PayPal ontkent dat een medewerker van de betaaldienst zich heeft laten social engineeren en gegevens van een klant heeft verstrekt, die later werden gebruikt om een bijzondere Twitternaam te stelen. GoDaddy, dat ook bij het incident was betrokken, heeft wel bekend dat een werknemer werd misleid.
Het draait allemaal om het Twitteraccount @N, waar Naoki Hiroshima de eigenaar van was. Aanvallers die het account wilden stelen hadden een aanvalsplan uitgewerkt, dat ze later ook met Hiroshima deelden. De aanval begon met een telefoontje naar PayPal, waar social engineering werd gebruikt om de laatste vier cijfers van Hiroshima's creditcard te achterhalen. Met deze gegevens werd vervolgens een social engineering-aanval op GoDaddy uitgevoerd.
Hiroshima had bij deze partij zijn domeinnaam geregistreerd. Het e-mailadres dat hij voor zijn Twitteraccount en andere accounts gebruikte was aan zijn domeinnaam gekoppeld. Om het wachtwoord van het GoDaddy-account te resetten, en zo de instellingen te wijzigen, hadden de aanvallers de laatste zes cijfers van de creditcard nodig. Vier cijfers hadden ze al, en de werknemer van GoDaddy stond het toe dat ze de resterende twee mochten raden, wat ook lukte.
Deze informatie werd gebruikt voor het overnemen van Hiroshima zijn domeinnaam en daarmee ook zijn e-mail. Hierdoor konden de aanvallers het Facebookaccount van Hiroshima overnemen, die uiteindelijk besloot om dit tegen het @N Twitteraccount te ruilen.
Hoewel de aanvallers beweren dat ze de laatste vier creditcardnummers via PayPal wisten te bemachtigen, wordt dit door de betaaldienst ontkend. Volgens PayPal heeft de werknemer zich niet laten social engineeren en zijn er geen creditcardgegevens van Hiroshima verstrekt. Ook zou er geen andere persoonlijke of financiële informatie over het account zijn doorgegeven.
"Onze klantmedewerkers zijn goed getraind om social engineering-pogingen, zoals beschreven in de blogposting, te voorkomen." PayPal zou inmiddels contact met Hiroshima hebben opgenomen om te kijken hoe hij geholpen kan worden.
Waar PayPal ontkent laat GoDaddy weten dat een werknemer inderdaad het slachtoffer van social engineering is geworden. Volgens Chief Information Security Officer Todd Redfoot beschikte de aanvaller al over een groot gedeelte van de klantgegevens die nodig zijn om toegang tot het account te krijgen. Vervolgens werd er social engineering toegepast voor het resterende gedeelte. Redfoot laat weten dat de training van personeel zal worden aangepast om herhaling te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.