Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде

Компания объяснила проблему устаревшими технологиями.

Крупнейший российский регистратор доменов Ru-Center хранит пароли своих клиентов в незашифрованном виде. Об этом рассказал один из пользователей TJ. По его словам, в ответ на запрос восстановления доступа компания прислала старый пароль от аккаунта.

Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде

Пользователь отметил, что обычно сайты и сервисы не хранят копии паролей, а шифруют их с помощью хеширования. Если база паролей попадёт в руки злоумышленников, последствия могут быть плачевными, рассуждает он.

Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.

Просто Хэнк, пользователь TJ

В технической поддержке Ru-Center в разговоре с пользователем признали, что сейчас система восстановления доступа работает только так, но назвать сроки внедрения новой системы авторизации затруднились.

Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать вам установить запрет на отправку пароля по электронной почте в личном кабинете. Точных сроков её реализации мы пока не можем вам сообщить.

Светлана Пустовая, служба контроля качества Ru-Center

Ru-Center уже не впервые сталкивается с жалобами на хранение паролей в незащищённом виде. Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году.

По собственным данным, Ru-Center обслуживает свыше трёх миллионов доменных имён, у компании более 750 тысяч клиентов.

Представитель Ru-Center в разговоре с vc.ru признал факт хранения паролей клиентов в незашифрованном виде, он объяснил это тем, что часть технологических возможностей регистратора устарела. По его словам, сейчас компания тестирует новую систему авторизации и восстановления доступа, которая начнёт работать в ближайшее время.

Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности.

В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Андрей Кузьмичев, заместитель директора по продуктам Ru-Center
1414
45 комментариев

...в хранилище крупнейшего банка страны еще в 2008 году был обнаружен старинный служебный вход, закрывавшийся снаружи на щеколду. В 2017 году банк признал существование этого входа: Мы давно уже в курсе и с интересом следим за развитием событий. Денег у нас пока достаточно, и паниковать клиентам пока рано. Кстати, скоро мы объявим конкурс смешных мемов.

34

> Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году...Похоже, они УЖЕ ТОГДА тестировали новую систему авторизации и восстановления доступа, но до внедрения ЕЩЁ ПОКА дело не дошло.
Печально всё, да...

20

Они просто походу скоро добавят услугу "Защищенный пароль: 250 рублей/год "

16

Причем тут устаревшие технологии?

5

кстати да :)
https://ru.wikipedia.org/wiki/MD5
.
Открыт в 1991 году!

7

Зато компания не нарушает законодательства РФ и всегда оперативно и полностью предоставляет информацию по запросам правоохранительных органов.

7

У рег ру насколько знаю тоже в открытом ;)

4