Gmail, furto di identita' e recupero delle credenziali



Agganciandomi a questo post su downloadblog, dedicato alle difficolta' incontrate da parecchi utenti nel recuperare l'accesso al proprio account di GMail, pubblico una mail ricevuta da Massimiliano vittima di un cracker che, oltre a bloccargli l'accesso alla casella di posta, si e' preso la briga di metter mano anche ai domini con le credenziali di accesso contenute proprio nella casella di posta 'rubata'.

Ma ora veniamo all'odissea di Max per il recupero della password:

    

Ciao,


utilizzando windows 2000 pro con ie 6.0, ho immesso come sempre la mia password per logarmi su gmail.


tutto normale.. fino a qui..



La domenica mattina quando mi trovavo in aereoporto pronto a partire per le meritate vacanze! 
Sprovvisto di pc, ho ricevuto sul mio blackberry (posta aziendale) una mail di aruba.it dove mi si confermava il cambio della password, subito dopo una di register.it... allorche' mi sono preoccupato!.. anche se per un breve momento ho pensato che fosse stato fatto un cambio automatico per motivi di sicurezza.

Comumque non essendo certo di cio' mi sono collegato a gmail, riscontrando una brutta sorpresa: la mia password non coincideva con l'account!


Panico e preoccupazione mi hanno assalito: su gmail ho la mia vita informatica!


Tento subito un recupero della password, riscontrando pero' che la mail secondaria era stata cambiata! Quindi come segnalato da google devo attendere 5 giorni prima di avere la possibilita' di digitare la risposta alla domanda segreta..


Navigando con opera dal mio blackberry cerco istruzioni per segnalare l'accaduto, fino a che non riesco a trovare un form per contattare google, che solo in questi casi lo permette:


 


Forniamo assistenza per email solo nei seguenti casi:


Segnala come spam i messaggi ricevuti da un indirizzo Gmail


Segnala problemi nell'invio o nella ricezione dei messaggi


Segnala un codice di errore a tre cifre


Qualcuno si è impossessato del mio account e ora non riesco a reimpostare la password


 


il mio caso era il 4... ho compilato il form, con moltissime delle info richieste; ma purtroppo ogni volta mi tornava indietro una mail con scritto:


 


 ~~~


Because some of the required information was missing, we were unable to process your request. Please enable Javascript in your browser and fill out the form again.


For instructions on how to enable Javascript, visit


http://www.google.com/support/accounts/bin/answer.py?answer=23852


To return to the form, visit


http://www.google.com/support/accounts/bin/request.py?ara=1


~~~


purtroppo il primo link, non porta a nulla che spieghi cosa fare. Il problema descritto del javascript non abilitato non era reale, perche' il mio browser era abilitato. Per sicurezza ho provato anche con altri pc e diversi browser (ie6.0 , ie7.0, firefox 3.0.1, chrome), ma il risultato non e' cambiato.


Depresso, ma non arresso.. ho contatto google sui gruppi di assistenza, altra pratica indicata da google:


Opzioni di contatto


Invia la tua domanda al gruppo di assistenza dove altri utenti e le nostre guide di Google potranno esserti utili.


qui ho trovato la collaborazione di Azzurra..


 


google groups assistenza


Discussioni > Gmail > gmail account compromesso da hacker


 


mi hanno dato il link corretto per l'impostazione del browser (che gia' lo era).


Dopo di questo mi hanno contattato individualmente per aiutarmi, ma fortunatamente i form che avevo sottomesso anche se con errore.. mi hanno fatto ricevere una mail dove mi si diceva che la mia mail secondaria era stata ripristinata e che avrei potuto cambiare la password...


 


~~~


Thank you for your report. We've completed our investigation and we're re-enabling your access to this account. We've changed the alternate email address to massimiliano.corsi@vodafone.com. To sign in, you'll need to reset your password by visiting this link:


 


https://www.google.com/accounts/ForgotPasswd


 


Once you've reset your password, please sign in and select a new security question. (Note: keep in mind that we've removed the existing security question from your account.) To do so, follow these steps:


 


1. Visit https://www.google.com/accounts/ManageAccount


 


2. Sign in with your username and newly reset password.


 


2. Under 'Personal information,' click 'Change security question.'


 


3. Enter your password, select a new security question and answer, and click 'Save.'


 



For tips on how to create a secure password, please seehttp://www.google.com/support/accounts/bin/answer.py?answer=32040. For information on selecting a good security question, see
http://mail.google.com/support/bin/answer.py?answer=29414

 



We also suggest you check to make sure that the personal name on your account is correct. To do so, follow the instructions at
http://www.google.com/support/accounts/bin/answer.py?answer=27442

 


We look forward to having you as a Google Accounts user again.


 


Regards,


 


The Google Team


 


 


 


----------------


 


Please don't reply to this email, as we won't be able to review your response. If your question wasn't answered, please search or browse the Google Accounts Help Center athttp://www.google.com/support/accounts/


 


~~~


 


E finalemente son rientrato in possesso della mia mail. Ho cosi potuto dire all'assistenza che era tutto ok!.


 


Non l'ho detto prima (per non rendere incomprensibile il racconto) che nel frattempo avevo segnalato anche ad ADWORDS il problema, e che in tempo quasi reale mi avevano risposto ed aiutato.


Inoltre ho contattato anche la redazione di puntoinformatico.it la quale mi ha aiutato segnalando al responsabile di google italia il problema.


Il cracker inoltre ha cambiato le default page dei mie siti.. cosa pero' durata poco perche un collega (Paolo) mi ha ripristinato i siti il giorno seguente.


 


Grazie a tutti quelli che hanno reso possibile tutto cio! tranne al cracker.


 


per tutti impostate se non avete proxy particolari che non lo permettono:


impostazioni -> generali


ultima voce:


Connessione browser: -> Usa sempre https


In questo modo eliminate la possibilita' che un cross site scripting potrebbe prelevare vs dati, ma qui andrea puo' spiegare meglio di cosa si tratta.


Massimiliano



Promesso, su XSS (Cross Site Scripting) scrivo due righe a breve.
Ringrazio Max per la sua testimonianza.

 


 



 

 

 

 


Published: October 07 2008

  • category: