Многоуровневую систему верификации GoDaddy можно обойти с помощью телефонного звонка в службу поддержки сервиса и Photoshop.
Сотрудник издания CSO Стив Реган (Steve Ragan) сообщил о том, что во вторник, 17 марта, ему удалось взломать собственную учетную запись GoDaddy. Совместно с генеральным директором ИБ-компании Night Lion Security Винни Тройя (Vinny Troia), которого Реган задействовал в эксперименте, специалистам удалось показать, насколько легко можно скомпрометировать учетные записи GoDaddy.
Реган надеялся, что многоуровневая система верификации крупнейшего регистратора доменных имен не допустит кибератак на аккаунты пользователей, но, к сожалению, он ошибался. Тройя скомпрометировал учетную запись Регана с помощью телефонного звонка в службу поддержки и переделанного в Photoshop удостоверения личности.
В случае, если пользователи GoDaddy забыли пароль от аккаунта или у них возникли проблемы с учетной записью, они обращаются в службу поддержки компании. Подобной услугой воспользовался и Тройя. Следуя всем протоколам, оператор службы поддержки в первую очередь попытался подтвердить личность пользователя, который представился Стивом Реганом.
Оператор попросил у Тройи авторизоваться в его персональной учетной записи электронной почты. Так как у него не было доступа к почте Регана, Тройя сослался на то, что загружен работой и нет времени воспользоваться компьютером. Масло в огонь подливала и дочь эксперта, которую он попросил имитировать громкий плач рядом с телефонной трубкой.
Далее у Тройи запросили PIN-код или четыре последние цифры кредитной карты. Исследователь оправдался тем, что учетную запись в GoDaddy ему делал его ассистент, который, как ни странно, напрочь забыл обо всех данных.
Восстановить аккаунт также можно было с помощью предоставления оператору удостоверения личности пользователя. Тройя так и поступил, переслав предварительно обработанный в Photoshop документ через поддельную учетную запись в Gmail. Таким образом Тройя смог получить новый пароль к учетной записи Стива Регана.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий