Привет! Я Дмитрий, основатель и генеральный директор ООО «ТЕСПА». И сейчас я расскажу о том, как у меня угнали домен.
Утром 23 октября я проснулся, сделал кофе, начал строгать бутерброды – и тут мне пишет программист, который занимается разработкой нашего сайта tespa.ru. Сайт – площадка для продажи б/у спецтехники, но к дальнейшей истории это отношения не имеет. Программист пишет, что сайт недоступен, а у домена IP-адрес перенаправляет на другой сервер.
Кофе как-то сразу перехотелось.
Этап первый: Пытаемся восстановить пароль
Что делает человек, который подозревает взлом личного кабинета? Конечно же, открывает аккаунт и пытается изменить пароль. Это совершенно базовое современное знание, как «мойте руки перед едой» и «выключайте утюг перед выходом из дома».
Мой регистратор домена – это RU-Center. Ну это одна из крупнейших и старейших компаний по делегированию доменных имён, что может пойти не так? Пытаюсь залогиниться под своим логином и паролем – облом. «Пароль неверный». Восстановить его не так-то просто – в конце концов, я зарегистрирован как юрлицо. Так что просто запросить ссылку на почту не получится. Надо немного потанцевать с бубном и отправить несколько документов.
Этап второй: Первый контакт с техподдержкой
Звоню в техподдержку, объясняю ситуацию. Мне говорят, что вчера, 22 октября, RU-Center получил письмо с просьбой сбросить пароль к личному кабинету. Лирическое отступление. Если вы зарегистрированы как юридическое лицо, для сброса пароля нужно отправить в RU-Center официальное письмо, в которое вложено заявление на смену авторизационных данных, приведённое на официальном бланке компании. В заявлении нужно указать название компании, имя генерального директора, номер договора или домен, подпись гендира и печать. А ещё – приложить решение собрания учредителей о выборе гендира и приказ о назначении гендира. В общем, стандартная бюрократическая волокита, направленная на защиту моих данных. Разумеется, я сказал, что гендир тут я вообще-то – и никаких писем для сброса пароля не отправлял. Техподдержка пошла навстречу и сказала, что может сменить пароль ещё разок. Для этого нужно просто отправить письмо с заявлением на смену пароля, к которому приложить решение учредителей и приказ о назначении гендира. Письмо заполнил, документы приложил и отправил.
Этап третий: Второй контакт с техподдержкой
Учитывая, что за окном была пятница, и восстановление данных вполне могло растянуться на все выходные, я ещё раз позвонил в техподдержку RU-Center.
И тут стоит отдать должное компании. Хотя домен увести у них, как выяснилось, несложно, восстановить его всё-таки тоже можно. Меня сразу соединили со специальным сотрудником, который занимается всеми такими вопросами, и он в процессе разговора сбросил пароль, перед этим задав вопрос – «Имеет ли отношение к компании генеральный директор из первого письма?», назвав ФИО человека из заявления. Я, разумеется, слышал его впервые, и потому ответил: «Нет».
Тут выяснилась ещё одна интересная деталь. Наша компания называется ООО «ТЕСПА». В фейковом письме была указана ООО «ТЭСПА». Вроде бы ошибка всего на одну букву, но всё равно.
Тогда я напрямую спросил – «Как так вышло, что пароль к личному кабинету был сброшен по письму, в котором указано неверное название и другой генеральный директор?». Как говорится в одном дурацком меме, ответ убил: «Ну вы понимаете, нам таких писем по 100 штук на дню приходит, и просто сотрудник ошибся».
Такая аргументация мне и самому кажется странной. Но вот – скриншот письма, в котором техподдержка RU-Center объясняет, как такое произошло:
Выйдя из шока после этого странного, но – надо отдать должное – честного ответа, я спросил: «А как от подобного обезопаситься в будущем?». Но внятного ответа не получил.
Шёл вечер пятницы 23 октября. Вот теперь можно было уже расслабиться и выдохнуть.
Какие уроки я вынес из этой ситуации
К счастью, удалось обойтись малой кровью – сайт «лежал» менее суток. Но я всё равно вынес из этой ситуации пару полезных уроков:
- Даже если регистратор – один из старейших и крупнейших в стране, он всё равно не предлагает достаточного корпоративного уровня защиты;
- От «человеческого фактора» не застрахован никто. Всегда найдётся сотрудник, который «по запаре» передаст права на управление вашим доменом третьему лицу;
- Надо на всякий случай сменить регистратора.
Прямо сейчас я как раз закончил переход к новому регистратору доменных имён. Но пока ещё готов рассмотреть альтернативы. Может, кто-нибудь знает действительного надёжного регистратора? Или просто сталкивался с подобной ситуацией и потому разработал методику защиты доменных имён?
Пароль - это строго конфиденциальная штука, а если Вы буквально пишите свой пароль на бланке и кому то отправляте, типа сотрудникам ру центра - то это уже не конфиденциально. Веселит сама процедура, где нужно писать заявление "смените мне пожалуйста пароль на вот такой вот" - это просто ноукоментс. Это дискредитация защиты информации как таковой)
Фейковую печать видно даже на такой плохой картинке, это должно было насторожить сотрудника. А по факту печать сейчас не регистрируется, ее можно менять хоть каждый день, можно работать без печати, директора тоже можно менять каждый день. В данном случае должны были проверить наименование и директора по базе ЕГРЮЛ, если директор не поменялся, то сверить подпись в заявлении с подписью в договоре или прочем договоре, который был ранее. С другой стороны, определить подлинность подписи может только лицензированный эксперт. В итоге вывод: без ЭЦП или личного присутствия директора с паспортом такие вещи нельзя пропускать.
Я так и не понял. Угнали домен (переоформили на другое лицо) или получили доступ к аккаунту и изменили А-запись?
Добрый день, Дмитрий! Огромное спасибо, что обратили наше внимание на этот вопиющий инцидент. Мы уделяем особое внимание безопасности данных клиентов и, безусловно, эта ситуация совершенно не соответствует стандартам обслуживания, принятым в нашей компании. Пожалуйста, примите наши извинения за случившееся.
По вашему сообщению инициирована внутренняя проверка и будут приняты все меры, чтобы никогда не допустить повторения подобной ситуации.
Какой там простой))) они на главной при подборе домена предложили цену 12 тыс р хотя это. Домен у них же стоил 3 млн руб... В итоге домен в момент оформления поменял цену после авторизации... На все вопросы о смене цены развели руками.
Репутации у сервиса как не было так и нет
Хочется верить, что уделяете особое внимание безопасности, но процедура сброса пароля уж очень небезопасная) Что странно мне не пришло уведомление на почты о смене пароля. В личном кабинете указана рабочая и личная. Как сказал герой одного фильма "Меня терзают смутные сомнения".
Не уверен, что можно найти "где лучше". Я бы поругался, но остался. До следующего инцидента :)
Я одного не понял. Ну сбросили пароль, он упал на почтовый ящик (в крайнем случае извещение пришло о сбросе пароля). Почтовый ящик тоже угнали? Или у руцентра там просто ссылку дают для генерации нового пароля?
В любом случаи на старую почту должно падать письмо что были выполнены действия с доменом.
Это хорошая практика, когда на старую почту улетает уведомление, но не знаю - есть ли у регистраторов такой функционал.
Кроме смены пароля и A записи, что еще изменили? Встроили shell, вирус, добавили своего админа? Удалось посмотреть журнал подключений администратора?
Никакой защиты данных клиентов. Республика Адыгея? Место где живут мошенники. В полицию обращались?
Интересно. Выходит, что даже, если техподдержка отработает на 100% корректно, все равно уже уволенный из компании директор может подобные письма писать, прикладывая реальные, но уже утратившие силу документы, и они будут иметь эффект.
Видимо ещё с ФНС не было похожего. Но там уже ничего не докажешь и они ещё и правы будут. Не буду развивать тему, но риторический вопрос, кто вы, а кто государство?
Я бы тоже настройки проверил. Там от лица вашего домена (компании) можно веселые вещи делать а вы даже не узнаете (пока не придут)
Ну из простого, счета на оплату с подставными реквизитами разослать по контрагентам (вряд-ли это гостайна) если почта к домену привязана. Даже если не привязан напишут "Изменился!!" При этом ящик будет подтверждён что он принадлежит домену, вы в своей почте этих писем не увидите.
Чистый косяк nic.ru. Странно что они не предложили компенсацию. Из за их невнимательности, возможно вы потеряли клиента, 99% промядут позиции в поиске итд.
Не удивительно, у вас все козыри на руках для суда. Если случай окажется массовым, ICANN отозвать лицензию.
Я бы на их месте пополнил вам баланс на 10-20 т.р в счет компенсации, и извинился.
Представьте так кто то от лица фейкового ООО типа Янддекс и уведет домен у yandex на пару часов, дней)))
По-моему только рег ру сейчас альтернатива, остальные не достаточно крупные, могу ошибаться , может кто знает ещё регистраторов с "именем"?
Не говорю конкретно про ТС, но очень часто встречаю у нашего бизнеса нежелание работать с зарубежными продавцами доменов(не ru/su/рф) по причине "а как мы НДС вернём если у нас не будет закрывающих документов". Серьёзно? Ради этих копеек в обороте компании в итоге получают геморрой с настройкой (ЛК наших продавцов весьма далеки от идеала), проблемы с автоматизацией, проблемы аналогичные тому что в посте.
Я не говорю что у зарубежных такое не может случиться, но большинство позволяет подключить хотя бы двухфакторную авторизацию.
Комментарии