我是如何失去价值 5 万美元的Twitter用户名

本文由 伯乐在线 - 丁晔 翻译自 Naoki Hiroshima。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。

【2014-2-26 10:15:17 更新：】本文作者 Naoki Hiroshima 2月26日5:32发推表示 @N 账号已回到他手上，但并未透露为何 Twitter 隔了这么久才归还。不管如何，这事总算是有好结尾。

====

这是一篇在Twitter上看到的文章，文章的作者因为使用了独立域名的邮箱地址作为网站的登录邮箱，导致在DNS服务器被攻破时失去了很多网站帐号的控制，最终损失了价值50000美刀的Twitter帐号。独立域名邮箱作为提升逼格的一种重要手段，相信还是有不少程序员对此趋之若鹜的XD 特别推荐倒数第二段作者吸取的教训，很值得一看。

====

我价值50000美元的Twitter用户名被盗了

感谢PayPal和GoDaddy

我有一个很稀有的Twitter用户名，@N。是的，只有一个字母。曾经有人出价50000美元向我购买这个用户名。也有很多人尝试盗我的帐号，密码重置邮件出现在我的邮箱里是一件很稀疏平常的事。然而今天，这个用户名已经不再属于我。我被迫放弃了它。

2014年1月20日，在我吃午饭的时候收到一封来自PayPal的验证码短信。我想又有人在尝试盗我的PayPal帐号了。于是我无视了它，继续吃我的午饭。

又过了一会儿，我查看了一下我的独立域名邮箱（通过Google Apps服务绑定到Gmail邮箱，域名注册于GoDaddy），发现最后一封邮件是来自于GoDaddy的“确认修改账户信息”。有一个很好的理由可以解释为什么这会是最后一封邮件。

 From: <support@godaddy.com> GoDaddy

To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: Account Settings Change Confirmation

尊敬的 naoki hiroshima

您收到这封邮件是因为以下账户的账户设置已被修改：

XXXXXXXX

新的设置生效需要一段短暂的时间。

如果这项变更未经您本人同意，请登录您的账户并升级您的安全设置。

如果您无法登录您的账户或者发现未经许可的域名变动，请联系我们的客服中心：support@godaddy.com 或拨打电话 (480) 505-8877。

请注意您的账户使用需要遵守我们的服务条款。

竭诚为您服务，
GoDaddy

我尝试登录我的GoDaddy账户，不过登录不进去。我又打电话给GoDaddy的客服，解释我现在的状况。客服询问我信用卡号码的末6位，作为验证我身份的手段，不过这显然行不通因为信用卡信息已经被盗号者改了。事实上，我的所有信息都被修改了。我没有办法证明我才是这个域名的真正持有者。

GoDaddy的客服建议我在GoDaddy上填写一份失窃申报，附上任何政府出具的可以证明我身份的证件 (government identification)。我照他的话做了，并被告知至多48小时内会得到回复。我曾天真地以为这对于证明我的身份和我对帐号的所有权足够了。

胁迫的开始

大部分网站使用Email作为验证身份的方式。如果你的邮箱被人攻破，那攻击者可以轻易地重置你在其他网站的密码。在控制了我托管在GoDaddy的域名以后，那个攻击者已经控制了我的邮箱。

基于以往被攻击的经验，我迅速地意识到我的Twitter用户名是这次攻击的目标。很奇怪的，有个我不认识的人发给我一条Facebook信息让我修改Twitter帐号的邮箱地址。我猜测这是攻击者发来的，虽然不知道他的意图不过我还是修改了邮箱。现在Twitter邮箱就变成攻击者无法进入的了。

攻击者多次尝试重置我的Twitter密码但发现收不到重置密码的邮件，因为MX记录从修改到生效需要一些时间。他甚至在Twitter的Zendesk用户支持页面开了一个issue #16134409。

N, Jan 20 01:43 PM:

Twitter用户名: @n
您的Email: *****@*****.***
上次登录: 12月
手机号码(可选): n/a
附注(可选): 我没有收到我的重置密码邮件，你能手动发给我一份吗？

Twitter要求攻击者提供更多信息以便处理，于是攻击者就放弃了这条途径。

之后我知道攻击者已经取得了我的Facebook帐号以便和我交涉。在朋友们开始询问我在Facebook上那些奇怪行为的时候我感到糟糕透了。

最后我收到一封来自攻击者的邮件。攻击者试图威胁我放弃。

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 15:55:43 -0800
Subject: Hello.

我发现你已经和我的一个同伙聊过了，我可以告诉你你的推测是正确的，我的目标正是@N。我还要告诉你的是你的GoDaddy域名已经被我控制了，并且发了一封伪造的订单，你的域名可能会被godaddy收回然后再也见不到了。

我看到你似乎管理着不少不错的网站我目前还没有去动它们，所有那些网站的数据还完好无损。你是否考虑一下妥协呢？登录@N五分钟让我交换一下用户名，以此来换回你的godaddy帐号以及一些保护帐号的建议呢？

过了一会儿，我收到来自GoDaddy的回复。

From: change@godaddy.com
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 17:49:41 -0800
Subject: Update [Incident ID: 21773161] — XXXXX.XXX

很不幸，域名服务无法协助您的变更请求因为您不是该域名的当前注册人。作为注册商我们只能在注册人同意的情况下处理变更请求。如果您准备进一步追诉则您需要决定采用以下一种或者多种方式

1. 登录 http://who.godaddy.com/ 查看当前域名的Whois信息并和域名注册人直接交涉。
2. 登录 http://www.icann.org/dndr/udrp/approved-providers.htm 寻找一个ICANN认证的仲裁服务提供商。

1. 向您的律师提供以下链接以便向GoDaddy提交相关法律文件：http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA

我的申告被拒绝了因为我不是“当前注册人”。GoDaddy向攻击者询问他是否允许我改变当前用户信息，尽管他并没有询问过我是否同意攻击者修改我的用户信息。我对GoDaddy这种使得真正的所有者找回他们被盗帐号变得更困难的行为感到无比的愤怒。

我的一位同事帮我联系到了GoDaddy的一名高管，那位高管试图让GoDaddy的安全小组来处理这件事情，不过后来就没有消息了。或许是马丁·路德·金纪念日的关系。

然后攻击者又给我发了一封邮件。

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 18:50:16 -0800
Subject: …hello

你想好要交换所有权了吗？godaddy帐号已经准备就绪了。密码已经修改，同时绑定到了一个中立的邮箱。

我咨询了一位在Twitter工作的朋友如果攻击者拿到我的用户名以后是否还有可能追回。此时我想起了发生在@mat身上的事，决定现在放弃是避免造成无法挽回的损失的唯一办法。于是我回复了攻击者：

From: <*****@*****.***> Naoki Hiroshima
To: <swiped@live.com> SOCIAL MEDIA KING
Date: Mon, 20 Jan 2014 19:41:17 -0800
Subject: Re: …hello

我已经改名了。拿走。

我把用户名 @N 改成了 @N_is_stolen ，这是我从2007年注册Twitter以来第一次改名。再见了，我那总是带来麻烦的用户名。

然后我收到了以下回复。

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:44:02 -0800
Subject: RE: …hello

非常感谢，你的godaddy帐号密码是V;Mz,3{;!’g&

如果你有兴趣的话，我可以告诉你我是怎么盗了你godaddy帐号，以及你应该怎么保护自己的帐号。

攻击者很快控制了 @N 用户名，而我也重新登录了我的GoDaddy帐号。

PayPal和GoDaddy，让攻击更简单

我问攻击者如何盗取了我的GoDaddy帐号，然后收到了以下回复：

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:53:52 -0800
Subject: RE: …hello

• 我打电话给paypal的客服中心，用了一些很简单的社会工程技巧就得到了你的信用卡号末四位。（要避免这一点，你需要告诉paypal让他们在你帐号的备注里加上：绝不在电话里透露关于你的任何信息。）

• 接着我又打电话到godaddy说我的信用卡丢了，不过我依然记得最后四位，客服就给了我一个范围让我说出信用卡的前两位（你那次是00-09）。我不知道怎样才能让godaddy更安全，不过我可以推荐给你一些更安全的域名注册商： NameCheap或者eNom（不是network solutions而是enom.com）。

我不知道该说哪个让我更震惊，无论是PayPal轻而易举地在电话里就向攻击者透露了我的信用卡末四位，还是GoDaddy接受信用卡末四位+前两位作为验证身份的方法。当我问及这些时，攻击者回复到：

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:00:31 -0800
Subject: RE: …hello

没错，paypal在电话里告诉了我信用卡信息（我谎称自己是你公司的雇员），而godaddy让我“猜”信用卡的前两位。

不过要猜中两位数字也不是那么容易的一件事，不是吗？

From: <swiped@live.com> SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:09:21 -0800
Subject: RE: …hello

我在一次通话中就猜中了，大部分客服都允许你不断试直到猜中。

他很幸运因为只要猜两位数字而且在一次通话中就猜中了。事实是，GoDaddy允许他反复尝试直到猜中。太疯狂了。听起来就好像我面对的是未来的凯文·米特尼克——而各大公司还没有从米特尼克于1995年左右的所利用的漏洞中吸取足够的教训。

避免使用独立域名邮箱作为登录邮箱

在GoDaddy帐号恢复了以后，我终于重新得以登录我的邮箱。我把很多网络服务的注册邮箱改成了@gmail.com地址。使用我的绑定了独立域名的Google Apps邮箱看起来很酷，但是存在被盗的风险——在域名服务器被攻破的时候。要是我登录Facebook使用的是@gmail.com邮箱的话，本来攻击者就没法控制我的Facebook帐号了。

如果你也正在使用Google Apps作为很多网站的登录邮箱，那我强烈推荐你停止这么做。换一个@gmail.com邮箱。你的独立域名邮箱可以作为日常通信用，就像我现在依然这么做一样。

同时，我建议你为MX记录设一个相对较长的TTL以防万一。在这次事件中我的TTL是1小时，因此在失去了对域名服务器的控制以后，我没有足够多的时间继续接收邮件。如果TTL设成7天那么长的话，我会有更大的机会找回被盗的帐号。

使用两步验证是必需的。很可能这就是阻止了攻击者登录我的PayPal帐号的原因。虽然这次事件表明即使两步验证也不能防止所有被盗的可能性。

总结

愚蠢的公司很可能把你的个人信息（例如信用卡号码的一部分）交给一个不怀好意的人。而其中的某些公司甚至允许仅通过信用卡的最后几位来验证你的身份。

为了避免这些公司的草率处理毁了你的“数字人生”，不要让诸如PayPal或是GoDaddy这样的公司保存你的信用卡信息，事实上我已经把我的删掉了。同时我也会尽快地离开GoDaddy和PayPal。

原文链接： Naoki Hiroshima   翻译： 伯乐在线 - 丁晔
译文链接： http://blog.jobbole.com/58761/