El peculiar nombre de usuario en Twitter del programador Naoki Hiroshima consistía en tan sólo una letra: N. A pesar de ser tan sencillo, su valor era tal que incluso Hiroshima había recibido ofertas de hasta $50,000 USD por él. Por lo mismo, era muy común que le llegaran varios correos avisándole que alguien había tratado de reestablecer su contraseña para robar la cuenta. Por supuesto, esos intentos de robo siempre fallaban, pero un hacker decidió efectuar el proceso de una forma muy diferente, con lo que logró adueñarse de @N.
El 20 de enero, Hiroshima recibió un SMS de PayPal que evidenció que alguien estaba tratando de acceder a su cuenta, la cual estaba protegida por verificación de 2 pasos. Esta se encontraba segura, pero más tarde, el programador recibió un correo para informarle que hubo cambios en su cuenta de GoDaddy, los cuales no habían sido autorizados.
Hiroshima intentó acceder a su cuenta de GoDaddy sin éxito alguno, por lo que contactó al servicio a clientes de la compañía y proporcionó los últimos 4 dígitos de su tarjeta de crédito para verificar su identidad. Para ese entonces, el hacker había cambiado estos datos, por lo que la víctima no obtuvo ayuda de GoDaddy. Un representante de la empresa sugirió que llenara un reporte con su identificación oficial, pero eso tampoco fue suficiente para recuperar el control de su cuenta.
El error de Hiroshima fue utilizar la cuenta de correo de su dominio personal para asegurar todas sus cuentas
La gran mayoría de los servicios web utilizan verificación por correo para dar una cuenta de alta o cambiar la contraseña. El error de Hiroshima fue que el correo ligado a su cuenta de GoDaddy pertenecía a uno de los dominios que adquirió con el mismo servicio, por lo que perder acceso a GoDaddy significó perder el acceso a su mail. Eso no era todo, el correo en cuestión también era utilizado para acceder a Facebook y a Twitter, pero Hiroshima cambió el correo encargado de la red social de microblogging justo a tiempo para que el hacker no tuviera acceso a su cuenta.
Cabe mencionar que es recomendable que el correo utilizado en cuentas de otros servicios pertenezca a un servicio seguro como Outlook o Gmail, pues un dominio personal tiene más probabilidades de ser vulnerado.
El hacker ahora tenía posesión de los sitios web de Hiroshima, por lo que procedió a extorsionarlo ofreciéndole la contraseña de su cuenta de GoDaddy a cambio del codiciado nombre de usuario de Twitter. El programador no tuvo opción: era ceder @N o perder sus sitios web; por lo que notificó al atacante que el nombre de usuario ya estaba disponible para que lo tomara. La cuenta de Twitter de Hiroshima ahora es @N_is_Stolen.
En una macabra forma de agradecimiento, el hacker relató por correo cómo fue que obtuvo acceso a la cuenta de GoDaddy. Para empezar, llamó a PayPal y se hizo pasar por un empleado y explicó que fue muy sencillo obtener los últimos 4 dígitos de la tarjeta de crédito de Hiroshima. Después de haber obtenido ese dato, el atacante procedió a llamar al soporte de GoDaddy para cambiar los datos de la cuenta de la víctima, alegando que había perdido su tarjeta de crédito pero que recordaba los últimos 4 dígitos. Los agentes de la empresa también requerían los primeros 2 dígitos de la tarjeta, pero le permitieron intentar adivinarlos.
El hacker sugiriere que el problema de PayPal puede evitarse si se le pide al agente que se añada una nota a la cuenta para que no se revele ningún detalle por teléfono. En cuanto a GoDaddy, la única recomendación es utilizar otro servicio como Namecheap o eNom; de hecho, el primero aprovechó la situación para promocionarse.
How we make sure that you don't lose your $50,000 Twitter username: http://t.co/5Hj3RSQtZ9 $5.99 domain transfers with code BYEBYEGD
— Namecheap.com (@Namecheap) January 29, 2014
Hiroshima redacta que “las compañías estúpidas pueden dar tu información personal (como una parte del número de tu tarjeta de crédito) a la persona equivocada. Algunas de esas empresas aún emplean la inaceptable práctica de verificar tu identidad con los últimos dígitos de tu tarjeta”. En agosto del año pasado, otro hacker demostró, con un método similar, que algunas compañías aún son susceptibles a la ingeniería social, pero parece que las compañías involucradas en este caso ignoraron el evento.
La ingeniería social es una forma de obtención de información que siempre estará vigente y nunca habrá ninguna especie de parche para mitigarla por completo. Se rumora que Edward Snowden hizo uso de esta técnica para obtener acceso a documentos confidenciales.
Deja tu comentario