パスワードは、たとえ強力なものであっても、ユーザーを保護するには十分ではありません。オンライン アカウントの安全性は、それを保持する企業のセキュリティ ポリシーによって決まります。
少なくともそれが、ヒロシマナオキ氏の著書から学ぶべき明白な教訓である。エピックアカウントあるハッカーが一連の単純なソーシャル エンジニアリング戦術を使用して、単一のパスワードを使用せずにオンライン アカウントを制御する方法を説明しました。
[slug="bad-tech-care" も参照]
広島直樹氏は、@Nその間、彼は、誰もが欲しがるこの 1 文字のアカウントを制御しようとする攻撃者による複数の試みをかわしてきたと語った。彼はハンドルと引き換えに5万ドルを提供されたこともあったと主張している。
これらの試みは 1 月 20 日まで失敗に終わりました。
広島市の説明によると、その日、ペイパルの従業員を装ったハッカーがペイパルのカスタマーサービスに電話し、最終的に広島市のクレジットカードの下4桁を入手することができた。
その後、ハッカーは GoDaddy の顧客サービスに電話し、Paypal から入手した番号を提供した後、記録されているクレジット カードの最初の 2 桁を「推測」することを許可されました。この情報を提供した後、ハッカーはhiroshimaのアカウントにアクセスし、すぐにアカウント情報を変更し、事実上、実際のhiroshimaをアカウントから締め出しました。
GoDaddy を使用して個人 Web サイトと電子メールのドメインをホストしていた広島氏にとって、このアカウントから締め出されたことの重要性は非常に大きかった。
ほとんどの Web サイトは確認方法として電子メールを使用します。電子メール アカウントが侵害されると、攻撃者は他の多くの Web サイトでパスワードを簡単にリセットできます。 GoDaddy で私のドメイン名を制御することで、攻撃者は私の電子メールを制御することができました。
ハッカーは広島氏のメールを一度制御すると、彼のFacebookアカウントも制御した。
この頃、広島さんは自分のツイッターアカウントが攻撃のターゲットになっていることに気づいたという。彼はアカウントにリンクされている電子メールを変更し、攻撃者がパスワードを変更するのを防ぎました。
それでもハッカーは広島に連絡して、@N を引き渡すか、GoDaddy のすべてのドメインを永久に失うかという最後通牒を突きつけました。広島は、これまで支配権を取り戻そうとする試みに失敗してきたが、折れた。
その言葉通り、ハッカーは GoDaddy アカウントを広島に返し、現在は広島からツイートしています。@N_is_stolen、と攻撃の詳細を明らかにした。
この話に聞き覚えがあると思うなら、それは、この話が昔の話と驚くほど似ているからです。2012年のハッキングWired記者マット・ホーナン氏の話。ハッカーが同様のソーシャルエンジニアリング手法を使ってホーナン氏のiCloudパスワードを入手した際に、彼のiPad、iPhone、MacBookを消去された。広島と同様、その攻撃の最終目標はほなんさんのTwitterアカウント。ホナンは人物写真やメディアの多くをほぼ取り返しのつかないほど失ったが、広島は同じことが彼に起こることを望んでいなかった。
「私は@matに何が起こったかを思い出し、取り返しのつかない災害を避けるにはすぐに[Twitter]アカウントを放棄することが唯一の方法であると結論付けました」とヒロシマさんは書いた。
ホーナンはアカウントを復元し、最終的には復元できました彼のデータの多くは消去された MacBook からのものでした。
広島が同様に幸運であるかどうかはまだ明らかではないが、彼のアカウントが突然注目を集めたことで、GoDaddy が彼を支援する動機がさらに高まった可能性があるようだ。
驚くべきことに@godaddy今、私を助けたいと思っているようです。なぜ私が助けを求めた日に助けてくれなかったのか不思議です。
— 広島直樹 (@N_is_stolen)2014 年 1 月 29 日
TwitterはMashableへの声明の中で、同社は特定のアカウントについてはコメントしないが、この報告について調査していることは認めたと述べた。
ペイパル側は、広島の攻撃者へのクレジットカード情報の開示を否定した。
「私たちの調査により、PayPal がクレジットカードの詳細を一切開示していないことが確認されました」と同社は声明で述べた。ツイート水曜日。
Re: この事件についてhttps://t.co/bOiuzqvFep, 私たちの調査では、PayPal がクレジット カードの詳細を一切開示していないことが確認されました。詳細についてはすぐにお知らせします。
— PayPal に質問する (@AskPayPal)2014 年 1 月 29 日
PayPal はその後、内部調査の詳細を次の文書で明らかにしました。ブログ投稿水曜日。同社は広島の状況を「困難」としているが、広島のアカウント情報は一切開示しておらず、実際にアカウントが侵害されたことはないと繰り返した。
当社は記録を注意深く検討した結果、PayPal に連絡してこの顧客の情報を取得しようとして失敗したことが確認できました。
PayPal は、このアカウントに関連するクレジット カードの詳細を一切明らかにしていません。
PayPal は、このアカウントに関連する個人情報や財務情報を一切公開しませんでした。
この個人の PayPal アカウントは侵害されていません。
更新、1月29日4時22分PT:GoDaddy の最高情報セキュリティ責任者である Todd Redfoot 氏は、Mashable への声明で次のように述べています。
状況を調査したところ、ハッカーが GoDaddy に連絡した時点で、アカウントへのアクセスに必要な顧客情報の大部分をすでに所有していたことが判明しました。その後、ハッカーは従業員をソーシャル エンジニアリングして、顧客アカウントにアクセスするために必要な残りの情報を提供させました。その後、お客様は GoDaddy アカウントへの完全なアクセスを取り戻し、当社は業界パートナーと協力して他のプロバイダーからのサービスの復元を支援しています。当社は、業界をリードするセキュリティをお客様に提供し続け、進化するハッカー技術の先を行くために、従業員のトレーニングに必要な変更を加えています。
PayPal が広島のアカウント情報の公開を拒否したことを考慮すると、広島のハッカーは GoDaddy アカウントにアクセスするために使用した情報をどこから入手したのかという疑問が生じます。