Пользователь рассказал о хранении паролей клиентов Ru-Center в открытом виде Статьи редакции

Компания объяснила проблему устаревшими технологиями.

Крупнейший российский регистратор доменов Ru-Center хранит пароли своих клиентов в незашифрованном виде. Об этом рассказал один из пользователей TJ. По его словам, в ответ на запрос восстановления доступа компания прислала старый пароль от аккаунта.

Пользователь отметил, что обычно сайты и сервисы не хранят копии паролей, а шифруют их с помощью хеширования. Если база паролей попадёт в руки злоумышленников, последствия могут быть плачевными, рассуждает он.

Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.

Просто Хэнк, пользователь TJ

В технической поддержке Ru-Center в разговоре с пользователем признали, что сейчас система восстановления доступа работает только так, но назвать сроки внедрения новой системы авторизации затруднились.

Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать вам установить запрет на отправку пароля по электронной почте в личном кабинете. Точных сроков её реализации мы пока не можем вам сообщить.

Светлана Пустовая, служба контроля качества Ru-Center

Ru-Center уже не впервые сталкивается с жалобами на хранение паролей в незащищённом виде. Пользователи возмущались подобным подходом к безопасности данных ещё в 2010 году.

По собственным данным, Ru-Center обслуживает свыше трёх миллионов доменных имён, у компании более 750 тысяч клиентов.

Представитель Ru-Center в разговоре с vc.ru признал факт хранения паролей клиентов в незашифрованном виде, он объяснил это тем, что часть технологических возможностей регистратора устарела. По его словам, сейчас компания тестирует новую систему авторизации и восстановления доступа, которая начнёт работать в ближайшее время.

Ru-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности.

В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Андрей Кузьмичев, заместитель директора по продуктам Ru-Center
0
53 комментария
Написать комментарий...
Порфирий

У рег ру насколько знаю тоже в открытом ;)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
REG.RU

Приветствуем! Важное уточнение: при восстановлении доступа мы не отправляем старые пароли. А при регистрации нового аккаунта на почту отправляется автоматически сгенерированный пароль, который при входе нужно изменить.

Ответить
Развернуть ветку
Revertron
при восстановлении доступа мы не отправляем старые пароли

Значит вы их только храните в открытом виде, да?

Ответить
Развернуть ветку
REG.RU

Нет, пароли в открытом виде мы их не храним.

Ответить
Развернуть ветку
Revertron

Интересно пишете: "пароли в открытом виде" + "мы их не храним" :)
Может быть, но уже не отмажетесь.
Сразу надо формулировать точно.

Ответить
Развернуть ветку
REG.RU

Пардон, торопились. Мы не храним пароли в открытом виде.

Ответить
Развернуть ветку
Порфирий

Ау рег ру

Ответить
Развернуть ветку
REG.RU

Виктор, уточнили. Пароли в открытом виде не хранились и ранее.

Ответить
Развернуть ветку
Порфирий

А вот скриншот из вашей панели управления говорит об обратном

Ответить
Развернуть ветку
Roman Sentyuryov

выглядит так, будто это кусок документации какого-то api, а в этом случае передача в открытом виде не подразумевает хранение в открытом виде ни разу
ps: дайте ссылку, пжлста

Ответить
Развернуть ветку
Порфирий

Вы бы для начала разобрались о чем я пишу, а потом минус бы ставили. Это инструкция по работе с клиентской базой

Ответить
Развернуть ветку
Serge Arsentiev

Виктор, "нет времени" читать/объяснять/делать - это постоянный тренд сегодняшнего дня. Если Вас можно понять неправильно - это будет сделано. Если Вас нельзя понять неправильно - все равно найдут способ это сделать, или напишут что зануда :)

Ответить
Развернуть ветку
Roman Sentyuryov

Ну так приложите пруф )
А минус - это всего лишь показатель неодобрения, по карману не бьет, так что не все ли равно?

Ответить
Развернуть ветку
Порфирий

А скриншот вам уже не пруф что ли? Или вам письмо от Королюка только пруфом будет?

Ответить
Развернуть ветку
Roman Sentyuryov

Нет, конечно. Ссылка на файл или страницу с этим, размещенную на reg.ru или дочерних ресурсах - пруф

Ответить
Развернуть ветку
Порфирий

А вы наивно думаете что этот мануал есть в открытом доступе?

Ответить
Развернуть ветку
Roman Sentyuryov

Блэд, к чему столько разговоров? Он у вас один такой персонально что ли? У меня тоже есть акк на рег.ру с пачкой серверов, так что если для доступа нужна авторизация, то совладаю как-нибудь.
Такое ощущение, что вы дернули откровенную херню увидев знакомое слово, а теперь морозитесь

Ответить
Развернуть ветку
Порфирий

Владейте чем угодно, вопрос вообще не к вам был, др свидания

Ответить
Развернуть ветку
50 комментариев
Раскрывать всегда