Furto d’account, ecco la curiosa e assurda disavventura di Naoki Hiroshima

Ecco la disavventura di Naoki Hiroshima, sviluppatore preso di mira da un hacker che voleva impossessarsi del proprio account di Twitter.

Aggiornamento 26 febbraio 2014, 12.00: breve update per comunicarvi che la disavventura di Naoki Hiroshima ha avuto un lieta conclusione. Ieri il creatore di Cocoyon è riuscito a tornare in possesso dell’account @N che si era visto costretto a consegnare a un hacker in seguito a un’elaborata estorsione.

Twitter ha concluso l’indagine e accertato che Hiroshima era il reale proprietario di quell’account.


Tutto bene quel che finisce bene, ma la figuraccia di GoDaddy sarà difficile da cancellare.

Aggiornamento 30 gennaio 2014: Twitter, ad oggi, non ha ancora restituito l’account @N al suo legittimo proprietario, Naoki Hiroshima, ma qualcosa sta cominciando a smuoversi. Il processo di restituzione non è così immediato, contrariamente a quanto si possa pensare, ma il motivo di ciò è comprensibile: non si è trattato di un furto d’account vero e proprio, ma è stato il signor Hiroshima, dietro ricatto, a liberare l’account.

Questo non significa che lo sviluppatore debba definitivamente dire addio a quell’account creato nel lontano 2007, ma la procedura investigativa avviata da Twitter richiederà più nel normale. Fortunatamente lo sventurato utente ha documentato tutto in modo minuzioso, quindi non sarà difficile accertare la verità.

Nel frattempo la sua disavventura ha avuto ampio risalto e PayPal si è affrettato a precisare che quanto dichiarato dall’hacker non corrisponde a realtà: nessuno, dicono, ha permesso al malintenzionato di indovinare le cifre della carta di credito dell’uomo, ma questo particolare è ancora oggetto di indagine da parte dell’azienda.

Allo stesso modo GoDaddy, a cui va la maggior parte della responsabilità, ha preferito non rilasciare alcuna comunicazione ufficiale, limitandosi a dire che un’indagine è ancora in corso.

Il resoconto di Naoki Hiroshima

In questo periodo, forse più che in passato, si fa un gran parlare di sicurezza online, di password forti e di metodi per proteggere i propri account. Le grandi aziende ci mettono a disposizioni una grande varietà di opzioni - dalla verifica in due passaggi alla seconda mail da associare a un dato account, passando per il cambio di password obbligatorio e chi più ne ha più ne metta.

Spesso, però, sono proprio le grandi aziende, con le loro regole ferree, a permettere o comunque facilitare il furto di account. La denuncia che arriva da Naoki Hiroshima, creatore di Cocoyon e sviluppatore per Echofon, deve farci riflettere.

Hiroshima era il proprietario di un account su Twitter tra i più ricercati, @N, una singola lettera che aveva fatto schizzare il valore dello stesso a oltre 50 mila dollari. Quell’account faceva gola a molti e qualcuno è riuscito a impossessarsene, sfruttando le rigide regole di PayPal e GoDaddy, il popolare provider di hosting che non certo nuovo ad attacchi.

Tutto è cominciato il 20 gennaio scorso con un messaggio di PayPal che inviava al telefono cellulare di Hiroshima il codice di verifica. Qualcuno stava tentato di accedere al suo account, ma senza quel codice della verifica in due passaggi non avrebbe potuto farlo.

GoDaddy compromesso, primo passaggio di un'epopea di furti e ricatti

Poi è arrivata la mail di GoDaddy, che informava lo sviluppatore di un cambio correttamente eseguito alle impostazioni del suo account. C’era poco da fare, ormai: il ladro di account era riuscito a cambiare i dati personali di Hiroshima e cambiare anche la carta di credito associata all’account, informazione che GoDaddy utilizza per il recupero dell’account.

Hiroshima ha tentato inutilmente a contattare l’assistenza, ma non c’era modo di provare che lo sviluppatore forse il vero proprietario di quell’account. La soluzione: inoltrare un reclamo e attendere almeno 48 ore. Nel frattempo, però, il ladro di account è andato avanti.

Da GoDaddy l’hacker è riuscito in un attimo ad appropriarsi dell’email di Hiroshima e da lì a cominciato a tentare di appropriarsi anche dell’account di Twitter. Non riuscendoci, lo stesso ha involtato una segnalazione a Twitter, sostenendo di essere il proprietario dell’account e chiedendo il reset della password.

Violato anche l'account di Facebook

Nel frattempo anche l’account di Facebook di Hiroshima era stato compromesso, solo e soltanto perchè l’hacker voleva mettersi in contatto con lui. Alla fine è arriva l’email, un vero e proprio ricatto: concedimi l’accesso all’account di Twitter e ti restituirò l’account di GoDaddy.

Ogni tentativo di Hiroshima si è rivelato vano e alla fine, pur di non perdere i tanti siti ospitati su GoDaddy, si è visto costretto a cedere al ricatto: ha liberato l’account di Twitter, liberando così @N, ed è tornato in possesso di GoDaddy.

Come ci è riuscito?

L’hacker, a quel punto, gli inviato un’ultima mail spiegando come era riuscito nel suo intento. E qui la cosa si fa ancora più preoccupante.

- ho chiamato PayPal e usato alcune semplici tattiche di social engineering per ottenere le quattro cifre finali della sua carta di credito (puoi evitare che accade in futuro chiamando PayPal e facendo aggiungere una nota al tuo account di non rilasciare mai informazioni via telefono).
- ho chiamato GoDaddy e detto che avevo perso la mia carta di credito ma che ricordavo le ultime quattro cifre, l’operatore mi ha permesso di provare un range di numeri (00-09 nel tuo caso).

Strano, ma vero. Il ladro di account è riuscito nel suo intento e Hiroshima ha rischiato molto, dal momento che il malvivente era in possesso dei suoi dati sensibili. Quale conclusione ha tratto il nostro sfortunato sviluppatore? Non permettere mai alle grandi aziende di conservare i dati della tua carta di credito. E, ovviamente, cercare un provider diverso da GoDaddy.

Via | Medium

  • shares
  • +1
  • Mail