الإعلانات
كما يعلم الكثير منكم بالفعل في 2 نوفمبر ، تمت سرقة نطاق MakeUseOf.com منا. استغرقنا حوالي 36 ساعة لاستعادة المجال. كما أشرنا سابقا تمكن المخترق بطريقة ما من الوصول إلى حساب Gmail الخاص بي ومن هناك إلى حساب GoDaddy الخاص بنا ، وفتح النطاق ونقله إلى مسجل آخر.
يمكنك مشاهدة القصة كاملة على مدونتنا المؤقتة makeuseof-temporary.blogspot.com/
لم أكن أخطط لنشر أي شيء حول الحادث أو التكسير (الشخص الذي يسرق النطاقات) وكيف تمكن من سحبها ما لم أكن متأكدًا تمامًا من ذلك بنفسي. كان لدي شعور جيد بأن ذلك كان عيبًا في أمان Gmail ولكنني أردت تأكيده قبل نشر أي شيء عن ذلك على MakeUseOf. نحن نحب Gmail ولا نعطيهم دعاية سيئة شيء نريده على الإطلاق لكى يفعل.
فلماذا أكتب عن هذا الآن بعد ذلك؟
حدثت العديد من الأشياء في اليومين الماضيين مما جعلني أعتقد أن Gmail به عيب أمني خطير ويجب على الجميع إدراكه. خاصة خلال الأوقات التي يخبرك فيها أشخاص مثل ستيف روبل كيفية جعل Gmail بوابتك إلى الويب. الآن ، لا تفهموني خطأ هنا ، Gmail هو برنامج بريد إلكتروني رائع. ربما الأفضل. المشكلة هي أنها قد لا تكون موثوقة عندما يتعلق الأمر بالأمن. ومع ذلك ، هذا لا يعني بالضرورة أنك ستكون في وضع أفضل مع Yahoo أو Live Mail.
الحادثة 1: MakeUseOf.com - 2 نوفمبر
عندما تمت سرقة نطاقنا ، اشتبهنا في أن الهاكر استخدم بعض الثقب في Gmail ولكننا لم نكن متأكدين من ذلك. لماذا أشك في أن الأمر يتعلق بـ Gmail؟ حسنًا ، لسبب واحد أنا حذر بشأن الأمن ونادرا ما أدير أي شيء لست متأكدا منه. أحتفظ أيضًا بنظامي محدثًا ولدي جميع الأساسيات بما في ذلك شاشتا برامج ضارة ، ومضاد فيروسات وجداران ناريان. أميل أيضًا إلى استخدام كلمات مرور قوية وفريدة لكل حساب من حساباتي.
وصل المخترق بالفعل إلى حساب Gmail الخاص بي وقام بإعداد بعض الفلاتر هناك والتي ساعدته في النهاية على الوصول إلى حساب GoDaddy. ما لم أكن أعرفه هو كيف تمكن من القيام بذلك. هل كانت ثغرة أمنية في Gmail؟ أم كان كلوغر على جهاز الكمبيوتر الخاص بي؟ لم أكن متأكدة من ذلك. بعد الحادث ، قمت بمسح نظامي بعدد من عمليات إزالة البرامج الضارة ولم أجد أي شيء. لقد خضت أيضًا كل عملية تشغيل أيضًا. كل شبه أن تكون نظيفة.
لذلك ، أميل إلى الاعتقاد بأن المشكلة كانت مع Gmail.
الحادثة 2: YuMP3.org - 19 نوفمبر
في 18 تشرين الثاني (نوفمبر) ، تلقيت رسالة بريد إلكتروني من شخص يُدعى إدين عثمان بيغوفيتش يدير الموقع yump3.org. (ربما وجد بريدي الإلكتروني من خلال Google حيث تم تغطية الحادث مع MakeUseOf في العديد من المدونات الشائعة ، والعديد منها التي تضمنت معرف البريد الإلكتروني الخاص بي.) في بريده الإلكتروني ، أخبرني إيدن أن نطاقه سُرِق ونقل إلى موقع تسجيل نطاقات آخر. سرعان ما بدأت في مشاهدة ملف yoump3 ورأيت أن موقع ويب تم إنشاؤه إلى حد ما يقدم الآن صفحة مزرعة ارتباط (كما هو الحال في حالتنا تمامًا).
جوجل (في آخر فهرس):
YouMP3.org hompage (الحاضر):
هذه نسخة من أول رسالة بريد إلكتروني تلقيتها من إدين:
مرحبا،
لدي نفس المشكلة مع نطاقي.
تم نقل المجال من Enom إلى GoDaDDy.
لقد أرسلت على الفور تذكرة دعم بخصوص هذه المشكلة.whois لمالك المجال الجديد هو:
الاسم: أمير إمامي
العنوان 1: ص. ب 1664
المدينة: ليج سيتي
الدولة: تكساس
الرمز البريدي: 77574
دولة: الولايات المتحدة
هاتف: +1.7138937713
البريد الإلكتروني:معلومات الاتصال الإدارية:
الاسم: أمير إمامي
العنوان 1: ص. ب 1664
المدينة: ليج سيتي
الدولة: تكساس
الرمز البريدي: 77574
دولة: الولايات المتحدة
هاتف: +1.7138937713
البريد الإلكتروني:معلومات الاتصال الفنية:
الاسم: أمير إمامي
العنوان 1: ص. ب 1664
المدينة: ليج سيتي
الدولة: تكساس
الرمز البريدي: 77574
دولة: الولايات المتحدة
هاتف: +1.7138937713
البريد الإلكتروني:البريد الإلكتروني هو: [email protected]
أمس اتصل الرجل من عنوان البريد الإلكتروني هذا عبر Gtalk.
قال إنه يريد 2000 دولار للمجال.
أحتاج إلى نصيحة من فضلك ، لقد اتصلت Enom.شكرا لك.
وخمن ماذا ، إنه نفس الشخص الذي سرق MakeUseOf.com في وقت سابق من هذا الشهر. تم الاتصال بنا أيضًا من نفس عنوان البريد الإلكتروني: [email protected]. أرسل لي إيدين أيضًا بريدًا إلكترونيًا اليوم وأكد أن الرجل تمكن أيضًا من الوصول إلى حساب المجال الخاص به من خلال حسابه على Gmail. لذا فهو Gmail مرة أخرى.
في بريده الإلكتروني الأخير (تم استلامه اليوم) ، تضمن إدين ملخصًا سريعًا للأحداث
لدي تاريخ كيف فعل كل شيء.في 10 نوفمبر كنت المالك.
في 13 نوفمبر مارك مورفيو.
في 18 نوفمبر أمير إمامي.استخدم [email protected] على كلا الشخصين.
لقد أرسلت أمس أيضا كل شيء إلى Moniker.
سوف يحققون.
الحادثة 3: Cucirca.com - 20 نوفمبر
هذا البريد الإلكتروني الأخير كان السبب الرئيسي لهذا المنشور. جاء من فلورين Cucirka ، صاحب cucirca.com. الموقع لديه رتبة أليكسا 7681 ، ووفقًا لفلورين يستقبل أكثر من 100000 زيارة يوميًا.
أول بريد إلكتروني من فلورين:
مرحبا ايبيك
أنا في نفس الموقف. makeuseof.com خرج.
أنا Cucirca Florin وكان نطاقي www.cucirca.com
نقلت من حساب godaddy دون إذن مني.يبدو أن اللص كان يعرف كلمة مرور Gmail الخاصة بي وهو أمر غريب.
تمكن من إنشاء بعض الفلاتر لحسابي.لقد أرفقت 2 لقطة شاشة.
هل بإمكانك مساعدتي؟ أعطني بعض التفاصيل حول كيف يمكنني الحصول عليها
للخروج من هذا الحلم السيئ؟ لقد وجدت اليوم فقط عن هذا وأنا
لا أعتقد أنني قادر على النوم الليلة.شكرا مقدما.
فلورين كوكيرا.
لقد أرسلت بريدًا إلكترونيًا إلى Florin وسألت عنه بعض التفاصيل حول نطاقه ، سواء اتصل GoDaddy وأي معلومات حصل عليها على تكسير المجال (مصطلح يستخدم لسرقة المجال) حتى الآن.
البريد الإلكتروني الثاني من فلورين:
تمكن القراصنة من الوصول إلى حساب البريد الإلكتروني الخاص بي (gmail). تم استضافة المجال على godaddy.
لقد استخدمت تمديد منبه جوجل على فايرفوكس. ربما هناك خطأ كبير.
قام بنقل المجال إلى register.comلم أتحدث إلى المخترق. أريد استعادته بشكل قانوني ، وإذا لم يكن هناك حل آخر فربما أدفع له
www.cucirca.com لديه ترتيب اليكسا 7681 وأكثر من 100000 زيارة يوميا.
سوف أرفق لك صورتين من حسابي في gmail.
[email protected] وفي الشاشة الثانية [email protected]
إذا قمت بالبحث في google عن [email protected] فستجد هذا:
http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/
أعتقد أن شخصًا ما يجب أن يوقفهم.
لقد أرسلت بريدًا إلكترونيًا إلى [email protected] وانتظار الرد.
ما رأيك؟ هل سأستعيد نطاقي؟
يبدو أنه Gmail مرة أخرى! فيما يلي لقطات الشاشة الجزئية مما أرسله لي:
في حالة فلورين ، قام المخترق بتغيير ملكية النطاق قبل عدة أشهر. تم تحويل cucirca.com من GoDaddy إلى Register.com. نظرًا لأن القراصنة اعترضوا رسائل البريد الإلكتروني الخاصة به ولم يغيروا أبدًا خوادم الأسماء ، أفترض أن فلورين لم يكن لديه أي فكرة عن وجود خطأ ما. عندما سألته كيف استغرق الأمر وقتًا طويلاً لمعرفة ذلك أرسل لي التالي:
قام بنقل المجال إلى اسمه في 2008-09-05 تاركاً خوادم الأسماء دون تغيير. لهذا السبب لم ألاحظ أن هراء بلدي سُرِق حتى البارحة عندما قام صديق لي بعمل whois في نطاقي ...
لم يكن لدي أي سبب للتحقق من سجلات whois لأنه تم تسجيل النطاق لأكثر من 7 سنوات (حتى 2013-11-08)
لم أتلق أي رسائل بريد إلكتروني من هذا الشخص.
ومرة أخرى يبدو أنه نفس الرجل! لماذا أعتقد ذلك؟ إذا تحققت من هذا الرابط الذي ضمه فلورين في إحدى رسائله الإلكترونية (أضفته أدناه أيضًا) ، فسترى أنه في بعض الحوادث المشابهة الأخرى (من يعرف عدد المجالات التي سرقها مثل هذا البريد الإلكتروني) عنوان [email protected] ذُكر مع اسم "أيدين بولوريزاده". ظهر هذا البريد الإلكتروني نفسه أيضًا في قاعدة إعادة التوجيه في حساب Gmail الخاص بفلورين (انظر أول لقطة شاشة).
عندما تم أخذ MakeUseOf.com منا ، كان التكسير يطلب مني 2000 دولار. وعندما سألته أين وكيف يريد أن يحصل على المال ، أخبرني أن أرسل الأموال عبر ويسترن يونيون إلى العنوان التالي:
أيدين بولوريزاده
ديك رومي
أنقرة
Cukurca kirkkonaklar mah 3120006954
لقطة شاشة من http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/
أنا جميلة جدًا أنه كان الرجل نفسه في جميع الحوادث الثلاثة وربما 788 أخرى مذكورة في الرابط أعلاه ، بما في ذلك نطاقات مثل yxl.com و visitchina.net و visitjapan.net.
عندما بحثت عن هذا العنوان على Google ، اكتشفت أيضًا أنه يمتلك النطاقات التالية (ربما سرقها أيضًا):
- Elli.com -
http://whois.domaintools.com/elli.com
- Ttvx.net -
http://www.dnforum.com/post252-post-1399775.html
أفترض أن الرجل هو بالفعل من تركيا ، ومن المرجح أن يقيم في مكان ما في المنطقة التالية.
- Cukurca kirkkonaklar mah 3120006954
- أنقرة، تركيا
نعلم أيضًا أنه يستخدم [email protected] كبريده الإلكتروني. لذلك إذا كنا نعرف من يقف وراء domainsgames.org ، فقد يقترب خطوة واحدة. في الواقع ، أرسل بريدًا إلكترونيًا قبل عدة أيام وطلب مني إزالة جميع مثيلات بريده الإلكتروني من موقع الويب ، وإذا لم نلتزم بالامتثال ، فسوف يقوم DDOS بنا.
هنا كلماته الدقيقة:
مرحبا،
أطلب منك إزالة عنوان بريدي الإلكتروني ([email protected]) من موقع الويب الخاص بك!
افعل ذلك إذا كنت لا ترغب في مواجهة أي مشكلة في المستقبل ، وإلا فسأبدأ أولاً في الحصول على DDOS الكبير على موقع الويب الخاص بك وسأزيله ...
لذا قم بإزالة البريد الإلكتروني الخاص بي واسم domainsgame.org
لذا ، يبدو أنه إذا تمكنا من الوصول إلى المعرف وراء domainsgame.org فقد نحصل على شابنا وربما نكشف عن العديد من المجالات التي سرقها. اقرأ المزيد عنها أدناه. الآن لنتحدث عن Gmail.
ضعف Gmail
هل يتذكر أحد ما حدث مع ديفيد إيري العام الماضي؟ مجاله سُرِق أيضاً. كانت القصة في جميع أنحاء الويب.
– تحذير: فشل أمان Gmail في Google يترك عملي مخربًا
- جهد جماعي يعيد David Airey.com
تمكنا نحن وديفيد من استعادة النطاق. لكنني لست متأكدًا مما إذا كان الجميع محظوظين مثلنا. للأسف ، لن يتعاون المسجلون معك حقًا في هذا الأمر ما لم تحصل القصة على بعض الاهتمام. لذلك ، ليس لدي شك في أن هناك المئات من الأشخاص لم يبق لديهم فرصة سوى إعطاء اسم المجال أو الدفع للرجل.
على أي حال ، عد إلى Gmail.
في مقاله الأول ، كان ديفيد إيري يشير إلى ثغرة في Gmail تم ذكرها (إذا لم أكن مخطئًا) هنا قبل عدة أشهر. لنلخص:
يزور الضحية صفحة أثناء تسجيل الدخول إلى GMail. عند التنفيذ ، تقوم الصفحة بإجراء POST متعدد الأجزاء / بيانات النموذج إلى إحدى واجهات GMail وتقوم بإدخال عامل تصفية في قائمة عوامل تصفية الضحية. في المثال أعلاه ، يكتب المهاجم عامل تصفية ، والذي يبحث ببساطة عن رسائل البريد الإلكتروني التي تحتوي على مرفقات ويعيد توجيهها إلى بريد إلكتروني من اختياره. سينقل هذا الفلتر تلقائيًا جميع رسائل البريد الإلكتروني المطابقة للقاعدة. ضع في اعتبارك أنه سيتم إعادة توجيه رسائل البريد الإلكتروني المستقبلية أيضًا. سيظل الهجوم موجودًا طالما كان لدى الضحية عامل التصفية ضمن قائمة عوامل التصفية الخاصة بهم ، حتى إذا تم إصلاح الثغرة الأولية ، التي كانت سبب الحقن ، بواسطة Google.
الصفحة الأصلية: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
الآن ، الجزء المثير للاهتمام هو أن التحديث على رابط مواطن جنو أعلاه ينص على أن الثغرة قد تم إصلاحها قبل 28 سبتمبر 2007. ولكن في حالة ديفيد ، وقع الحادث في ديسمبر ، بعد 2-3 أشهر.
لذا ، هل تم إصلاح الاستغلال حقاً في ذلك الوقت؟ أم أنها استغلال جديد في قضية ديفيد؟ والأهم من ذلك هو وجود خلل أمني مماثل في Gmail الآن؟
ماذا عليك ان تفعل الان؟
(1) حسنًا ، نصيحتي الأولى هي التحقق من إعدادات بريدك الإلكتروني والتأكد من عدم اختراق بريدك الإلكتروني. تحقق من الخيارات والفلاتر. تأكد أيضًا من تعطيل الوصول عبر IMAP إذا لم تستخدمه. ينطبق هذا أيضًا على حسابات تطبيقات Google.
(2) قم بتغيير البريد الإلكتروني لجهة الاتصال في حسابات الويب الحساسة (paypal أو مسجل النطاق وما إلى ذلك) من حساب Gmail الأساسي إلى شيء آخر. إذا كنت تملك موقع الويب ، فغيّر البريد الإلكتروني لجهة الاتصال لحسابات المضيف والمسجل إلى بعض رسائل البريد الإلكتروني الأخرى. ويفضل أن يكون لديك شيء لم تقم بتسجيل الدخول إليه عند تصفح الويب.
(3) تأكد من ترقية نطاقك إلى تسجيل خاص حتى لا تظهر تفاصيل الاتصال الخاصة بك في عمليات بحث WhoIS. إذا كنت تستخدم GoDaddy ، فأوصيك بالذهاب إلى التسجيل المحمي.
(4) لا تفتح الروابط في بريدك الإلكتروني إذا كنت لا تعرف الشخص الذي تأتي منه. وإذا قررت فتح الرابط ، فتأكد من تسجيل الخروج أولاً.
تحديث:
اكتشفت بعض المقالات الجيدة التي تناقش العيب الأمني المحتمل ردًا على مقالة MakeUseOf:
– Gmail دليل على خلل في المفهوم
– تعليقات حول هذا على YCombinator
- (نوفمبر 26) أمان Gmail ونشاط التصيد الأخير [رد رسمي من Google]
ساعدنا في القبض على الرجل!
وبصرف النظر عن العنوان البريدي أعلاه ، فإننا نعلم أيضًا أنه يستخدم [email protected] كبريده الإلكتروني. لذا ، إذا اكتشفنا من يملك domainsgames.org الآن ، فقد نقترب خطوة واحدة. أو على الأقل إعادة المجالات التي سرقها إلى أصحابها.
الآن الشيء هو أن اسم المجال محمي من قبل Moniker ويخفون جميع معلومات الاتصال الخاصة به.
معرف المجال: D154519952-LROR
اسم المجال: DOMAINSGAME.ORG
أنشأت في: 22 أكتوبر 2008 07:35:56 UTC
آخر تحديث في: 08 نوفمبر 2008 12:11:53 UTC
تاريخ انتهاء الصلاحية: 22 أكتوبر 2009 07:35:56 UTC
المسجل الراعي: Moniker Online Services Inc. (R145-LROR)
الحالة: حذف العميل المحظورة
الحالة: يحظر نقل العميل
الحالة: يحظر تحديث العميل
الحالة: النقل محظور
معرف المسجل: MONIKER1571241
.
.
.
.
خادم الأسماء: NS3.DOMAINSERVICE.COM
خادم الأسماء: NS2.DOMAINSERVICE.COM
خادم الأسماء: NS1.DOMAINSERVICE.COM
خادم الأسماء: NS4.DOMAINSERVICE.COM
لقد أرسلت لهم بالفعل بريدًا إلكترونيًا (وكذلك فعلت إيدن) حول هذا الموضوع وسأطلعكم عليه بمجرد أن أسمع شيئًا منهم.
لدي أيضًا بعض الطلبات لمتابعة الشركات التي تقدم الآن خدماتها لهذا الفرد.
عند استعراض ملفات الرأس في العديد من رسائل البريد الإلكتروني ، كان من الواضح أن المخترق كان يستخدم Google Apps. يرجى النظر فيه. المجال هو domainsgame.org. ويرجى أيضا إصلاح! Gmail.
بادئ ذي بدء ، الرجاء مساعدة إدين وفلورين في استعادة نطاقاتهما. أحد الأشياء الذكية التي يجب القيام بها هو التحقق من عناوين IP لتسجيل الدخول إلى جميع الحالات المماثلة المبلغ عنها. على سبيل المثال ، في حالة إدين وقضيتنا (غير متأكد من فلورين) كان الهاكر يستخدم 64.72.122.156 عنوان IP. (والذي اتضح أنه خادم مخترق في شركة Alpha Red Inc.) أو حتى أسهل ، ما عليك سوى قفل اسم النطاق واطلب من صاحب الحساب الحالي إثبات هويته. نظرًا لأن الهاكر كان يستخدم هويات مختلفة في كل مكان ، فسيكون من المستحيل عليه القيام بذلك. من مصلحتك التأكد من أن هذا الشخص لم يعد يستخدم خدماتك.
إغلاق حسابه! (هذا هو النطاق الخاص بـ domainsgame.org). سيكون موضع تقدير أي معلومات أو مساعدة إضافية يمكنك تقديمها.
لست متأكدًا حقًا ولكن أعتقد أن DomainSponsor هي الشركة التي تحقق الدخل من هذه المجالات التي يسرقها هذا الرجل. حدث ذلك مع MakeUseOf.com والآن حدث مع YouMP3.org.
5- ل باي بال. COM: (الدعم الخاص بك أمر مروع)
أنا متأكد من أنهم لن يقرؤوا هذا حتى سأخبركم بدلاً من ذلك. لقد أرسلت بريدًا إلكترونيًا إلى [email protected] وحذرتهم من أن الشخص الذي سرق نطاقنا وابتزانا في وقت سابق كان يستخدم حساب [email protected] (يستخدم بعض الحسابات الأخرى أيضًا). لقد طلبت منهم فقط النظر في الأمر. بدلاً من ذلك أحصل على بريد إلكتروني لا علاقة له بما قلته. إنه في الأساس نموذج بريد إلكتروني كان يهدف إلى أن يبدو أصليًا ويتم إرساله إلى الأشخاص الذين انتحلوا. هيا! نحن ندفع 3٪ عمولة على كل معاملة ، ألا يمكنك أن تقدموا أفضل دعم للعملاء؟
هذا ما حصلت عليه!
مرة أخرى أشعر بالأسف الشديد لما حدث لفلورين وإدين. آمل حقًا أن يستعيدوا نطاقاتهم قريبًا. كل ذلك في أيدي المسجلين المعنيين الآن. ولكن الأهم من ذلك ، أريد أن أرى شيئًا يتم إنجازه بواسطة فرق كبيرة (وليس العملاء) للقبض على هذا الشخص. أنا متأكد من أن كل مدون هناك سيقدر ذلك وربما يكتب عنه على مدونته.
حان وقت التغيير ؛-)
تحياتي الحارة
Aibek
الائتمان الصورة: بفضل آلة لأعلى صورة "السيد كراكر"
الرجل وراء MakeUseOf.com. تابعوه و MakeUseOf على TwitterMakeUseOf. لمزيد من التفاصيل تحقق من صفحة MakeUseOf حول.