45 дней сериалов
и фильмов по промокоду:
VC45 Активировать 18+

«У нас таких писем по 100 штук на дню». Как у нас пытались отобрать домен

Привет! Я Дмитрий, основатель и генеральный директор ООО «ТЕСПА». И сейчас я расскажу о том, как у меня угнали домен.

Утром 23 октября я проснулся, сделал кофе, начал строгать бутерброды – и тут мне пишет программист, который занимается разработкой нашего сайта tespa.ru. Сайт – площадка для продажи б/у спецтехники, но к дальнейшей истории это отношения не имеет. Программист пишет, что сайт недоступен, а у домена IP-адрес перенаправляет на другой сервер.

Кофе как-то сразу перехотелось.

Этап первый: Пытаемся восстановить пароль

Что делает человек, который подозревает взлом личного кабинета? Конечно же, открывает аккаунт и пытается изменить пароль. Это совершенно базовое современное знание, как «мойте руки перед едой» и «выключайте утюг перед выходом из дома».

Мой регистратор домена – это RU-Center. Ну это одна из крупнейших и старейших компаний по делегированию доменных имён, что может пойти не так? Пытаюсь залогиниться под своим логином и паролем – облом. «Пароль неверный». Восстановить его не так-то просто – в конце концов, я зарегистрирован как юрлицо. Так что просто запросить ссылку на почту не получится. Надо немного потанцевать с бубном и отправить несколько документов.

Этап второй: Первый контакт с техподдержкой

Звоню в техподдержку, объясняю ситуацию. Мне говорят, что вчера, 22 октября, RU-Center получил письмо с просьбой сбросить пароль к личному кабинету. Лирическое отступление. Если вы зарегистрированы как юридическое лицо, для сброса пароля нужно отправить в RU-Center официальное письмо, в которое вложено заявление на смену авторизационных данных, приведённое на официальном бланке компании. В заявлении нужно указать название компании, имя генерального директора, номер договора или домен, подпись гендира и печать. А ещё – приложить решение собрания учредителей о выборе гендира и приказ о назначении гендира. В общем, стандартная бюрократическая волокита, направленная на защиту моих данных. Разумеется, я сказал, что гендир тут я вообще-то – и никаких писем для сброса пароля не отправлял. Техподдержка пошла навстречу и сказала, что может сменить пароль ещё разок. Для этого нужно просто отправить письмо с заявлением на смену пароля, к которому приложить решение учредителей и приказ о назначении гендира. Письмо заполнил, документы приложил и отправил.

Этап третий: Второй контакт с техподдержкой

Учитывая, что за окном была пятница, и восстановление данных вполне могло растянуться на все выходные, я ещё раз позвонил в техподдержку RU-Center.

И тут стоит отдать должное компании. Хотя домен увести у них, как выяснилось, несложно, восстановить его всё-таки тоже можно. Меня сразу соединили со специальным сотрудником, который занимается всеми такими вопросами, и он в процессе разговора сбросил пароль, перед этим задав вопрос – «Имеет ли отношение к компании генеральный директор из первого письма?», назвав ФИО человека из заявления. Я, разумеется, слышал его впервые, и потому ответил: «Нет».

Тут выяснилась ещё одна интересная деталь. Наша компания называется ООО «ТЕСПА». В фейковом письме была указана ООО «ТЭСПА». Вроде бы ошибка всего на одну букву, но всё равно.

Письмо мошенников

Тогда я напрямую спросил – «Как так вышло, что пароль к личному кабинету был сброшен по письму, в котором указано неверное название и другой генеральный директор?». Как говорится в одном дурацком меме, ответ убил: «Ну вы понимаете, нам таких писем по 100 штук на дню приходит, и просто сотрудник ошибся».

Такая аргументация мне и самому кажется странной. Но вот – скриншот письма, в котором техподдержка RU-Center объясняет, как такое произошло:

Выйдя из шока после этого странного, но – надо отдать должное – честного ответа, я спросил: «А как от подобного обезопаситься в будущем?». Но внятного ответа не получил.

Шёл вечер пятницы 23 октября. Вот теперь можно было уже расслабиться и выдохнуть.

Какие уроки я вынес из этой ситуации

К счастью, удалось обойтись малой кровью – сайт «лежал» менее суток. Но я всё равно вынес из этой ситуации пару полезных уроков:

  • Даже если регистратор – один из старейших и крупнейших в стране, он всё равно не предлагает достаточного корпоративного уровня защиты;
  • От «человеческого фактора» не застрахован никто. Всегда найдётся сотрудник, который «по запаре» передаст права на управление вашим доменом третьему лицу;
  • Надо на всякий случай сменить регистратора.

Прямо сейчас я как раз закончил переход к новому регистратору доменных имён. Но пока ещё готов рассмотреть альтернативы. Может, кто-нибудь знает действительного надёжного регистратора? Или просто сталкивался с подобной ситуацией и потому разработал методику защиты доменных имён?

{ "author_name": "Дмитрий", "author_type": "self", "tags": [], "comments": 49, "likes": 38, "favorites": 23, "is_advertisement": false, "subsite_label": "life", "id": 183067, "is_wide": false, "is_ugc": true, "date": "Wed, 02 Dec 2020 16:04:22 +0300", "is_special": false }
45 дней сериалов и фильмов по промокоду VC45
Активировать
Условия подписки Яндекс.Плюс: clck.ru/FMQND. 45 дней подписки Яндекс.Плюс — бесплатно, далее автопродление — 199 руб./мес. с указанием данных банковской карты. Предложение до 31.12.2020г. Только для новых пользователей, ранее не оформлявших подписку Яндекс.Плюс. Условия просмотра на КиноПоиск: ya.cc/4y4UX
18+
0
49 комментариев
Популярные
По порядку
Написать комментарий...
31

Пароль - это строго конфиденциальная штука, а если Вы буквально пишите свой пароль на бланке и кому то отправляте, типа сотрудникам ру центра - то это уже не конфиденциально. Веселит сама процедура, где нужно писать заявление "смените мне пожалуйста пароль на вот такой вот" - это просто ноукоментс. Это дискредитация защиты информации как таковой)

Ответить
1

Согласен. И что ещё больше удивило, что не требуется номер договора в письме. Достаточно домен указать. Получается так любой домен можно хакнуть)

Ответить
6

Фейковую печать видно даже на такой плохой картинке, это должно было насторожить сотрудника. А по факту печать сейчас не регистрируется, ее можно менять хоть каждый день, можно работать без печати, директора тоже можно менять каждый день. В данном случае должны были проверить наименование и директора по базе ЕГРЮЛ, если директор не поменялся, то сверить подпись в заявлении с подписью в договоре или прочем договоре, который был ранее. С другой стороны, определить подлинность подписи может только лицензированный эксперт. В итоге вывод: без ЭЦП или личного присутствия директора с паспортом такие вещи нельзя пропускать.

Ответить
0

Должны были проверить, но увы.

Ответить
2

Я так и не понял. Угнали домен (переоформили на другое лицо) или получили доступ к аккаунту и изменили А-запись?

Ответить
3

Похоже второе

Ответить
0

Угнали и изменили А-запись

Ответить
2

На фейковой печати ИНН/ОГРН указан. На скриншоте плохо видно. Это ваши?

Ответить
3

Полный зашквар... По ИНН посмотрели кто это?

Ответить
0

Судя по всему не проверили

Ответить
0

С ру-центром то понятно все. А вы сами посмотрели чей это ИНН?

Ответить
0

Да, посмотрел, компании ООО "ТЭСПА"

Ответить
0

Это все? А учредители/ген.директор? Иные зарегистрированные на них организации? Суды с участием ООО и фигурантов?

Ответить
0

Нет, так глубоко не копал

Ответить
0

Добрый день, Дмитрий! Огромное спасибо, что обратили наше внимание на этот вопиющий инцидент. Мы уделяем особое внимание безопасности данных клиентов и, безусловно, эта ситуация совершенно не соответствует стандартам обслуживания, принятым в нашей компании. Пожалуйста, примите наши извинения за случившееся.
По вашему сообщению инициирована внутренняя проверка и будут приняты все меры, чтобы никогда не допустить повторения подобной ситуации.

Ответить
1

вы не хотите простой компании компенсировать раз признали ошибку сотрудника? )))

Ответить
0

Какой там простой))) они на главной при подборе домена предложили цену 12 тыс р хотя это. Домен у них же стоил 3 млн руб... В итоге домен в момент оформления поменял цену после авторизации... На все вопросы о смене цены развели руками.
Репутации у сервиса как не было так и нет

Ответить
1

Хочется верить, что уделяете особое внимание безопасности, но процедура сброса пароля уж очень небезопасная) Что странно мне не пришло уведомление на почты о смене пароля. В личном кабинете указана рабочая и личная. Как сказал герой одного фильма "Меня терзают смутные сомнения".

Ответить
1

Не уверен, что можно найти "где лучше". Я бы поругался, но остался. До следующего инцидента :)

Ответить
0

Я всё же решил сменить регистратора)

Ответить
0

Я одного не понял. Ну сбросили пароль, он упал на почтовый ящик (в крайнем случае извещение пришло о сбросе пароля). Почтовый ящик тоже угнали? Или у руцентра там просто ссылку дают для генерации нового пароля?

Ответить
2

Там есть "скан" заявления, желаемый пароль указывается в нем.

Ответить
0

Нет, почтовые ящики были доступны, но уведомления о смене не было. В личном кабинете была указана рабочая и личная, но ни на одну не пришло. Что очень странно.

Ответить
0

Ничего особенного, просто очередная статья про угон домена. Сейчас это тренд.

Ответить
0

Ну в этом тренде не хочется быть

Ответить
0

В любом случаи на старую почту должно падать письмо что были выполнены действия с доменом.

Ответить
0

Это хорошая практика, когда на старую почту улетает уведомление, но не знаю - есть ли у регистраторов такой функционал.
Кроме смены пароля и A записи, что еще изменили? Встроили shell, вирус, добавили своего админа? Удалось посмотреть журнал подключений администратора?

Ответить
0

Должно, но письма не было. Это и странно.

Ответить
0

Никакой защиты данных клиентов. Республика Адыгея? Место где живут мошенники. В полицию обращались?

Ответить
0

Да, компания в Адыгеи зарегистрирована. Нет, не обращался.

Ответить
0

Интересно. Выходит, что даже, если техподдержка отработает на 100% корректно, все равно уже уволенный из компании директор может подобные письма писать, прикладывая реальные, но уже утратившие силу документы, и они будут иметь эффект. 

Ответить
0

Получается, что может.

Ответить
0

Видимо ещё с ФНС не было похожего. Но там уже ничего не докажешь и они ещё и правы будут. Не буду развивать тему, но риторический вопрос, кто вы, а кто государство?

Ответить
0

Я бы тоже настройки проверил. Там от лица вашего домена (компании) можно веселые вещи делать а вы даже не узнаете (пока не придут)

Ответить
0

Какие вещи?) К примеру? 

Ответить
0

Ну из простого, счета на оплату с подставными реквизитами разослать по контрагентам (вряд-ли это гостайна) если почта к домену привязана. Даже если не привязан напишут "Изменился!!" При этом ящик будет подтверждён что он принадлежит домену, вы в своей почте этих писем не увидите.

Ответить
0

Хм, интересно. Спасибо, изучу более подробно

Ответить
0

А с какой целью вопрос? Чтобы вы потом выкупили его обратно?

Ответить
0

Скорее всего да

Ответить
0

Чистый косяк nic.ru. Странно что они не предложили компенсацию. Из за их невнимательности, возможно вы потеряли клиента, 99% промядут позиции в поиске итд.

Ответить
0

Вчера позвонили, предложили особые условия обслуживания. Но предложение неактуально, т.к переехал к другому регистратору.

Ответить
0

Не удивительно, у вас все козыри на руках для суда. Если случай окажется массовым, ICANN отозвать лицензию.

Я бы на их месте пополнил вам баланс на 10-20 т.р в счет компенсации, и извинился.

Представьте так кто то от лица фейкового ООО типа Янддекс и уведет домен у yandex на пару часов, дней)))

Ответить
0

Скорее всего это не первый случай, просто не все получают огласку. Пополнить баланс не предлагали 

Ответить
0

По-моему только рег ру сейчас альтернатива, остальные не достаточно крупные, могу ошибаться , может кто знает ещё регистраторов с "именем"?

Ответить
0

Спасибо за рекомендацию)

Ответить
0

После произошедшего, имя и размер компании, не являются для меня приоритетным при выборе)

Ответить
0

Там хотя бы двухфакторная авторизация есть в личном кабинете, уже неплохо.

Ответить
0

Не говорю конкретно про ТС, но очень часто встречаю у нашего бизнеса нежелание работать с зарубежными продавцами доменов(не ru/su/рф) по причине "а как мы НДС вернём если у нас не будет закрывающих документов". Серьёзно? Ради этих копеек в обороте компании в итоге получают геморрой с настройкой (ЛК наших продавцов весьма далеки от идеала), проблемы с автоматизацией, проблемы аналогичные тому что в посте.
Я не говорю что у зарубежных такое не может случиться, но большинство позволяет подключить хотя бы двухфакторную авторизацию.

Ответить

Комментарии

null