Апдейт статьи от 11.07.2020: REG.RU вернули домен. Проведено внутреннее расследование регистратором и выявились признаки мошенничества, а также тот факт, что подтверждение о смене админа домена было с другого почтового клиента и IP-адреса страны, в которой я не нахожусь. МВД отказывается расследовать дело.
Основная часть статьи.
Привет посетители сайта. Обращаюсь с вопросом, как быть и что делать? Ночью 9.06.2020 был украден домен из учетной записи Reg.ru.
Как все произошло: утром я увидел сообщения, присланные от регистратора доменных имен Reg.ru.
Были они такого плана:
Процедура смены владельца для следующих доменов успешно завершена. Запрос на подтверждение смены контактов владельца регистрации. Перенос доменов между аккаунтами REG.RU
Если сказать что я удивился... это ничего не сказать... К слову, сообщения небыли прочитаны. Я быстро посмотрел, что в данных сообщениях, и увидел, что мой основной домен был передан какому-то Артему (фамилия и почта). Зайдя на сайт в админку я не попал, сервер выдал 404. Это и понятно, адрес админки был нестандартным. Так я понял что домен хостится на другом сервере.
Зайдя в аккаунт Reg.ru, обнаружил что домена нет. Начал писать тех. поддержке. Они сообщили, что домен был передан в другой аккаунт с приложением документов владельца домена и подтверждением с почтового ящика владельца домена. Я сообщил что домен никому не передавал. И как такое стало возможно.
Юридический отдел Reg.ru сообщил:
Обратите внимание, что перенос домена в другой аккаунт был осуществлен не из авторизованной части, то есть вход в ваш Личный кабинет не производился. Домен был перенесен с помощью формы: https://www.reg.ru/domain/service/transfer_services.
И тут я еще больше удивился.
Я попросил проверить, были ли загружены настоящие документы или нет. Они сказали, предоставьте их. В общем выяснилось, что была загружена цветная скан-копия другого паспорта. При том другого паспорта у меня нет и не было! Имелось удостоверение. Кто-то что-то подделал, и прокатило...
В переписке я также попросил провести внутреннюю проверку, привлечь службу безопасности и заблокировать домен пока его не увели из Reg.ru. В ответ мне написали: «ООО Рег.ру не является юрисдикционным органом и не может установить юридический факт кражи доменного имени».
Так же я интересовался, как мои данные, которые были только у регистратора Reg.ru, стали известны злоумышленнику. При том я пользовался платной услугой скрытия персональных данных. Мало того аккаунт в Reg.ru был на одном email, а email администратора на другом email, и был надежно скрыт... как и имя с фамилией. Не один из данных email не использовался на сайте, домен которого украли!
В общем мне сообщили, что факта загрузки левого документа не достаточно, а достаточно, по правилам ICANN, подтверждения по почте. Теперь пишу «Яндексу», дабы тот подтвердил или опроверг факт взлома почты! Reg.ru пишет, обратитесь в полицию, мы тут все пуф... Еще много писать...
Но мне срочно надо ехать на консультацию к адвокату по данному вопросу. Если что упустил, дополню. Пишите, как быть, что делать? При таком случае угона домена.
Я вернулся) В общем меня проконсультировали... Куда, зачем и как обращаться. Буду пробовать завтра. Но так не хочется этой волокиты... докажи что ты это ты...
Яндекс отписал:
Если вам нанесли вред или вы стали объектом иных противоправных действий, вы можете обратиться в правоохранительные органы. По их запросу мы обязательно предоставим всю имеющуюся у нас информацию.
Рег.ру тоже написал:
ООО Регистратор сможет рассмотреть запрос правоохранительных органов с просьбой передать домен предыдущему владельцу.
Ну и дальше написали как и что надо делать... за это спасибо конечно же. Но я не хочу чтобы ограны просили за меня у кого либо. Потому как в полицию обращаться дело такое себе... Я живу мирно и с ними дела имел аж в далеком 2003. Было бы классно если бы регистратор сам разобрался в факте несанкционированной передачи или кражи домена... самое обидное даже аккаун в рег ру не взломали а так забрали... через почту или документы... Вопросов много... ответов мало. Позже как выяснится любая инфа... оповещу.
Добавлю что зона в которой был домен международная. Имеются частые вопросы по данному поводу.
12.06.20 Подано заявление в органы по поводу кражи доменного имени и предшествующих действий со стороны не установленного гражданина, приведших к таким последствиям.
11.07.2020 Прошло 2 месяца с момента угона домена. За это время случилось многое... Регистратор вернул доменное имя в мой личный кабинет. Домен поместили на 30 дней под блокировку регистратора по моей просьбе и также до разбирательств со стороны МВД. Внутреннее расследование показало признаки мошенничества, однако у регистратора нет полномочий определять факт мошенничества.
МВД же написали отписку "исследуя материалы прихожу к выводу, что в Вашем обращении о принятии мер в отношении неизвестного лица по имени такой-то, факт криминального характера не подтвердился". Сообщили что заявление списано в номенклатурное дело. Я на полицию и не грешу... потому как они все равно ничего бы не решили) Когда я подавал заявление по просьбе регистратора... я 2 часа объяснял следователю что такое домен, регистратор, сервер, ip адреса, сайт, почтовые сервисы и браузер).
Следователь вызывал меня после подачи заявления 2 раза. Беседовали с ним и он сказал что бы я сам решал вопрос с доменом... потому как такие дела спускаются на тормозах. При последней встрече вручил уведомление об отказе по делу.
В промежутках забегов к полиции я занимался возвратом сайта... ладно домен мне вернули, но вор начал переезд сайта в вебмастерских Гугла и Яндекса. Он сбросил права на управление сайтом в поискавиках и воспользовался функцией переезд сайта, указал новый домен, загрузил на него полную копию сайта и настроил 301 редирект. Хорошо в Гугле есть функционал отмены переезда, а вот Яндекс... отписался) мы остановить переезд не можем.... это автоматический инструмент! И типо ждите! Еще написали типо при текущих настройках сервера главное зеркало смениться не может! Но главное зеркало сменилось... и сайт вора стал основным! Правда через неделю зеркало отклеилось и сайты стали независимы друг от друга. В ходе всех траблов я потерял 60% трафика. Но сайт и домен сейчас у нас под контролем). Конечно все не так как хотелось бы, но хотя бы есть от чего шагать дальше.
Т.к. МВД отказалось заводить дело, по истечении 30 дней блокировки домен вернётся ко мне полноценно.
Комментарий недоступен
Да тут у человек яндекс почту дернули.. Причем тут Рег.ру
Как бы было описана вся проблема... Данные о администраторе домена были у регистратора, как и имя с фамилией. Домен увели без авторизации в личном кабинете регистратора. Я подозреваю взлом почты так же... но это было целенаправленно... Причем почта хоть и защищена 2х факторкой но бывает всякое уже наслышался на форумах где пишу о ситуации.
Вам яндекс подтвердил взлом почты?
В статье я написал ответ Яндекса. Они предоставят всю инфу которую могут по запросу органов.
а какой у вас в итоге план получить обратно свой домен?
В органы вы написали обращаться не хотите, взлом почты яндекс не подтверждает без этого, рег ру чего добивается таким поведением и отношением вообще непонятно
И как в итоге домен вернуть? Неужели никак?((
Варианта 2.
1. Если Рег ру сам разберется и выяснит что вообще произошло... как слились мои данные и прочие связанные мероприятия.
2. Обращусь в полицию с просьбой установить или опровергнуть факт взлома почты. Да пусть выдадут заключение был ли несанкционированный доступ к почте вообще. Там они Яндекс должен помочь. Но в Яндексе я не уверен, но в край есть доступные логи... с ними сейчас и работаю.
Забыл добавить... домен ХОЧУ вернуть. Это подарок)
Будем надеяться что история закончится благополучно
Я так понимаю для переноса домена надо направить ответ и сканы документов с вашей почты что вы согласны на перевод домена(и не происходит генерация уникальной ссылки)?
Если так то делается легко.
Покупаем у какого-нить сотрудника рег(такие сотрудники есть у всех) данные на владельца домена. Далее производим все запросы на перенос домена и отправляем с о своего емайла с подменой домена от вашего имени. Подмена отправителя очень простая процедура, но которую должен отслеживать почтовый клиент получателя
https://xakep.ru/2014/03/05/easy-hack-182/
ну вряд ли в админку не заходили... Скорей всего банальный взлом почты был. Нужно вам попросить яндекс удаленные письма восстановить. 100 процентов есть такая возможность у них. И по ним можно будет ситуацию посмотреть ...
в админку рег ру не заходили это официальный ответ. Письма были на почте не удалены и не прочитаны...
На почте случаем не настроена переадресация?
Иначе просто узнали код подтверждения и подставили в ссылку. Как вариант - замешан кто-то из сотрудников регистратора.
Нет переадресации. Яндекс дал бы ответ... Было что именно...
Комментарий недоступен
Да так можно... Но... В логах нет пометки прочитано. Какая-то есть уязвимость... Но где и у кого...