址菱阵。你可以用自定義域名來收發(fā)郵件，我依然這么做的绊诲。

然后送粱，我強(qiáng)烈建議你修改 MX 記錄的 TTL（過期時間）為一個小時，可以在被攻擊丟失 DNS 控制權(quán)時有充足的時間來收郵件掂之。如果 TTL 時間長點(diǎn)我就能有恢復(fù)我賬戶的機(jī)會抗俄。

必須用兩步驗(yàn)證。這可以避免攻擊者登錄我的 PayPal 賬戶世舰。雖然這些情況下兩步驗(yàn)證都沒用动雹。

總結(jié)

愚蠢的公司會把你的個人信息給別人（比如信用卡號）。有些公司仍在使用驗(yàn)證信用卡最后幾位號碼的方式這種難以接受的做法跟压。

為了避免他們破壞你的數(shù)字生活胰蝠，不要讓 PalPal 和 GoDaddy 存儲你的行用卡信息。我已經(jīng)刪掉了震蒋。我也會盡快離開 GoDaddy 和 Paypal茸塞。