«У нас таких писем по 100 штук на дню». Как у нас пытались отобрать домен
Привет! Я Дмитрий, основатель и генеральный директор ООО «ТЕСПА». И сейчас я расскажу о том, как у меня угнали домен.
Утром 23 октября я проснулся, сделал кофе, начал строгать бутерброды – и тут мне пишет программист, который занимается разработкой нашего сайта tespa.ru. Сайт – площадка для продажи б/у спецтехники, но к дальнейшей истории это отношения не имеет. Программист пишет, что сайт недоступен, а у домена IP-адрес перенаправляет на другой сервер.
Кофе как-то сразу перехотелось.
Этап первый: Пытаемся восстановить пароль
Что делает человек, который подозревает взлом личного кабинета? Конечно же, открывает аккаунт и пытается изменить пароль. Это совершенно базовое современное знание, как «мойте руки перед едой» и «выключайте утюг перед выходом из дома».
Мой регистратор домена – это RU-Center. Ну это одна из крупнейших и старейших компаний по делегированию доменных имён, что может пойти не так? Пытаюсь залогиниться под своим логином и паролем – облом. «Пароль неверный». Восстановить его не так-то просто – в конце концов, я зарегистрирован как юрлицо. Так что просто запросить ссылку на почту не получится. Надо немного потанцевать с бубном и отправить несколько документов.
Этап второй: Первый контакт с техподдержкой
Звоню в техподдержку, объясняю ситуацию. Мне говорят, что вчера, 22 октября, RU-Center получил письмо с просьбой сбросить пароль к личному кабинету. Лирическое отступление. Если вы зарегистрированы как юридическое лицо, для сброса пароля нужно отправить в RU-Center официальное письмо, в которое вложено заявление на смену авторизационных данных, приведённое на официальном бланке компании. В заявлении нужно указать название компании, имя генерального директора, номер договора или домен, подпись гендира и печать. А ещё – приложить решение собрания учредителей о выборе гендира и приказ о назначении гендира. В общем, стандартная бюрократическая волокита, направленная на защиту моих данных. Разумеется, я сказал, что гендир тут я вообще-то – и никаких писем для сброса пароля не отправлял. Техподдержка пошла навстречу и сказала, что может сменить пароль ещё разок. Для этого нужно просто отправить письмо с заявлением на смену пароля, к которому приложить решение учредителей и приказ о назначении гендира. Письмо заполнил, документы приложил и отправил.
Этап третий: Второй контакт с техподдержкой
Учитывая, что за окном была пятница, и восстановление данных вполне могло растянуться на все выходные, я ещё раз позвонил в техподдержку RU-Center.
И тут стоит отдать должное компании. Хотя домен увести у них, как выяснилось, несложно, восстановить его всё-таки тоже можно. Меня сразу соединили со специальным сотрудником, который занимается всеми такими вопросами, и он в процессе разговора сбросил пароль, перед этим задав вопрос – «Имеет ли отношение к компании генеральный директор из первого письма?», назвав ФИО человека из заявления. Я, разумеется, слышал его впервые, и потому ответил: «Нет».
Тут выяснилась ещё одна интересная деталь. Наша компания называется ООО «ТЕСПА». В фейковом письме была указана ООО «ТЭСПА». Вроде бы ошибка всего на одну букву, но всё равно.
Тогда я напрямую спросил – «Как так вышло, что пароль к личному кабинету был сброшен по письму, в котором указано неверное название и другой генеральный директор?». Как говорится в одном дурацком меме, ответ убил: «Ну вы понимаете, нам таких писем по 100 штук на дню приходит, и просто сотрудник ошибся».
Такая аргументация мне и самому кажется странной. Но вот – скриншот письма, в котором техподдержка RU-Center объясняет, как такое произошло:
Выйдя из шока после этого странного, но – надо отдать должное – честного ответа, я спросил: «А как от подобного обезопаситься в будущем?». Но внятного ответа не получил.
Шёл вечер пятницы 23 октября. Вот теперь можно было уже расслабиться и выдохнуть.
Какие уроки я вынес из этой ситуации
К счастью, удалось обойтись малой кровью – сайт «лежал» менее суток. Но я всё равно вынес из этой ситуации пару полезных уроков:
- Даже если регистратор – один из старейших и крупнейших в стране, он всё равно не предлагает достаточного корпоративного уровня защиты;
- От «человеческого фактора» не застрахован никто. Всегда найдётся сотрудник, который «по запаре» передаст права на управление вашим доменом третьему лицу;
- Надо на всякий случай сменить регистратора.
Прямо сейчас я как раз закончил переход к новому регистратору доменных имён. Но пока ещё готов рассмотреть альтернативы. Может, кто-нибудь знает действительного надёжного регистратора? Или просто сталкивался с подобной ситуацией и потому разработал методику защиты доменных имён?
Пароль - это строго конфиденциальная штука, а если Вы буквально пишите свой пароль на бланке и кому то отправляте, типа сотрудникам ру центра - то это уже не конфиденциально. Веселит сама процедура, где нужно писать заявление "смените мне пожалуйста пароль на вот такой вот" - это просто ноукоментс. Это дискредитация защиты информации как таковой)
Согласен. И что ещё больше удивило, что не требуется номер договора в письме. Достаточно домен указать. Получается так любой домен можно хакнуть)
Фейковую печать видно даже на такой плохой картинке, это должно было насторожить сотрудника. А по факту печать сейчас не регистрируется, ее можно менять хоть каждый день, можно работать без печати, директора тоже можно менять каждый день. В данном случае должны были проверить наименование и директора по базе ЕГРЮЛ, если директор не поменялся, то сверить подпись в заявлении с подписью в договоре или прочем договоре, который был ранее. С другой стороны, определить подлинность подписи может только лицензированный эксперт. В итоге вывод: без ЭЦП или личного присутствия директора с паспортом такие вещи нельзя пропускать.
Должны были проверить, но увы.
Комментарий удален модератором
Похоже второе
Угнали и изменили А-запись
На фейковой печати ИНН/ОГРН указан. На скриншоте плохо видно. Это ваши?
Нет
Полный зашквар... По ИНН посмотрели кто это?
Судя по всему не проверили
С ру-центром то понятно все. А вы сами посмотрели чей это ИНН?
Да, посмотрел, компании ООО "ТЭСПА"
Это все? А учредители/ген.директор? Иные зарегистрированные на них организации? Суды с участием ООО и фигурантов?
Нет, так глубоко не копал
Добрый день, Дмитрий! Огромное спасибо, что обратили наше внимание на этот вопиющий инцидент. Мы уделяем особое внимание безопасности данных клиентов и, безусловно, эта ситуация совершенно не соответствует стандартам обслуживания, принятым в нашей компании. Пожалуйста, примите наши извинения за случившееся.
По вашему сообщению инициирована внутренняя проверка и будут приняты все меры, чтобы никогда не допустить повторения подобной ситуации.
вы не хотите простой компании компенсировать раз признали ошибку сотрудника? )))
Комментарий недоступен
Хочется верить, что уделяете особое внимание безопасности, но процедура сброса пароля уж очень небезопасная) Что странно мне не пришло уведомление на почты о смене пароля. В личном кабинете указана рабочая и личная. Как сказал герой одного фильма "Меня терзают смутные сомнения".
Комментарий удален модератором
Не уверен, что можно найти "где лучше". Я бы поругался, но остался. До следующего инцидента :)
Я всё же решил сменить регистратора)
Я одного не понял. Ну сбросили пароль, он упал на почтовый ящик (в крайнем случае извещение пришло о сбросе пароля). Почтовый ящик тоже угнали? Или у руцентра там просто ссылку дают для генерации нового пароля?
Там есть "скан" заявления, желаемый пароль указывается в нем.
Нет, почтовые ящики были доступны, но уведомления о смене не было. В личном кабинете была указана рабочая и личная, но ни на одну не пришло. Что очень странно.
Ничего особенного, просто очередная статья про угон домена. Сейчас это тренд.
Ну в этом тренде не хочется быть
В любом случаи на старую почту должно падать письмо что были выполнены действия с доменом.
Это хорошая практика, когда на старую почту улетает уведомление, но не знаю - есть ли у регистраторов такой функционал.
Кроме смены пароля и A записи, что еще изменили? Встроили shell, вирус, добавили своего админа? Удалось посмотреть журнал подключений администратора?
Должно, но письма не было. Это и странно.
Никакой защиты данных клиентов. Республика Адыгея? Место где живут мошенники. В полицию обращались?
Да, компания в Адыгеи зарегистрирована. Нет, не обращался.
Интересно. Выходит, что даже, если техподдержка отработает на 100% корректно, все равно уже уволенный из компании директор может подобные письма писать, прикладывая реальные, но уже утратившие силу документы, и они будут иметь эффект.
Получается, что может.
Комментарий недоступен
Я бы тоже настройки проверил. Там от лица вашего домена (компании) можно веселые вещи делать а вы даже не узнаете (пока не придут)
Какие вещи?) К примеру?
Ну из простого, счета на оплату с подставными реквизитами разослать по контрагентам (вряд-ли это гостайна) если почта к домену привязана. Даже если не привязан напишут "Изменился!!" При этом ящик будет подтверждён что он принадлежит домену, вы в своей почте этих писем не увидите.
Хм, интересно. Спасибо, изучу более подробно
А с какой целью вопрос? Чтобы вы потом выкупили его обратно?
Скорее всего да
Чистый косяк nic.ru. Странно что они не предложили компенсацию. Из за их невнимательности, возможно вы потеряли клиента, 99% промядут позиции в поиске итд.
Вчера позвонили, предложили особые условия обслуживания. Но предложение неактуально, т.к переехал к другому регистратору.
Не удивительно, у вас все козыри на руках для суда. Если случай окажется массовым, ICANN отозвать лицензию.
Я бы на их месте пополнил вам баланс на 10-20 т.р в счет компенсации, и извинился.
Представьте так кто то от лица фейкового ООО типа Янддекс и уведет домен у yandex на пару часов, дней)))
Скорее всего это не первый случай, просто не все получают огласку. Пополнить баланс не предлагали
По-моему только рег ру сейчас альтернатива, остальные не достаточно крупные, могу ошибаться , может кто знает ещё регистраторов с "именем"?
Спасибо за рекомендацию)
После произошедшего, имя и размер компании, не являются для меня приоритетным при выборе)
Там хотя бы двухфакторная авторизация есть в личном кабинете, уже неплохо.
Комментарий удален модератором
Не говорю конкретно про ТС, но очень часто встречаю у нашего бизнеса нежелание работать с зарубежными продавцами доменов(не ru/su/рф) по причине "а как мы НДС вернём если у нас не будет закрывающих документов". Серьёзно? Ради этих копеек в обороте компании в итоге получают геморрой с настройкой (ЛК наших продавцов весьма далеки от идеала), проблемы с автоматизацией, проблемы аналогичные тому что в посте.
Я не говорю что у зарубежных такое не может случиться, но большинство позволяет подключить хотя бы двухфакторную авторизацию.