Briser: nouvelle faille de sécurité gmail. Plus de domaines sont volés!

Comme beaucoup d`entre vous le savent déjà le 2 Novembre, le domaine de MakeUseOf.com nous a été volée. Il nous a fallu environ 36 heures pour récupérer le domaine. Comme nous l`avons souligné plus haut que le pirate a réussi en quelque sorte d`avoir accès à mon compte Gmail et de là à notre compte GoDaddy, déverrouiller le domaine et le déplacer vers un autre registrar.

Vous pouvez voir toute l`histoire sur notre makeuseof-temporary.blogspot.com/ blog temporaire

Je ne prévoyais pas de publier quoi que ce soit au sujet de l`incident ou pirate (personne qui vole les domaines) et comment il a réussi à le retirer à moins que je suis complètement sûr de moi-même. J`ai eu un bon sentiment était une faille de sécurité Gmail mais je voulais le confirmer avant toute publication à ce sujet sur MakeUseOf. nous l`amour Gmail et en leur donnant une mauvaise publicité est quelque chose que nous ne voudrait jamais faire.

Alors, pourquoi écrire à ce sujet maintenant, alors?

Plusieurs choses se sont passées au cours des deux derniers jours qui me ont fait croire que Gmail a une faille de sécurité grave et tout le monde doit être au courant à ce sujet. Surtout pendant les périodes où les individus comme Steve Rubel vous dire comment faire Gmail vous donne accès à Internet. Maintenant, ne vous méprenez pas ici, Gmail est un programme de messagerie IMPRESSIONNANT. Le meilleur probablement. Le problème est qu`il pourrait ne pas être un fiable en matière de sécurité. Cela étant dit, cela ne signifie pas nécessairement que vous serez mieux avec Yahoo ou Live Mail.

Incident 1: MakeUseOf.com - 2ème Novembre

Lorsque notre domaine a été volé, nous soupçonnions que le pirate utilise un trou dans Gmail, mais nous ne savions pas à ce sujet. Pourquoi ai-je l`impression que c`était quelque chose à voir avec Gmail? Eh bien pour une chose que je suis plutôt prudent sur la sécurité et quoi que ce soit rarement courir je ne suis pas sûr. Je garde aussi mon système à jour et que tous les éléments essentiels dont 2 moniteurs de logiciels malveillants, un antivirus et les pare-feu 2. J`ai aussi tendance à utiliser des mots de passe et unique pour chacun de mes comptes.

Le pirate a accès mon compte Gmail et mis en place des filtres là-bas qui l`a finalement aidé à avoir accès à notre compte GoDaddy. Ce que je ne savais pas comment il a réussi à le faire. Était-ce un trou de sécurité dans Gmail? Ou était-ce un keylogger sur mon PC? Je ne savais pas à ce sujet. Après l`incident, je scrutais mon système avec un certain nombre de suppressions de logiciels malveillants et n`a pas trouvé quoi que ce soit. Je suis allé aussi à travers tous les processus en cours d`exécution aussi bien. Tous Semed à être propre.

Donc, je suis enclin à croire que le problème est avec Gmail.

Incident 2: YuMP3.org - du 19 Novembre

Le 18`th Novembre, je reçu un courriel de quelqu`un nommé Edin Osmanbegovic qui dirige le site yump3.org. (Il a probablement trouvé mon e-mail par Google comme l`incident avec MakeUseOf était couvert sur plusieurs blogs populaires, dont beaucoup comprenaient ma carte d`identité électronique.) Dans son courriel, Edin m`a dit que son domaine a été volé et déplacé vers un autre bureau d`enregistrement. Je googlé rapidement le yoump3 et vu qu`un site Web plutôt établi servait maintenant une page de lien ferme (exactement comme dans notre cas).

Video: La Educación Prohibida Pdisrael HD

Google (sur le dernier index):

YouMP3.org hompage (présent):

Voici une copie du premier courriel que je suis arrivé de Edin:

Bonjour,
J`ai le même problème avec mon domaine.
Le domaine est transféré de Enom à GoDaddy.
J`envoie immédiatement un billet de soutien en ce qui concerne ce problème.

Le whois du nouveau propriétaire de domaine est:

Nom: Amir Emami
Adresse 1: P.O. Box 1664
Ville: League City
État: Texas
Code postal: 77574
Pays: États-Unis
Téléphone: 1,7138937713
Email:

Informations administratives Contact:
Nom: Amir Emami
Adresse 1: P.O. Box 1664
Ville: League City
État: Texas
Code postal: 77574
Pays: États-Unis
Téléphone: 1,7138937713
Email:

Informations de contact technique:
Nom: Amir Emami
Adresse 1: P.O. Box 1664
Ville: League City
État: Texas
Code postal: 77574
Pays: États-Unis
Téléphone: 1,7138937713
Email:

Email est: [email protected]
Hier, le gars de cette adresse e-mail m`a contacté via Gtalk.
Il a dit qu`il voulait 2000 $ pour le domaine.
J`ai besoin des conseils s`il vous plaît, je l`ai contacté le Enom.

Je vous remercie.

Et devinez quoi, il est le même gars qui a volé plus tôt ce mois-ci MakeUseOf.com. Nous aussi avons été contactés à partir de la même adresse e-mail: [email protected]. Edin m`a aussi envoyé par courriel aujourd`hui et a confirmé que le gars a également obtenu l`accès à son compte de domaine via son compte Gmail. Il est donc à nouveau Gmail.

Dans son dernier e-mail (reçu aujourd`hui) Edin comprenait un bref récapitulatif des événements

J`ai l`histoire de la façon dont il a fait tout.

Le 10 Novembre, je suis le propriétaire.
Le 13 Novembre Mark Morphew.
Le 18 Novembre Amir Emami.

Il a utilisé [email protected] sur les deux personnes.

J`envoyer hier également everythig à Moniker.
Ils examineront.

Incident 3: Cucirca.com - le 20 Novembre

Ce dernier e-mail a été la raison principale de ce poste. Il est venu de Florin Cucirka, le propriétaire de cucirca.com. Le site a un rang de alexa 7681 et selon Florin reçoit quotidiennement plus de 100 000 visites.

Premier courriel de Florin:

salut Aibek

Je suis dans la même situation makeuseof.com est sorti.

Je suis Cucirca et Florin mon domaine était cucirca.com
transféré de mon compte GoDaddy sans ma permission.

Il semble que le voleur connaissait mon mot de passe gmail ce qui est étrange.
Il a réussi à créer des filtres à mon compte.

J`ai joint 2 captures d`écran.

Pouvez-vous m`aider? Donnez-moi quelques détails sur la façon dont je pourrais obtenir
de ce mauvais rêve? Je viens de découvrir aujourd`hui à ce sujet et je
ne pense pas que je suis capable de dormir ce soir.

Merci d`avance.

Florin Cucirca.

J`ai envoyé et lui ai demandé Florin quelques détails sur son domaine, qu`il a contacté GoDaddy et les informations qu`il a sur le gars pirate de domaine (terme utilisé pour le domaine stealer) jusqu`à présent.

Deuxième courriel de Florin:

Le pirate avait accès à mon compte e-mail (gmail). Le domaine a été hébergé sur GoDaddy.
Je gmail extension sur Firefox notificateur. peut-être il y a le gros bug.
Il transféré le domaine à register.com

Je ne l`ai pas parler au pirate. Je veux récupérer légalement et s`il n`y a pas d`autre solution que je vais peut-être lui payer

cucirca.com a un Alexa Rank de 7681 et plus de 100 000 visites par jour.

Je vais vous joindre 2 captures d`écran de mon compte gmail.

[email protected] et dans le second écran [email protected]

Si vous effectuez une recherche google [email protected] vous trouverez:

http://domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Video: CLIMAT, NUCLÉAIRE, GUYANE, AGRICULTURE, SOUFFRANCE ANIMALE, ÉCOLOGIE - Mélenchon au #PandaLive

Je pense que quelqu`un devrait les arrêter.

Je [email protected] et envoyé par courriel en attente d`une réponse.

Qu`est-ce que tu penses? Vais-je obtenir mon domaine retour?

On dirait que c`est à nouveau Gmail! Voici les captures d`écran partielles de ce qu`il m`a envoyé:

Dans le cas de Florin le pirate a changé de propriétaire du domaine il y a plusieurs mois. Le cucirca.com a été transfrred de GoDaddy à Register.com. Depuis le pirate interceptait ses e-mails et jamais changé je suppose nameservers Florin avait aucune idée que quelque chose ne va pas. Quand je lui ai demandé comment se fait il lui a fallu si longtemps pour savoir qu`il me envoie à la suite:

Il transféré le domaine à son nom sur 2008-09-05 laissant inchangé les serveurs de noms. Voilà pourquoi je ne l`ai pas remarqué que mon doomain a été volé jusqu`à hier, quand un de mes amis a fait un whois sur mon domaine ....

Je n`avais aucune raison de vérifier les dossiers whois parce que le domaine a été enregistré plus de 7 ans (jusqu`à 08/11/2013)

Je ne l`ai pas reçu de courriel de cette personne.

Et encore, il semble être le même gars! Pourquoi est-ce que je pense? Si vous vérifiez ce lien que Florin inclus dans l`un de ses e-mails (je l`ai ajouté ci-dessous aussi), vous verrez que dans d`autres incidents similaires (qui sait combien d`autres domaines, il a volé comme celui-ci) adresse e-mail [email protected] a été mentionné en même temps que le nom « Aydin Bolourizadeh ». Ce même courriel est également apparue dans la règle de l`avant dans le compte Gmail de florin (voir première capture d`écran).

Lorsque MakeUseOf.com nous a été enlevé, le pirate me demandait 2000 $. Et quand je lui ai demandé où et comment il veut être payé, il m`a dit d`envoyer de l`argent via Western Union à l`adresse suivante:

Aydin Bolourizadeh
dinde
Ankara
Cukurca kirkkonaklar mah 3120006954

capture d`écran de http://domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Je suis assez jolie que c`était le même type dans les 3 incidents et probablement 788 autres mentionnés dans le lien ci-dessus, y compris les domaines tels que yxl.com, visitchina.net et visitjapan.net.

Quand je recherchais cette adresse sur Google, j`ai aussi découvert qu`il possède les domaines suivants (probablement les vola aussi):

Elli.com - http://whois.domaintools.com/elli.com
Ttvx.net - http://dnforum.com/post252-post-1399775.html

Je suppose que le gars est en effet de la Turquie, et est susceptible de résider quelque part dans la zone suivante.

Cukurca kirkkonaklar mah 3120006954
Ankara, Turquie

Nous savons aussi qu`il utilise [email protected] comme son email. Donc, si nous savons qui se tient derrière domainsgames.org nous pourrions simplement obtenir un pas de plus. En fait, il envoyé par courrier électronique il y a quelques jours et m`a demandé de supprimer toutes les instances de son e-mail du site et si nous ne remplissons pas qu`il nous DDOS.

Voici ses mots exacts:

Salut,
Je vous demande de retirer mon adresse e-mail ([email protected]) à partir de votre site!
Est-ce que si vous voulez n`avez pas de problème à l`avenir, sinon d`abord, je vais commencer à avoir les grands DDOS sur votre site Web et faire descendre ...
Im très seriuos donc supprimer mon e-mail et le nom domainsgame.org

Il semble donc si nous pouvons arriver à l`ID derrière domainsgame.org nous pourrions obtenir notre gars et découvrir probablement beaucoup plus de domaines qu`il a stollen. En savoir plus sur ci-dessous. Maintenant, nous allons parler de Gmail.

vulnérabilité Gmail

Quelqu`un se souvient ce hapeened avec David Airey l`année dernière? Son domaine a été volé aussi. L`histoire était partout sur le web.

- MISE EN GARDE: échec de la sécurité GMail de Google quitte mon entreprise saboté
- Un effort collectif restaure David Airey.com

Nous et David a réussi à récupérer le domaine. Mais je ne sais pas si tout le monde est aussi chanceux que nous. Malheureusement, les bureaux d`enregistrement ne coopèrent pas vraiment avec vous sur ce à moins que l`histoire devient un peu d`attention. Donc, je ne doute pas qu`il ya des centaines de gens là-bas à gauche sans chance, mais soit donner leur nom de domaine ou payer le gars.

Quoi qu`il en soit, de retour à Gmail.

Dans son premier article David Airey faisait référence à une vulnérabilité Gmail qui était (si je ne me trompe pas) mentionné ici quelques mois plus tôt. Pour résumer:

La victime visite une page tout en étant connecté à GMail. Lors de l`exécution, la page de données exécute une forme en plusieurs parties / POST à ​​l`une des interfaces GMail et injecte un filtre dans la liste de filtrage de la victime. Dans l`exemple ci-dessus, l`attaquant écrit un filtre, qui recherche simplement les e-mails avec pièces jointes et les transmettre à un e-mail de leur choix. Ce filtre transférera automatiquement tous les e-mails correspondant à la règle. Gardez à l`esprit que les courriels futurs seront envoyés aussi bien. L`attaque subsisteront aussi longtemps que la victime a le filtre dans leur liste de filtres, même si la vulnérabilité initiale, qui était la cause de l`injection, est fixé par Google.

page originale: http://gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Maintenant, la partie intéressante est que la mise à jour sur les états de liaison citoyens GNU ci-dessus que la vulnérabilité a été fixée avant le 28 Septembre 2007. Mais dans le cas de David, l`incident a eu lieu en Décembre, 2-3 mois plus tard.

Alors, est-EXPLOIT vraiment fixe à l`époque? Ou était-ce un nouvel exploit dans le cas de David? Et le plus important est là une faille de sécurité similaire dans Gmail maintenant?

Que devez-vous faire maintenant?

(1) Eh bien, mon premier conseil serait de vérifier vos paramètres de messagerie et assurez-vous que votre e-mail ne soit pas compromise. Vérifiez fowarding options et filtres. Assurez-vous également de désactiver IMAP si vous ne l`utilisez pas. Cela vaut également pour les comptes Google Apps.

(2) Modifier le contact e-mail dans vos comptes Web sensibles (paypal, enregistrement de domaine, etc.) à partir de votre compte Gmail principal à autre chose. Si vous possédez le site Web, puis modifier l`e-mail de contact pour votre hôte et les comptes de registre à un autre e-mail. De préférence à quelque chose que vous n`êtes pas connecté à lors de la navigation web.

(3) Assurez-vous de mettre à niveau votre domaine d`enregistrement privé afin que vos coordonnées ne figurent pas sur les recherches whois. Si vous êtes sur GoDaddy, je vous conseille d`aller avec l`enregistrement Protégées.

(4) Ne pas ouvrir les liens dans votre e-mail si vous ne connaissez pas la personne qu`ils viennent. Et si vous décidez d`ouvrir le lien assurez-vous de vous déconnecter d`abord.

METTRE À JOUR:

J`ai découvert quelques bons articles traitant de faille de sécurité potentielle en réponse à l`article de MakeUseOf:

- Sécurité Gmail Flaw Proof Of Concept
- Commentaires à ce sujet sur YCombinator
- (26`th novembre) Sécurité Gmail et Activité récente Phishing [Réponse officielle de Google]

Aidez-nous à Catch The Guy!

En dehors de l`adresse postale ci-dessus, nous savons aussi qu`il utilise [email protected] comme son email. Donc, si nous trouvons à qui appartient maintenant domainsgames.org nous pourrions obtenir un pas de plus. ou au moins revenir très les domaines qu`il a volé à leurs propriétaires respectifs.

Maintenant, la chose est le nom de domaine domainsgames.org est protégé par Moniker et ils se cachent toutes les informations de contact pour elle.

ID de domaine: D154519952-LROR
Nom de domaine: DOMAINSGAME.ORG
Créé le: 22-Oct-2008 07:35:56 UTC
Dernière mise à jour le: 08-Nov-2008 12:11:53 UTC
Date d`expiration: 22-Oct-2009 07:35:56 UTC
Greffier parrain: Moniker Online Services Inc. (R145-LROR)
Statut: CLIENT INTERDITE SUPPRIMER
Statut: TRANSFERT CLIENT INTERDITE
Statut: MISE À JOUR DU CLIENT INTERDITE
Statut: TRANSFERT INTERDIT
Registrant ID: MONIKER1571241
.
.
.
.
Nom du serveur: NS3.DOMAINSERVICE.COM
Nom du serveur: NS2.DOMAINSERVICE.COM
Nom du serveur: NS1.DOMAINSERVICE.COM
Nom du serveur: NS4.DOMAINSERVICE.COM

Je l`ai déjà envoyé un courriel (ainsi fait Edin) les à ce sujet et vous mettre à jour ici dès que je l`entends quelque chose d`eux.

J`ai aussi quelques demandes à la suite des entreprises qui fournissent désormais leurs services à cette personne.

1- Gmail équipe:

Lorsque vous allez dans les fichiers d`en-tête dans plusieurs e-mails il était clair que pirate utilisait Google Apps. S`il vous plaît examiner. Le domaine est domainsgame.org. Et s`il vous plaît FIX! Gmail.

2- GoDaddy.COM & ENOM & Register.COM

tout, s`il vous plaît d`abord aider Edin et obtenir leurs domaines Florin retour. Une chose intelligente à faire serait de vérifier les adresses IP de connexion de compte pour tous les cas signalés similaires. Par exemple, à la fois dans le cas de la nôtre et Edin (ne suis pas sûr) Florin le pirate utilisait 64.72.122.156 adresse IP. (Qui, par ailleurs avéré être un serveur compromis sur Alpha Red Inc.) Ou encore plus facile, verrouiller simplement le nom de domaine et demander au titulaire du compte courant pour prouver son identité. Étant donné que le pirate utilisait différentes identités partout où il lui serait impossible de le faire. Il est dans votre intérêt de faire en sorte que cette personne n`utilise plus vos services.

3- Moniker.COM:

Fermer son compte! (Qui est celui de domainsgame.org). Toute information supplémentaire ou une assistance que vous pouvez fournir seront appréciés.

4- Pour Domainsponsor.COM

Je ne suis pas vraiment sûr, mais je pense que DomainSponsor est la société qui monétise les domaines que ce gars vole. Il est arrivé avec MakeUseOf.com et hapening maintenant avec YouMP3.org.

5- PayPal.COM: (Votre soutien est TERRIBLE)

Je suis sûr qu`ils ne vont même pas lire donc je vais juste vous dire à la place. J`ai envoyé un courriel à [email protected] et les avertit que la personne qui a volé notre domaine et nous faisait chanter plus tôt utilisait compte [email protected] (il utilise d`autres comptes aussi bien). Je leur ai demandé de l`examiner. Au lieu de cela, je reçois un e-mail qui n`a rien à voir avec ce que je disais. Fondamentalement, il est un modèle de courrier électronique qui a été conçu pour regarder authentique et envoyé aux personnes qui se sont usurpé. Allons y! Nous payons des frais commision 3% sur chaque transaction, vous ne pouvez pas les gens fournir un meilleur soutien à la clientèle?

C`est tout ce que je suis!

Encore une fois, je suis profondément désolé pour ce qui est arrivé à Florin et Edin. J`espère trully qu`ils obtiendront leurs domaines bientôt de retour. Il est dans les mains des bureaux d`enregistrement respectifs maintenant. Mais surtout, je veux voir quelque chose se fait pour attraper cette personne par le grand corps (pas les clients). Je suis sûr que chaque blogueur serait là compte que et probablement même écrire sur son / son blog.

Il est temps pour le changement -)

meilleures salutations
Aibek