Amazon entró a mi cuenta de gmail! (actualizado II)
Escrito por: Facu en General, Internet, Seguridad InformaticaHoy pasó algo muy raro: entro a mi cuenta de gmail y me encuentro con una alerta de gmail diciendome que posiblemente mi cuenta había sido vulnerada. Gmail tiene un sistema de alerta que avisa a sus usuarios si alguien entró a tu cuenta y no fuiste vos. En que se basan para saber si sos vos o no? en la direccion IP de la coneccion a internet usada. Si la IP de acceso es de un país distinto del que entras todos los días, pues seguramente no seas vos y salta la alerta para avisarte.
Ademas de notificarte, también te muestra la IP intrusa (en este caso 174.129.80.57). Hice la geolocalización de la IP y me sale que se encuentra en Seattle, Washington, USA. Y un whois me dice que pertenece a Amazon.com.
Da la casualidad que en amazon.com tengo la misma contraseña que en mi gmail. (regla número uno de la seguridad en internet: no hacer esta estupidez jaja)
Amazon entró a mi cuenta de mail (click para ampliar)
[Whois]
IP address : 174.129.80.57 [Reverse IP]
IP country code: US
IP address country: ip address flag United States
IP address state: Washington
IP address city: Seattle
IP postcode: 98144
IP address latitude: 47.5839
IP address longitude: -122.2995
ISP of this IP [?]: AMAZON.COM
Organization: AMAZON.COM
Host of this IP: [?]: ec2-174-129-80-57.compute-1.amazonaws.com
Local time in United States: 2010-06-19 11:56
Nótese también que uno de los dos tipos de acceso es “Desconocido”. ¿Están usando algun tipo de script raro para acceder? Algo raro pasa. O no son ellos y es alguien desde su servicio AWS/S3 ?
Puede alguien haber vulnerado la seguridad de amazon desde sus servicios AWS/S3 y obtener los datos de mi contraseña? porque es mucha casualidad que justo en amazon.com tengo la misma contraseña que en gmail…
¿Esto significa que Amazon o alguien en Amazon (que és lo mismo) entró a mi cuenta de email? ¿Qué la IP pertenezca a un bloque registrado en Amazon, significa que la usan ellos si o si?
Pueden ser TAN hijos de puta de hacer ésto para recolectar mas información personal de sus usuarios? para después mandarles la publicidad que les interesa?
La verdad que no se que hacer, estoy desconcertado. No sé qué pasa. Y asusta. A alguien le pasó lo mismo?
Actualizacion 20.06.2010:
Bueno, parece ser que no fui el unico al que le pasó esto y lo sorprendió. Al menos a tres personas más (ver comentarios) les paso ésto ésta semana y a muchos más otras veces.
Mandé un mail al servicio EC2 de Amazon para pedir explicaciones y me respondieron que no lo consideraban un ataque, porque en esa IP se alojaba un servicio al que yo probablemente le cedí mi contraseña de gmail:
Hello,
We have received your report of unwanted access to your Gmail account from an Amazon IP address.
We have completed an initial investigation of the issue and learned that the IP address you reported did indeed belong an Amazon EC2 instance. Amazon’s EC2 service allows customers to run their applications using Amazon’s infrastructure, including IP addresses. The accesses that you reported may have come from an Amazon EC2 customer’s application. You may learn more about EC2 at http://aws.amazon.com/ec2 .
The customer we have identified runs a social media/networking site, mobile device push or inbox organizing service. You may have signed up for this service and granted permission and provided username/password to their application to access your Gmail account. We have passed this message on to the customer that uses the IP address mentioned in your abuse report. However, we have no reason to believe that this is an actual intrusion attempt.
If you continue to see unwanted activity, please contact Google and ask that they initiate an investigation with Amazon.
Best regards,
-EC2 Abuse Team
Les respondi preguntandoles cúal era el servicio o web que estaba alojado ahi, y me respondieron que no podian decirmelo:
Hello,
We are not able to provide any additional information on this matter. Please direct your questions either to the applications on your mobile phone which access your gmail account or to your mobile provider.
Or, as indicated in our previous correspondence you may ask Google to initiate an investigation into this matter.
Best regards,
-EC2 Abuse Team
Por otro lado al entrar por http a la IP del “ataque” ( http://174.129.80.57/ ) me encuntro con la empresa Scalr que parece dar un servicio de Cloud Computing a usuarios de Amazon EC2. Al parecer algo grande está hosteado ahí. Mandé un email a Scalr preguntando que servicio tenian hosteado en esa IP y me respondieron lo siguiente:
Hi Facundo,
A message has been sent to the infrastructure owner, saying his servers might be compromised.
Thanks for the report and sorry for the inconvenience.
Cheers,
Sebastian
Y dieron por cerrado el ticket…nadie del “servicio web social” se contactó conmigo aún.
Las primeras conclusiones fueron que el servicio en cuestion es gPush, una aplicacion para Iphone que trae los emails por push al iphone. Yo la instale hace un año, formatie el telefono y ahora hace meses que no la tengo más instalada. Pero mis datos seguro quedaron en sus servers. Yo estoy completamente seguro de que no puse mis datos en ningun otro lado. Luc, en los comentarios, dice que tambien la tubo instalada, por eso sospechamos de ésta aplicacion (otra aplicacion en comun instalada hace poco es Vuvuzela para iphone, pero no creo que a Apple se le pase ésto en sus proceso de aprobacion de aplicaciones). Alguien comprometio los servers de gPush?
Pero apareció Alejandro, en los comentarios, con el mismo problema y él no tiene un iphone por lo tanto no tiene gPush. Esto me desconcertó. La hipotesis de gPush queda descartada.
Acabo de mandar un mail a gPush, preguntandoles si hostean su servicio en esa IP o si su servicio fue comprometido. En cuanto me respondan actualizare.
No puedo dar con el servicio hosteado en esa IP! me carcome la intriga!
Gracias a José María Aguilar de Variable not found y Eduardo Arcos de ALT1040 por aportar a la investigacion.
Actualizacion 21.06.2010:
Bueno, Amazon me respondió y amplio un poco mas la informacion sobre lo hosteado en esa IP: mobile device push service.
Hello,
We have received your report of unwanted access to your Gmail account from an Amazon IP address.
We have completed an initial investigation of the issue and learned that the IP address you reported did indeed belong an Amazon EC2 instance. Amazon’s EC2 service allows customers to run their applications using Amazon’s infrastructure, including IP addresses. The accesses that you reported may have come from an Amazon EC2 customer’s application. You may learn more about EC2 at http://aws.amazon.com/ec2 .
The customer we have identified runs a mobile device push service. You may have signed up for this service and granted permission and provided username/password to their application to access your Gmail account. We have passed this message on to the customer that uses the IP address mentioned in your abuse report. However, we have no reason to believe that this is an actual intrusion attempt.
If you continue to see unwanted activity, please contact Google and ask that they initiate an investigation with Amazon.
Regards,
The EC2 Team
Todo indica que se trata de gPush, pero eso no explica cómo le paso ésto a otras personas que ni siquiera tienen un iphone. O incluso a mi, que lo tengo desisntalado hace meses.
Por otro lado, les escribi a los de gPush, preguntandoles si ésa era la IP de sus servicios y me respondieron otra cosa:
Dear GPush User,
We are in the process of upgrading our infrastructure, and improving security.
Please be advised service will be spotty at best in the next 24 hours.Sorry for the delays,
The GPush Team
Lo cual me hace pensar que posiblemente en el proceso de “upgrading” de su infraestructura, hayan hecho un chequeo de las cuentas que siguen “activas” ( que todabia tienen acceso, y el password les funciona) y por eso accedieron a mi cuenta. Esto sigue sin explicar como a personas sin iphone, tambien les entraron.
En las proximas 24hs voy a seguir mandando mails a gPush hasta que me confirmen si fueron ellos o no.
Tambien mande mails a Google, pidiendo que inicien una investigacion, y su respuesta fue aun peor:
Hello,
We understand the urgent nature of your message and recommend that you
visit the Gmail Privacy & Security Help Center at
https://mail.google.com/support/bin/topic.py?topic=12784 for immediate
assistance.If you’d like to report a Gmail user who has sent messages that violate
the Gmail Program Policies and/or Terms of Use, please fill out a report
form at
http://mail.google.com/support/bin/request.py?contact_type=abuse_phishing .
We’ll investigate your report and may send a warning or discontinue Gmail
service for users who violate our policies.If your issue is not related to abuse, please visit our Help Center at
http://mail.google.com/support/ or click ‘Help’ at the top of any Gmail
page for troubleshooting tips.Sincerely,
The Google Team
*********
This message was sent from a notification-only email address that does not
accept incoming email. Please do not reply to this message.
El segundo link, apunta a cualquier lado menos a un formulario…
Tambien descubrí que en la IP en cuestion, tienen un SSH abierto, si ésta semana no logro descifrar de qué se trata, voy a hacer un ataque bruteforce usando el usuario “contactense con mi@mail.com”, para que lo vean en sus Logs del systema y reaccionen!
Ante cualquier novedad actualizo de nuevo.
Similar Posts:
- Google Chrome: el tercer ojo de google!
- Google y el Departamento de Defensa de los Estados Unidos, lanzan un satelite para mejorar Google Earth
- Weblog uberbin.net censura los comentarios
- Tierra: la pelicula de nuestro planeta
- Blog uberbin.net (denken uber) censura los comentarios (otra vez)
Entradas (RSS)
Same problem 2 days ago, contact ec2-abuse@amazon.com !
[Responder]
Facu Respondio:
junio 19th, 2010 at 18:46
yes, I did, thanks!
What do you think will? is a botnet?
[Responder]
same thing happened to me with the same IP. what’s going on?
[Responder]
Facu Respondio:
junio 20th, 2010 at 5:09
Do you happen to use an iphone with jaikbreak?
I suspect we install something we compromised the gmail accounts.
[Responder]
“Hello,
We have received your report of unwanted access to your Gmail account from an Amazon IP address.
We have completed an initial investigation of the issue and learned that the IP address you reported did indeed belong an Amazon EC2 instance. Amazon’s EC2 service allows customers to run their applications using Amazon’s infrastructure, including IP addresses. The accesses that you reported may have come from an Amazon EC2 customer’s application. You may learn more about EC2 at http://aws.amazon.com/ec2 .
The customer we have identified runs a social media/networking site, mobile device push or inbox organizing service. You may have signed up for this service and granted permission and provided username/password to their application to access your Gmail account. We have passed this message on to the customer that uses the IP address mentioned in your abuse report. However, we have no reason to believe that this is an actual intrusion attempt.
If you continue to see unwanted activity, please contact Google and ask that they initiate an investigation with Amazon.
Best regards,
-EC2 Abuse Team”
I think it’s because i installed gPush month ago ;)
Password changed :p
[Responder]
Facu Respondio:
junio 20th, 2010 at 18:28
I received exactly the same response. but I have not installed gpush.
recibi exactamente la misma respuesta. pero no tengo isntalado gpush!
[Responder]
a mi me paso lo mismo, solo que yo no estoy registrado en amazon y mi contraseña es diferente a cualquiera de las que utilizo en otros sitios :s
[Responder]
Facu Respondio:
junio 20th, 2010 at 18:42
f**k. usas un iphone con jailbreak? o isntalaste gpush?
hasta ahora lo unico en comun que teniamos con Luc, era eso…
[Responder]
Alejandro Respondio:
junio 20th, 2010 at 18:52
que va, ni siquiera tengo iphone.
[Responder]
Facu Respondio:
junio 20th, 2010 at 18:59
pues entonces acabas de liquidar mi hipotesis de que sea culpa de Gpush para iphone :S
[Responder]
[...] Psychedelic comentan que se han registrado IPs de Amazon entrando en una cuenta de Gmail ajena a ellos. ¿Error humano o [...]
[...] Psychedelic comentan que se han registrado IPs de Amazon entrando en una cuenta de Gmail ajena a ellos. ¿Error humano o [...]
[...] Psychedelic comentan que se han registrado IPs de Amazon entrando en una cuenta de Gmail ajena a ellos. ¿Error humano o [...]
¡Hola, Facu!
Estás haciendo un gran trabajo, y seguro que al final das con el origen y solución del tema. Y muchas gracias por publicarlo, pues con toda seguridad será de utilidad para usuarios a los que pueda estar ocurriendo lo mismo.
Un saludo.
José M. Aguilar.
[Responder]
[...] Psychedelic comentan que se han registrado IPs de Amazon entrando en una cuenta de Gmail ajena a ellos. ¿Error humano o [...]
[...] “Desde Amazon se entró en mi cuenta GMail”, en psychedelic. [...]
Buenas! Mira, acaba de notificarme lo mismo gmail, y creo q tienes razon se trata del servicio push que tengo para el google talk, para que me puedan enviar mensajes al movil.
te pego lo que me aparece por si te sirve de ayuda!
Desconocido Estados Unidos (amazonaws.com:174.129.230.98) 3 ago (hace 6 días)
Gracias por tu investigacion, te sigo!
[Responder]
Seguro que nadie ha dado su mail y contraseña a ninguna red social? Por ejemplo…. Facebook: “Descubre si tus contactos están en Facebook” Para ello hay que darle la contraseña de gmail, de hotmail etc… Así Facebook entra en nuestra cuenta y mira los contactos… Por lo que se ve, muchas compañías tienen este tipo de servicios alojados en ese servidor… A mi hoy me salió el aviso… Hace dos días le di mi contraseña a Tumblr para que encontrase contactos de gmail con tumblr…
[Responder]
Gabriel Respondio:
julio 3rd, 2011 at 16:56
Me pasó lo mismo después de darle mi contraseña a Tumblr.
[Responder]
Veo que no soy el único…sigo tu post para ver en qué queda todo esto…
Gracias por la entrada
[Responder]