Ver Mensaje Individual
  #1 (permalink)  
Antiguo 20/02/2009, 16:56
Avatar de cvander
cvander
Moderador
 
Fecha de Ingreso: abril-2001
Ubicación: Ciudadano del mundo
Mensajes: 13.638
Antigüedad: 23 años, 8 meses
Puntos: 1792
Exclamación ¿Qué nos pasó esta semana?

Gracias nuevamente a todos por el apoyo para que lograra recuperar el control de los dominios en mi cuenta de godaddy, lo que también me ha ayudado a recuperar control de mi identidad digital.

Ahora, intentaré relatar los detalles de la historia para que sepan como pasó todo:

El sábado pasado recibimos un correo sospechoso de alguien intentando ingresar a nuestra cuenta de hosting. Reportamos esta situación de inmediato a Liquidweb (nuestro proveedor), aunque no era nada de riesgo, ya que cualquiera puede generar estos emails pidiendo recuperar un password. Esta fue la primera alarma.

El día domingo por la noche (hora de Tokyo, de mañana en America) recibí un correo confirmando cambios administrativos a los dominios que tengo alojados con Godaddy. Dicho correo tiene además una cuenta de correo donde se pueden tomar acciones si no se han soliticado dichos cambios. De inmediato mandé el correo. Y así mismo, fuí a twitter a avisar la situación. A continuación, aquí mismo en el foro, publiqué un mensaje notificando que había perdido control de los dominios y que estaba investigando que había pasado.

Javier -aka j_aroche- leyó el tweet (por lo que incluso antes que lo contactara fué a nuestros servidores a cambiar contraseñas y hacer backups frescos de toda la info (aunque teniamos el backup del día anterior).

Hice cambios de password en Gmail, Google Apps, Twitter y otros servicios y finalmente llamé por teléfono a Soporte de Godaddy. Requerian mi confirmación de los últimos 4 dígitos de la tarjeta de crédito en mi cuenta, pero no pude darlos porque dicha cuenta la pago con Paypal. Me dijeron que contactara por mail al departamento de abusos.

Recibí un correo preguntándome si quería recuperar la cuenta. Pero jamás pasó por mi cabeza negociar con nadie que pudiera ser el responsable.

La mañana siguiente a los cambios en los datos de los dominios se agregaron cambios a los DNSs, por lo que habíamos perdido los sitios y además, todos los correos @maestrosdelweb.com (incluyendo mi cuenta personal) estaban llegándole a alguién más. Quien tuvo control de los dominios puso una página en mantenimiento fuera de nuestro control.

Al tener acceso a recibir mis correos empezaron a solicitar algunas de mis contraseñas, incluyendo Gmail, DynDNS (donde gestionábamos los dnss de los dominios), facebook y otras como Plaxo, Popego, etc. Yo veía algunos mails, porque los MX del dominio no se habian reflejado en todos lados. Me puse entonces a cambiar usuarios, emails e incluso a eliminar cuentas en servicios que realmente no usaba nunca. Borre cuentas, cambie mails... Pero lamentablemente avisaba de los cambios al atacante, porque al menos en el caso de servicios como Facebook, manda un mail para confirmar el nuevo email y manda otro mail al viejo email para que invalides el cambio si crees que es un error.

Luego de esto y a pesar de haber cambiado datos en mi cuenta de Gmail (la que ademas era la asociada con algunos de los dominios -no todos), perdi acceso a la cuenta. En principio porque cuando fue creada, como email de emergencia quedo una cuenta @maestrosdelweb.com a donde podía solicitarse recuperar el password. Intenté recuperar la cuenta desde el formulario de google pero el número de intentos para esto había sido superado (así que alguien lo había intentado antes). Contacté a algunos amigos en Google para ver si podian apoyarnos, pero ese día era feriado en Estados Unidos, por lo que habían aprovechado un finde largo donde la respuesta de los proveedores podía ser más lenta que de costumbre.

Para entonces, recibí respuesta del área de Soporte de Godaddy, confirmándome que tenía que hablar con su departamento de abusos. Mandé mails al departamento de abusos y ellos me dijeron que tenía que hablar con soporte.. Me tenían en un loop y se hacian los desentendidos. Ese día hablaría con muchas más personas en soporte. Unos de ellos me redirigieron al soporte de Wild West Domains (es una empresa asociada a Godaddy pero jamás he hecho negocios con ellos). Y otro chico más tajante me dijo que lo sentía, que mis datos no aparecian en la cuenta y que por la historia que le comentaba era un tema legal. Que buscara un abogado y viera en su sitio la información de resoluciones con la ICANN, que en serio no podían hacer nada por mi caso.

Ese mismo lunes, accesaron al panel de pago de nuestro proveedor de hosting y solicitaron cambiar passwords de servidores para buscar accesar, incluso llamando por teléfono con información que habian conseguido de mi persona. Javier estaba pendiente de esto y cuando vió actividades sospechosas fuimos al teléfono y pasé parte de todo el día validando mi identidad con Liquidweb asegurándome que la cuenta estuviera en hold hasta que verificaran al verdadero dueño. El plan desde el principio fue poner a funcionar los servidores en otros dominios mientras recuperábamos los nuestros, pero cuando vimos que mi identidad se estaba intentando suplantar incluso en vía telefónica decidimos apagarlos para garantizar que la información estaba segura.

Ese día, muchas personas y amigos cercanos ya me contactaban por mensajería instantánea preguntándome datos que solo nosotros sabiamos. No sabian con quien hablaban. Por este detalle, les agradezco mucho a todos.

El martes seguía sin encontrar un camino para hablar con Godaddy, así que seguí avanzando con información legal que me hicieron llegar varios amigos para ver los caminos que tenía. Empezó a llegar la ayuda de varios blogs y sitios que comentaban la historia y habían más tweets de apoyo. Los tweets hacia el usuario @Godaddyguy confirmándole que el dominio de maestrosdelweb.com llegaron a ser más de mil en 24 horas.. Tuvimos la primera respuesta positiva de ellos.

Ese martes por la noche, conversé con Pere de tonterias.com, quien tuvo que batallar varios meses para recuperar su dominio y me dijo que fuera directamente a hablar con presidencia de Godaddy. También estoy muy agradecido por compartirme su historia y darme valiosos consejos para proceder.

Cuando hablé con presidencia en Godaddy ya estaban al tanto del caso por los tweets, getsatisfaction y ruido en la blogósfera. Me dieron los mecanismos para validar mi identidad y solicitar recuperar los dominios. El proceso iba a ser de un dominio a la vez, así que pedí recuperar los 10 más importantes. Para entonces, me importaban poco el resto (unos 30 dominios adicionales).

Unas horas más tarde logramos que los dominios estuvieran de regreso. Y ya con los dominios poco a poco vamos recuperando los sitios y accesos a algunos servicios. Me falta mucho por investigar y en el camino he ido recolectando muchas pistas de los responsables. Estoy asesorándome legalmente también para seguir el caso hasta donde sea posible. Esto no va a terminar hasta que agotemos recursos.

Aciertos

- Haber hecho ruido desde que todo esto empezo. No quedarme callado, ni intentar resolver nada en privado con quien sea el responsable.
- Usar el teléfono antes que el email, aunque me encontré que con muchos proveedores no hay otro camino más que el digital.
- Al ver la posibilidad de que siguieran recuperando mis cuentas, fuí directamente a asegurarme nuevos accesos, con datos frescos, siempre reales (y comprobables) para asegurar que siguieran vinculando a mi identidad real.

Deshaciertos
- Tener demasiadas cuentas registradas con un solo email. Cuando perdí el acceso a mi dominio, fue muy fácil que empezaran a ganar accesos. De nada sirvió tener una serie de passwords.
- El mismo lunes ibamos a intentar poner a funcionar el foro en otro dominio temporal. Pero debí pedir que los servidores se apagaran de inmediato cuando empecé a ver las dimensiones del ataque. Y seguía dependiendo de servicios anteriores de los que no tenía constancia si habían sido vulnerados de alguna forma.
- Cambié passwords en mi cuenta de Gmail, pero no pensé en todas las formas en que pudieran obtenerla, incluyendo lo del email de emergencia.
- El sueño y la intranquilidad no son buenos amigos para que pienses rápido y actues en consecuencia.

Por si prefieren digerir esto en audio, los buenos amigos de blogoff me hicieron una rápida entrevista que publicaron en su podcast - http://www.blogoff.es/2009/02/20/ent...de-doble-filo/

Seguramente que tendrán preguntan, así que dejo el espacio para que vayan comentando y yo iré respondiendo mientras se desarrolla el mensaje.
__________________
- Christian Van Der Henst
Platzi