Оффтоп Albert Khabibrakhimov
9 326

Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде

Компания объяснила проблему устаревшими технологиями.

В закладки

Крупнейший российский регистратор доменов Ru-Center хранит пароли своих клиентов в незашифрованном виде. Об этом рассказал один из пользователей TJ. По его словам, в ответ на запрос восстановления доступа компания прислала старый пароль от аккаунта.

Пользователь отметил, что обычно сайты и сервисы не хранят копии паролей, а шифруют их с помощью хеширования. Если база паролей попадёт в руки злоумышленников, последствия могут быть плачевными, рассуждает он.

Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.

Просто Хэнк
пользователь TJ

В технической поддержке Ru-Center в разговоре с пользователем признали, что сейчас система восстановления доступа работает только так, но назвать сроки внедрения новой системы авторизации затруднились.

Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать вам установить запрет на отправку пароля по электронной почте в личном кабинете. Точных сроков её реализации мы пока не можем вам сообщить.

Светлана Пустовая
служба контроля качества Ru-Center

Ru-Center уже не впервые сталкивается с жалобами на хранение паролей в незащищённом виде. Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году.

По собственным данным, Ru-Center обслуживает свыше трёх миллионов доменных имён, у компании более 750 тысяч клиентов.

Представитель Ru-Center в разговоре с vc.ru признал факт хранения паролей клиентов в незашифрованном виде, он объяснил это тем, что часть технологических возможностей регистратора устарела. По его словам, сейчас компания тестирует новую систему авторизации и восстановления доступа, которая начнёт работать в ближайшее время.

Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности.

В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Андрей Кузьмичев
заместитель директора по продуктам Ru-Center

#новость

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 53, "likes": 32, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 27877, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 27877, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/27877\/get","add":"\/comments\/27877\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/27877"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

53 комментария 53 комм.

Популярные

По порядку

Написать комментарий...
34

...в хранилище крупнейшего банка страны еще в 2008 году был обнаружен старинный служебный вход, закрывавшийся снаружи на щеколду. В 2017 году банк признал существование этого входа: Мы давно уже в курсе и с интересом следим за развитием событий. Денег у нас пока достаточно, и паниковать клиентам пока рано. Кстати, скоро мы объявим конкурс смешных мемов.

Ответить
20

> Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году...

Похоже, они УЖЕ ТОГДА тестировали новую систему авторизации и восстановления доступа, но до внедрения ЕЩЁ ПОКА дело не дошло.
Печально всё, да...

Ответить
16

Они просто походу скоро добавят услугу "Защищенный пароль: 250 рублей/год "

Ответить
5

Причем тут устаревшие технологии?

Ответить
7

кстати да :)
https://ru.wikipedia.org/wiki/MD5
.
Открыт в 1991 году!

Ответить
3

Не мешайте им тестировать MD5. Кто же запускает алгоритм в работу всего через 26 лет тестирования?

Ответить
7

Зато компания не нарушает законодательства РФ и всегда оперативно и полностью предоставляет информацию по запросам правоохранительных органов.

Ответить
4

У рег ру насколько знаю тоже в открытом ;)

Ответить

Комментарий удален

8

Приветствуем! Важное уточнение: при восстановлении доступа мы не отправляем старые пароли. А при регистрации нового аккаунта на почту отправляется автоматически сгенерированный пароль, который при входе нужно изменить.

Ответить

Комментарий удален

2

В сообщении выше мы говорили о регистрации аккаунта. Вот скрин о том, что сменить пароль мы рекомендуем сразу после регистрации. Что касается услуги хостинга, то здесь подразумевается, что пользователь сменил пароль для входа в ЛК. А далее, базовая информационная безопасность: пользователю выдаются пароли для входа. То есть он сам решает, использовать их или изменить. При восстановлении доступа, эти данные не предоставляются в открытом виде. Но согласны с вами в том, что даже при заказе хостинга можно и нужно продублировать информацию о безопасности и смене пароля.

Ответить

Комментарий удален

4

Есть логика в том, чтобы продублировать эту информацию в письмах при заказе хостинга, определённо. Обсудим этот момент, спасибо!

Ответить
2

Зачем вы тролите ? Они сгенерировали пароль, в базу положили хэш от него же, все нормально. Ужасно когда компания проявляет клиент ориентированный подход а её тролят за цвет.

Ответить

Комментарий удален

–1

при восстановлении доступа мы не отправляем старые пароли

Значит вы их только храните в открытом виде, да?

Ответить
1

Нет, пароли в открытом виде мы их не храним.

Ответить
1

Интересно пишете: "пароли в открытом виде" + "мы их не храним" :)
Может быть, но уже не отмажетесь.
Сразу надо формулировать точно.

Ответить
3

Пардон, торопились. Мы не храним пароли в открытом виде.

Ответить
0

но хранили же? До какого момента?

Ответить
–1

Ау рег ру

Ответить
1

Виктор, уточнили. Пароли в открытом виде не хранились и ранее.

Ответить
0

Скриншот говорит об обратном. Комментарии будут или надо посоветоваться с тех директором?

Ответить
0

Виктор, уточните пожалуйста, откуда этот скриншот? Можно ссылку?

Ответить
0

Это мануал по работе с manager.reg.ru

Ответить
0

Уточнили у коллег. Это скрин от старого мануала. Действительно, когда-то очень-очень давно (не можем сориентировать точнее) такое действительно могло происходить.

Ответить
–1

А вот скриншот из вашей панели управления говорит об обратном

Ответить
–2

выглядит так, будто это кусок документации какого-то api, а в этом случае передача в открытом виде не подразумевает хранение в открытом виде ни разу
ps: дайте ссылку, пжлста

Ответить
0

Вы бы для начала разобрались о чем я пишу, а потом минус бы ставили. Это инструкция по работе с клиентской базой

Ответить
1

Виктор, "нет времени" читать/объяснять/делать - это постоянный тренд сегодняшнего дня. Если Вас можно понять неправильно - это будет сделано. Если Вас нельзя понять неправильно - все равно найдут способ это сделать, или напишут что зануда :)

Ответить
0

Ну так приложите пруф )
А минус - это всего лишь показатель неодобрения, по карману не бьет, так что не все ли равно?

Ответить
0

А скриншот вам уже не пруф что ли? Или вам письмо от Королюка только пруфом будет?

Ответить
–1

Нет, конечно. Ссылка на файл или страницу с этим, размещенную на reg.ru или дочерних ресурсах - пруф

Ответить
0

А вы наивно думаете что этот мануал есть в открытом доступе?

Ответить
0

Блэд, к чему столько разговоров? Он у вас один такой персонально что ли? У меня тоже есть акк на рег.ру с пачкой серверов, так что если для доступа нужна авторизация, то совладаю как-нибудь.
Такое ощущение, что вы дернули откровенную херню увидев знакомое слово, а теперь морозитесь

Ответить
0

Владейте чем угодно, вопрос вообще не к вам был, др свидания

Ответить
0

как я понимаю отличить, отправить пароль при регистрации и хранение пароля в зашифрованном виде сложная задача?

Ответить
2

Ещё Ru-Center спокойно .com .net .org домены у своих клиентов отнимают и отдают третьим лицам, не присылая никаких документов владельцу домена. Для этого достаточно чтобы одна американская коммерческая компания разместила на своём сайте страничку типа этой http://www.adrforum.com/domaindecisions/1710030.htm и всё. Никаких документов присылать никому не будут. Пруф-лонгрид http://iskalko.ru/googleliar

Ответить
4

вы еще godaddy вспомните, вот там реально трэш был.... блокировки, увод доменов и полный игнор саппортом. целые сетки люди теряли с лямами трафа или проекты с тысячами клиентов.

Ответить
1

Я с godaddy никогда не работал, поэтому не сталкивался и не знал. Хотя охотно верю. А вот индусы с ResellerClub этим промышляют: блокировки, увод доменов и полный игнор саппортом, тут я сам видел, так что да, в доменной индустрии среди регистраторов жулик на жулике, да и сама система организованна ICANN изначально по жульнически, что владелец домена по сути и не владелец, а просто тот, кому в данный момент пошлину на него оплачивать, пока не отобрали, не прислав ни единого документа, и это все права так называемого 'владельца' домена. Про это тоже написано в http://iskalko.ru/googleliar

Ответить
0

Пользуйтесь Hover

Ответить
1

Один поинтересовался , ему ответили и забыли
Что в 10-м году, что сейчас .
Смысл заморачиваться , их все устраивает .
Взламывают то хакеры а не они , чего переживать ?

Ответить
1

Для связи с их саппортом достаточно назвать номер контракта (который элементарно узнается), после этого практически любое действие с аккаунтом можно произвести по телефону.

Ответить
1

Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде.

Значит они работают над _восстановлением_ паролей в закрытом виде (вы даже не будете знать о том, что он там хранится в открытом виде), но не над хранением паролей в закрытом виде. Ясно, да?

Ответить
1

Особенно прикольно, когда после регистрации тебе на почту присылают пароль, считая, что ты долбоёб (да и неплохо было бы спалить твой пароль для тех, кто может получить доступ к почте). Охуенная секьюрность.

Ответить
0

А для чего в принципе нужен домен .ru (а особенно .рф, на который кипятком писали владельцы фирм-фирмочек-фирмусечек целых 2-3 года подряд)?
 
У людей есть определенный опыт в работе с _определенными_ клиентами, и все ок.

Ответить
0

ру проще найти свободный.
Но я не про регистратора говорил, а в целом про сервисы, которым похер на безопасность.

Ответить
1

Если сравнить ру-сентер и рег.ру по ценам, то второй выигрывает. К примеру, домены в зоне .com. Сравним цену за год + сокрытие персональных данных:

рег.ру - 888 руб. + 250 руб. = 1138 руб.
ру-сентер - 1190 руб. + 390 руб. = 1580 руб.

ру-сентер очень сильно зажрались. Но хуже всего то, что международный домен не позволяют перенести к другому хостеру.

Ответить

Комментарий удален

0

У всех свои недостатки

Ответить
0

О, я в будущем (:

Ответить
0

Кажется у superjob аналогичная ситуация, некоторое время назад так и было. Сейчас хз

Ответить
0

Самое замечательное в этой истории, что это самый дорогой регистратор в рунете) Но $100 на установку шифровальщика не нашлось. https://vc.ru/14692-ru-center-fall

Ответить
0

А ещё у них сложно с договорами. Почему компании с ними работают? Как будто они единственные на рынке кто заключает договора.

Знакомый покупал у них домен как государственный заказчик, в их договоре нельзя ничего менять, даже если это противоречит приказом департамента выше. Тем настолько все написано, что клиент вообще никто и ему ничего не должны. А контрактный отдел это не понимает и очень упоротые

Ответить
0

С такими пожходами к безопасности будьте готовы расстатся со своими аккаунтами...

Ответить

Комментарий удален

–1

Регистратор рег.ру? Данунах! Дорогие, жадные, навязчивые, непрошибаемые. Хорошо, что есть альтернатива.

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления