Takeover Email Akun Yang Telah Dihapus Untuk Mengambil Alih... Semuanya

DISCLAIMERS : This entire document is for educational purpose only. Author cannot be held responsible for any damage and (or) (ab)use of these informations.

Intro

Sampai saat ini, email masih merupakan salah 1 media komunikasi terpopuler bagi penyedia layanan di internet (entah itu sosial media seperti facebook, Twitter atau forum2 seperti devilzc0de, dll) dengan user2 mereka. Tidak terkecuali untuk hal yang krusial seperti lupa password, kode otentikasi, dll.

Penghapusan Akun Email Oleh Penyedia Layanan

Namun sebagai pengguna internet, kita juga harus cerdas dan mau membaca setiap syarat dan ketentuan atas layanan yang kita gunakan serta mengikuti updatenya. Tidak terkecuali mengenai penghapusan akun email yang sudah tidak aktif yang dapat digunakan oleh user lainnya setelah sekian bulan grace periode.

Gue mau ambil contoh yang umum saja, Yahoo. Kenapa gue ambil Yahoo?
Di pertengahan 90 an siapa yang tidak menggunakan layanan Yahoo? Dari Search Engine, Yahoo Messenger, hingga Yahoo Mail mendominasi Internet. Tapi berapa persen dari total pengguna Yahoo Mail yang SADAR bahwa akun email mereka bisa hilang jika tidak diakses dalam jangan waktu tertentu?

Bahayanya Email Yang Tidak Aktif

Ketika email dihapus dan sudah melewati grace periode yang ditentukan, setiap orang dapat membuat akun dengan email yang telah dihapus tersebut. Disini bisa menjadi masalah ketika akun email yang dihapus tersebut masih menjadi email utama untuk setiap website / aplikasi penggunanya.

Malicious user dapat mengambil email tersebut dan melakukan request lupa password di situs2 yang dirasa email tersebut digunakan. Setelah reset password dikirimkan ke email, maka hilang sudah akses akun ke situs yang direset tersebut. Disini privasimu bakal ambyar kaya nasi bungkus tanpa karet.

Proof of Concept

Setiap email yang dikirim dari devilzc0de pake SMTP, jadi ketika ada bounce email dimana pesan tidak sampai ke inbox tujuan pasti ada return receipt. Sysadmin perlu informasi return receipt tersebut, kenapa pesan yang dikirim tidak sampai dan bisa mengambil tindakan yang diperlukan.

Berikut ini contoh return receipt ketika inbox tujuan tidak ada:
invalid-recipient

SMTP Error 554 yg artinya pengiriman gagal disertai alasan bahwa penerima / inbox tidak valid

Karena gue admin nakal (asli gue ga nakal, ini gue ky gini cuma buat pembelajaran aja) dan gue yakin dulunya email ini pernah aktif. Gue ambil kesimpulan begini: Ini email udah dihapus ama Yahoo dan gue bisa bikin akun yahoo pake alamat email itu. Ntar klo email itu pernah daftar di facebook / twitter, gue bisa request lupa password buat takeover Twitter / Facebooknya. :skull_and_crossbones:

Dan ternyata bener, waktu gue coba login ke Yahoo pake email itu, Yahoo bilang begini:

Sorry, we don’t recognize the email.

Langsung dong gue sikat emailnya dengan cara buat akun baru pake email itu. Setelah isi data2 lengkap, kelar deh. Email jadi milik gue dan gue tinggal coba2 “lupa password” di setiap akun sosial media populer (dalam mal ini Facebook).

Video Demo:
https://youtu.be/3n4-9MmWjsE

Kasus Khusus Email Yahoo Diluar @yahoo.com

Nah buat yang emailnya dihapus pake @yahoo.co.id (country base), @ymail.com, @rocketmail.com, dkk. Selamat, akun kamu aman karena yahoo hanya menerima pendaftaram email akun baru pake @yahoo.com. Downsidenya : Recovery akan sangat susah kalau udah terlalu lama / ga ada kontak tambahan seperti No HP yang masih aktif. Jadi relakan saja. :cambuk:

Kesimpulan

  • Internet adalah berkah yang luar biasa, tersedia lautan informasi dari yang sangat penting hingga yang tidak penting sama sekali => (yang ini banyak di sosial media).
  • Bijaklah dalam menggunakan internet, apa lagi kalau kamu perduli mengenai privasi (yg menurut gue di internet ga ada yang namanya privasi).
  • Jangan komplain masalah privasi kalau kamu sendiri ga bisa jaga apa yang sudah kamu buat (dalah hal ini email) tetap jadi milik kamu.
  • Selalu luangkan waktu untuk mengecek email (meskipun isinya junk semua) yang pernah kamu buat supaya email tetap aktif. Paling ngga seminggu sekali lah klo km super sibuk.
  • Selalu update email / nomor HP jika ada perubahan dan manfaatkan fitur 2FA jika tersedia.

Bagi member DC yang merasa punya email yang tertera di PoC diatas, silahkan hubungi gue via PM, ntar gue balikin.

4 Likes

Nais info om. Gw kadang kesel juga email yahoo gw tiba2 g bisa diakses. Ternyata dihapus.

Beneran baru tau email juga bisa expired. :shushing_face:

Yahoo ud g prnh pake sie. Jd klo hilang emailnya hilang semua kah?

Isi emailnya hilang semua?

Jangankan dihapus, kaga aktif dalam jangka waktu lama aja emailnya kosong neng.

buka dong

Anyway, itu daripada double posting, postingnya diedit aja. bisa kok. gue cipuk juga nih. :ngacir:

cakep nih… :heart_eyes: :kissing_heart:

Ya, maaf k. Br tau :grin:

1 Like

Pepet trussssssssssssss!!! Ngejunk pula di thread gue ni @svcadm @blank.dessert :ngamuk: Gue lock juga ni.

Beberapa informasi hanya disini aja sih saya berani komennya

1.untuk pengguna yahoo , facebook telah me-reject permintaan reset password walaupun kita melakukan permintaan reset password dari facebook tak akan masuk pesan kode reset.

2.ya walau oot hindari login website jual beli mengunakan password yang sama dengan media sosial/email karena biasanya yang usil suka melakukan manual login menggunakan email dan password hasil dump dari web-web penjualan yang vuln.

3.kembali lagi keamanan kalian yang jaga, privasi kalian yang jaga jangan malas mengecek hanya butuh waktu 1-5 menit untuk cek email yang sekiranya penting

Note: yang mau menambahkan silahkan, maaf kalau ada salah komentar ^^

3 Likes

Wa iya… Ini penting… Ky postingnya om ketiak Masih pake password yang sama untuk semua account ? atau skrg kan browser / os udah ada password manager bawaan. Gue biasanya pake itu.

Selalu luangkan waktu untuk mengecek email (meskipun isinya junk semua) yang pernah kamu buat supaya email tetap aktif. Paling ngga seminggu sekali lah klo km super sibuk.

Nah ini gw sering lakuin, cuma kadang gw lupa akun gw udah ke register ke website mana aja dan langsung main delete akun :hammer:

Jangan komplain masalah privasi kalau kamu sendiri ga bisa jaga apa yang sudah kamu buat (dalah hal ini email) tetap jadi milik kamu.

Beberapa akun utama gw udah pindah ke layanan email gratis selain yahoo. Kalo masalah privasi mending pake layanan email seperti Tutanota atau Protonmail. Tetep hati2 kalo mau registrasi seperti hosting gratis, biasanya mereka membagi informasi personal kliennya ke pihak ketiga tanpa persetujuan klien. Ada baiknya gunakan nama samaran (pseudonym) kalo buat email cadangan.

Ini biasanya persetujuan ada di awal2 registrasi pas klik ‘agree’ tp kita ga baca. :ngakak:

Bener banget om, kejadian di hosting gratis by*th**t. File ane dihapus sama pemilik hosting dan anehnya lg, adminnya gw padahal gw gak lg login. Sorry kalo oot :ampun_dc:

cek ip coba itu admin nya

Kena suspend om websitenya :hammer:
Gw upload file dan dihapus sama empunya hosting judul bukunya Internet Privacy Rights: Rights to Protect Autonomy by Paul Bernal

Mungkin kena copyright claim om itu.

Yang terpenting om sekarang apapun akunnya harus beda password jangan lupa buat file txt untuk nyimpan user & pw, kan manusia ga bakal selalu ingat kalo soal pw nya sendiri .

Bisa jadi om, secara harga bukunya di amazon lumayan mahal $114 :hmm:
Setuju nih sama om @zynga404
Kalo gw biasanya simpen dlm bentuk csv biar bisa import ke DB gw

hehe mantap suhu dita