Раньше я удивлялся историям о том, как можно потерять доступ к целому сайту. Сегодня это произошло с нашим изданием, СМИ «Банки Сегодня». Мы не занимались политикой, не писали заказных материалов, посещаемость была весьма далёкой от уровня ТАСС или РИА Новости. Но теперь это случилось.
События развивались примерно так.
В 15:50 владелец домена (и он же совладелец самого СМИ) получает на телефон сообщение от оператора: кто-то инициировал замену SIM-карты (есть скрин, почему-то ни один вариант сюда не хочет загружаться).
Естественно, что владелец домена позвонил в МТС. Очевидно, что в этот момент мошенник уже активировал SIM-карту, так как звонок прервался на середине. С другого номера удалось заблокировать его через оператора, но было поздно.
Мошенник успел зайти в электронную почту на «Яндексе», а через неё получить доступ к личному кабинету в Reg.ru, который обслуживал наш домен. Как именно он смог узнать связку номера телефона, почты и тот факт, что на него оформлен аккаунт у регистратора — пока загадка.
Почти сразу домен был перенесён на аккаунт другого пользователя. На данный момент доступ к сайту есть, но как быстро будет сменён DNS сервера домена, мы не знаем.
Мы направили обращение в компанию Reg.ru, надеемся, что они смогут решить нашу проблему. Для этого желательна более широкая огласка. К тому же это поможет владельцам и других сайтов сохранить контроль над ними.
Надеемся, что МТС, Яндекс или Reg.Ru смогут прокомментировать ситуацию на vc.ru.
По данным на 8:00 уже произошла смена DNS на нового владельца:
- Name Server alan.ns.cloudflare.com
- Name Server sofia.ns.cloudflare.com
Вот где мы еще об этом писали:
На самом сайте, пока к нему есть доступ, я тоже обновил новость.
Привязка номера телефона уже давно себя дискредитировала. Особенно в странах, где операторы полностью подчинены властям и/или абсолютно наплевательски относятся к клиентам.
Рекомендую приобрести крипто-токен и использовать его вместо телефона. Яндекс, Гугл, Фейсбук уже давно поддерживают двухфакторную авторизацию по токену. На данный момент это максимальный уровень защиты.
А если ты этот крипто-токен теряешь, какие пути восстановления?
Лично я везде привязываю два токена. Один всегда на брелке с ключами, второй - дома под подушкой.
Годная идея! А какие сервисы на такие токены можно завязать? Gmail и моркови можно? А как быть если мне надо авторизоваться с нового мобильного устройства а лаптопа под рукой нет?
Список достаточно длинный. Вот некоторые сервисы, которыми пользуюсь сам: 1password, AWS, bitbucker, blogger, citrix, docusighn, dropbox, drupal, duo, ea games, envato, epic games, eset, facebook, google, github, gitlab, ibm, instagram, joomla, keepass, kickstarter, lastpass, mailchimp, microsoft, okta, proton mail, reddit, rockstar games, salesforce, shopify, skrill, teamviewer, termius, trello, twitter, unity, wordpress, zendesk.
Вот список ОС, которые поддерживают вход по токену: CentOS, Debian, Fedora, MacOS, RHEL, Ubuntu, Windows.
Что касается мобильных устройств. На андроиде, по идее, должно работать через юсб. У меня айфон, то токен брал себе с нфц.
Про nfc спасибо, тоже вариант. А что за модель токена у тебя?
Оно же работает как и с обычным кодом 2фа? Один раз приложил/выставил и если щёлкнул галочку "запомнить меня" - пока из аккаунта не выйдешь на устройстве каждый раз его прикладывать не нужно?
У меня токен 5 серии: обычный и с нфц.
Да, можно щелкнуть кнопку «запомнить устройство». На сайтах типа гитхаба или авс использую только токен т.к. на эти сайты захожу только с компа. Фейсбук и т.д. мобильный телефон или приложение или токен.
Спасибо большое