СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

H Как украсть международный домен на REG.RU и полностью переписать на себя без ведома владельца в черновиках

В одной известной всем стране жил простой веб-мастер Дмитрий syno66. У Дмитрия был проект в интернете, который помогал людям решать их проблемы, и тем самым кормил Дмитрия и его семью.

Дмитрий на протяжении двух лет вкладывал в этот проект деньги, на которые заказывалось семантическое ядро, писались статьи, и тем самым постепенно повышалась посещаемость проекта в поисковых системах.

Дмитрий был счастлив иметь свой онлайн-бизнес, а его семья была сыта и одета…

Причем, изначально домен его проекта был зарегистрирован через компанию Infobox.ru. Но затем Дмитрий решил, что надо бы все свои домены перенести к известному и уважаемому регистратору, и выбрал в качестве сего регистратора компанию REG.RU.

Переезд был успешно выполнен 18 июля 2017 года
image

Прошло чуть больше 4 месяцев…

Как-то морозным декабрьским субботним утром Дмитрию приходит на почту письмо следующего содержания:


А поскольку Дмитрий был примерным семьянином и грамотно организовал свой бизнес, то утром в субботу он, как и следует делать, спал в обнимку со своей супругой. И это письмо увидел только днем.

И только он было начал размышлять, в чем собственно дело, ему пришло второе письмо:


Тут уже Дмитрий сильно нагрелся, и, ломая мебель на своем пути, ринулся судорожно открывать свой аккаунт на REG.RU.


Обновление от 04.12.2017 16:00: Официальный комментарий от reg.ru. Домену возвращены первоначальные NS-записи, сайт возобновил работу. Однако домен пока находится на другом аккаунте до окончания разбирательства. Все действия с доменом приостановлены на 60 дней.



А когда не увидел в списке доменов своего проекта, ситуация стала проясняться. Кто-то совершенно наглым образом украл его сайт, да еще и переписал на себя все права владельца!
Что бы вы сделали в этот момент на месте Дмитрия?

Во-первых, конечно же посмотрели бы, а что там с сайтом. Выяснилось, что сайт редиректит на поддельный сайт с похожим доменом, где висит сторонняя реклама. Оперативно сработано…
Во-вторых, начали бы писать в службу поддержки REG.RU и выяснять, как так можно – просто взять и увести домен на другой аккаунт без разрешения со стороны владельца. Как такое в принципе вообще возможно?

Дмитрий написал письмо в поддержку, плюс сделал контрольный звонок, и вот что получил в ответ:







Сказать, что Дмитрий был растерян, это как сказать, что до Луны рукой подать. Дмитрий был в шоке.

Как, блин, можно без всякого подтверждения взять и стать администратором чужого домена, и почему такой надежный и уважаемый сервис позволил это технически осуществить, даже если и был взлом аккаунта?

Собравшись с мыслями, Дмитрий подключил своих технических помощников, и они стали глубже разбираться в теме.

И выяснилось следующее крайне любопытное отношение сервиса REG.RU к доменным именам в международной зоне (в частности в зоне .net):



Дмитрий и его помощники долго ломали голову…

То есть получается, достаточно взломать почту пользователя сервиса (чтобы восстановить на нее пароль администратора) или аккаунт сервиса, и ты уже можешь на всех доменах в международной зоне поменять администратора на себя? И тебе за это ничего не будет? И это как-то призвано улучшить защиту доменных имен?

Даже существует подробная инструкция о том, как это сделать.

Переварив эту информацию, Дмитрий начал дальше переписываться с поддержкой. Впрочем, переписка была недолгой…



После чего на почту Дмитрия пришло письмо:



Реакция Дмитрия была предсказуемой…
Чего??? Какие, блин, 5 рабочих дней??? Речь возможно идет о часах, пока домен не перепродали, плюс в бизнесе каждый день идут убытки…

Но непреклонная служба поддержки по телефону сказала, что сейчас выходные, юридический отдел придет себе спокойно в понедельник, и в порядке очереди рассмотрит вашу заявку, к сожалению ускорить ничего нельзя…

Поэтому Дмитрий взял решение в свои руки, и написал на уже известную ему почту человека, который неожиданно стал новым владельцем домена. И он пошел на контакт!



А что, хорошая бизнес-модель, не находите?

Украсть сайт, а потом продать обратно владельцу. Так легко 700.000 рублей мало кто зарабатывает…



Дмитрий был очень далек от юридических знаний, но понял, что такая переписка (помимо воровства и статьи 272 УК РФ) тянет еще и на статью 163 УК РФ:



Поэтому он, как добропорядочный гражданин, не стал собирать деньги, а просто пошел в воскресенье в ближайшее отделение полиции и подал заявление со всеми приложенными к нему скриншотами.

А копию заявления отправил в поддержку REG.RU, вдобавок к заявке, которая ушла в юридический отдел.

Чем же все закончилось? Удалось ли вернуть домен? Нашли ли злоумышленника? Пока это неизвестно, так как эта статья написана в воскресенье вечером сразу после подачи заявления.
Но если она наберет положительный рейтинг и будет много запросов в комментариях, то мы выложим вторую часть статьи, где расскажем, чем все в итоге закончилось.

Будем надеяться, что это будет история со счастливым концом…

Пользуясь возможностью, герой истории Дмитрий syno66 был приглашен на Хабр.

Обновление от 04.12.2017 10:00:

Обновление от 04.12.2017 16:00: Официальный комментарий от reg.ru. Домену возвращены первоначальные NS-записи, сайт возобновил работу. Однако домен пока находится на другом аккаунте до окончания разбирательства. Все действия с доменом приостановлены на 60 дней.
+279
~47200

комментарии (299)

+4
MMik ,   * (был изменён)
То есть получается, достаточно взломать почту пользователя сервиса (чтобы восстановить на нее пароль администратора) или аккаунт сервиса...
Так что там у Дмитрия взломали? Аккаунт gmail? Аккаунт reg.ru? Сам reg.ru взломали?
Google поддерживает многофакторную аутентификацию и некоторые другие способы защиты аккаунта. В reg.ru можно настроить сброс пароля только с кодом подтверждения из SMS — раз, и диапазоны IP-адресов для входа — два. Неужели ничего не сделано было? Впрочем, получив копию паспорта Дмитрия, тоже можно сбросить его пароль через техподдержку.
+3
AcidVenom ,   * (был изменён)
Видимо, подобран пароль к reg.ru и домен передан другому аккаунту. Ну и засада со сменой администратора, что требуется только приемка на новом адресе.
P.S.: отсутствие двухфактора на доходном проекте — плохой тон.
+6
Lico ,  
Вот именно, почему-то нет подтверждения старого владельца, он как бы тут и не причем
–2
+1 –3
MMik ,   * (был изменён)
Ну и засада со сменой администратора, что требуется только приемка на новом адресе.
Не вижу проблемы со стороны сервиса. Наоборот, логично, что если я авторизован как администратор домена, то могу кому угодно свои домены отдавать. Или вы тут хотите, чтобы reg.ru присылал e-mail/SMS для подтверждения? Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет.
0
AcidVenom ,  
Скорее всего, это регламент ICANN. Верно это или нет, не знаю. Если бы спросили меня, то я бы так не оставлял.
+18
+19 –1
FeNUMe ,  
Недавно переносил свой домен от godaddy к namecheap, письма приходили на каждый «чих»: разблокировка домена, перевод, принятие, подтверждение/изменение инфы, верификация, блокировка. Так что это обычный ру-бизнес от рег.ру
0
BaRoN ,  
Так это передача от регистратора другому регистратору. Тут же внутри одного регистратора REG.RU была передача, судя по всему.
+5
lolhunter ,  
Не ради рекламы.
В мастернейме переводил домен внутри партнера между аккаунтами. Подтверждение от обоих аккаунтов с паролями на почту.
Партнер ничего сделать не может.
Человек, получивший логин/пароль — ничего сделать не может.
Лаг передачи 1 день, то есть домен не моментально переходит, а есть задержка, что бы вернуть все назад…
Тут же просто треш.
+2
BaRoN ,  
Ну да, неудобненько получилось. Внутри годэдди 100500 лет назад передавали домен с аккаунта на аккаунт без подтверждений, возможно сейчас стало лучше. Хотя не так давно была история про воровство твиттер-аккаунта через суппорт Godaddy.

Очень круто, что в мастернэйме всё отлично. Если ещё и на вход и 2FA есть, конечно.
0
Killer ,  
внутри godaddy два года назад я передавал свой домен с подтверждением и давалось время на «передумать»
0
site6893 ,  
godaddy это особенная клоака, не стоит их со всеми остальными сравнивать.
+2
algotrader2013 ,   * (был изменён)
Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет

Нормальные сервисы (не знаю, как регистраторы, но из других отраслей) в таких случаях требуют регистрации APIKEY с подтверждением по SMS либо хотя бы e-mail. И напоминают перед нажатием кнопки, что человек серьезно рискует, позволяя знатоку ключа без подтверждений делать операции с его активами. Также есть практика вайтлистинга клиентов API
0
MMik ,  
Для регистрации на API там нет подтверждения по e-mail/SMS, но из плюсов – можно настроить аутентификацию в API аж по сертификату. Так же можно включить API только для белого списка IP адресов.
+5
lolhunter ,  
Не вижу проблемы со стороны сервиса. Наоборот, логично, что если я авторизован как администратор домена, то могу кому угодно свои домены отдавать. Или вы тут хотите, чтобы reg.ru присылал e-mail/SMS для подтверждения? Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет.

Это дыра. Просто дыра.
API требует ключиков.
У вас увели куки и отправили ваши домены на другой аккаунт — нет проблем.
Слава богу я в REG.RU ничего не храню…
0
MMik ,  
habrahabr.ru/post/343786/#comment_10549732 — API позволяет использовать SSL сертификат клиентский, и ограничивает по IP, если надо.
0
lolhunter ,  
Да. Я и говорю, что по API увести не так просто. Как минимум украсть сертификат. Для того, что бы зайти — достаточно увести куки.
+2
+4 –2
Lico ,  
Пока непонятно что именно взломали, ищем следы. Но да, ничего через смс не было настроено, настроили уже после этого случая. Просто сам факт что без подтверждения можно было сменить админа домена — крайне странный)
+3
+4 –1
dkukushkin ,  
Но да, ничего через смс не было настроено, настроили уже после этого случая.

Ну вот, а говорите «грамотно организовал свой бизнес».

Просто сам факт что без подтверждения можно было сменить админа домена — крайне странный)

Письмо могли удалить, чтобы замести следы.
+3
syno66 ,  
Да, в информационной безопасности в бизнесе была дыра. Сейчас закрыта, да уже поздно. Есть и второй вариант — что взломали почту, а письма «лишние» потом удалили. Но поскольку домен в международной зоне — они могли просто и не приходить
0
dron41k ,  
Так можно же посмотреть, откуда заходили на почту?
0
Lico ,  
На момент начала разбора полетов последние действия на предмет левых айпишников в gmail были чисты. Да и получение доступа в личный кабинет скорее всего был скучен в плане технической части — без взломов, подборов паролей, фишинга и прочего. Но до прояснения ситуации и прямых доказательств рано что-либо утверждать.
0
Dymatize ,  
Как мне ответили, мои домены унесли вот так…
habrahabr.ru/post/343786/#comment_10550978

Как то так, не понимаю правда как…
+2
batyrmastyr ,  
Только подключение уведомлений по СМС у них того… неадекватное малость. СМС может и не дойти, повторной отправки нет, а при повторной попытке подключения на тот же номер учётку блокируют на сутки. И никаких уведомлений в почту не шлют, идиоты.
–1
Alessandra ,   * (был изменён)
Это в прошлом, правда. Сейчас SMS доходят, всё как надо. Если есть проблемы — решаются в оперативном порядке с SMS-провайдером. Также есть функция повторной отправки и предусмотрен тайм-аут. Блокировка длится 2 часа, но есть возможность разблокировать раньше.

UPD. И да, уведомления на почту также отправляются.
+5
AcidVenom ,   * (был изменён)
Одна надежда в этой ситуации есть — домен не может быть перенесен к другому регистратору в течение 60 дней. У вас еще есть какая-то надежда. Если конечно злоумышленник не подготовился.
+3
syno66 ,  
Да, если не уведомил предварительно администрацию, как тут написано) Но пока он еще у этого регистратора, и значит шансы есть
–1
askv ,  
Помнится когда геодомены в .ru (msk.ru, spb.ru и т.п.) были бесплатными, то relcom делал перенос другому администратору, если получал подтверждение от email из soa-записи. Если зона была недоступна, то подтверждение считалось полученным. Я так пару доменов у киберсквоттеров забрал…
0
tankistua ,  

У нас надо письмо написать, сделать его скан и отправить на электронку вместе со сканом паспорта

0
MMik ,  
Этого мало. Нужно подпись на письме просить заверять у нотариуса. Сканов паспортов в сети — как грязи, подделать скан элементарно (ну или недорого).
0
tankistua ,  

Не спорю — но у нас ко всему есть еще код потверждения передачи и указываешь куда домен переводится

–18
+2 –20
porutchik ,  
А рег.ру-то в чём виноват?
+25
+26 –1
Hardcoin ,  

Отдал домен другому человеку без всякого подтверждения от текущего владельца?

–13
+4 –17
porutchik ,  
Как без всякого? А кто в личный кабинет логинился и заявку на передачу подавал?
+21
Hardcoin ,  

Судя по статье — взломщик. А вы как считаете?

0
+2 –2
porutchik ,  
А как на ваш взгляд надо передавать домены gTLD?
+6
rahem ,  
Вообще-то передача домена серьёзный шаг и после подачи команды в ЛК должно быть дополнительное подтверждение «вторым» фактором — не по электронке, а через СМС или звонком. Сомневаюсь, что передача домена частая процедура в рамках регистратора, если только они так не зарабатывают на тех, кто не включает 2FA сам.
+1
+3 –2
Lico ,  
Проблема в том, что на данный момент даже первого фактора нет (кроме пароля от ЛК). После создания заявки подтверждение требуется только у того, кто принимает.
0
Merkat0r ,  
Передача домена не то, чтобы частая, а ОЧЕНЬ частая процедура.
Кстати, домен то наверно был на частное лицо, потому и так все по упрощенной процедуре вышло, оформленный на компанию требует кучу анальных страданий :)
0
porutchik ,  
У Регру есть 2фа для логина в личный кабинет. Ничего не мешает включить эту опцию.
+3
JohnnyBlack ,  
Вопрос безопасности аккаунта — это одно, дебильная организация процесса передачи доменов — это другое. Вот речь преимущественно про второе.
0
mSnus ,  
Что-то не вижу в настройках такой опции
0
porutchik ,  
image
+1
UncleAndy ,  
Я тоже не сразу нашел. По идее, оно должно быть в «Безопасности», а реально — в «SMS операциях».
+2
mSnus ,  
Спасибо большое! Л — логика.
+4
Hardcoin ,  

Подтверждение через почту/ключом апи. Блок-период, в течении которого, если поступили претензии, вернуть все как было и затребовать документы.


Фраза "вы юридически больше не являетесь администратором домена" через 10 минут после кражи пароля — это перебор.


Я более чем уверен, что сменить владельца домена google.com с помощью одного лишь пароля от админки не выйдет.

+17
dartraiden ,   * (был изменён)
Reg.ru отчасти виноват тем, что для передачи домена достаточно залогиниться в личный кабинет Reg.ru.

То есть, текущему владельцу не приходит на почту «кто-то (может, быть даже вы) из вашего аккаунта пытается передать домен — подтвердите, пожалуйста, что это вы».

Такая простая мера безопасности усложнила бы жизнь злоумышленнику: кроме учётных данных от личного кабинета регистратора ему пришлось бы получить доступ к почте. Вы, конечно, можете сказать «люди часто используют один и тот же пароль везде», но у почтового сервиса может быть 2-факторная авторизация.

Довольно странно видеть такой низкий уровень защищённости, когда речь идёт о доменных именах, которые порой могут очень дорого стоить.
+5
+6 –1
dartraiden ,   * (был изменён)
Впрочем, отчасти виноват и владелец домена. Похоже, что он не включил подтверждение входа в личный кабинет по SMS. Перехват SMS, конечно, не является чем-то невыполнимым (достаточно случаев, когда по липовой доверенности в салоне сотового оператора перевыпускают сим-карту), особенно, когда на кону большой приз, но всё же — злоумышленнику пришлось бы либо светиться там лично, либо через подставное лицо, что уже даёт зацепки IRL. А украсть логин-пароль и состряпать поддельный скан паспорта (вроде бы, регистратор требует эти данные от нового владельца) можно и онлайн.
+2
batyrmastyr ,  
Подключение СМС они в пьяном бреду делали — запросто окажешься без СМС, но с заблокированной учёткой.
+2
syno66 ,  
Да, виноват, признаю :)
+1
algotrader2013 ,  
Можно было хотя бы, вместо юридического ответа в пятидневный срок, предоставить логи, и помочь разобраться с проишедшим
+2
JohnnyBlack ,  
Вроде бы Рег.ру даёт понять, что не заинтересован в каком-либо содействии, учитывая тот факт, что подобные случаи имеют место быть уже несколько лет. Думаю, они также прекрасно знают, что и полиция особо делать тоже ничего не будет. Но будет и со стороны компании, и со стороны полиции что-то в духе «самдурак».
–7
+1 –8
Alessandra ,  
Мимо. Мы открыты для переговоров и готовы предоставить уполномоченным органам все необходимые данные для расследования.
0
antanariva ,  
Полиция дело сложное, но порой там грамотные ребята, лишь бы специалисты подключились, вымогательство в 700к не хилое дело.
–7
+2 –9
Alessandra ,  
Разумеется, мы ответим быстрее. Это максимально возможный срок ожидания.
+2
krawster ,   * (был изменён)
Вы серьезно? При угоне домена, если не можете защитить владельца, максимально возможный срок ожидания должен быть мгновенно!
UPD: это же ваша репутация, неужели вам её не жалко
–6
Alessandra ,  
Мы оперативно установили запрет на любые операции с доменом, чтобы клиент смог обратиться в уполномоченные органы и решить этот вопрос. А что касается полноценного ответа от юридического отдела, то тут как минимум нужно провести внутреннее расследование, для чего требуется время. И тут же хотим заметить, что ответ был предоставлен куда быстрее, чем заявленные 5 дней.
+7
Dymatize ,  
Точно установили, не врете?
А ну ка взгляните ка пожалуйста сюда Ticket#2017113066001553
Хотите я продублирую всю переписку сюда, точно?
+23
+25 –2
akhmelev ,   * (был изменён)
Тупой взломщик просто попался. Умный бы оставил днсы на 60 дней, а потом спокойно забрал бы себе домен. regru конечно виноват. Такой отписочный саппорт — верх отстойности сервиса. Но владелец домена — тоже далеко не вершина интеллектуального развития.
0
leonaded ,  
Так его бы это не спасло, ведь письма после смены администратора домена же всё равно пришли.
–1
akhmelev ,  
Если угнали почту, а потом домен, то это не проблема.
0
akhmelev ,  
Хотя да, ошибаюсь, тут не тот случай похоже.
+8
daemonhk ,   * (был изменён)
Но владелец домена — тоже далеко не вершина интеллектуального развития.

А вы думаете что все владельцы доменов мозги IT-индустрии? Большинству нужно думать о бизнесе.
0
x67 ,  
Защищенность этого бизнеса в такие думы не входит?
+2
syno66 ,  
Полностью согласен — с безопасностью прокололись, теперь будем умнее)
0
Temmokan ,  
Как минимум прикрывать всё, что можно, аутентификацией по второму каналу.

Дополнительно — не использовать ту же почту, которая для переписки, для восстановления учётных записей. Как минимум, меньше риска потерять доступ ко всему, что использует почтовый ящик для восстановления доступа.

Впрочем, полагаю, вы не только эти рекомендации уже выслушали раз так сто…
–11
+1 –12
Alessandra ,  
Уточните, в чем именно виноват регистратор? Пользователь сам не воспользовался доступными инструментами и не принял меры по безопасности своего аккаунта. Клиенту все ответили верно и согласно регламенту.
+15
Seekeer ,  
>согласно регламенту.
Вам намекают, что виноват как раз в кривом регламенте.
+10
faiwer ,  
Уточните, в чем именно виноват регистратор?

В том, что позволяет производить настолько серьёзные действия без дополнительных проверок, тем самым подвергая огромный процент своих клиентов риску потерять свой домен.


Это чем-то сродне открытому канализацонному люку. Человек, конечно, сам виноват, что не смотрел по сторонам, уставившись в телефон, и упал внутрь, сломав ноги, но главный разгильдяй — мастер, оставивший его открытым.

+1
Mia_Lebedeva ,  
Сообщаю, что на данный момент 2017 год. С такой сияющей дырой в безопасности вашего сервиса, вы рискуете так и остаться в 90Х. Для того чтоб избежать мокрых штанов можно было просто обязать пользователей на смс аутентификацию. Минимум. Вот у нас адсервер с пользователями, мало того что автогенер паролей ежемесячный, аутентификация трехуровневая так еще и саппорт не тыкает регламентами пользователям в лицо. Есть стандартные ситуации, а есть ситуации когда нужно сделать выводы и откровенно не забивать на клиента. Судя по тону мошенника, не в первой. И не последний раз. Это аккаунт Его но на ВАШЕМ сервисе, который абсолютно не подготовлен к таким стандартным процедурам, как защита от несанкционированной смены администратора домена.
–2
Alessandra ,   * (был изменён)
Друзья, все действия связанные с международными доменными именами регулируются политиками ICANN, которые регламентируют все действия регистратора. Например, в регламентах ICANN не указано, что регистратор в подобном случае может сменить DNS домена на тот, что был до операции компрометации данных, но наш опыт и опыт коллег невзирая на этот пробел в регламенте говорит, что нам нужно брать даже не предусмотренную ответственность на себя и гарантировать делегирование домена.

Безусловно, помимо того, что регистратор оказывает услуги ведения Реестра, должен ещё и просвещать, делясь знания со своими клиентами. Мы стараемся изо всех сил, в том числе, и участием в таких сложных публичных темах, где обвинение является общественной нормой, но разобраться в ситуации могут немногие. Мы уверены, что этот и другие подобные случаи, которые могут случиться в REG.RU будут разобраны беспристрастно и зло будет наказано.
0
vikarti ,  
Вот будет интересно чем все это кончиться, в том числе и если домен НЕ будет возвращен а ситуация окажется более сложной (вы писали что у вас бывают… более сложные… ситуации)
0
Flakky ,   * (был изменён)
А нельзя просто попросить узнать паспорт текущего владельца, предоставив паспорт прошлого владельца, то есть вас? Полагаю, Reg.ru может это сделать, так как явно взлом (особенно учитывая, что есть переписка и сомнительные действия). Паспрорт уже напрямую отправлять в полицию и суд.

Да и к тому же человек даст вам реквизиты счета (уж 700к принять без аутентификации по паспорту нереально, если только это не криптовалюты), по ним легко определить, кто владелец через ту же полицию…

Но а вообще да, надо быть аккуратными. Все привязывать через СМС хотя бы, особенно если на домене бизнес с прибылью.

И да, не забудьте написать, как его потом посадят) Полагаю уж очень неаккуратно он выполнил такую разводку, если, конечно, все не на поддельные паспорта и счета.
+4
+5 –1
MMik ,  
После этой публикации Влад уже не даст номер счёта. Наверняка он на Хабре зарегистрирован. Надо было не публиковать тут весь материал сгоряча, а при сотрудничестве отдела К выудить у Влада чуть больше деанонимизирующей информации.
+13
+14 –1
Vengant ,  
Я крепко подозреваю, что никакой отдел К этим заниматься не будет. И вообще никто не будет. Имел пару лет назад опыт общения с полицией на тему преступления в области ИТ — всем пофиг.
+4
MMik ,  
Тоже пару лет назад имел дело с отделом К: приходили с логами с серверов ко мне в телеком, просили помочь разобраться со взломом, запрашивали дополнительные детали по трафику.
Опыт работы с отделом К от конкретных людей зависит, на надо их всех под одну гребёнку.
+2
dartraiden ,  
Сотрудник одного из провайдеров недавно делился в Телеграме увлекательной историей, как из правоохранительных органов к ним поступил запрос на выдачу всей доступной информации об одном IP-адресе. Оказалось, что этот IP принадлежал самим же правоохранительным органам, то есть, вместо IP злоумышленника правоохранители прислали свой собственный адрес.
+2
faiwer ,  
вместо IP злоумышленника правоохранители прислали свой собственный адрес

Не исключено, что тут нет никакой ошибки ;)

+2
Germanets ,  
С большой вероятностью это либо попытка отследить действия какого-либо своего же сотрудника, то есть работы службы собственной безопасности, либо вообще расследование инцидента, например выяснение, к каким адресам лез вредонос, отсылавший файлы с их собственно компа…
0
alex-1917 ,  
Пока такие сотрудники существуют, дыры будут вечными.
0
midday ,  
Зря вы так думаете. Если дело касается не просто по «взлому», а вымогательство, т.е. уже не Айти тематика. Тут правоохранители будут рады вам помочь.
0
Dolios ,  
Там будет номер биткоин кошелька, мошенники не совсем идиоты.
+1
0o0 ,  
Паспорт нового владельца — это персональные данные вообще-то. Вот милиция пусть и запрашивает. А автору не должны дать. Если всё по правилам делать.
Хотя вот видео с камер наблюдения в подъезде я уже два раза лично запрашивал, хоть и говорили, что тоже не должны давать всем подряд. Только дяденькам в погонах.
0
arandomic ,  
Видео с камер наблюдения в подъезде обычно может получить любой житель подъезда (т.к. он это видеонаблюдение и оплачивает.)
+2
enabokov ,  
Новый владелец по-видимому тоже загрузил скан какого-то паспорта?
0
Dreyk ,  
наверняка там паспорт, полученный за чекушку у бомжа Васи
+3
MMik ,  
Там либо никакого паспорта, либо паспорт Victor'а Yukechev'ва (ссылка).
0
Dreyk ,  
никакого не может быть, так как поддержка не смогла сверить данные автора из-за их смены в профиле. но далее если же там настоящий паспорт — не факт, что Victor Yukechev — это вообще тот, кто все это сделал :)
0
MMik ,  
Смены данных в профиле Дмитрия не происходило, если я правильно понял. Просто залогинились и передали домен на аккаунт Victor Yukechev.

К слову, у Виктора Юкечева тоже в своё время домен крали:
In November 2016, Victor Yukechev told Amnesty International that in June 2016 “taktaktak.org” domain was stolen under very strange circumstances and later re-registered in Bahamas, while the website’s counter was changed from an IP-address in Donetsk Region of Ukraine. As a result, the Tak-Tak-Tak network had to move to another domain...
NS у этого домена сейчас на mchost.ru.
0
enabokov ,  
Victor Yukechev может ничего и не делал, но объясняться по этому делу в первую очередь придётся тому, чей паспорт светится в системе. Допустим, в системе данные подставного лица, и ему придётся объяснять как он получил этот домен. Если этот «бомж Вася» знать ничего не знает, на лицо мошенничество. Что делает reg.ru, если администратор использует подложные документы?
Очень скептически отношусь к возможностям и желаниям полиции расследовать подобные дела (да и вообще), но считаю правильным что автор обратился в полицию. Тут всё будет зависеть от активности пострадавшего.
+1
iXF ,  
Когда берешь кредиты/рассрочки, ваш паспорт фоткает/сканит сотрудник магазина, либо кред. организация и ушлым людям, которые работают на банки и магазины ничего не стоит заслать себе копию на мыло и потом слить куда-то.
+1
lpwaterhouse ,  
Боже, да можно просто по документам в вк поискать или на каком-нибудь хостинге картинок. Там и коллекцию паспортов, и карточек, и черт еще знает каких интересных данных собрать можно. И все сами выкладывают, сами!
+1
site6893 ,  
всегда заставляю сотрудника при мне поставить штамп оргнанизации с датой на скане, либо если совсем уж упоротые, сам от руки пишу при подписывании что за огранизация получила скан.
0
BigD ,  

Как это — штамп на скане?

+7
dvayanu ,  
Удачи Дмитрию.
+1
syno66 ,  
Большое спасибо!
+25
+28 –3
SONce ,  
Опять нарушили первое правило ИТ бизнеса в России, за что и поплатились.
А регру уже крайне давно известен своим идиотски-наплевательским отношением к клиентам, да и сервисом в целом.
0
hisbvdis ,  

А что это за первое правило?

+16
+18 –2
TheShock ,  
Не вести бизнес в России
+5
FeNUMe ,  
Гуглите «9,5 правил ведения безопасного IT-бизнеса в России»
+3
+4 –1
UdarEC ,   * (был изменён)
Да, а зарубежные регистраторы все такие пушистые, gandi, например (https://habrahabr.ru/post/115298/ и т.п.)
Почти любой из популярных зарубежных регистраторов блочит домен на раз два, если им померещится опасность.

ТС нарушил правило в том, что не перенес к нормальному регистратору с блокировкой домена и не сделал зеркало для сайта с альтернативным доменом.
+21
+22 –1
lopatoid ,  
к известному и уважаемому регистратору, и выбрал в качестве сего регистратора компанию REG.RU.

facepalm.jpg
Это в какой вселенной reg.ru является уважаемым регистратором? Известным — возможно, многим действительно известно кол-во плохих отзывов об этом регистраторе.
+1
alcanoid ,  
Кстати, а кого бы вы порекомендовали?
+2
nochkin ,  
Для .net полно нормальных регистраров ведь. Это же не .ru, где ограничение по выбору.
0
zalexz ,  
Для международных доменов (не .ru) уже много лет нет никаких претензий к name.com.
+2
Alessandra ,  
Уточните, чем именно конкретно вам не угодил наш сервис? Постараемся принять ваш фидбэк в работу, чтобы стать лучше.
+2
dartraiden ,   * (был изменён)
Например тем, что принадлежит Филиппу Гросс-Днепрову, которого многие считают киберсквоттером, хотя он предпочитает именовать себя «домейнером».
–5
+3 –8
Alessandra ,  
Филипп является соучредителем компании, это верно. Комментировать слухи как минимум непрофессионально, поэтому мы воздержимся. Вопрос остаётся открытым, чем вам не угодил сервис? Или это единственное, что вас смущает?
+1
Arris ,  
+1
Technounit ,   * (был изменён)
млин, надо бы все наши домены с этого рег.ру(если они там есть) на нормального регистратора перевести…
+1
dartraiden ,  
Включите хотя бы подтверждение входа по SMS уже сейчас.
+1
syno66 ,  
Включили, и в рег.ру, и на почте. Сильно и быстро поумнели в этом плане)
0
UncleAndy ,  
Можете привести пример «нормального регистратора» для доменов в зоне «ru»? Я-бы вот тоже перенес, но что-то не нашел таких.
–5
+2 –7
Alessandra ,  
Пардон, но в данном случае дело ведь не в регистраторе. Функционал для защиты аккаунта у нас есть, надеемся, что вы им пользуетесь.
0
Vilgelm ,  
У друга была подобная ситуация с NetworkSolutions: злоумышленник каким-то образом получил доступ к аккаунту, сменил почту на похожую (подменил l на I), о чем уведомлений не было и попытался увести домен к другому регистратору (о чем тоже уведомлений не было, почту то сменили). Я случайно это заметил, написали в саппорт NetworkSolutions и они приостановили передачу домена. Но заодно заморозили аккаунт и сказали что разморозят только по скану паспорта (что как бы логично). Но или злоумышленник успел сменить данные аккаунта или они принимают только американские паспорта, но разморозить аккаунт так и не удалось (пробовали даже нотариально заверенные копии с нотариальным же переводом отсылать). В итоге домен до сих пор заморожен и кто-то его раз в год продляет.
0
kuftachev ,  
Согласен на 100%, сервис у больших компаний приблизительно одинаково плохой сервис вовсем мире, бывают конечно приятные исключения, но это отдельно.
+7
asmrnv777 ,  
регру очередное днище пробил :)
0
+2 –2
Alessandra ,  
Разве? Тем, что клиент не включил опции по защите своего аккаунта, которые мы предлагаем?
0
Dymatize ,  
Извините пожалуйста, вам знакома эта, так сказать, фича? www.reg.ru/domain/service/transfer_services

Объясните пожалуйста, как мои домены смогли украсть с помощью нее?
Как смогли подтвердить почту и откуда мои копии документов у них?
Аккаунта у reg.ru у меня вообще не было, был только у 2domains, а от них к reg.ru нельзя перенести домен полностью (что и было сделано), перенос осуществлен с помощью этой вашей «фичи» был, а потом домену спокойно сменили данные, ибо он уже не моим стал…
+3
Lico ,   * (был изменён)
Проблема не в опциях защиты — с ними с вашей стороны проблем никаких — все корректно, а в вот такой процедуре передачи домена, когда для передачи международного домена требуется только доступ в ЛК и ничего более. И нет никаких других мер защиты — даже какого-никакого подтверждения через ссылку на почте или вменяемого временного лага.
+2
Amphetamin ,  
Я через гугл аутефикацию защитил акк с доменами. Но у другого регистратора.
0
SanekPlus ,  

Если очень нужно, то можно и вашу симку "перевыпустить".

+6
Amphetamin ,  
Вы знаете что такое Google Authenticator? Это приложение, устанавливается на смартфон. Каждый раз генерирует рандомное число. Никак не связано с симками. И перевыпуск симки никак не поможет перехватить код. Только кража телефона.
+2
+3 –1
areht ,  
А что вы будете делать, если потеряете/сломаете телефон?
+2
+3 –1
Neris ,  

Для этого есть резервные коды, которые распечатываются на бумажный листик и хранятся в надежном месте.

+3
Barafu ,  
Использует код восстановления OTP, который у него записан на бумажке, лежащей в сейфе.
+1
Prototik ,  
TOTP ведь не только для телефонов доступен, у меня например все коды продублированы на ноутбуке, причём все они зашифрованы моим gpg ключом, ну и всё это дело бэкапится, конечно.
image
0
areht ,  
Мне попадалось только сервисы, где штатно можно только один генератор токенов привязать. Не знаю можно ли клонировать Google Authenticator на ноут.

Впрочем, бекапы потерять тоже можно. И обычно есть опция восстановления через sms/телефон, чего при воровстве симки достаточно.
+1
Prototik ,   * (был изменён)
Для этого не нужна никакая поддержка со стороны сервиса: в момент включения otp выдаётся (обычно) qr code и секрет в сыром виде. Хоть на 100500 устройств добавляйте — логика одна. Если секрет и не выдаётся — всегда можно декодировать qr любым ридером и выдрать секрет оттуда.
Впрочем, бекапы потерять тоже можно

Правила сохранности бекапов никто не отменял — их должно быть >1 и они не должны быть все в одном месте. Поскольку все они зашифрованы — можно хоть на все cloud сервисы их залить разом, а-ля dropbox, gdrive, /etc…
0
areht ,  
Попробую, спасибо.

Вопрос был всё же не про как хранить бекапы OTP, а про способы восстановления доступа для тех неудачников, что всё же потеряли OTP.
0
xpert13 ,  
Я когда-то на Амазоне восстанавливал: написал им в саппорт, мне на телефон позвонил индус, мы с ним мило пообщались и он отключил двухфакторную авторизацию на аккаунте.

На другом сервисе (кстати регистраторе доменов) так же через саппорт выключили (на этот раз подтверждение было через смс).

В принципе я думаю у каждого сервиса есть какой-то вариант восстановления доступа в случае форс-мажорных ситуаций.
+1
areht ,  

Обычно есть, но если он слабее 2-х факторной авторизации через OTP, то успокаивать себя наличием OTP наивно. Обычно это именно подмена TOTP на проверку по телефону.


А лучше бы с письменным заявлением и паспортом.

0
ChiefMate ,  
Можно использовать не гугловский аутентификатор, а опенсорсный FreeOTP.
Не знаю, как на iOS, но на Андроиде можно без малейшего труда скопировать tokens.xml на другое (третье) устройство и использовать их параллельно. Пробовал, работает.
–1
SanekPlus ,  
Да знаю, Google Authenticator это такой способ аутентификации, вместо которого в любой момент прохождения аутентификации можно выбрать аутентификацию по SMS
0
FeNUMe ,  
Google Authenticator это OTP-генератор(TOTP/HOTP) и его можно использовать для аутентификации в любых сервисах поддерживающих эти стандарты. В данном случае человек использует его с регистратором доменов и далеко не факт что там есть fallback на смс.
Лично я правда отказался от мобильных OTP-генераторов — есть не нулевая вероятность потерять телефон и потом морочиться с восстановлением доступа ко всем сервисам где его использовал. Хоть это и не сложно, но мне лень, потому использую десктопный WinAuth с синхронизацией базы в облако.
+1
vikarti ,  
Есть (платный немного) Authenticator+ который может раз импортировать базу с Google Authenticator (на рутованном девайсе) а потом эту базу синхронизировать между устройствами (с шифрованием конечно). Ну или можно его с самого начала использовать.
0
SanekPlus ,   * (был изменён)
А. Мне показалось, что человек поставил такую аутентификацию на gmail. Глюканул. Прочитал по диагонали.
0
0pana ,  
Google Authenticator нормально бекапится Titanium Backup с последующим восстановлением на любом андроид устройстве.
0
FeNUMe ,  
Дело не в бекапе, а том чтобы «новый хозяин» не получил доступ куда не положено.
0
redmanmale ,  
Если есть пароль на вход (и включено шифрование памяти), то это не проблема.
+2
PaulAtreides ,  
У вас какой-то излишне хитрый план — и заявление в полицию и пост на хабр. То ли история на самом деле уже закончилась и вам есть, что рассказать, то ли вы не очень дальновидно поступаете.
+19
FeNUMe ,  
Скорее это попытка медийно повлиять на рег.ру чтобы вместо отписок немного пошевелились.
+4
syno66 ,  
Именно, пытаемся действовать по всем фронтам, так как время может многое решать
0
anprs ,  
Не опасаетесь спугнуть злоумышленника? Побыстрому продаст домен за бесценок…
+2
syno66 ,  
Там 60 дней с доменом вроде как ничего сделать нельзя, судя по условиям, опубликованным на сайте REG.RU
+7
Arris ,  
Летом имел поимел печальный опыт общения с техподдержкой REG.RU (тех.администрирую один форум).

Таких… <вырезано цензурой> «специалистов» я не видел давно.

У нас в одной из подпапок форума появилась папка, которая была являлась символической ссылкой на корень вирт.корень. Разумеется, удалить её не удавалось ни через FTP, ни через «панель управления».

Сначала (первую неделю) пришлось доказывать техподдержке, что я — тот, кто вправе вообще просить их рассмотреть хоть какую-то заявку. То есть «ну и что, что вы ввели два пароля и из панели управления аккаунта заполняете тикет. А вы докажите, что вы имеете право такие тикеты составлять, а то может вы аккаунт взломали».

Ну окей, тут я еще могу их понять, это выглядит разумным, хотя они это выясняли с упорством, достойным лучшего применения и требовали чуть ли не нотариально заверенный скан нотариально заверенной ксерокопии паспорта реального владельца рядом с таковой же ксерокопией моего паспорта с заявлением о том, что мне реальный владелец предоставляет мне право логиниться и что-то делать в панели управления.

Следующую неделю я пытался доказать им, что проблема вообще есть.

Они искали эту папку где угодно, но не там, где она на самом деле была. В ответ приводили листинги каталогов из корня, листинги каталогов из каких-то левых папок — и везде — «Мы внимательно изучили проблему и не обнаружили по указанному Вами пути указанной Вами папки».

Хуже того, стоило в инпут-форме появиться символу
--
всё, что было после этого символа обрезалось. Причем обнаруживалось это только после того, как ты напишешь ответ, приложишь логи, расскажешь, что ты делал, нажмешь сабмит в форме… и увидишь, что от твоего сообщения осталась только первая фраза.

Разумеется все предыдущие сообщения в переписке горе-специалисты не читали и отвечали по своему разумению только на самое последнее, не вникая в суть проблемы. Сводились ответы к следующему:

«мы этой проблемы у вас не нашли, поэтому её у вас нет...»

Мы хостинг номер 1 в стране, у нас нет багов!"


Единственное что помогало хоть немного расшевелить этих специалистов (и заставить их читать хотя бы на одно сообщение назад) — это покрыть их площадной бранью, не стесняясь в выражениях.

В конечном итоге проблема решилась, но нервы я себе попортил изрядно.
+8
kafeman ,  
Хуже того, стоило в инпут-форме появиться символу
--
всё, что было после этого символа обрезалось.
SQL-комментарий? :-)
+3
+4 –1
Arris ,   * (был изменён)
Понятия не имею. Меня ведь это не должно волновать, правда? :)
Я же в данном случае потребитель услуги, а как там у них на сервере все настроено и почему так криво работает тикет-система — это не моя задача совсем ;-)

P.S. Я цитировал команды к мускулю (мы там еще параллельно решали другую задачу, у меня по крону бэкап на ЯД запускался — только вот он запускался не так как я хотел, а строго как попало).

После оооооочень долгой ругани они эту проблему признали ошибкой. Но вот исправили ли — это я не знаю.
+5
Germanets ,  
Интересно, сколько народа после этого сообщения пошла тестить REG.ru на инъекции)
+7
achekalin ,  
— Ваше имя?
— Оно сложновато, но пишите: минус-минус-Иван
— Ой, у меня форма закрылась, вы наверное хакер!
+10
alix_ginger ,  
Робин-брось-таблицу

Ее дочь зовут Помогите! Меня заставляют подделывать паспорта.
+2
achekalin ,  
Нужно уже табличку бородатых картинок завести, и ссылки на нее постить.
А этот перевод не такой смешной, как другой, где-то ходящий: «Да, дома мы зовем его Дропик!»
+1
alix_ginger ,  
И в комментарии писать только ID картинки из таблицы
+8
Areso ,  
Добро пожаловать на xkcd. В частности, картинка выше имеет 327 номер)
+1
alix_ginger ,  
Тогда нужно еще указывать адрес сайта, типа xkcd.com/327. И сделать, например, расширение браузера, которое будет брать картинку по указанному идентификатору и показывать ее вместо него…
0
askv ,  
Там прямые ссылки есть на картинки…
+1
Ugrum ,  
-Анекдот №88!
-Фуу, баянище.
0
Superl3n1n ,  
Не хочу показаться снобом, но в данном случае все анекдоты будут баянами.
+1
TheShock ,  
Главное — как рассказать
0
Superl3n1n ,  
-Анекдот №88!
0
TheShock ,   * (был изменён)
Понимаешь, анекдот то смешной, просто есть люди которые умеют анекдоты рассказывать, а есть те которые не умеют!

Вот вы — не умеете))
0
Mingun ,  

Где это он, интересно, ходит? Везде видел только этот.

+2
z3apa3a ,  
Подпись в письме.
+1
firk ,  
У нас в одной из подпапок форума появилась папка, которая была являлась символической ссылкой на корень вирт.корень. Разумеется, удалить её не удавалось ни через FTP, ни через «панель управления».

Весьма странно. Должна без проблем удаляться как обычный файл. Может быть ваш фтп-клиент неадекватно обрабатывает символические ссылки. Если разбираться с багами фтп-клиента лень — можно удалить скриптом (у вас же был форум на пхп и никаких строгих прав доступа не было настроено?) <?php unlink(путь_к_симлинку);


А так я бы тоже что-то заподозревал, если бы клиент, у которого есть доступ к этим действиям, почему-то просит техподдержку их сделать.

+1
Arris ,   * (был изменён)
Мой FTP-клиент — это FAR. Но я пробовал еще через FileZilla и через что-то еще.

А так я бы тоже что-то заподозревал, если бы клиент, у которого есть доступ к этим действиям, почему-то просит техподдержку их сделать.

Ну да, ну да. А почему они потом неделю пытались эту папку найти и не могли? :) Пока носом не ткнул в каталог, где она лежит, не нашли.
0
Dark_Purple ,  
Пойду пароли сменю…
+3
KoToZoid ,  
Очень интересная публикация и полезная. Спасибо за неё Дмитрию и удачи! Однако, Дмитрий явно поторопился с ней. Хабр достаточно известный ресурс, чтобы информация достаточно попала, в том числе, к «Владу Рымарёву». Несложно предположить, что это вряд-ли будет способствовать успеху следствия. Не зря в УПК РФ есть статья 161 о «недопустимости разглашения данных предварительного расследования». Да, формально, Дмитрий, видимо, подписки о неразглашении не давал, но всё же жаль, если следствием эмоционального порыва поделиться важной информацией, будет создана дополнительная возможность для «Влада» уклониться от ответственности. Надеюсь, хотя-бы свою собственность Дмитрию получится вернуть. Ещё раз удачи, она вам понадобится!
+7
+8 –1
wtfowned ,  
Немного не в тему, но расскажу свою грустную историю.
У меня 2 года назад увели группу в Одноклассниках стоимостью ~900к руб по рынку (800к-1.1млн), которую я растил несколько лет и вкладывал каждый месяц по 10-15 тысяч рассчитывая продать или зарабатывать с нее в перспективе по достижению заветного 1 млн человек (оставались считаные тысячи!). Было настроено SMS оповещение как при входе в ОК, секретные вопросы Gmail + двойная аутентификация, сгенереный пароль 12 символов. Как угнали и через что — до сих пор неизвестно. Взломали аккаунт основного владельца который был привязан к симке и я в этот аккаунт заходил всего несколько раз в жизни, никаких оповещений о входе или чего либо не приходило.

Обнаружил сразу, т.к. мой модератор сообщил «с группой что то не то» — повесили сразу кучу рекламы, начали лить трафик на партнерки, я до этого группу только раскачивал для дальнейшей продажи и не монетизировал.

Написал в местное отделение полиции, потом в центральное, дело передали в отдел К. Сделал все скрины, копии переписок, удостоверения что мой аккаунт, моя симка и бла бла. Штук 20 листов было. Полицейскому часа полтора объяснял что такое группа и почему она стоит 900к и как вообще могло такое произойти (кража). Молодой парень лет 30 мне отвечал примерно в духе «да у меня тут трупы неформленные...» и смотрел как на больного… сказал ответ будет в течение пары дней, в итоге недели через 2 удалось его вызвонить и он вообще про меня забыл/забил.

Естественно, в первую очередь переписку начал с техподдержкой ОК. Они сначала время тянули 1-3 дня на ответ, в первый же день признали что был взлом и что они решают вопрос, писали все время «подождите еще день», подождите еще 2 дня, мы видим подозрительную активность, мы… Потом спустя 2 недели отписались в стиле «Мы вам помочь не можем». Как злоумышленник смог сменить привязанный номер мобильного телефона и секретный вопрос — просто тупо не отвечали на этот вопрос в техподдержке. Как взломали и что именно — до сих пор не ясно, пароль подобрать было невозможно, вход был по номеру мобильника + пароль. Также был ПЕРЕПРИВЯЗАН мобильный телефон к аккаунту что я даже в него зайти не смог, хотя эта процедура всегда через СМС подтверждение со старого телефона приходит — я думаю что здесь без помощи сотрудников из самих одноклассников никак не обошлось, слышал подобные истории после этого тоже. К тому же, в одноклассниках в то время (не знаю как сейчас, после этого случая просто даже не хочу туда смотреть, в эту помойку) была возможность скрыть администратора группы реального то есть максимально обезопасить от взлома группу, но каким то образом в ОК периодически начали появляться онлайн все админы всех группы и отображаться (!!!), так было абсолютно со всеми группами. Как тогда, так и сейчас, я думаю это была какая-то чистка + консолидация групп в содружестве с определенными инвесторами и администрацией ОК чтобы иметь не тысячи разрозненных админов, а сотни крупных инвесторов.

В общем время шло, пришел спустя 3 месяца примерно ответ из полиции, отписка что «Ваша вина, вы сами виноваты что вас взломали». Хотя и взлома то не было… Если интересно могу поднять переписку, где-то хранится это все у меня, если еще не удалил с горя.
+11
firk ,  

"Группа" даже формально вам не собственность. Это просто страница на чужом (не вашем) сайте, к которой владелец того сайта вам любезно предоставил административные полномочия, и не более того. Могут отнять просто по рандомному желанию, могут дать кому-то ещё, и вообще ничем владельцы "соцсети" вам не обязаны.
Печально наблюдать как люди массово клюют на данную приманку (якобы что-то "своё" на не своём сайте, и без оплаты за хостинг и прочее) а по факту работают на владельца соцсети, увеличивая посещаемость его сайта. Владелец соцсети естественно рад поддерживать такое положение вещей — армия бесплатных раскрутчиков в его пользу.

0
YaakovTooth ,  
Так бы оно так, да не совсем так. Когда появляются финансовые инструменты, площадки для торговли (реклама) штатная от сервиса — так появляются сразу же взаимные обязательства.

Ну, если по хорошему. :)
0
+1 –1
batyrmastyr ,  
Как злоумышленник смог сменить привязанный номер мобильного телефона и секретный вопрос — просто тупо не отвечали на этот вопрос в техподдержке.

Да так же, как в Скайпе — отредактировать и сохранить. «И так сойдёт» же.
+4
Germanets ,  
Пытались, так же как автор, поднять тему на хабре\других тематических ресурсах? 900к стоят того, чтобы любыми способами пытаться расшевелить администрацию ресурса…
0
Karpion ,  
Я в ОК не был и не собираюсь. Но мне интересно, какие отношения у Вас с ОК. Например, есть ли у Вас юридически значимый договор с ОК, в котором прописаны Ваши права на группу. Потому как собственность ценой в сотни килорублей (если я правильно понял) надо прикрывать бумажными договорами.

Ещё интересно было бы страхование от кражи доменных имён, групп в соц.сетях и прочих виртуальных ценностей от кражи. Страховая компания сможет заставить полицию шевелиться, а то и своих агентов заведёт.
0
alex-1917 ,  
Внезапно, но домен страхуется. А вот прецедентов с группами в ОК и прочих больничках пока что точно не видел))) Видимо, там комиссия страх.агенту будет зашкаливать…
0
Karpion ,  
Ой, а кто страхует домены? Можно ссылочку?

Страховать группы в ОК должен сам ОК. С подписанием договора, с уплатой страхового взноса — привязать группу к эккаунту, эккаунт к личности. И вот тогда админы уже не смогут крутить своими филейными частями.

Если сам ОК не хочет устроить такую услугу — то надо обязать его законом. Надо подкинуть идею нашим думакам — им всё равно делать нечего.

А наличие на рынке такой услуги заставит пользователей хорошо понимать риски — благо соотношение страховой выплаты к взносам довольно точно отражает риски.
0
alex-1917 ,  
Ага и получить за ссылочку парилку?)) на ЭР начинается)))
Спросил у своего агента, он сказал — если регистратор выдает документ с синькой, то нет проблем застраховать, т.е. страхуется текст, примерно так — регистратор выдал бумагу, где значится владелец Вася Бубкин, что-то произошло и появилась еще одна бумага, где владелец объекта страхования — уже Игорь Зубкин — вот эта смена, грубо говоря текста, и страхуется. В нюансы не вникал, не до того.
0
Karpion ,  
Про парилку я не понял. Если Вы назовёте несколько конкурирующих компаний — то это точно не реклама.
0
+1 –1
Stealch ,  
Ну на мой взгляд нарушено первое правило системного администратора (работает — НЕ ТРОГАЙ). Сама суть переноса домена непонятна — чисто из уважения к reg.ru? Коней на переправе не меняют. Далее не была изучена досконально политика reg.ru по отношению к международным доменам ПЕРЕД переносом, а это уже косяк непосредственно админа. Ну и последнее: не была включена двухфакторная аутентификация хотя-бы на почту, ибо это самое уязвимое звено.
0
Hardcoin ,  
работает — НЕ ТРОГАЙ

Security-фиксы вы тоже не накатываете?

0
Stealch ,  

Ну не на столько же глобально! Просто переезд с одного регистратора на другого, когда все работает и автор не объясняет необходимость переезда.

0
+1 –1
JohnnyBlack ,  
А я-то думал, что Рег.ру забросил подобные «трюки» с чужими раскрученными доменами. Привет из 2011-2012 прям, не иначе.
Думаю, на почте Gmail у вас 2FA включена, а вот у Рег.ру с вопросами безопасности аккаунтов как-то вяло дела обстоят. Это «ж-ж-ж» — неспроста! Если не ошибаюсь, только ограничения доступа по IP и уведомления о входе в аккаунт.
Получается, что пароль или как-то выудили у вас (менеджер паролей в браузере, к примеру), или просто подобрали? В любом случае, где-то какие-то следы этой предпринимательской активности остались.

Аккаунт «read-only», не могу плюс поставить, но хотел бы узнать, как ситуация в итоге решится. Ну и, разумеется, пожелаю решения вопроса в вашу пользу.
–1
Alessandra ,  
О, нет. Возможности для защиты аккаунта хорошие: ограничение по IP, та же 2FA. Если бы данные опции были бы активированы пользователем, этой статьи бы попросту не было бы здесь.
+3
JohnnyBlack ,  
Звучит хорошо, однако есть два «но»: 1 — многие сервисы уже выработали у пользователей привычку искать включение/выключение 2FA на странице/вкладке «Безопасность»/«Настройки безопасности» и пр. Вполне логично, что кто-то не находит нужных опций защиты аккаунта, т.к. у вас они размещаются на странице «SMS-сервисы», что не сильно ассоциируется с 2FA и подобным, особенно при наличии рядом ссылки на страницу «Настройки безопасности». И отсюда уже 2й момент — слишком шустро уплыл домен от человека, об этом тут уже много написано в комментариях.
0
Evgeniy112 ,  
сколько раз сталкивался с косяками reg.ru, изза которых народ деньги теряет.
надеюсь у меня никогда не наступит тот черный и кошмарный день, когда я зарегаюсь на регру
0
Dymatize ,  
Аналогично буквально пару дней назад увели несколько доменов у от 2domains к reg.ru
Решается проблема аналогично, можно сказать стандартно.
Кто то из работников регистратора решил подзаработать?
0
Alessandra ,  
Подскажите, вы обращались в службу поддержки? Если да, назовите номер тикета. Проанализируем ситуацию и дадим фидбэк.
0
Dymatize ,  
Номер тикета 2017113066001553
Спасибо
–1
+1 –2
kzpromo ,  
В далеком 2011 году у меня была такая же история с компанией REG.RU как у автора.
Был сервис по кардшарингу, который приносил большие деньги. Работали с одним украинским партнером, который в последствии кинул меня. Этот нехороший человек взломал мой аккаунт от REG.RU и переписал домены на себя, хотя домены были оформлены на мое имя. Писал, звонил в службу поддержки, никакого результата, не смог вернуть домены. Нужно было писать заявление в Российский суд, чтобы по решению суда мне вернули домены. Но я это не смог сделать по двум причинам: 1) я гражданин другой страны 2) бизнес не является легальным. В общем отжали доход по полной))
0
YaakovTooth ,  
Господи пресвятой Ритчи, вы это сейчас серьёзно вот это вот всё это?
0
+3 –3
iRupert ,  

Хм, а вам тоже кажется что статью написал угонщик домена с целью прочтения в комментариях дельных советов?

+1
nochkin ,  
Какие дельные советы можно получить таким образом? Как получить 700к с «неплательщика» через суд?
0
syno66 ,  
Нет, к сожалению статью написал не он)
+3
Canapsis ,  
Раз такому крупному сервису начихать на проблему клиента, а точнее баг со стороны этого самого сервиса, то пусть восстанавливает своё доверие в порядке очереди как говориться и отдыхает сколько ему заблагорассудиться. Все на выход товарищи, бойкот reg.ru
0
Alessandra ,  
К счастью, вы не правы. Мы переживаем за своих клиентов и постараемся помочь в решении этого вопроса. Ниже прокомментировали эту ситуацию, будем следить за развитием событий и находиться на связи.
0
Informatik ,  
Lico, а какого уровня сложности у вас был установлен пароль к reg.ru? Возможно было ли его подобрать по словарю? Или он был слишком короткий, что стал уязвимым для случайного перебора?
0
Germanets ,   * (был изменён)
Да ладно, в 2017ом году всё ещё есть крупные сервисы, в которых можно перебрать хотя бы несколько миллионов вариантов паролей? Вроде бы уже давно нормальные сервисы на 10й — 20й раз попытки неправильного пароля блокируют попытки перебора на N минут и отправляют соответствующие сообщения на почту\телефон…
+13
splatt ,  

Не понимаю, почему все обсуждают отсутствие двухфакторной аутентификации, короткий пароль, итд.
Вместо того, что бы обсуждать отсутствие периода ожидания у reg.ru (у всех других регистраторов между письмом "инициирована процедура передачи домена другому владельцу" и передачей как таковой должно пройти как миниум несколько рабочих дней) и при этом игнор типа "рассмотрим в течении 5 рабочих дней".
А компенсировать утраченную прибыль за эти 5 дней, если взлом бых по их вине, они не хотят?


Вот поэтому я перестал покупать домены у ру-регистраторов. Можно сколько угодно ненавидеть GoDaddy, но у них есть 24/7 техподдержка по телефону и специальный ящик undo@godaddy.com, предназначенный именно для таких случаев.

+1
gromnsk ,  
не совсем так, есть такие понятия, как FOA1 и FOA2, это 2 письма, первое отправляетсявладельцу и администратору домена для подтверждения старта трансфера и только после его подтверждения уходит реальный запрос на перенос, а затем прилетает FOA2, в котором текущий владелец может подтвердить перенос домена и тогда этот самый перенос будет завершен немедленно, это правило ICANN и тот же GoDaddy ему следует, а вот если FOA2 не подтвержден, то для gTLD действует правило, что через 5 суток будет автоматическое подтверждение трансфера, если за это время его не отменят. Получается, что бы забрать домен таким образом надо не только взломать аккаунт в рег.ру, но еще и почту.
0
jetsam ,  
вообще-то, у всех процедура стандартная (при трансфере)
1. вводишь код (epp домена) у регистратора «приемщика»
2. на емейл «нового» владельца приходит письмо от «нового» регистратора (от нескольких минут, до дня) — «согласен ли принять\начать.
3. если в п.2 „согласен“, то — тут у разных регистраторов срок разный. обычно (у крупных) несколько минут, но есть тормоза… приходит емейл владельцу (берется из whois) от „старого“ регистратора — ссылка (урл) на страницу „соласен отдать да\нет“. причем, тонкость — у некоторых приходит ссылка сразу на „отказ“ (нажал и без запроса отказ), а не да\нет — один раз так машинально нажал и пришлось запускать процедуру снова.
4. если в п.3 „да“, то — через несколько минут (namecheap, name.com, dynadot, godaddy, alpnames,...) или часов — домен на новом месте. Если же в п.4 „нет“ — сразу отказ. А если ничего не нажимать (есть регистраторы, что не присылают или до россии не доходит) — стандартные 7 дней ожидания и домен „на новом месте“

* ругаемый godaddy — у него еще добавлено — кто принимает, тот в ЛК еще должен ввести код, который приходит на емейл „нового“ владельца.
** эта схема работает прекрасно и, практически, у всех. угнать домен по ней — трудно. а угон из ЛК — это не к процедуре трансфера или смена администратора.
*** у меня рег ру, кста, был единственным, кто при передаче захотел копию паспорта :)
–3
CityCat4 ,  
Хорошо, что у меня ничего в reg.ru нет. Только РУЦЕНТР, только хардкор :)
+1
eshimischi ,  
Зашел в настройки своего аккаунта Рег.ру и там есть все необходимые настройки безопасности, вплоть до ограничения входа только по IP и тд… Это к сведению!


0
+1 –1
kuftachev ,  
Вот отлично, расскажите это не читателям хабра, а условной женщине лет 50-ти у которой своя парикмахерская. И объясните как всем этим пользоваться.
+3
bigtortik ,  
Причем тут женщина 50-ти лет? Человек наверное хотел сказать что возможность защиты аккаунта была, а автор ей не воспользовался.
А если я женщина лет 50 и у меня украли машину мне что теперь к производителю авто идти и говорить вы не обеспечили безопасность моего авто, вы не подумали что я женщина 50 лет?
+1
Dymatize ,  
У меня домены были у 2domains
Защиты у них не оказалось вообще никакой, хотя указаны номер телефона, секретный email и кодовое слово…
Мне вообще не единого уведомления не пришло.
А 2domains это тот же reg.ru
Дело даже не в том что сменили аккаунт доменам без моего ведома, а в том что сменили данные владельца домена, без запроса подтверждения у самого владельца… Это как вообще?
Когда я оформлял домены, меня просили прислать даже сканы документов, что мол цитирую «защитить вас в случае чего».
А получилось так, что защиты нет просто никакой. А перенести домены оказывается можно, даже не находясь в профиле у владельца этих самых доменов, можно запросить перенос извне…

Пожалуйста www.reg.ru/domain/service/transfer_services
Так можно утащить любой домен вообще.
0
mokhin-denis ,  
Вот все мы тут обсуждаем двухфакторную авторизацию… да. А СМС идут на второй нокиа мобила 3310 или на тот же смарт, где подключены акки гугла, яндекса? На тот же смарт, которого если уйдут… ну вы понимаете…

Пошёл покупать вторую симку для своей нокиа мобилы 3310...
0
Zenitchik ,  
А у меня вот 3310 не сохранилась. Надо на ардуине и GSM-модуле приёмник СМСок собрать…
0
+1 –1
rPman ,  
кстати на сколько это сложно, сделать максимально компактный приемник, экран (текстовый) 3 кнопки (вперед, назад, вкл/выкл)?
0
Elmot ,  
Сделать просто, отлаживать заманаешься. У мну 2й год недопиленный GPS трекер валяется :(
+1
Zenitchik ,  
Какого рода проблемы возникали?
0
Elmot ,  
Я пытался работать с разными модулями.
Модули вываливаются из сети каждый по-своему, с разной диагностикой (или без таковой), в некоторых случаях один и тот же модуль выпадает по-разному, и оживлять его тоже надо по-разному. Хотя если нужен модуль только для SMS, то это может быть гораздо проще, чем sms+gprs.
Но если соберетесь делать, попробуйте. Можно связаться через ЛС, чем могу — помогу.
0
Stalker_RED ,  
Если вас не сам процесс творчества интересует, а результат, то проще купить нокию на авито или радиорынке.

Если интересно именно самоделку, то можно взять ардуину, экранчик и GSM-shield. Но вполне вероятно, что с отладкой придется повозиться.
0
tetramino ,  
Её же снова начали выпускать, можно новую купить.
+1
Zenitchik ,  
Ээ? Насколько я слышал, стали выпускать, что-то, что производитель почему-то считает похожим на 3310.
0
tetramino ,  
Да, новый вариант на платформе, которая наследником той, что вышла сразу после 3310. Ну какой есть. Всё равно не смартфон.
+2
evgenmax ,  
Переписка с регистраторами в 99% случаев бесполезна. Нет у них права по письму лица, не имеющего уже никакого отношения к домену, менять администратора. Если только по большому блату кто-то возьмет на себя риски.
Про полицию уже все выше написали.
Единственный вариант — Арбитраж WIPO, но он подходит только для сайтов, которые могут показать высокую посещаемость.
Процедура долгая и дорогая (от 1500$ пошлина, срок около 4 месяцев), но реально работает. Несколько раз сам возвращал.
0
Germanets ,   * (был изменён)
Можете подробнее расписать процедуру или даже написать отдельную статью — как можно обратиться в этот самый Арбитраж WIPO, какие проблемы\подводные камни и прочее на этом пути есть? Думаю сообщество будет вам благодарно, а кому-то это поможет восстановить свой бизнес…
0
syno66 ,  
Да, поддерживаю, если инструкция будет — это будет супер!
+1
evgenmax ,  
Спасибо за идею, напишу.
Я правда когда-то давно пробовал написать статью, но остался в песочнице )
Возможно сейчас что-то изменилось
0
syno66 ,  
Спасибо огромное, если регистратор не поможет — рассмотрим этот вариант
+2
super-guest ,  
Держать домен в российской конторе? А смелости вам не занимать…
+1
redmanmale ,  
Я тоже люблю рисковать
image
+1
kl09 ,  

Был похожий случай. На аккаунте reg.ru стоял вход по СМС паролю(никакого смс не приходило, но под моим аккаунтом зашли).Также пришел имейл о передаче прав на домен. Благо я сразу получил это письмо и успел написать чтобы заблокировали. В течение 3-ех дней кое как удалось вернуть домен.

0
mibazhenov ,  
Пока читал, почему то вспомнил фильм «Исчезнувшая». Было бы круто в финале этой истории прочитать, что на самом деле, это пара друзей, которая обнаружив не очевидный косяк у регру, решила прибавить своему ит-бизнесу немного популярности и создали прецедент.
0
Lico ,  
Увы, все реально. Проект в посте никак не светится, да и целевая аудитория у него практически не совпадает с ЦА хабра.
+2
mibazhenov ,  
Ну это я так, пофантазировал) Люблю неожиданные развязки. Надеюсь у Вас будет всё хорошо, рег.ру всё исправит, а негодяя «вычислят по айпи»
+1
slayeek ,  
А как нагуглить, что за проект такой интересный?
0
kafeman ,  
Из информации в посте очевидно, что osteohondrosy.net.
+1
Germanets ,  
Осторожно переходите по ссылке, там сейчас редирект на левый сайт, и завтра он может вести уже куда угодно…
+1
mike_y_k ,  
А ещё можно попробовать частный сыск.
Ну а потом на найденного виновника в гражданском производстве повесить все понесённые убытки. Или вспомнить лихие 90-е, практикум по ТРКА,…
+2
kuftachev ,  
Да, сервис на грани фантастики. В этой всей ситуации больше всех радует реакция службы поддержки, типа Вы г-но и нам вообще на Вас н-ть!
Рассказы про настройку всяких авторизаций в сервисе и прочих штук связанных с безопасностью — это фигня, есть много людей которые просто вообще не разбираються в этом. Одно дело, если бы кто-то зашел, подменил DNS и отправил все на свой сайт из-за недостаточной защиты кабинета конкретного пользователя, а другое дело, когда регистратор позволяет передать домен третьему лицу, а настоящий владелец ничего не знает.
Мне все-таки кажется, что по первому обращению должны возращать домен изначальному владельцу, а потом новый владелец должен договором подтверждать свое право владения, или через какой-то заметный срок, типа месяц или два передаче считается подтвержденной автоматически, если никто не обратился.
–2
Alessandra ,   * (был изменён)
Рассказы про настройку всяких авторизаций в сервисе и прочих штук связанных с безопасностью — это фигня

Это доступные инструменты, которыми необходимо воспользоваться, чтобы избежать таких ситуаций. Специалисты технической поддержки действовали согласно регламенту. Ниже мы дали развернутый комментарий по этому вопросу.
+1
k0ldbl00d ,  
На nic.ru захочешь — не сможешь без нервотрёпки перевести домен с договора на договор, не говоря уже о другом регистраторе.
0
Extortioner ,  
Год назад перекидывал у них домен с физ лица на юр. лицо (2 договора разных). Для этого отправил им письмо в МСК на тему того, что я желаю осуществлять действия касательно домена в электронном виде и без бумажек. Потом просто перекинул через пару недель.
Если срочно надо, то да. Без их офиса по месту проживания это будет крайне гемморойно. Но оно того стоит.
+1
kozzztik ,  
Вот интересно, несколько лет назад пытался перекинуть домен с одной учетки на другую — безуспешно. «Ошибка» и все тут. Техподдерка на запрос просто… не ответила.
А тут нате, раз и перекинули. Однако.
+11
BeppeGrillo ,  
Alessandra что это за позорище?

syno66
Скажу сразу, органы скорее всего работать не захотят.
Тут у большинства опускаются руки и единственное что они предпринимают это нытьё в интернетиках про «сраные органы сраной рашки» анекдоты про трактор и баяны про правила ведения бизнеса в РФ.
Но на самом деле это не значит что органы работать не могут.
Просто до них необходимо донести необходимость этим заниматься.
Как?
Зажарить нерадивых работничков отдела К в их собственном бюрократическом аду!
Это если шутя.
Серьёзно, при возникновении пробуксовок писать заявы в спортлото вышестоящему начальству, в отдел внутреннего контроля и копию в администрацию президента и РосКомПозорНадзор. Дублировать телеграммой (бл@, не ржите, я серьёзно).
Каждый ответ просить выдать в письменном виде с датой, печатью и подписью.
На все заявления и документы которые вы им отдаёте требовать подтверждение получения с датой, печатью и подписью.
Периодически справляться у них не нужен ли ещё какой документик, а то они «забывают» об этом уведомлять.
Почтой лучше не отправлять а если отправлять то застраховано, с копией и подтверждением получения.
Потребовать привлечь регру и меилру с целью извлечения логов.
Написать жалобу на регру в РосКомНадзор, в конце концов на самом деле он таким и должен заниматься а не блокировками покемонов.
(нето чтобы это помогло но если есть возможность пнуть регру то почемубы и не пнуть?)
Последний совет: все вышеописанный действия следует применять только если вы встретите нежелание работать, неискренность и неоправданное затягивание дела. В противном случае эффект противоположный!
–1
+1 –2
BeppeGrillo ,  
syno66 Ах да, скиньте мне в личку емеил на который был зарегистрирован аккаунт в регру, я кое-что проверю.
+2
BeppeGrillo ,  
syno66 И ещё, в полиции напирайте не на факт взлома а на факт вымогательства 700 000 рублей
0
Alessandra ,  
Приветствуем! Ответили ниже. Следим за ситуацией и будем держать в курсе.
+2
alex-1917 ,  
Мне одному показалось странным, что основной массив действий по отъему домена произошел в субботу, в течение короткого времени, в то время как при обращении автора статьи по обратному действию реакция — в понедельник, ждите три дня, и т.д.? Сговор детектед?
+2
Lico ,  
Очень навряд ли сговор. Обычно все взломы и такие вещи проводятся в ночь с пятницы на субботу.
+6
alex-1917 ,  
и рег-ру в эту самую ночь работает как никогда быстро и оперативно, да?
0
+1 –1
punkkk ,   * (был изменён)
Не знаю, как удалить комментарий, поэтому пусть будет так.
+21
+23 –2
Alessandra ,  
Друзья, как и обещали, возвращаемся с комментарием.

Первичное действие с доменом (передача домена на другой аккаунт) производилось из Личного кабинета клиента, о чём ему сразу было направлено уведомление. А значит в этот момент необходимо было поднимать тревогу и написать обращение в службу технической поддержки, чтобы установить для домена запрет на выполнение любых операций (к сожалению, этого сделано не было). Конечно, Личный кабинет для любой цифровой услуги — это святая святых. В арсенале REG.RU есть все необходимые для защиты инструменты и мы о них пишем в своих приветственных письмах и сообщениях, которые сопровождают услуги:
— ограничение доступа в Личный кабинет по IP;
— двухфакторная авторизация.

Эти сервисы бесплатны для всех клиентов. И мы расстроены, что их также не использовали.

Кроме этих опций, настоятельно рекомендуем изменить свои пароли на более устойчивые к подбору и указать кодовое слово, для восстановления пароля, если до сих пор не сделали этого. О том, как это сделать мы рассказываем здесь: www.reg.ru/support/lichnyj-kabinet/Bezopasnost-akkaunta. Стоит отметить, что подобрать пароль методом перебора к личному кабинету REG.RU почти невозможно и мы многократно тестировали уязвимости в этой части и исторически эволюционным путем добились того, что теперь механизм защиты от перебора работает в балансе с интересами пользователей и эффективно.

Давайте вернемся к ситуации и попробуем в ней разобраться. Есть регламент ICANN, который описывает метод взаимодействия с администраторами домена. Этот метод един для всех gTLD доменов. Он обладает уязвимостями подобными той, в которой мы сейчас с Вами разбираемся. Но есть и фактор, который гарантирует сохранность домена: система регистрации доменных имен едина во всем мире и гарантирует сохранность домена в руках добросовестного администратора, а также справедливое разбирательство в этом вопросе:
— согласно правилам ICANN, после любого критического действия накладывается срок ограничения в 60 дней на последующее критическое действие;
— регистратор, руководствуясь местным законодательством, самостоятельно или с участием специализированных медиаторов разбирается в ситуации и совершает все необходимые действия с целью восстановления справедливости;
— домен как сущность никуда не исчезает, домен остается в системе — это как здание, которое временно оказалось в споре. Но при этом оно физически существует и им можно пользоваться.

В соответствии с Правилами, регистратор не является стороной в отношениях действующего или предыдущего администратора. В нашей практике было много случаев, когда в подобных ситуациях, казалось бы однозначных, в итоге после разбирательства было понятно, что изначальное представление ситуации не является честным и правдоподобным, а бумаги, денежные транзакции или решения суда доказательно показывали ошибочность первичного представления.

В настоящий момент, для домена установлен запрет на выполнение любых операций (блокировка), DNS в соответствии с регламентами находится в состоянии предшествующему смене администратора, как следствие домен продолжает функционировать в обычном порядке и текущая ситуация не наносит урон ни одной из сторон конфликта (прежнему администратору необходимо подключить домен на хостинге). Клиент обратился в уполномоченные органы, что является абсолютно верным действием: зло должно быть наказано. Со стороны регистратора собирается всесторонняя информация по всем операциям, которые были совершены до и после операции с целью предоставления этих данных следственным органам, в случае, если от них поступят соответствующие запросы. Рекомендуем занять проактивную позицию в работе с органами, регулярно связываться и запрашивать информацию о ходе расследования.

Мы будем держать сообщество в курсе по данной ситуации, так как мы считаем, что любой подобный случай может помочь в нашей работе и расширить знания сообщества.
+5
syno66 ,  
Александра, спасибо огромное, это очень приятная новость!
+1
+3 –2
Arris ,  
Плохая мина при плохой игре?
–1
AcidVenom ,  
Хоть как-то лицо сохранить.
+4
+5 –1
BigD ,  

Александра, какие выводы вы сделаете из данной ситуации для предотвращения/минимизации рисков клиентов, с учётом уже имеющейся информации, и разумных предложений комментаторов?

0
abrahadabra ,  
Не могли бы вы дать ссылку на этот регламент ICANN, который описывает подобный метод взаимодействия с администраторами домена? К сожалению не нашел.
При этом у другого российского регистратора r01.ru, метод несколько отличается: help.r01.ru/domain/gtld/trans_contract.html. Там, чтобы перенести международный домен «необходимо отправить заявку на info@r01.ru с контактного административного e-mail».
Т. е. тоже можно провернуть подобное, только взламывать надо уже не личный кабинет, а почтовый ящик текущего администратора.
Еще не очень понял у вас в справке вот это место:
image
Предложения 1 и 2 противоречат друг другу и это нововведение, наоборот, призвано не улучшить, а ухудшить защиту доменных имен, поскольку подтверждение запрашивается ТОЛЬКО у нового администратора. Если бы оно запрашивалось в том числе и у старого администратора, то кражи домена бы не произошло.
Возможность увести домен, обладая только логином и паролем к ЛК регистратора является большой дырой в безопасности. Тут как минимум должна быть двухфакторная защита и не по желанию клиента, а принудительно. Поскольку далеко не каждый клиент знает вообще, что такое двухфакторная защита.
Представьте, если бы для доступа в ЛК какого-нибудь онлайн-банка по умолчанию действовала возможность доступа только со статическим логином и паролем. Да воровство было бы сплошное. Это понимает любой банк и любого, у кого возникает желание пользоваться онлайн-банком, принуждает использовать двухфакторную защиту. С доменами без разницы, международные они или нет, должно быть также, поскольку цена некоторых доменов побольше, чем банковский вклад.
+1
Alessandra ,  
Пардон, вот ссылка на регламент: www.icann.org/resources/pages/transfer-policy-2017-05-23-ru
+3
vikarti ,  
Читаю я это… и захотелось посмотреть на свой аккаунт на webnames.ru старый (несколько доменов, в том числе .ru). Ой.
Cледов СМС-авторизации и возможности заблокировать вход по IP — не обнаружено. При этом есть ограничение на максимальную длину пароля (16 символов) (новый пароль — 16 символов случайный)(на почте аккаунта давно 2FA).

Думаю вот стоит ли переехать куда подальше.
–1
Arepo ,  

Вот же, положила: https://www.webnames.ru/my/security
Всего-то 490р в год! Налетай!

0
vikarti ,  
Спасибо. Видимо или у меня с глазами что-то или действительно ссылка хорошо запрятана (из. А как до этой ссылки добраться если ее не знать? У меня вот — не вышло (нет в ЛК ее).
Кстати а что там за 490 рублей? .ru мне в 150 рублей у них обходятся.
–1
Arepo ,  

490р в год — стоимость включения 2FA, вот что написано у меня по ссылке:


Расширенная безопасность — это:

Двухэтапная аутентификация для входа в аккаунт: пароль + SMS-код;
SMS-авторизация для смены пароля или контактного e-mail;
SMS-авторизация для продажи домена на аукционе;
SMS-уведомления о смене владельца домена.

Стоимость услуги — 490 рублей в год.

Возможно, цена зависит от тарифа, нет другого аккаунта чтобы проверить

0
vikarti ,  
У меня нет 'Расширенной безопасности' там. Аккаунт партнера и достаточно старый. Но да — драть за то что должно быть стандартным это конечно нечто.
+1
kafeman ,  
StartSSL в свое время отказывались бесплатно отзывать сертификаты после Heartbleed, за что и поплатились…
+12
beTrue ,  
Автору желаю спокойствия и сил, норм что опубликовали, рег.ру без резонанса не начал бы шевелиться.
Спасибо, пора переезжать сервисы, первое правило
–5
+2 –7
Alessandra ,  
рег.ру без резонанса не начал бы шевелиться

Увы, но вы не правы. Как можно заметить, даже не смотря на статью, потребовалось некоторое время, чтобы провести анализ ситуации и дать подробный комментарий.
+8
apelsyn ,  
Ну конечно, 5 дней надо чтоб разобраться и статья на хабре (там же в письме все написано)… Для интернет-бизнеса это просто удар ниже пояса, так нельзя делать.

У вас есть сканы паспорта клиента, проблему можно было бы решить в субботу и не получить такой удар по репутации.
0
Alessandra ,  
Опять же, в письме указан максимальный срок ожидания по юридическому вопросу (но в большинстве случаев, это быстрее 5-ти дней). Как только что-то стало известно, клиенту сообщили в рамках тикета. Сейчас мы ждем уведомления от уполномоченных органов и полностью готовы помочь расследованию, если это будет необходимо.
0
+1 –1
alex-1917 ,   * (был изменён)
А что за домен-то, когда карты все раскроют, сижу целый день на этой странице...?
Приходится выдумывать самому, вот что пока выдумал:
начало на os, окончание y.net, скорее всего окончание buy.net
Прилагаю скрин моих исследований, кусок внутри имени домена osssssstssbuy.net это то что я не расшифровал))):
image
+1
kafeman ,  
osteohondrosy.net
–3
+1 –4
Jogger ,  
Статья какая-то излишне поспешная. И не соответствует заголовку, поскольку не раскрывает собственно «как». Мне было бы интересно почитать статью о том, как именно увели домен, в чём была уязвимость, как регистратор исправил/не исправил её, как стражи порядка нашли и наказали злоумышленников (или если не нашли — то почему)… А так одна завязка без кульминации и развязки, а из полезной информации — мысль «всегда включайте двухфакторную аутентификацию».
–1
+2 –3
Lico ,  
Уязвимости reg.ru в данном случае не использовались. Теоретически известно как это было сделано, но без доказательств пока рано это публиковать. Заявление в полицию подано только в воскресенье, соответственно развязка будет позже.
0
+1 –1
Jogger ,  
Так я о том и говорю, что статью стоило бы писать когда наступит это «позже».
+2
Lico ,  
Статья написана не с целью рассказать интересный кейс о взломе (она скорее всего будет позже, когда домен вернется обратно в собственность, а взломщик надеюсь будет наказан), а с целью рассказать о багофиче регистратора.
0
+1 –1
Jogger ,  
Но позвольте, вы только что сказали что
Уязвимости reg.ru в данном случае не использовались.

Тогда о какой багофиче речь? О том, что после захода в личный кабинет можно переносить домены? Так вроде как судя по объяснениям в статье, это не фича оператора, а общемировая практика…
0
+1 –1
Dymatize ,  
На минуточку, у меня домены были у 2domains вообще, а аккаунта у reg.ru вообще не было моего…
Домены утянули на свой аккаунт, даже не заходя в аккаунт владельца.
0
Jogger ,  
Тогда что это, если не уязвимость?
0
Lico ,  
Общемировая практика — при передаче домена делать внешнее подтверждение действия как с передающей стороны (sms или e-mail), так и с принимающей. А в данном случае только с принимающей.
+1
+2 –1
bvv2001 ,  
Вставлю и свой камень в выхлопную трубу REG.RU… Я по простоте душевной думал что тот беспредел, который происходил с доменами в зоне NET уже прекратился… А нет, воз как говорится и ныне там… Лет 7 назад регистрировали домен в зоне NET у этого с позволения сказать «регистратора», помню точно что это сопало по времени с требованием паспортной аутентификации всех пользователей национальных доменов РФ. Так вот, домен был заблокирован на уровне ICAAN, при этом со стороны REG.RU не было получено ни одного уведомления ни о прtеупреждениях ни о блокировке. Как узнали позже из другого источника таких предупреждений было с десяток и все они пересылались в REG.RU. Так вот к чему я это все. Все домены а у нас их было с полсотни переведены к другим регистраторам как национальным так и международным. Чего и Вам всем желаю. Как говорится: не умеете вести бизнес — меняйте сферу деятельности…
+6
saartr ,  
Вот я почитал сообщения от REG.RU. Вроде бы все складно и действительно можно подключить двухфакторную аутентификацию, но клиент сам виноват, что не включил.
НО, почему REG.RU дает пользователям право переноса без этой галочки в настройках безопасности? У меня только в этом вопрос, если аккаунт без защиты, то почему у него есть права на такие операции…
0
Source ,  

А, кстати, реально хорошая идея "хочешь перенести домен — сначала включи двухфакторную аутентификацию". Хочешь поменять номер телефона — пришли скан паспорта.
В общем всё решаемо при желании регистратора.

+2
morozovsk ,   * (был изменён)
Написал статью про регистраторов доменных имён и их «маркетинговые» уловки ещё пару месяцев назад, но всё никак ни мог её опубликовать. Сегодня получил хороший стимул, чтобы её дописать.
Провёл небольшое расследование по поводу РегРу.
0
Trumanbaz ,  
Мне вот интересно в этой ситуации следующее: если товарищ А продаст свой домен товарищу Б, а затем напишет в техподдержку о том, что учетку взломали и домен увели, то что делать регистратору в таком случае? Требовать у товарища Б документы, подтверждающие факт сделки? И что будет являться таким документом? Договор?
0
firk ,  

Блокировать операции с доменом (чтобы домен дальше не утёк) и слать предъявителя в полицию для разбирательств.

0
askv ,  
Полиция не будет с договором разбираться, только суд.
0
Trumanbaz ,  
Если я правильно понял, то в оригинальной истории reg.ru так и сделал: по ICANN запрет на операции с доменом на 60 дней, и разбирайтесь сами друг с другом и с соответствующими органами. А то получается, что товарищ А может присылать «скриншоты» с вымогательством, а товарищ Б «скриншоты» договора, и регистратор никак не сможет определить какие «скриншоты» не фотошоп. Получается только суд. А если продажа домена еще как-то «по-серому» прошла, то интересно какие шансы у товарища Б остаться и без домена, и без денег.
Ну а регистратору конечно же лучше сделать обязательное подтверждение через email или SMS для критичных операций с доменами.
+1
keslo ,   * (был изменён)
Уже недалеко от начала статьи в памяти всплыло — «работает — не трогай»
Вдруг захотелось залезть на свои аккаунты и убедиться, что все хорошо
+2
spikepavel ,  
Тема немного мутная. Регистратору как то по-фигу украли домен или продали, или вдруг подарили. Как регистратор узнает об этом? Он может оперировать только с реальными доступными ему данными. А так я считаю регистратор поступил правильно, просто заблокировал ресурс и все операции по нему, а дальше пусть уже полиция разбирается с новыми и старыми хозяевами, а как будет решение, то они уже вернут домен на законное место.
+1
misharin ,  
На счёт обращения в полицию — исходя из своего опыта не думаю, что будет положительный результат. Скорее всего через 30 дней Дмитрий получит отказ в возбуждении уголовного дела по отсутствию события преступления. Можно будет попробовать обжаловать это решение в прокуратуре, но это, скорее всего, даст ещё 30 дней бездействия со стороны правоохранительных органов и очередную отписку. Буду очень рад, если ошибусь.
0
vavkin ,  
Была похожая ситуация на этом же регистраторе reg.ru. В какой то момент в личном кабинете я увидел что висит долг, при том что срок оплаты был только через несколько месяцев. Еще через 5 минут я увидел, что домен выставлен на продажу. Оплата была заблокирована, я не мог оплатить домен. Абсолютно случайно я делал скриншоты буквально за час до этого где было видно, что домен был оплачен. После отправки этих скриншотов и кучи звонков, домен вернули, при этом поддержка утверждала что они ничего не делали.
0
Alessandra ,  
Подскажете номер тикета?
0
+1 –1
vavkin ,  
С какой целью?
0
Alessandra ,  
Изучить этот инцидент. Если есть недоработки, то исправиться, чтобы не повторять ошибок. Если их нет, то прокомментировать ситуацию.
–1
vavkin ,  
К сожалению у меня нет доверия к вашей компании, поэтому я сначала перенесу домены в другую компанию а потом подробно опишу ситуацию. А доверие пропало окончательно когда я пришёл получить сертификат на домен и его при мне в графе «Генеральный директор» подписал оператор. Или у вас генеральный директор сидит на приеме клиентов?
–1
m0Ray ,  
Давно зарёкся иметь дела с упомянутой компанией. Интерфейс обвесили всякой ерундой и усложнениями «фюр потребляйтер защитен», утащить домен от них к другому регистратору практически нереально, куча препонов (из-за чего некоторые свои домены мне пришлось просто бросить), а реальная безопасность — ну сами видите…
+1
Alessandra ,  
Мы совсем скоро выкатим Новый личный кабинет. Он в разы удобнее, чем текущий. Заходите к нам через несколько дней. Приятно удивим!)
0
+1 –1
Arris ,  
Лично меня уже не интересует новый личный кабинет. Меня интересует простая и быстрая процедура переноса домена на другого регистратора.

Вы готовы обеспечить быстрое прохождение этой процедуры или это все так и останется бла-бла-бла в комментариях?
0
+1 –1
m0Ray ,  
Спасибо, но меня это уже не интересует. Домены, что были у вас, уже утеряны, а новые у других регистраторов с достаточно удобными интерфейсами.
0
jetsam ,  
а реальная безопасность — ну сами видите…
— Если честно — не вижу, в статье нет четкого описания, что лажа была у рег.ру

* в рег.ру домены покупал только по акциям (в подарок и, как времянки). Не лучше и не хуже. Через их партнеров — дешевле в разы. Для фирмы сойдет. Для частного лица — задрано.
0
m0Ray ,  
Допускаю, что выборка из автора статьи и меня нерепрезентативна, но я как-то привык смотреть на результаты, а не описания. Я по схожим причинам не пойду, например, к регистратору, у которого в названии есть слово «папочка».
Для серьёзных фирм я, кстати, всегда выбирал другого регистратора. С ними было немножко дольше, но документация — комар носа не подточит. А сабжевую контору до поры до времени использовал исключительно для «по-быстрому забить домен, пока пиво не кончилось». И до сих пор жалею, что доверил ей свои личные домены. Впрочем, практика показала, что без них можно обойтись.
–1
Acuna ,  
Вообще контора реально трешовая. Да, кабинет удобный, мощный, окошечки, аякс, тут все тип-топ, но проблемы реально вымораживают. Уже два года (возможно и более, просто я начал работать с ним два года назад примерно, раньше другой был) не работает сохранение формы изменения профилей для регистрации доменов. Пару лет назад писал об этом, взяли скриншоты, божились разобраться, в конечном итоге почтовый адрес решил не менять, чем с ними бодаться. Недавно снова появилась необходимость в изменений данных (уже реально нужная, ибо требуется вписать новый адрес конторы) — пробую, но нет, проблема все еще не решена. Снова пишу в поддержку, традиционно просят очистить кэш браузера, проверить в других браузерах, пишу что пробовал даже в старом IE, просят скрины ошибки, все присылаю, отвечают что проблема будет решена «в кратчайшие сроки», прошу уведомления об этом, говорят да-да, известим лично просто, в итоге прошел уже месяц почти, и как обычно: ни извещения, ни, собссно, решения проблемы.

Специально, чтобы не быть голословным, проверил сейчас перед написанием коммента, но нет, все по старому. А ведь казалось бы, появляется всплывающее окошко с сообщением «Произошла ошибка. Попробуйте ещё раз». Ну залезьте вы в код, посмотрите чем эта ошибка может быть вызвана, и так и напишите, мол, у вас, например, какой-нибудь сертификат просрочен, или банально дата на компе не верная, и я такой: «Ооооой, тооочно, точно, такой сервис подозревал понапрасну, ой как неловко». Но нет.

Доменов много, половина у небольшого реселлера (название писать не буду, ибо не реклама, хотя в свете всего этого надо было бы), половина у REG.RU. Реселлер вообще песня, имею домены у него и радуюсь как ребенок. И вот сижу, думаю, переносить ли половину туда, или, соответственно, другую половину — туда. Еще и стоит не забывать под какой статьей я оставил этот коммент, что тоже сильно перевешивает чашу весов. Возможно, конвертики для бумажных заявлений на перенос все же приобрести нужно, пусть лежат в любом случае, хлеба не просят.
0
lehha ,  
с сентября 2016 года домены можно переносить между регистраторами без бумажек — просто получить пароль от домена (Authinfo-код) и передать его новому регистратору. Одной проблемой меньше))
0
Acuna ,  
О, вот как, интересно, спасибо. Но это был эдакий словесный оборот. Имел ввиду, что при переносе от основного регистратора к ресселлеру вроде как требуется бумажное заявление (а может и наоборот, я даже не помню, честно признаюсь). Вот я и говорю, в любом случае, конвертики стоит закупить, хлеба не просят, ну типа планирую переезжать, и все такое)
0
lehha ,  
Бумажкой с нотариусом при переносе к реселлеру внутри регистратора балуется только Никру. Все остальные регистраторы пока держатся без этого — по обычному письму в саппорт))
0
jetsam ,  
не работает сохранение формы изменения профилей для регистрации доменов.

пункт "Дополнительные профили для быстрой регистрации" в субменю «Аккаунт»?
только что работал (изм и сохр емейл). или другой?
0
Aquinary ,  
А чего расскажете про R01? Очень интересно послушать :)
0
dostigai ,  
В четырёх российских компаниях-регистраторах, и в Reg.ru в том числе, есть услуга, при подключении которой замораживаются все операции по домену. Небольшое исследование на эту тему.
0
jetsam ,  
Простите, но это не исследование. Это ссылка на некую четвергу регистраторов с некими доп.услугами. Услуги такого типа у крупных «забугорных» в порядке вещей.
А ссылка на крымские санкции для страны с «законом Димы Яковлева», «звонком от РКН» и бомбежкой Воронежа — вообще моветон.

* и вообще, почему регистраторы еще не иноагенты?