Amazon entró a mi cuenta de gmail! (actualizado II)

Facu — Sat, 19 Jun 2010 20:04:47 +0000

Hoy pasó algo muy raro: entro a mi cuenta de gmail y me encuentro con una alerta de gmail diciendome que posiblemente mi cuenta había sido vulnerada. Gmail tiene un sistema de alerta que avisa a sus usuarios si alguien entró a tu cuenta y no fuiste vos. En que se basan para saber si sos vos o no? en la direccion IP de la coneccion a internet usada. Si la IP de acceso es de un país distinto del que entras todos los días, pues seguramente no seas vos y salta la alerta para avisarte.

Ademas de notificarte, también te muestra la IP intrusa (en este caso 174.129.80.57). Hice la geolocalización de la IP y me sale que se encuentra en Seattle, Washington, USA. Y un whois me dice que pertenece a Amazon.com.

Da la casualidad que en amazon.com tengo la misma contraseña que en mi gmail. (regla número uno de la seguridad en internet: no hacer esta estupidez jaja)

Amazon entró a mi cuenta de mail (click para ampliar)

[Whois]

IP address :     174.129.80.57   [Reverse IP]
IP country code:    US
IP address country:    ip address flag United States
IP address state:    Washington
IP address city:    Seattle
IP postcode:    98144
IP address latitude:    47.5839
IP address longitude:    -122.2995
ISP of this IP [?]:    AMAZON.COM
Organization:    AMAZON.COM
Host of this IP: [?]:    ec2-174-129-80-57.compute-1.amazonaws.com
Local time in United States:    2010-06-19 11:56

Nótese también que uno de los dos tipos de acceso es “Desconocido”. ¿Están usando algun tipo de script raro para acceder? Algo raro pasa. O no son ellos y es alguien desde su servicio AWS/S3 ?

Puede alguien haber vulnerado la seguridad de amazon desde sus servicios AWS/S3 y obtener los datos de mi contraseña? porque es mucha casualidad que justo en amazon.com tengo la misma contraseña que en gmail…

¿Esto significa que Amazon o alguien en Amazon (que és lo mismo) entró a mi cuenta de email? ¿Qué la IP pertenezca a un bloque registrado en Amazon, significa que la usan ellos si o si?

Pueden ser TAN hijos de puta de hacer ésto para recolectar mas información personal de sus usuarios? para después mandarles la publicidad que les interesa?

La verdad que no se que hacer, estoy desconcertado. No sé qué pasa. Y asusta. A alguien le pasó lo mismo?

Actualizacion 20.06.2010:

Bueno, parece ser que no fui el unico al que le pasó esto y lo sorprendió. Al menos a tres personas más (ver comentarios) les paso ésto ésta semana y a muchos más otras veces.

Mandé un mail al servicio EC2 de Amazon para pedir explicaciones y me respondieron que no lo consideraban un ataque, porque en esa IP se alojaba un servicio al que yo probablemente le cedí mi contraseña de gmail:

Hello,

We have received your report of unwanted access to your Gmail account from an Amazon IP address.

We have completed an initial investigation of the issue and learned that the IP address you reported did indeed belong an Amazon EC2 instance. Amazon’s EC2 service allows customers to run their applications using Amazon’s infrastructure, including IP addresses. The accesses that you reported may have come from an Amazon EC2 customer’s application. You may learn more about EC2 at http://aws.amazon.com/ec2 .

The customer we have identified runs a social media/networking site, mobile device push or inbox organizing service. You may have signed up for this service and granted permission and provided username/password to their application to access your Gmail account. We have passed this message on to the customer that uses the IP address mentioned in your abuse report. However, we have no reason to believe that this is an actual intrusion attempt.

If you continue to see unwanted activity, please contact Google and ask that they initiate an investigation with Amazon.

Best regards,

-EC2 Abuse Team

Les respondi preguntandoles cúal era el servicio o web que estaba alojado ahi, y me respondieron que no podian decirmelo:

Hello,

We are not able to provide any additional information on this matter. Please direct your questions either to the applications on your mobile phone which access your gmail account or to your mobile provider.

Or, as indicated in our previous correspondence you may ask Google to initiate an investigation into this matter.

Best regards,

-EC2 Abuse Team

Por otro lado al entrar por http a la IP del “ataque” ( http://174.129.80.57/ ) me encuntro con la empresa Scalr que parece dar un servicio de Cloud Computing a usuarios de Amazon EC2. Al parecer algo grande está hosteado ahí. Mandé un email a Scalr preguntando que servicio tenian hosteado en esa IP y me respondieron lo siguiente:

Hi Facundo,

A message has been sent to the infrastructure owner, saying his servers might be compromised.

Thanks for the report and sorry for the inconvenience.

Cheers,
Sebastian

Y dieron por cerrado el ticket…nadie del “servicio web social” se contactó conmigo aún.

Las primeras conclusiones fueron que el servicio en cuestion es gPush, una aplicacion para Iphone que trae los emails por push al iphone. Yo la instale hace un año, formatie el telefono y ahora hace meses que no la tengo más instalada. Pero mis datos seguro quedaron en sus servers. Yo estoy completamente seguro de que no puse mis datos en ningun otro lado. Luc, en los comentarios, dice que tambien la tubo instalada, por eso sospechamos de ésta aplicacion (otra aplicacion en comun instalada hace poco es Vuvuzela para iphone, pero no creo que a Apple se le pase ésto en sus proceso de aprobacion de aplicaciones). Alguien comprometio los servers de gPush?

Pero apareció Alejandro, en los comentarios, con el mismo problema y él no tiene un iphone por lo tanto no tiene gPush. Esto me desconcertó. La hipotesis de gPush queda descartada.

Acabo de mandar un mail a gPush, preguntandoles si hostean su servicio en esa IP o si su servicio fue comprometido. En cuanto me respondan actualizare.

No puedo dar con el servicio hosteado en esa IP! me carcome la intriga!

Gracias a José María Aguilar de Variable not found y Eduardo Arcos de ALT1040 por aportar a la investigacion.

Actualizacion 21.06.2010:

Bueno, Amazon me respondió y amplio un poco mas la informacion sobre lo hosteado en esa IP: mobile device push service.

Hello,

We have received your report of unwanted access to your Gmail account from an Amazon IP address.

We have completed an initial investigation of the issue and learned that the IP address you reported did indeed belong an Amazon EC2 instance. Amazon’s EC2 service allows customers to run their applications using Amazon’s infrastructure, including IP addresses. The accesses that you reported may have come from an Amazon EC2 customer’s application. You may learn more about EC2 at http://aws.amazon.com/ec2 .

The customer we have identified runs a mobile device push service. You may have signed up for this service and granted permission and provided username/password to their application to access your Gmail account. We have passed this message on to the customer that uses the IP address mentioned in your abuse report. However, we have no reason to believe that this is an actual intrusion attempt.

If you continue to see unwanted activity, please contact Google and ask that they initiate an investigation with Amazon.

Regards,

The EC2 Team

Todo indica que se trata de gPush, pero eso no explica cómo le paso ésto a otras personas que ni siquiera tienen un iphone. O incluso a mi, que lo tengo desisntalado hace meses.

Por otro lado, les escribi a los de gPush, preguntandoles si ésa era la IP de sus servicios y me respondieron otra cosa:

Dear GPush User,

We are in the process of upgrading our infrastructure, and improving security.
Please be advised service will be spotty at best in the next 24 hours.

Sorry for the delays,
The GPush Team

Lo cual me hace pensar que posiblemente en el proceso de “upgrading” de su infraestructura, hayan hecho un chequeo de las cuentas que siguen “activas” ( que todabia tienen acceso, y el password les funciona) y por eso accedieron a mi cuenta. Esto sigue sin explicar como a personas sin iphone, tambien les entraron.

En las proximas 24hs voy a seguir mandando mails a gPush hasta que me confirmen si fueron ellos o no.

Tambien mande mails a Google, pidiendo que inicien una investigacion, y su respuesta fue aun peor:

Hello,

We understand the urgent nature of your message and recommend that you
visit the Gmail Privacy & Security Help Center at
https://mail.google.com/support/bin/topic.py?topic=12784 for immediate
assistance.

If you’d like to report a Gmail user who has sent messages that violate
the Gmail Program Policies and/or Terms of Use, please fill out a report
form at
http://mail.google.com/support/bin/request.py?contact_type=abuse_phishing .
We’ll investigate your report and may send a warning or discontinue Gmail
service for users who violate our policies.

If your issue is not related to abuse, please visit our Help Center at
http://mail.google.com/support/ or click ‘Help’ at the top of any Gmail
page for troubleshooting tips.

Sincerely,

The Google Team

*********

This message was sent from a notification-only email address that does not
accept incoming email. Please do not reply to this message.

El segundo link, apunta a cualquier lado menos a un formulario…

Tambien descubrí que en la IP en cuestion, tienen un SSH abierto, si ésta semana no logro descifrar de qué se trata, voy a hacer un ataque bruteforce usando el usuario “contactense con mi@mail.com”, para que lo vean en sus Logs del systema y reaccionen!

Ante cualquier novedad actualizo de nuevo.

Muy buen sitio de exploits

Facu — Tue, 02 Sep 2008 20:34:19 +0000

Una mente inquieta siempre anda tratando de entrar en lugares por metodos alternativos, ya sea por necesidad real o por simple curiosidad. Tambien hay gente que trabaja de esto, de testear un sistema y reportar sus problemas de seguridad (Penetration Testers). La mayoria de las web vinculadas a exploits (o shell codes para nuestros propios exploits), siempre estan vinculadas al spam (mil pop-up se te abren al intentar bajar un exploit) o a la infeccion por parte de virus. Pero milw0rm es la excepcion, exploits para todo tipo de sistemas, locales, remotos, aplicaciones web, etc. a un solo click.

milworm

El otro dia necesitaba uno para un router wireless Linksys y ahi estaba, 3 clicks y adentro del router.

Tambien tiene videos y articulos sobre como explotar vulnerabilidades varias.No hay exploits 0day, pero algo es algo.

Usar con responsabilidad, nunca entrar en sistemas sin la autorizacion del dueño!

Psychedelic » Seguridad Informatica

Amazon entró a mi cuenta de gmail! (actualizado II)

Actualizacion 20.06.2010:

Actualizacion 21.06.2010:

Muy buen sitio de exploits