我价值 $50000 的 Twitter 帐号是怎么丢的

我有一个极其罕见的 Twitter 帐号 @N，曾经有人出价 $50000 买它。经常有人尝试偷它。我的邮箱经常有密码重置信。现在，我已经不再拥有 @N，因为被敲诈不得已放弃。

2014 年 1 月 20 号我在吃中饭的时候，我收到来自 Paypal 的验证码消息。有人尝试偷我的 Paypal 帐号。我忽略了它继续吃饭。

当天晚些时候，我查了一下自己 Google Apps 的邮箱， 这个邮箱用了我通过 GoDaddy 注册的域名。
我发现来自 GoDaddy 的最后一封邮件：“账户设置变更确认”。你懂得，这为什么是最后一个。

修改有一定的有效时间

如果不是您自己修改，请到账户修改安全设置。

我尝试登录我的 GoDaday 帐号，但没用。我打电话给 GoDaddy 并解释了问题。客服问了我信用卡后六位做为验证方式。因为信用卡信息已经被攻击者修改所以这个方法行不通。事实上，我的所有信息都被修改了。我没有办法来证明我是域名的所有者。

GoDaddy 的客服建议我使用公民身份信息在 Godaday 官网来填一个申请报告。我这么做了，然后告诉我需要 48 小时。我期待这个可以证明我的身份和账户所有权。

敲诈继续

大多的网站使用邮箱做为验证方式。如果你的邮箱被攻击了，攻击者会很容易重置你的密码。控制我的域名后，攻击者试图控制我的邮件。

基于之前的攻击，我很快意识到，我那令人垂涎的 Twitter 帐号才是目标。很奇怪的是，在 Facebook 有陌生人发了消息给我鼓励我修改我的 Twitter 邮件地址。我认为这是从攻击者发送的，但我还是改了它。Twitter 帐号的邮件地址现在攻击者已经访问不了了。

由于花时间变更了可以控制我域名服务器的 MX 记录，攻击者尝试重置了几次我的 Twitter 密码发现他不能收到任何重置邮件。攻击者在 Twitter 的客服系统上开了个工单 #16134409。

N，1 月 20 号 下午 1:43:

Twitter 账户：@n
邮箱：****@****.***
最后登录：十二月
手机号: n/a
其它信息：我收不到我的密码重置邮件，你可以手动发一个给我么？

Twitter 要求攻击者提供更多信息，攻击者放弃了这个方式。

然后我才知道为了和我讨价还价，攻击者已经破坏了我的 Facebook 帐号。我才意识到当一个朋友开始在 Facebook 上问的很奇怪意味着什么。

我最后收到了来自于攻击者的邮件。攻击者要敲诈我：

我看到你访问过不少网站，我还留着这些帐号，所有这些网站的数据都还算保持完整。你是否要妥协？让我访问 @N 5 分钟直到我交换你的 Godaddy 控制权，并且可以帮你保护你的信息？

很短时间，我收到了 GoDaddy 的回复。

1. Visit to locate the Whois record for the domain name and resolve the issue with the registrant directly.
2. Go to to find an ICANN approved arbitration provider.
3. Provide the following link to your legal counsel for information on submitting legal documents to GoDaddy: GoDaddy now considers this matter closed.

因为我不是「当前所有者」，我的申请被拒绝了，GoDaddy 问了攻击者是否同意要做出改变，在他们攻击的时候它们当然不同意。GoDaday 把我激怒了，它把麻烦都给了我这个真正的所有者。

我的一个同事可以联系到 GoDaddy 的执行官，执行官尝试让安全团队来帮助解决，但没有下文了。也许是因为「马丁路德金日」。

然后我收到了攻击者的邮件。

我从 2007 年至今第一次修改了我的用户名 @N 为 @N_is_stolen。至此告别了我的问题帐号。

我收到下面的回复。

攻击者很快掌握了用户名，我的 GoDaddy 账户也失而复得了。

PayPal 和 GoDaday 方便了攻击者

我问攻击者如何被攻击的，然后收到了下面的回复：

• 我打电话给 paypal 并且用了非常简单的工程学策略来获得你信用卡的后四位（防止的方案是打电话给 paypal 要求客服为你的账户添加一个不通过电话获得资料的备注）

很难说有多震撼，事实是 Paypal 通过在电话里给了攻击者我的信用卡后四位号码，而 GoDaddy 支持用它来做验证。当我准备再问点什么的时候，攻击者回了我一个邮件：

猜 2 位不那么容易是吧？

他很幸运他只需要通过电话猜两个号码。问题是，GoDaday 允许他猜中为止。

避免使用自定义域名做为登录邮件地址

然后，我强烈建议你修改 MX 记录的 TTL（过期时间）为一个小时，可以在被攻击丢失 DNS 控制权时有充足的时间来收邮件。如果 TTL 时间长点我就能有恢复我账户的机会。

必须用两步验证。这可以避免攻击者登录我的 PayPal 账户。虽然这些情况下两步验证都没用。

总结

愚蠢的公司会把你的个人信息给别人（比如信用卡号）。有些公司仍在使用验证信用卡最后几位号码的方式这种难以接受的做法。

为了避免他们破坏你的数字生活，不要让 PalPal 和 GoDaddy 存储你的行用卡信息。我已经删掉了。我也会尽快离开 GoDaddy 和 Paypal。