1804人阅读
互联网相关（9）
本文由&&-&&翻译自&。欢迎加入。转载请参见文章末尾处的要求。
【 10:15:17 更新：】本文作者&Naoki Hiroshima 2月26日5:32发推表示 @N 账号已回到他手上，但并未透露为何 Twitter 隔了这么久才归还。不管如何，这事总算是有好结尾。
这是一篇在Twitter上看到的文章，文章的作者因为使用了独立域名的邮箱地址作为网站的登录邮箱，导致在DNS服务器被攻破时失去了很多网站帐号的控制，最终损失了价&#美刀的Twitter帐号。独立域名邮箱作为提升逼格的一种重要手段，相信还是有不少对此趋之若鹜的XD
特别推荐倒数第二段作者吸取的教训，很值得一看。
我价&#美元的Twitter用户名被盗了
感谢PayPal和GoDaddy
我有一个很稀有的Twitter用户名，@N。是的，只有一个字母。曾经有人出价50000美元向我购买这个用户名。也有很多人尝试盗我的帐号，密码重置邮件出现在我的邮箱里是一件很稀疏平常的事。然而今天，这个用户名已经不再属于我。我被迫放弃了它。
日，在我吃午饭的时候收到一封来自PayPal的验证码短信。我想又有人在尝试盗我的PayPal帐号了。于是我无视了它，继续吃我的午饭。
又过了一会儿，我查看了一下我的独立域名邮箱（通过Google Apps服务绑定到Gmail邮箱，域名注册于GoDaddy），发现最后一封邮件是来自于GoDaddy的“确认修改账户信息”。有一个很好的理由可以解释为什么这会是最后一封邮件。
&From: && GoDaddy
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :02 -0800
Subject: Account Settings Change Confirmation
尊敬的 naoki hiroshima
您收到这封邮件是因为以下账户的账户设置已被修改：
新的设置生效需要一段短暂的时间。
如果这项变更未经您本人同意，请登录您的账户并升级您的安全设置。
如果您无法登录您的账户或者发现未经许可的域名变动，请联系我们的客服中心： 或拨打电话 (480) 505-8877。
请注意您的账户使用需要遵守我们的服务条款。
竭诚为您服务，
我尝试登录我的GoDaddy账户，不过登录不进去。我又打电话给GoDaddy的客服，解释我现在的状况。客服询问我信用卡号码的末6位，作为验证我身份的手段，不过这显然行不通因为信用卡信息已经被盗号者改了。事实上，我的所有信息都被修改了。我没有办法证明我才是这个域名的真正持有者。
GoDaddy的客服建议我在GoDaddy上填写一份失窃申报，附上任何政府出具的可以证明我身份的证件 (government identification)。我照他的话做了，并被告知至多48小时内会得到回复。我曾天真地以为这对于证明我的身份和我对帐号的所有权足够了。
胁迫的开始
大部分网站使用Email作为验证身份的方式。如果你的邮箱被人攻破，那攻击者可以轻易地重置你在其他网站的密码。在控制了我托管在GoDaddy的域名以后，那个攻击者已经控制了我的邮箱。
基于以往被攻击的经验，我迅速地意识到我的Twitter用户名是这次攻击的目标。很奇怪的，有个我不认识的人发给我一条Facebook信息让我修改Twitter帐号的邮箱地址。我猜测这是攻击者发来的，虽然不知道他的意图不过我还是修改了邮箱。现在Twitter邮箱就变成攻击者无法进入的了。
攻击者多次尝试重置我的Twitter密码但发现收不到重置密码的邮件，因为MX记录从修改到生效需要一些时间。他甚至在Twitter的Zendesk用户支持页面开了一个issue #。
N, Jan 20 01:43 PM:
Twitter用户名: @n
您的Email: *****@*****.***
上次登录: 12月
手机号码(可选): n/a
附注(可选): 我没有收到我的重置密码邮件，你能手动发给我一份吗？
Twitter要求攻击者提供更多信息以便处理，于是攻击者就放弃了这条途径。
之后我知道攻击者已经取得了我的Facebook帐号以便和我交涉。在朋友们开始询问我在Facebook上那些奇怪行为的时候我感到糟糕透了。
最后我收到一封来自攻击者的邮件。攻击者试图威胁我放弃。
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :43 -0800
Subject: Hello.
我发现你已经和我的一个同伙聊过了，我可以告诉你你的推测是正确的，我的目标正是@N。我还要告诉你的是你的GoDaddy域名已经被我控制了，并且发了一封伪造的订单，你的域名可能会被godaddy收回然后再也见不到了。
我看到你似乎管理着不少不错的网站我目前还没有去动它们，所有那些网站的数据还完好无损。你是否考虑一下妥协呢？登录@N五分钟让我交换一下用户名，以此来换回你的godaddy帐号以及一些保护帐号的建议呢？
过了一会儿，我收到来自GoDaddy的回复。
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :41 -0800
Subject: Update [Incident ID: ] — XXXXX.XXX
很不幸，域名服务无法协助您的变更请求因为您不是该域名的当前注册人。作为注册商我们只能在注册人同意的情况下处理变更请求。如果您准备进一步追诉则您需要决定采用以下一种或者多种方式
我的申告被拒绝了因为我不是“当前注册人”。GoDaddy向攻击者询问他是否允许我改变当前用户信息，尽管他并没有询问过我是否同意攻击者修改我的用户信息。我对GoDaddy这种使得真正的所有者找回他们被盗帐号变得更困难的行为感到无比的愤怒。
我的一位同事帮我联系到了GoDaddy的一名高管，那位高管试图让GoDaddy的安全小组来处理这件事情，不过后来就没有消息了。或许是马丁·路德·金纪念日的关系。
然后攻击者又给我发了一封邮件。
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :16 -0800
Subject: …hello
你想好要交换所有权了吗？godaddy帐号已经准备就绪了。密码已经修改，同时绑定到了一个中立的邮箱。
我咨询了一位在Twitter工作的朋友如果攻击者拿到我的用户名以后是否还有可能追回。此时我想起了，决定现在放弃是避免造成无法挽回的损失的唯一办法。于是我回复了攻击者：
From: &*****@*****.***& Naoki Hiroshima
To: && SOCIAL MEDIA KING
Date: Mon, 20 Jan :17 -0800
Subject: Re: …hello
我已经改名了。拿走。
我把用户名 @N 改成了 @N_is_stolen ，这是我从2007年注册Twitter以来第一次改名。再见了，我那总是带来麻烦的用户名。
然后我收到了以下回复。
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :02 -0800
Subject: RE: …hello
非常感谢，你的godaddy帐号密码是V;Mz,3{;!’g&
如果你有兴趣的话，我可以告诉你我是怎么盗了你godaddy帐号，以及你应该怎么保护自己的帐号。
攻击者很快控制了 @N 用户名，而我也重新登录了我的GoDaddy帐号。
PayPal和GoDaddy，让攻击更简单
我问攻击者如何盗取了我的GoDaddy帐号，然后收到了以下回复：
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :52 -0800
Subject: RE: …hello
我不知道该说哪个让我更震惊，无论是PayPal轻而易举地在电话里就向攻击者透露了我的信用卡末四位，还是GoDaddy接受信用卡末四位+前两位作为验证身份的方法。当我问及这些时，攻击者回复到：
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :31 -0800
Subject: RE: …hello
没错，paypal在电话里告诉了我信用卡信息（我谎称自己是你公司的雇员），而godaddy让我“猜”信用卡的前两位。
不过要猜中两位数字也不是那么容易的一件事，不是吗？
From: && SOCIAL MEDIA KING
To: &*****@*****.***& Naoki Hiroshima
Date: Mon, 20 Jan :21 -0800
Subject: RE: …hello
我在一次通话中就猜中了，大部分客服都允许你不断试直到猜中。
他很幸运因为只要猜两位数字而且在一次通话中就猜中了。事实是，GoDaddy允许他反复尝试直到猜中。太疯狂了。听起来就好像我面对的是未来的——而各大公司还没有从米特尼克于1995年左右的所利用的漏洞中吸取足够的教训。
避免使用独立域名邮箱作为登录邮箱
在GoDaddy帐号恢复了以后，我终于重新得以登录我的邮箱。我把很多网络服务的注册邮箱改成了@地址。使用我的绑定了独立域名的Google Apps邮箱看起来很酷，但是存在被盗的风险——在域名服务器被攻破的时候。要是我登录Facebook使用的是@邮箱的话，本来攻击者就没法控制我的Facebook帐号了。
如果你也正在使用Google Apps作为很多网站的登录邮箱，那我强烈推荐你停止这么做。换一个@邮箱。你的独立域名邮箱可以作为日常通信用，就像我现在依然这么做一样。
同时，我建议你为MX记录设一个相对较长的TTL以防万一。在这次事件中我的TTL是1小时，因此在失去了对域名服务器的控制以后，我没有足够多的时间继续接收邮件。如果TTL设成7天那么长的话，我会有更大的机会找回被盗的帐号。
使用两步验证是必需的。很可能这就是阻止了攻击者登录我的PayPal帐号的原因。虽然这次事件表明即使两步验证也不能防止所有被盗的可能性。
愚蠢的公司很可能把你的个人信息（例如信用卡号码的一部分）交给一个不怀好意的人。而其中的某些公司甚至允许仅通过信用卡的最后几位来验证你的身份。
为了避免这些公司的草率处理毁了你的“数字人生”，不要让诸如PayPal或是GoDaddy这样的公司保存你的信用卡信息，事实上我已经把我的删掉了。同时我也会尽快地离开GoDaddy和PayPal。
原文链接：&&&&翻译：&-&
译文链接：&
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：431290次
积分：4746
积分：4746
排名：第4831名
原创：62篇
转载：179篇
评论：21条
(1)(1)(4)(5)(9)(2)(1)(1)(1)(2)(3)(4)(3)(2)(5)(3)(3)(9)(8)(3)(2)(2)(3)(4)(6)(2)(5)(1)(1)(1)(3)(3)(5)(5)(28)(17)(6)(4)(8)(2)(1)(8)(2)(2)(8)(4)(5)(3)(30)　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。　　经常上推的朋友们，推荐几个值得我们所有中国人尊敬和敬仰的，值得我们膜拜的推账号啊。
楼主发言：1次 发图：0张 | 更多
<span class="count" title="twitter上有什么比较有趣的账号关注_firefox吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：72,205贴子：
twitter上有什么比较有趣的账号关注收藏
不知道关注什么，只关注了5个人就，吧友们来给推荐几个
上海张学友、王菲演唱会一站式购票!票品安全且真票!立即订购!
有趣是指什么
奥巴马。。。我就关注了他「这个世界上肯定有另一个我，做着我不敢做的事，过着我想过的生活」
firefox，还有一堆official account
瑞士驻日大使
喜欢的几个女优　&#x270E;﹏﹏　　╭══╮　┌══════┐╭╯让路║═║酱油专用车　║╰⊙═⊙╯　└══⊙═⊙═~
μs的各位(≥▽≤)
ll大法全体
各个外国歌手 影星 球星
根本就没有这个网站
缺牙要及时修复，揭秘种植牙如何做到几十年不掉？
tumblr的帐号才有趣额
emi，里P，PILE，南条等等
我关注了很多日本……
中文锐推客
はじめしゃちょー
t66y━━━━━━You will never know the meaning of this sentence.Ne vous le sens d’une phrase qui.Ты никогда не знаешь значение этого слова.
希岛，希崎，希志
都是鸟语，看着累
Twitter是什么
日本 女 高中生 ——我喂自己袋盐&&Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/ Firefox/31.0
他推荐给我的都是岛国绅士
关注逆鳞小说吧，并且捧场5000及以上T豆，支持柳大~,
关注终极教师吧，并打赏5000以上T豆，支持柳大~,
Mitchel Baker
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或