ΑρχικήsecurityΣυναγερμός στην GoDaddy: εύκολο θήραμα για social engineering

Συναγερμός στην GoDaddy: εύκολο θήραμα για social engineering

GoDaddyΤο μεγαλύτερο registrar του διαδικτύου, το GoDaddy βρίσκεται σε κατάσταση εκτάκτου ανάγκης, αφού παρέδωσε  τον έλεγχο ενός domain name με μοναδικό αντάλλαγμα ένα fake ID (εντάξει, και λίγο θράσος).

Παρότι δεν γνώριζε τα στοιχεία της πιστωτικής κάρτας, το pin του λογαριασμού και δεν είχε πρόσβαση σε υπάρχοντα λογαριασμό e-mail, η μεγαλύτερη domain registrar και web hosting υπηρεσία, του παρέδωσε τα στοιχεία σύνδεσης ενός άλλου ατόμου, παρέχοντας επίσης την δυνατότητα να αλλάξει τα αρχικά στοιχεία ή να μετακινήσει την κυριότητα έξω απ’ τα συστήματα της εταιρίας σε άλλο registrar.

Το penetration test που διενεργήθηκε ως απάντηση σε πρόκληση του δημοσιογράφου Steve Ragan από τον Vinny Troia, διευθύνοντα σύμβουλο της εταιρίας ασφαλείας Night Lion Security, αποκάλυψε πως το GoDaddy, παρά τα πολλαπλά μέτρα ασφαλείας παραμένει ευάλωτο στο social engineering.

O Troia κατάφερε να περάσει το pin request, απλώς παριστάνοντας τον μπερδεμένο χρήστη και λέγοντας πως έχει ξεχάσει τον κωδικό του. Στην ερώτηση των τελευταίων 4 αριθμών την πιστωτικής κάρτας υποστήριξε πως το πεδίο είχε καταχωρηθεί από βοηθό του κι εκείνος δεν τον γνώριζε.

Κι όσο για τις διευθύνσεις e-mail ισχυρίστηκε πως «υπάρχουν πολλές γραφειακές πολιτικές τις οποίες δεν θα ήθελε να αναφέρει»!

Δεν χρειάστηκε ιδιαίτερη προσπάθεια από μεριάς του, δημιούργησε ένα ψεύτικο social media account, και μια διεύθυνση Gmail για να προσδώσει αξιοπιστία και τέλος επεξεργάστηκε στο Photoshop ένα δίπλωμα οδήγησης από την πολιτεία της Indiana, ολοκληρώνοντας έτσι την ψεύτικη ταυτότητά του.

Μετά από πολλά e-mails και τηλεφωνικές κλήσεις τεσσάρων ημερών, συμπεριλαμβανομένου και του Σαββατοκύριακου, ο Troia κατάφερε να κερδίσει τελικά πρόσβαση στον λογαριασμό του Ragan με τίποτα περισσότερο πέρα από μερικές αληθοφανείς δικαιολογίες.

Το δημοφιλές registrar, έστειλε εν τέλει e-mail στην καταχωρημένη διεύθυνση όταν ήταν ήδη πια πολύ αργά, δηλαδή εννιά ώρες μετά την παραχώρηση του domain name.

Παρότι χρειάστηκε κάποια δεξιοτεχνία και κάποιες γνώσεις, παραμένει ενοχλητικό το γεγονός πως το μεγαλύτερο registrar με τουλάχιστον 60 εκατομμύρια domains και 13 τουλάχιστον εκατομμύρια πελάτες, μπορεί να εξαπατηθεί τόσο εύκολα με μεθόδους που μας ταξιδεύουν πίσω στο 1995.

Μπορεί ο Troia να μην τα κατάφερνε εξίσου καλά σε ένα λογαριασμό με μεγαλύτερο αριθμό domains, αποκάλυψε όμως μια θεμελιώδη αδυναμία στο επίκεντρο του συστήματος του

GoDaddy.

Σχετικά τώρα, το δημοφιλές domain registrar φαίνεται πως θα προχωρήσει με το συνεχώς αναβαλλόμενο ΙPO του, καθώς πρόσφατα αναρτήθηκε ενημέρωση στην Securities and Exchange Commission (SEC), σύμφωνα με την οποία αποτιμά τον εαυτό της ανάμεσα στα $2.6bn και $2.9bn και προτείνει ως τιμή έναρξης τα $17-19 ανά μετοχή στο Χρηματιστήριο της Νέας Υόρκης. Το IPO είχε δημοσιοποιηθεί για πρώτη φορά το 2006 αλλά είχε επανειλημμένα αναβληθεί, όταν η Google είχε ανακοινώσει την είσοδό της στις πωλήσεις domain. Τώρα φαίνεται πως τα στελέχη της GoDaddy, προχωρούν ακόμη περισσότερο προσπαθώντας να υποβαθμίσουν τις κινήσεις της Google.

Script>Alert
Script>Alerthttps://www.secnews.gr
We are all Edward Snowden.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS