«У нас таких писем по 100 штук на дню». Как у нас пытались отобрать домен
Привет! Я Дмитрий, основатель и генеральный директор ООО «ТЕСПА». И сейчас я расскажу о том, как у меня угнали домен.
Утром 23 октября я проснулся, сделал кофе, начал строгать бутерброды – и тут мне пишет программист, который занимается разработкой нашего сайта tespa.ru. Сайт – площадка для продажи б/у спецтехники, но к дальнейшей истории это отношения не имеет. Программист пишет, что сайт недоступен, а у домена IP-адрес перенаправляет на другой сервер.
Кофе как-то сразу перехотелось.
Этап первый: Пытаемся восстановить пароль
Что делает человек, который подозревает взлом личного кабинета? Конечно же, открывает аккаунт и пытается изменить пароль. Это совершенно базовое современное знание, как «мойте руки перед едой» и «выключайте утюг перед выходом из дома».
Мой регистратор домена – это RU-Center. Ну это одна из крупнейших и старейших компаний по делегированию доменных имён, что может пойти не так? Пытаюсь залогиниться под своим логином и паролем – облом. «Пароль неверный». Восстановить его не так-то просто – в конце концов, я зарегистрирован как юрлицо. Так что просто запросить ссылку на почту не получится. Надо немного потанцевать с бубном и отправить несколько документов.
Этап второй: Первый контакт с техподдержкой
Звоню в техподдержку, объясняю ситуацию. Мне говорят, что вчера, 22 октября, RU-Center получил письмо с просьбой сбросить пароль к личному кабинету. Лирическое отступление. Если вы зарегистрированы как юридическое лицо, для сброса пароля нужно отправить в RU-Center официальное письмо, в которое вложено заявление на смену авторизационных данных, приведённое на официальном бланке компании. В заявлении нужно указать название компании, имя генерального директора, номер договора или домен, подпись гендира и печать. А ещё – приложить решение собрания учредителей о выборе гендира и приказ о назначении гендира. В общем, стандартная бюрократическая волокита, направленная на защиту моих данных. Разумеется, я сказал, что гендир тут я вообще-то – и никаких писем для сброса пароля не отправлял. Техподдержка пошла навстречу и сказала, что может сменить пароль ещё разок. Для этого нужно просто отправить письмо с заявлением на смену пароля, к которому приложить решение учредителей и приказ о назначении гендира. Письмо заполнил, документы приложил и отправил.
Этап третий: Второй контакт с техподдержкой
Учитывая, что за окном была пятница, и восстановление данных вполне могло растянуться на все выходные, я ещё раз позвонил в техподдержку RU-Center.
И тут стоит отдать должное компании. Хотя домен увести у них, как выяснилось, несложно, восстановить его всё-таки тоже можно. Меня сразу соединили со специальным сотрудником, который занимается всеми такими вопросами, и он в процессе разговора сбросил пароль, перед этим задав вопрос – «Имеет ли отношение к компании генеральный директор из первого письма?», назвав ФИО человека из заявления. Я, разумеется, слышал его впервые, и потому ответил: «Нет».
Тут выяснилась ещё одна интересная деталь. Наша компания называется ООО «ТЕСПА». В фейковом письме была указана ООО «ТЭСПА». Вроде бы ошибка всего на одну букву, но всё равно.
Тогда я напрямую спросил – «Как так вышло, что пароль к личному кабинету был сброшен по письму, в котором указано неверное название и другой генеральный директор?». Как говорится в одном дурацком меме, ответ убил: «Ну вы понимаете, нам таких писем по 100 штук на дню приходит, и просто сотрудник ошибся».
Такая аргументация мне и самому кажется странной. Но вот – скриншот письма, в котором техподдержка RU-Center объясняет, как такое произошло:
Выйдя из шока после этого странного, но – надо отдать должное – честного ответа, я спросил: «А как от подобного обезопаситься в будущем?». Но внятного ответа не получил.
Шёл вечер пятницы 23 октября. Вот теперь можно было уже расслабиться и выдохнуть.
Какие уроки я вынес из этой ситуации
К счастью, удалось обойтись малой кровью – сайт «лежал» менее суток. Но я всё равно вынес из этой ситуации пару полезных уроков:
- Даже если регистратор – один из старейших и крупнейших в стране, он всё равно не предлагает достаточного корпоративного уровня защиты;
- От «человеческого фактора» не застрахован никто. Всегда найдётся сотрудник, который «по запаре» передаст права на управление вашим доменом третьему лицу;
- Надо на всякий случай сменить регистратора.
Прямо сейчас я как раз закончил переход к новому регистратору доменных имён. Но пока ещё готов рассмотреть альтернативы. Может, кто-нибудь знает действительного надёжного регистратора? Или просто сталкивался с подобной ситуацией и потому разработал методику защиты доменных имён?
Пароль - это строго конфиденциальная штука, а если Вы буквально пишите свой пароль на бланке и кому то отправляте, типа сотрудникам ру центра - то это уже не конфиденциально. Веселит сама процедура, где нужно писать заявление "смените мне пожалуйста пароль на вот такой вот" - это просто ноукоментс. Это дискредитация защиты информации как таковой)
Согласен. И что ещё больше удивило, что не требуется номер договора в письме. Достаточно домен указать. Получается так любой домен можно хакнуть)
Фейковую печать видно даже на такой плохой картинке, это должно было насторожить сотрудника. А по факту печать сейчас не регистрируется, ее можно менять хоть каждый день, можно работать без печати, директора тоже можно менять каждый день. В данном случае должны были проверить наименование и директора по базе ЕГРЮЛ, если директор не поменялся, то сверить подпись в заявлении с подписью в договоре или прочем договоре, который был ранее. С другой стороны, определить подлинность подписи может только лицензированный эксперт. В итоге вывод: без ЭЦП или личного присутствия директора с паспортом такие вещи нельзя пропускать.
Должны были проверить, но увы.
Похоже второе
Угнали и изменили А-запись