Дмитрий на протяжении двух лет вкладывал в этот проект деньги, на которые заказывалось семантическое ядро, писались статьи, и тем самым постепенно повышалась посещаемость проекта в поисковых системах.
Дмитрий был счастлив иметь свой онлайн-бизнес, а его семья была сыта и одета…
Причем, изначально домен его проекта был зарегистрирован через компанию Infobox.ru. Но затем Дмитрий решил, что надо бы все свои домены перенести к известному и уважаемому регистратору, и выбрал в качестве сего регистратора компанию REG.RU.
Прошло чуть больше 4 месяцев…
А поскольку Дмитрий был примерным семьянином и грамотно организовал свой бизнес, то утром в субботу он, как и следует делать, спал в обнимку со своей супругой. И это письмо увидел только днем.
Тут уже Дмитрий сильно нагрелся, и, ломая мебель на своем пути, ринулся судорожно открывать свой аккаунт на REG.RU.
Обновление от 04.12.2017 16:00: Официальный комментарий от reg.ru. Домену возвращены первоначальные NS-записи, сайт возобновил работу. Однако домен пока находится на другом аккаунте до окончания разбирательства. Все действия с доменом приостановлены на 60 дней.
А когда не увидел в списке доменов своего проекта, ситуация стала проясняться. Кто-то совершенно наглым образом украл его сайт, да еще и переписал на себя все права владельца!
Что бы вы сделали в этот момент на месте Дмитрия?
Во-первых, конечно же посмотрели бы, а что там с сайтом. Выяснилось, что сайт редиректит на поддельный сайт с похожим доменом, где висит сторонняя реклама. Оперативно сработано…
Во-вторых, начали бы писать в службу поддержки REG.RU и выяснять, как так можно – просто взять и увести домен на другой аккаунт без разрешения со стороны владельца. Как такое в принципе вообще возможно?
Дмитрий написал письмо в поддержку, плюс сделал контрольный звонок, и вот что получил в ответ:
Сказать, что Дмитрий был растерян, это как сказать, что до Луны рукой подать. Дмитрий был в шоке.
Как, блин, можно без всякого подтверждения взять и стать администратором чужого домена, и почему такой надежный и уважаемый сервис позволил это технически осуществить, даже если и был взлом аккаунта?
Собравшись с мыслями, Дмитрий подключил своих технических помощников, и они стали глубже разбираться в теме.
И выяснилось следующее крайне любопытное отношение сервиса REG.RU к доменным именам в международной зоне (в частности в зоне .net):
Дмитрий и его помощники долго ломали голову…
То есть получается, достаточно взломать почту пользователя сервиса (чтобы восстановить на нее пароль администратора) или аккаунт сервиса, и ты уже можешь на всех доменах в международной зоне поменять администратора на себя? И тебе за это ничего не будет? И это как-то призвано улучшить защиту доменных имен?
Даже существует подробная инструкция о том, как это сделать.
Переварив эту информацию, Дмитрий начал дальше переписываться с поддержкой. Впрочем, переписка была недолгой…
После чего на почту Дмитрия пришло письмо:
Реакция Дмитрия была предсказуемой…
Чего??? Какие, блин, 5 рабочих дней??? Речь возможно идет о часах, пока домен не перепродали, плюс в бизнесе каждый день идут убытки…
Но непреклонная служба поддержки по телефону сказала, что сейчас выходные, юридический отдел придет себе спокойно в понедельник, и в порядке очереди рассмотрит вашу заявку, к сожалению ускорить ничего нельзя…
Поэтому Дмитрий взял решение в свои руки, и написал на уже известную ему почту человека, который неожиданно стал новым владельцем домена. И он пошел на контакт!
А что, хорошая бизнес-модель, не находите?
Украсть сайт, а потом продать обратно владельцу. Так легко 700.000 рублей мало кто зарабатывает…
Дмитрий был очень далек от юридических знаний, но понял, что такая переписка (помимо воровства и статьи 272 УК РФ) тянет еще и на статью 163 УК РФ:
Поэтому он, как добропорядочный гражданин, не стал собирать деньги, а просто пошел в воскресенье в ближайшее отделение полиции и подал заявление со всеми приложенными к нему скриншотами.
А копию заявления отправил в поддержку REG.RU, вдобавок к заявке, которая ушла в юридический отдел.
Чем же все закончилось? Удалось ли вернуть домен? Нашли ли злоумышленника? Пока это неизвестно, так как эта статья написана в воскресенье вечером сразу после подачи заявления.
Но если она наберет положительный рейтинг и будет много запросов в комментариях, то мы выложим вторую часть статьи, где расскажем, чем все в итоге закончилось.
Будем надеяться, что это будет история со счастливым концом…
Пользуясь возможностью, герой истории Дмитрий syno66 был приглашен на Хабр.
Обновление от 04.12.2017 10:00:
Обновление от 04.12.2017 16:00: Официальный комментарий от reg.ru. Домену возвращены первоначальные NS-записи, сайт возобновил работу. Однако домен пока находится на другом аккаунте до окончания разбирательства. Все действия с доменом приостановлены на 60 дней.
Комментарии (300)
MMik
03.12.2017 22:26То есть получается, достаточно взломать почту пользователя сервиса (чтобы восстановить на нее пароль администратора) или аккаунт сервиса...
Так что там у Дмитрия взломали? Аккаунт gmail? Аккаунт reg.ru? Сам reg.ru взломали?
Google поддерживает многофакторную аутентификацию и некоторые другие способы защиты аккаунта. В reg.ru можно настроить сброс пароля только с кодом подтверждения из SMS — раз, и диапазоны IP-адресов для входа — два. Неужели ничего не сделано было? Впрочем, получив копию паспорта Дмитрия, тоже можно сбросить его пароль через техподдержку.AcidVenom
03.12.2017 22:35Видимо, подобран пароль к reg.ru и домен передан другому аккаунту. Ну и засада со сменой администратора, что требуется только приемка на новом адресе.
Lico Автор
03.12.2017 22:36Вот именно, почему-то нет подтверждения старого владельца, он как бы тут и не причем
MMik
03.12.2017 22:44Ну и засада со сменой администратора, что требуется только приемка на новом адресе.
Не вижу проблемы со стороны сервиса. Наоборот, логично, что если я авторизован как администратор домена, то могу кому угодно свои домены отдавать. Или вы тут хотите, чтобы reg.ru присылал e-mail/SMS для подтверждения? Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет.AcidVenom
03.12.2017 22:48Скорее всего, это регламент ICANN. Верно это или нет, не знаю. Если бы спросили меня, то я бы так не оставлял.
FeNUMe
03.12.2017 23:01Недавно переносил свой домен от godaddy к namecheap, письма приходили на каждый «чих»: разблокировка домена, перевод, принятие, подтверждение/изменение инфы, верификация, блокировка. Так что это обычный ру-бизнес от рег.ру
BaRoN
04.12.2017 01:04Так это передача от регистратора другому регистратору. Тут же внутри одного регистратора REG.RU была передача, судя по всему.
lolhunter
04.12.2017 09:42Не ради рекламы.
В мастернейме переводил домен внутри партнера между аккаунтами. Подтверждение от обоих аккаунтов с паролями на почту.
Партнер ничего сделать не может.
Человек, получивший логин/пароль — ничего сделать не может.
Лаг передачи 1 день, то есть домен не моментально переходит, а есть задержка, что бы вернуть все назад…
Тут же просто треш.BaRoN
04.12.2017 09:50+1Ну да, неудобненько получилось. Внутри годэдди 100500 лет назад передавали домен с аккаунта на аккаунт без подтверждений, возможно сейчас стало лучше. Хотя не так давно была история про воровство твиттер-аккаунта через суппорт Godaddy.
Очень круто, что в мастернэйме всё отлично. Если ещё и на вход и 2FA есть, конечно.
Killer
04.12.2017 13:12внутри godaddy два года назад я передавал свой домен с подтверждением и давалось время на «передумать»
algotrader2013
03.12.2017 23:07Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет
Нормальные сервисы (не знаю, как регистраторы, но из других отраслей) в таких случаях требуют регистрации APIKEY с подтверждением по SMS либо хотя бы e-mail. И напоминают перед нажатием кнопки, что человек серьезно рискует, позволяя знатоку ключа без подтверждений делать операции с его активами. Также есть практика вайтлистинга клиентов APIMMik
03.12.2017 23:29Для регистрации на API там нет подтверждения по e-mail/SMS, но из плюсов – можно настроить аутентификацию в API аж по сертификату. Так же можно включить API только для белого списка IP адресов.
lolhunter
04.12.2017 00:42Не вижу проблемы со стороны сервиса. Наоборот, логично, что если я авторизован как администратор домена, то могу кому угодно свои домены отдавать. Или вы тут хотите, чтобы reg.ru присылал e-mail/SMS для подтверждения? Не будут присылать, потому что эти же действия можно делать через их API, и робот, пользующийся API никаких SMS или e-mail'ов читать не будет.
Это дыра. Просто дыра.
API требует ключиков.
У вас увели куки и отправили ваши домены на другой аккаунт — нет проблем.
Слава богу я в REG.RU ничего не храню…MMik
04.12.2017 14:18habrahabr.ru/post/343786/#comment_10549732 — API позволяет использовать SSL сертификат клиентский, и ограничивает по IP, если надо.
lolhunter
04.12.2017 15:12Да. Я и говорю, что по API увести не так просто. Как минимум украсть сертификат. Для того, что бы зайти — достаточно увести куки.
Lico Автор
03.12.2017 22:36Пока непонятно что именно взломали, ищем следы. Но да, ничего через смс не было настроено, настроили уже после этого случая. Просто сам факт что без подтверждения можно было сменить админа домена — крайне странный)
dkukushkin
03.12.2017 22:40Но да, ничего через смс не было настроено, настроили уже после этого случая.
Ну вот, а говорите «грамотно организовал свой бизнес».
Просто сам факт что без подтверждения можно было сменить админа домена — крайне странный)
Письмо могли удалить, чтобы замести следы.syno66
04.12.2017 09:10+1Да, в информационной безопасности в бизнесе была дыра. Сейчас закрыта, да уже поздно. Есть и второй вариант — что взломали почту, а письма «лишние» потом удалили. Но поскольку домен в международной зоне — они могли просто и не приходить
dron41k
04.12.2017 16:17Так можно же посмотреть, откуда заходили на почту?
Lico Автор
04.12.2017 16:20На момент начала разбора полетов последние действия на предмет левых айпишников в gmail были чисты. Да и получение доступа в личный кабинет скорее всего был скучен в плане технической части — без взломов, подборов паролей, фишинга и прочего. Но до прояснения ситуации и прямых доказательств рано что-либо утверждать.
Dymatize
04.12.2017 16:22Как мне ответили, мои домены унесли вот так…
habrahabr.ru/post/343786/#comment_10550978
Как то так, не понимаю правда как…
batyrmastyr
04.12.2017 09:10Только подключение уведомлений по СМС у них того… неадекватное малость. СМС может и не дойти, повторной отправки нет, а при повторной попытке подключения на тот же номер учётку блокируют на сутки. И никаких уведомлений в почту не шлют, идиоты.
Alessandra
05.12.2017 12:45Это в прошлом, правда. Сейчас SMS доходят, всё как надо. Если есть проблемы — решаются в оперативном порядке с SMS-провайдером. Также есть функция повторной отправки и предусмотрен тайм-аут. Блокировка длится 2 часа, но есть возможность разблокировать раньше.
UPD. И да, уведомления на почту также отправляются.
AcidVenom
03.12.2017 22:53Одна надежда в этой ситуации есть — домен не может быть перенесен к другому регистратору в течение 60 дней. У вас еще есть какая-то надежда. Если конечно злоумышленник не подготовился.
syno66
04.12.2017 09:11+1Да, если не уведомил предварительно администрацию, как тут написано) Но пока он еще у этого регистратора, и значит шансы есть
askv
03.12.2017 22:58Помнится когда геодомены в .ru (msk.ru, spb.ru и т.п.) были бесплатными, то relcom делал перенос другому администратору, если получал подтверждение от email из soa-записи. Если зона была недоступна, то подтверждение считалось полученным. Я так пару доменов у киберсквоттеров забрал…
tankistua
03.12.2017 23:16У нас надо письмо написать, сделать его скан и отправить на электронку вместе со сканом паспорта
porutchik
03.12.2017 23:21-1А рег.ру-то в чём виноват?
Hardcoin
03.12.2017 23:33+1Отдал домен другому человеку без всякого подтверждения от текущего владельца?
porutchik
03.12.2017 23:41Как без всякого? А кто в личный кабинет логинился и заявку на передачу подавал?
Hardcoin
04.12.2017 01:42Судя по статье — взломщик. А вы как считаете?
porutchik
04.12.2017 08:27А как на ваш взгляд надо передавать домены gTLD?
rahem
04.12.2017 09:33Вообще-то передача домена серьёзный шаг и после подачи команды в ЛК должно быть дополнительное подтверждение «вторым» фактором — не по электронке, а через СМС или звонком. Сомневаюсь, что передача домена частая процедура в рамках регистратора, если только они так не зарабатывают на тех, кто не включает 2FA сам.
Lico Автор
04.12.2017 09:34Проблема в том, что на данный момент даже первого фактора нет (кроме пароля от ЛК). После создания заявки подтверждение требуется только у того, кто принимает.
Merkat0r
04.12.2017 09:44Передача домена не то, чтобы частая, а ОЧЕНЬ частая процедура.
Кстати, домен то наверно был на частное лицо, потому и так все по упрощенной процедуре вышло, оформленный на компанию требует кучуанальныхстраданий :)
porutchik
04.12.2017 10:54У Регру есть 2фа для логина в личный кабинет. Ничего не мешает включить эту опцию.
JohnnyBlack
04.12.2017 11:52Вопрос безопасности аккаунта — это одно, дебильная организация процесса передачи доменов — это другое. Вот речь преимущественно про второе.
Hardcoin
04.12.2017 12:27Подтверждение через почту/ключом апи. Блок-период, в течении которого, если поступили претензии, вернуть все как было и затребовать документы.
Фраза "вы юридически больше не являетесь администратором домена" через 10 минут после кражи пароля — это перебор.
Я более чем уверен, что сменить владельца домена google.com с помощью одного лишь пароля от админки не выйдет.
algotrader2013
05.12.2017 02:06+1
dartraiden
03.12.2017 23:47Reg.ru отчасти виноват тем, что для передачи домена достаточно залогиниться в личный кабинет Reg.ru.
То есть, текущему владельцу не приходит на почту «кто-то (может, быть даже вы) из вашего аккаунта пытается передать домен — подтвердите, пожалуйста, что это вы».dartraiden
04.12.2017 00:18Впрочем, отчасти виноват и владелец домена. Похоже, что он не включил подтверждение входа в личный кабинет по SMS. Перехват SMS, конечно, не является чем-то невыполнимым (достаточно случаев, когда по липовой доверенности в салоне сотового оператора перевыпускают сим-карту), особенно, когда на кону большой приз, но всё же — злоумышленнику пришлось бы либо светиться там лично, либо через подставное лицо, что уже даёт зацепки IRL. А украсть логин-пароль и состряпать поддельный скан паспорта (вроде бы, регистратор требует эти данные от нового владельца) можно и онлайн.
batyrmastyr
04.12.2017 09:16Подключение СМС они в пьяном бреду делали — запросто окажешься без СМС, но с заблокированной учёткой.
algotrader2013
04.12.2017 01:03Можно было хотя бы, вместо юридического ответа в пятидневный срок, предоставить логи, и помочь разобраться с проишедшим
JohnnyBlack
04.12.2017 12:09Вроде бы Рег.ру даёт понять, что не заинтересован в каком-либо содействии, учитывая тот факт, что подобные случаи имеют место быть уже несколько лет. Думаю, они также прекрасно знают, что и полиция особо делать тоже ничего не будет. Но будет и со стороны компании, и со стороны полиции что-то в духе «самдурак».
Alessandra
04.12.2017 16:01Мимо. Мы открыты для переговоров и готовы предоставить уполномоченным органам все необходимые данные для расследования.
antanariva
04.12.2017 18:05Полиция дело сложное, но порой там грамотные ребята, лишь бы специалисты подключились, вымогательство в 700к не хилое дело.
Alessandra
04.12.2017 16:02Разумеется, мы ответим быстрее. Это максимально возможный срок ожидания.
krawster
04.12.2017 20:10Вы серьезно? При угоне домена, если не можете защитить владельца, максимально возможный срок ожидания должен быть мгновенно!
UPD: это же ваша репутация, неужели вам её не жалкоAlessandra
04.12.2017 20:34-1Мы оперативно установили запрет на любые операции с доменом, чтобы клиент смог обратиться в уполномоченные органы и решить этот вопрос. А что касается полноценного ответа от юридического отдела, то тут как минимум нужно провести внутреннее расследование, для чего требуется время. И тут же хотим заметить, что ответ был предоставлен куда быстрее, чем заявленные 5 дней.
Dymatize
04.12.2017 20:39+2Точно установили, не врете?
А ну ка взгляните ка пожалуйста сюда Ticket#2017113066001553
Хотите я продублирую всю переписку сюда, точно?
akhmelev
03.12.2017 23:27+1Тупой взломщик просто попался. Умный бы оставил днсы на 60 дней, а потом спокойно забрал бы себе домен. regru конечно виноват. Такой отписочный саппорт — верх отстойности сервиса. Но владелец домена — тоже далеко не вершина интеллектуального развития.
syno66
04.12.2017 10:03Полностью согласен — с безопасностью прокололись, теперь будем умнее)
Temmokan
04.12.2017 12:41Как минимум прикрывать всё, что можно, аутентификацией по второму каналу.
Дополнительно — не использовать ту же почту, которая для переписки, для восстановления учётных записей. Как минимум, меньше риска потерять доступ ко всему, что использует почтовый ящик для восстановления доступа.
Впрочем, полагаю, вы не только эти рекомендации уже выслушали раз так сто…
Alessandra
04.12.2017 16:00Уточните, в чем именно виноват регистратор? Пользователь сам не воспользовался доступными инструментами и не принял меры по безопасности своего аккаунта. Клиенту все ответили верно и согласно регламенту.
Seekeer
04.12.2017 16:15+2>согласно регламенту.
Вам намекают, что виноват как раз в кривом регламенте.
faiwer
04.12.2017 18:11+1Уточните, в чем именно виноват регистратор?
В том, что позволяет производить настолько серьёзные действия без дополнительных проверок, тем самым подвергая огромный процент своих клиентов риску потерять свой домен.
Это чем-то сродне открытому канализацонному люку. Человек, конечно, сам виноват, что не смотрел по сторонам, уставившись в телефон, и упал внутрь, сломав ноги, но главный разгильдяй — мастер, оставивший его открытым.
Mia_Lebedeva
04.12.2017 18:37Сообщаю, что на данный момент 2017 год. С такой сияющей дырой в безопасности вашего сервиса, вы рискуете так и остаться в 90Х. Для того чтоб избежать мокрых штанов можно было просто обязать пользователей на смс аутентификацию. Минимум. Вот у нас адсервер с пользователями, мало того что автогенер паролей ежемесячный, аутентификация трехуровневая так еще и саппорт не тыкает регламентами пользователям в лицо. Есть стандартные ситуации, а есть ситуации когда нужно сделать выводы и откровенно не забивать на клиента. Судя по тону мошенника, не в первой. И не последний раз. Это аккаунт Его но на ВАШЕМ сервисе, который абсолютно не подготовлен к таким стандартным процедурам, как защита от несанкционированной смены администратора домена.
Alessandra
04.12.2017 20:28Друзья, все действия связанные с международными доменными именами регулируются политиками ICANN, которые регламентируют все действия регистратора. Например, в регламентах ICANN не указано, что регистратор в подобном случае может сменить DNS домена на тот, что был до операции компрометации данных, но наш опыт и опыт коллег невзирая на этот пробел в регламенте говорит, что нам нужно брать даже не предусмотренную ответственность на себя и гарантировать делегирование домена.
Безусловно, помимо того, что регистратор оказывает услуги ведения Реестра, должен ещё и просвещать, делясь знания со своими клиентами. Мы стараемся изо всех сил, в том числе, и участием в таких сложных публичных темах, где обвинение является общественной нормой, но разобраться в ситуации могут немногие. Мы уверены, что этот и другие подобные случаи, которые могут случиться в REG.RU будут разобраны беспристрастно и зло будет наказано.vikarti
05.12.2017 07:16Вот будет интересно чем все это кончиться, в том числе и если домен НЕ будет возвращен а ситуация окажется более сложной (вы писали что у вас бывают… более сложные… ситуации)
Flakky
03.12.2017 23:28А нельзя просто попросить узнать паспорт текущего владельца, предоставив паспорт прошлого владельца, то есть вас? Полагаю, Reg.ru может это сделать, так как явно взлом (особенно учитывая, что есть переписка и сомнительные действия). Паспрорт уже напрямую отправлять в полицию и суд.
Да и к тому же человек даст вам реквизиты счета (уж 700к принять без аутентификации по паспорту нереально, если только это не криптовалюты), по ним легко определить, кто владелец через ту же полицию…
Но а вообще да, надо быть аккуратными. Все привязывать через СМС хотя бы, особенно если на домене бизнес с прибылью.
И да, не забудьте написать, как его потом посадят) Полагаю уж очень неаккуратно он выполнил такую разводку, если, конечно, все не на поддельные паспорта и счета.MMik
03.12.2017 23:33+1После этой публикации Влад уже не даст номер счёта. Наверняка он на Хабре зарегистрирован. Надо было не публиковать тут весь материал сгоряча, а при сотрудничестве отдела К выудить у Влада чуть больше деанонимизирующей информации.
Vengant
04.12.2017 02:09Я крепко подозреваю, что никакой отдел К этим заниматься не будет. И вообще никто не будет. Имел пару лет назад опыт общения с полицией на тему преступления в области ИТ — всем пофиг.
MMik
04.12.2017 14:26Тоже пару лет назад имел дело с отделом К: приходили с логами с серверов ко мне в телеком, просили помочь разобраться со взломом, запрашивали дополнительные детали по трафику.
Опыт работы с отделом К от конкретных людей зависит, на надо их всех под одну гребёнку.dartraiden
04.12.2017 16:07Сотрудник одного из провайдеров недавно делился в Телеграме увлекательной историей, как из правоохранительных органов к ним поступил запрос на выдачу всей доступной информации об одном IP-адресе. Оказалось, что этот IP принадлежал самим же правоохранительным органам, то есть, вместо IP злоумышленника правоохранители прислали свой собственный адрес.
faiwer
04.12.2017 18:13вместо IP злоумышленника правоохранители прислали свой собственный адрес
Не исключено, что тут нет никакой ошибки ;)
Germanets
04.12.2017 19:54+1С большой вероятностью это либо попытка отследить действия какого-либо своего же сотрудника, то есть работы службы собственной безопасности, либо вообще расследование инцидента, например выяснение, к каким адресам лез вредонос, отсылавший файлы с их собственно компа…
midday
04.12.2017 18:02Зря вы так думаете. Если дело касается не просто по «взлому», а вымогательство, т.е. уже не Айти тематика. Тут правоохранители будут рады вам помочь.
0o0
04.12.2017 10:03Паспорт нового владельца — это персональные данные вообще-то. Вот милиция пусть и запрашивает. А автору не должны дать. Если всё по правилам делать.
Хотя вот видео с камер наблюдения в подъезде я уже два раза лично запрашивал, хоть и говорили, что тоже не должны давать всем подряд. Только дяденькам в погонах.
arandomic
04.12.2017 14:35Видео с камер наблюдения в подъезде обычно может получить любой житель подъезда (т.к. он это видеонаблюдение и оплачивает.)
enabokov
03.12.2017 23:30+2Новый владелец по-видимому тоже загрузил скан какого-то паспорта?
Dreyk
03.12.2017 23:43наверняка там паспорт, полученный за чекушку у бомжа Васи
MMik
04.12.2017 00:39Там либо никакого паспорта, либо паспорт Victor'а Yukechev'ва (ссылка).
Dreyk
04.12.2017 00:53никакого не может быть, так как поддержка не смогла сверить данные автора из-за их смены в профиле. но далее если же там настоящий паспорт — не факт, что Victor Yukechev — это вообще тот, кто все это сделал :)
MMik
04.12.2017 01:02Смены данных в профиле Дмитрия не происходило, если я правильно понял. Просто залогинились и передали домен на аккаунт Victor Yukechev.
К слову, у Виктора Юкечева тоже в своё время домен крали:In November 2016, Victor Yukechev told Amnesty International that in June 2016 “taktaktak.org” domain was stolen under very strange circumstances and later re-registered in Bahamas, while the website’s counter was changed from an IP-address in Donetsk Region of Ukraine. As a result, the Tak-Tak-Tak network had to move to another domain...
NS у этого домена сейчас на mchost.ru.
enabokov
04.12.2017 01:03Victor Yukechev может ничего и не делал, но объясняться по этому делу в первую очередь придётся тому, чей паспорт светится в системе. Допустим, в системе данные подставного лица, и ему придётся объяснять как он получил этот домен. Если этот «бомж Вася» знать ничего не знает, на лицо мошенничество. Что делает reg.ru, если администратор использует подложные документы?
Очень скептически отношусь к возможностям и желаниям полиции расследовать подобные дела (да и вообще), но считаю правильным что автор обратился в полицию. Тут всё будет зависеть от активности пострадавшего.
iXF
04.12.2017 09:51Когда берешь кредиты/рассрочки, ваш паспорт фоткает/сканит сотрудник магазина, либо кред. организация и ушлым людям, которые работают на банки и магазины ничего не стоит заслать себе копию на мыло и потом слить куда-то.
lpwaterhouse
04.12.2017 12:59Боже, да можно просто по документам в вк поискать или на каком-нибудь хостинге картинок. Там и коллекцию паспортов, и карточек, и черт еще знает каких интересных данных собрать можно. И все сами выкладывают, сами!
lopatoid
03.12.2017 23:54+2к известному и уважаемому регистратору, и выбрал в качестве сего регистратора компанию REG.RU.
facepalm.jpg
Это в какой вселенной reg.ru является уважаемым регистратором? Известным — возможно, многим действительно известно кол-во плохих отзывов об этом регистраторе.Alessandra
04.12.2017 15:56+1Уточните, чем именно конкретно вам не угодил наш сервис? Постараемся принять ваш фидбэк в работу, чтобы стать лучше.
dartraiden
04.12.2017 16:10Например тем, что принадлежит Филиппу Гросс-Днепрову, которого многие считают киберсквоттером, хотя он предпочитает именовать себя «домейнером».
Alessandra
04.12.2017 16:27Филипп является соучредителем компании, это верно. Комментировать слухи как минимум непрофессионально, поэтому мы воздержимся. Вопрос остаётся открытым, чем вам не угодил сервис? Или это единственное, что вас смущает?
SONce
03.12.2017 23:54+2Опять нарушили первое правило ИТ бизнеса в России, за что и поплатились.
А регру уже крайне давно известен своим идиотски-наплевательским отношением к клиентам, да и сервисом в целом.UdarEC
04.12.2017 02:26Да, а зарубежные регистраторы все такие пушистые, gandi, например (https://habrahabr.ru/post/115298/ и т.п.)
Почти любой из популярных зарубежных регистраторов блочит домен на раз два, если им померещится опасность.
ТС нарушил правило в том, что не перенес к нормальному регистратору с блокировкой домена и не сделал зеркало для сайта с альтернативным доменом.
Technounit
04.12.2017 01:04млин, надо бы все наши домены с этого рег.ру(если они там есть) на нормального регистратора перевести…
UncleAndy
04.12.2017 14:36Можете привести пример «нормального регистратора» для доменов в зоне «ru»? Я-бы вот тоже перенес, но что-то не нашел таких.
Alessandra
04.12.2017 15:55-1Пардон, но в данном случае дело ведь не в регистраторе. Функционал для защиты аккаунта у нас есть, надеемся, что вы им пользуетесь.
Vilgelm
04.12.2017 01:09У друга была подобная ситуация с NetworkSolutions: злоумышленник каким-то образом получил доступ к аккаунту, сменил почту на похожую (подменил l на I), о чем уведомлений не было и попытался увести домен к другому регистратору (о чем тоже уведомлений не было, почту то сменили). Я случайно это заметил, написали в саппорт NetworkSolutions и они приостановили передачу домена. Но заодно заморозили аккаунт и сказали что разморозят только по скану паспорта (что как бы логично). Но или злоумышленник успел сменить данные аккаунта или они принимают только американские паспорта, но разморозить аккаунт так и не удалось (пробовали даже нотариально заверенные копии с нотариальным же переводом отсылать). В итоге домен до сих пор заморожен и кто-то его раз в год продляет.
kuftachev
04.12.2017 13:26Согласен на 100%, сервис у больших компаний приблизительно одинаково плохой сервис вовсем мире, бывают конечно приятные исключения, но это отдельно.
asmrnv777
04.12.2017 01:10регру очередное днище пробил :)
Alessandra
04.12.2017 16:34Разве? Тем, что клиент не включил опции по защите своего аккаунта, которые мы предлагаем?
Dymatize
04.12.2017 16:37Извините пожалуйста, вам знакома эта, так сказать, фича? www.reg.ru/domain/service/transfer_services
Объясните пожалуйста, как мои домены смогли украсть с помощью нее?
Как смогли подтвердить почту и откуда мои копии документов у них?
Аккаунта у reg.ru у меня вообще не было, был только у 2domains, а от них к reg.ru нельзя перенести домен полностью (что и было сделано), перенос осуществлен с помощью этой вашей «фичи» был, а потом домену спокойно сменили данные, ибо он уже не моим стал…
Lico Автор
04.12.2017 16:37+1Проблема не в опциях защиты — с ними с вашей стороны проблем никаких — все корректно, а в вот такой процедуре передачи домена, когда для передачи международного домена требуется только доступ в ЛК и ничего более. И нет никаких других мер защиты — даже какого-никакого подтверждения через ссылку на почте или вменяемого временного лага.
Amphetamin
04.12.2017 01:56Я через гугл аутефикацию защитил акк с доменами. Но у другого регистратора.
SanekPlus
04.12.2017 02:49Если очень нужно, то можно и вашу симку "перевыпустить".
Amphetamin
04.12.2017 02:53Вы знаете что такое Google Authenticator? Это приложение, устанавливается на смартфон. Каждый раз генерирует рандомное число. Никак не связано с симками. И перевыпуск симки никак не поможет перехватить код. Только кража телефона.
areht
04.12.2017 04:09А что вы будете делать, если потеряете/сломаете телефон?
Neris
04.12.2017 08:58Для этого есть резервные коды, которые распечатываются на бумажный листик и хранятся в надежном месте.
Barafu
04.12.2017 09:00Использует код восстановления OTP, который у него записан на бумажке, лежащей в сейфе.
Prototik
04.12.2017 11:15TOTP ведь не только для телефонов доступен, у меня например все коды продублированы на ноутбуке, причём все они зашифрованы моим gpg ключом, ну и всё это дело бэкапится, конечно.
areht
04.12.2017 11:45Мне попадалось только сервисы, где штатно можно только один генератор токенов привязать. Не знаю можно ли клонировать Google Authenticator на ноут.
Впрочем, бекапы потерять тоже можно. И обычно есть опция восстановления через sms/телефон, чего при воровстве симки достаточно.Prototik
04.12.2017 11:58Для этого не нужна никакая поддержка со стороны сервиса: в момент включения otp выдаётся (обычно) qr code и секрет в сыром виде. Хоть на 100500 устройств добавляйте — логика одна. Если секрет и не выдаётся — всегда можно декодировать qr любым ридером и выдрать секрет оттуда.
Впрочем, бекапы потерять тоже можно
Правила сохранности бекапов никто не отменял — их должно быть >1 и они не должны быть все в одном месте. Поскольку все они зашифрованы — можно хоть на все cloud сервисы их залить разом, а-ля dropbox, gdrive, /etc…areht
04.12.2017 12:54Попробую, спасибо.
Вопрос был всё же не про как хранить бекапы OTP, а про способы восстановления доступа для тех неудачников, что всё же потеряли OTP.
xpert13
04.12.2017 22:46Я когда-то на Амазоне восстанавливал: написал им в саппорт, мне на телефон позвонил индус, мы с ним мило пообщались и он отключил двухфакторную авторизацию на аккаунте.
На другом сервисе (кстати регистраторе доменов) так же через саппорт выключили (на этот раз подтверждение было через смс).
В принципе я думаю у каждого сервиса есть какой-то вариант восстановления доступа в случае форс-мажорных ситуаций.areht
05.12.2017 01:02+1Обычно есть, но если он слабее 2-х факторной авторизации через OTP, то успокаивать себя наличием OTP наивно. Обычно это именно подмена TOTP на проверку по телефону.
А лучше бы с письменным заявлением и паспортом.
ChiefMate
05.12.2017 21:18Можно использовать не гугловский аутентификатор, а опенсорсный FreeOTP.
Не знаю, как на iOS, но на Андроиде можно без малейшего труда скопировать tokens.xml на другое (третье) устройство и использовать их параллельно. Пробовал, работает.
SanekPlus
04.12.2017 04:10Да знаю, Google Authenticator это такой способ аутентификации, вместо которого в любой момент прохождения аутентификации можно выбрать аутентификацию по SMS
FeNUMe
04.12.2017 04:38Google Authenticator это OTP-генератор(TOTP/HOTP) и его можно использовать для аутентификации в любых сервисах поддерживающих эти стандарты. В данном случае человек использует его с регистратором доменов и далеко не факт что там есть fallback на смс.
Лично я правда отказался от мобильных OTP-генераторов — есть не нулевая вероятность потерять телефон и потом морочиться с восстановлением доступа ко всем сервисам где его использовал. Хоть это и не сложно, но мне лень, потому использую десктопный WinAuth с синхронизацией базы в облако.vikarti
04.12.2017 05:50Есть (платный немного) Authenticator+ который может раз импортировать базу с Google Authenticator (на рутованном девайсе) а потом эту базу синхронизировать между устройствами (с шифрованием конечно). Ну или можно его с самого начала использовать.
SanekPlus
04.12.2017 06:32А. Мне показалось, что человек поставил такую аутентификацию на gmail. Глюканул. Прочитал по диагонали.
0pana
04.12.2017 10:03Google Authenticator нормально бекапится Titanium Backup с последующим восстановлением на любом андроид устройстве.
FeNUMe
04.12.2017 10:21Дело не в бекапе, а том чтобы «новый хозяин» не получил доступ куда не положено.
redmanmale
04.12.2017 15:23Если есть пароль на вход (и включено шифрование памяти), то это не проблема.
PaulAtreides
04.12.2017 02:39У вас какой-то излишне хитрый план — и заявление в полицию и пост на хабр. То ли история на самом деле уже закончилась и вам есть, что рассказать, то ли вы не очень дальновидно поступаете.
Arris
04.12.2017 03:42Летом имел поимел печальный опыт общения с техподдержкой REG.RU (тех.администрирую один форум).
Таких… <вырезано цензурой> «специалистов» я не видел давно.
У нас в одной из подпапок форума появилась папка, которая была являлась символической ссылкой на корень вирт.корень. Разумеется, удалить её не удавалось ни через FTP, ни через «панель управления».
Сначала (первую неделю) пришлось доказывать техподдержке, что я — тот, кто вправе вообще просить их рассмотреть хоть какую-то заявку. То есть «ну и что, что вы ввели два пароля и из панели управления аккаунта заполняете тикет. А вы докажите, что вы имеете право такие тикеты составлять, а то может вы аккаунт взломали».
Ну окей, тут я еще могу их понять, это выглядит разумным, хотя они это выясняли с упорством, достойным лучшего применения и требовали чуть ли не нотариально заверенный скан нотариально заверенной ксерокопии паспорта реального владельца рядом с таковой же ксерокопией моего паспорта с заявлением о том, что мне реальный владелец предоставляет мне право логиниться и что-то делать в панели управления.
Следующую неделю я пытался доказать им, что проблема вообще есть.
Они искали эту папку где угодно, но не там, где она на самом деле была. В ответ приводили листинги каталогов из корня, листинги каталогов из каких-то левых папок — и везде — «Мы внимательно изучили проблему и не обнаружили по указанному Вами пути указанной Вами папки».
Хуже того, стоило в инпут-форме появиться символу
--
всё, что было после этого символа обрезалось. Причем обнаруживалось это только после того, как ты напишешь ответ, приложишь логи, расскажешь, что ты делал, нажмешь сабмит в форме… и увидишь, что от твоего сообщения осталась только первая фраза.
Разумеется все предыдущие сообщения в переписке горе-специалисты не читали и отвечали по своему разумению только на самое последнее, не вникая в суть проблемы. Сводились ответы к следующему:
«мы этой проблемы у вас не нашли, поэтому её у вас нет...»
Мы хостинг номер 1 в стране, у нас нет багов!"
Единственное что помогало хоть немного расшевелить этих специалистов (и заставить их читать хотя бы на одно сообщение назад) — это покрыть их площадной бранью, не стесняясь в выражениях.
В конечном итоге проблема решилась, но нервы я себе попортил изрядно.
kafeman
04.12.2017 04:01Хуже того, стоило в инпут-форме появиться символу
SQL-комментарий? :-)
--
всё, что было после этого символа обрезалось.Arris
04.12.2017 08:04Понятия не имею :) Я цитировал команды к мускулю (мы там еще параллельно решали другую задачу, у меня по крону бэкап на ЯД запускался — только вот он запускался не так как я хотел, а строго как попало).
После оооооочень долгой ругани они эту проблему признали ошибкой. Но вот исправили ли — это я не знаю.
Germanets
04.12.2017 10:46Интересно, сколько народа после этого сообщения пошла тестить REG.ru на инъекции)
achekalin
04.12.2017 12:30— Ваше имя?
— Оно сложновато, но пишите: минус-минус-Иван
— Ой, у меня форма закрылась, вы наверное хакер!
alix_ginger
04.12.2017 14:58Робин-брось-таблицу
achekalin
04.12.2017 15:00Нужно уже табличку бородатых картинок завести, и ссылки на нее постить.
А этот перевод не такой смешной, как другой, где-то ходящий: «Да, дома мы зовем его Дропик!»alix_ginger
04.12.2017 15:22И в комментарии писать только ID картинки из таблицы
Areso
04.12.2017 15:40Добро пожаловать на xkcd. В частности, картинка выше имеет 327 номер)
alix_ginger
04.12.2017 18:03+1Тогда нужно еще указывать адрес сайта, типа xkcd.com/327. И сделать, например, расширение браузера, которое будет брать картинку по указанному идентификатору и показывать ее вместо него…
Ugrum
05.12.2017 13:23-Анекдот №88!
-Фуу, баянище.Superl3n1n
06.12.2017 01:18Не хочу показаться снобом, но в данном случае все анекдоты будут баянами.
TheShock
06.12.2017 01:23Главное — как рассказать
Superl3n1n
06.12.2017 02:03-Анекдот №88!
TheShock
06.12.2017 02:43Понимаешь, анекдот то смешной, просто есть люди которые умеют анекдоты рассказывать, а есть те которые не умеют!
Вот вы — не умеете))
firk
04.12.2017 09:24У нас в одной из подпапок форума появилась папка, которая была являлась символической ссылкой на корень вирт.корень. Разумеется, удалить её не удавалось ни через FTP, ни через «панель управления».
Весьма странно. Должна без проблем удаляться как обычный файл. Может быть ваш фтп-клиент неадекватно обрабатывает символические ссылки. Если разбираться с багами фтп-клиента лень — можно удалить скриптом (у вас же был форум на пхп и никаких строгих прав доступа не было настроено?) <?php unlink(путь_к_симлинку);
А так я бы тоже что-то заподозревал, если бы клиент, у которого есть доступ к этим действиям, почему-то просит техподдержку их сделать.
Arris
04.12.2017 18:35Мой FTP-клиент — это FAR. Но я пробовал еще через FileZilla и через что-то еще.
А так я бы тоже что-то заподозревал, если бы клиент, у которого есть доступ к этим действиям, почему-то просит техподдержку их сделать.
Ну да, ну да. А почему они потом неделю пытались эту папку найти и не могли? :) Пока носом не ткнул в каталог, где она лежит, не нашли.
Stealch
04.12.2017 05:52Ну на мой взгляд нарушено первое правило системного администратора (работает — НЕ ТРОГАЙ). Сама суть переноса домена непонятна — чисто из уважения к reg.ru? Коней на переправе не меняют. Далее не была изучена досконально политика reg.ru по отношению к международным доменам ПЕРЕД переносом, а это уже косяк непосредственно админа. Ну и последнее: не была включена двухфакторная аутентификация хотя-бы на почту, ибо это самое уязвимое звено.
wtfowned
04.12.2017 05:52Немного не в тему, но расскажу свою грустную историю.
У меня 2 года назад увели группу в Одноклассниках стоимостью ~900к руб по рынку (800к-1.1млн), которую я растил несколько лет и вкладывал каждый месяц по 10-15 тысяч рассчитывая продать или зарабатывать с нее в перспективе по достижению заветного 1 млн человек (оставались считаные тысячи!). Было настроено SMS оповещение как при входе в ОК, секретные вопросы Gmail + двойная аутентификация, сгенереный пароль 12 символов. Как угнали и через что — до сих пор неизвестно. Взломали аккаунт основного владельца который был привязан к симке и я в этот аккаунт заходил всего несколько раз в жизни, никаких оповещений о входе или чего либо не приходило.
Обнаружил сразу, т.к. мой модератор сообщил «с группой что то не то» — повесили сразу кучу рекламы, начали лить трафик на партнерки, я до этого группу только раскачивал для дальнейшей продажи и не монетизировал.
Написал в местное отделение полиции, потом в центральное, дело передали в отдел К. Сделал все скрины, копии переписок, удостоверения что мой аккаунт, моя симка и бла бла. Штук 20 листов было. Полицейскому часа полтора объяснял что такое группа и почему она стоит 900к и как вообще могло такое произойти (кража). Молодой парень лет 30 мне отвечал примерно в духе «да у меня тут трупы неформленные...» и смотрел как на больного… сказал ответ будет в течение пары дней, в итоге недели через 2 удалось его вызвонить и он вообще про меня забыл/забил.
Естественно, в первую очередь переписку начал с техподдержкой ОК. Они сначала время тянули 1-3 дня на ответ, в первый же день признали что был взлом и что они решают вопрос, писали все время «подождите еще день», подождите еще 2 дня, мы видим подозрительную активность, мы… Потом спустя 2 недели отписались в стиле «Мы вам помочь не можем». Как злоумышленник смог сменить привязанный номер мобильного телефона и секретный вопрос — просто тупо не отвечали на этот вопрос в техподдержке. Как взломали и что именно — до сих пор не ясно, пароль подобрать было невозможно, вход был по номеру мобильника + пароль. Также был ПЕРЕПРИВЯЗАН мобильный телефон к аккаунту что я даже в него зайти не смог, хотя эта процедура всегда через СМС подтверждение со старого телефона приходит — я думаю что здесь без помощи сотрудников из самих одноклассников никак не обошлось, слышал подобные истории после этого тоже. К тому же, в одноклассниках в то время (не знаю как сейчас, после этого случая просто даже не хочу туда смотреть, в эту помойку) была возможность скрыть администратора группы реального то есть максимально обезопасить от взлома группу, но каким то образом в ОК периодически начали появляться онлайн все админы всех группы и отображаться (!!!), так было абсолютно со всеми группами. Как тогда, так и сейчас, я думаю это была какая-то чистка + консолидация групп в содружестве с определенными инвесторами и администрацией ОК чтобы иметь не тысячи разрозненных админов, а сотни крупных инвесторов.
В общем время шло, пришел спустя 3 месяца примерно ответ из полиции, отписка что «Ваша вина, вы сами виноваты что вас взломали». Хотя и взлома то не было… Если интересно могу поднять переписку, где-то хранится это все у меня, если еще не удалил с горя.firk
04.12.2017 09:18"Группа" даже формально вам не собственность. Это просто страница на чужом (не вашем) сайте, к которой владелец того сайта вам любезно предоставил административные полномочия, и не более того. Могут отнять просто по рандомному желанию, могут дать кому-то ещё, и вообще ничем владельцы "соцсети" вам не обязаны.
Печально наблюдать как люди массово клюют на данную приманку (якобы что-то "своё" на не своём сайте, и без оплаты за хостинг и прочее) а по факту работают на владельца соцсети, увеличивая посещаемость его сайта. Владелец соцсети естественно рад поддерживать такое положение вещей — армия бесплатных раскрутчиков в его пользу.
YaakovTooth
05.12.2017 18:42Так бы оно так, да не совсем так. Когда появляются финансовые инструменты, площадки для торговли (реклама) штатная от сервиса — так появляются сразу же взаимные обязательства.
Ну, если по хорошему. :)
batyrmastyr
04.12.2017 09:41Как злоумышленник смог сменить привязанный номер мобильного телефона и секретный вопрос — просто тупо не отвечали на этот вопрос в техподдержке.
Да так же, как в Скайпе — отредактировать и сохранить. «И так сойдёт» же.
Germanets
04.12.2017 10:50Пытались, так же как автор, поднять тему на хабре\других тематических ресурсах? 900к стоят того, чтобы любыми способами пытаться расшевелить администрацию ресурса…
Karpion
05.12.2017 19:48Я в ОК не был и не собираюсь. Но мне интересно, какие отношения у Вас с ОК. Например, есть ли у Вас юридически значимый договор с ОК, в котором прописаны Ваши права на группу. Потому как собственность ценой в сотни килорублей (если я правильно понял) надо прикрывать бумажными договорами.
Ещё интересно было бы страхование от кражи доменных имён, групп в соц.сетях и прочих виртуальных ценностей от кражи. Страховая компания сможет заставить полицию шевелиться, а то и своих агентов заведёт.
alex-1917
06.12.2017 11:47Внезапно, но домен страхуется. А вот прецедентов с группами в ОК и прочих больничках пока что точно не видел))) Видимо, там комиссия страх.агенту будет зашкаливать…
Karpion
06.12.2017 18:44Ой, а кто страхует домены? Можно ссылочку?
Страховать группы в ОК должен сам ОК. С подписанием договора, с уплатой страхового взноса — привязать группу к эккаунту, эккаунт к личности. И вот тогда админы уже не смогут крутить своими филейными частями.
Если сам ОК не хочет устроить такую услугу — то надо обязать его законом. Надо подкинуть идею нашим думакам — им всё равно делать нечего.
А наличие на рынке такой услуги заставит пользователей хорошо понимать риски — благо соотношение страховой выплаты к взносам довольно точно отражает риски.alex-1917
06.12.2017 19:44Ага и получить за ссылочку парилку?)) на ЭР начинается)))
Спросил у своего агента, он сказал — если регистратор выдает документ с синькой, то нет проблем застраховать, т.е. страхуется текст, примерно так — регистратор выдал бумагу, где значится владелец Вася Бубкин, что-то произошло и появилась еще одна бумага, где владелец объекта страхования — уже Игорь Зубкин — вот эта смена, грубо говоря текста, и страхуется. В нюансы не вникал, не до того.Karpion
07.12.2017 18:44Про парилку я не понял. Если Вы назовёте несколько конкурирующих компаний — то это точно не реклама.
KoToZoid
04.12.2017 05:52Очень интересная публикация и полезная. Спасибо за неё Дмитрию и удачи! Однако, Дмитрий явно поторопился с ней. Хабр достаточно известный ресурс, чтобы информация достаточно попала, в том числе, к «Владу Рымарёву». Несложно предположить, что это вряд-ли будет способствовать успеху следствия. Не зря в УПК РФ есть статья 161 о «недопустимости разглашения данных предварительного расследования». Да, формально, Дмитрий, видимо, подписки о неразглашении не давал, но всё же жаль, если следствием эмоционального порыва поделиться важной информацией, будет создана дополнительная возможность для «Влада» уклониться от ответственности. Надеюсь, хотя-бы свою собственность Дмитрию получится вернуть. Ещё раз удачи, она вам понадобится!
JohnnyBlack
04.12.2017 05:53А я-то думал, что Рег.ру забросил подобные «трюки» с чужими
раскрученнымидоменами. Привет из 2011-2012 прям, не иначе.
Думаю, на почте Gmail у вас 2FA включена, а вот у Рег.ру с вопросами безопасности аккаунтов как-то вяло дела обстоят.Это «ж-ж-ж» — неспроста!Если не ошибаюсь, только ограничения доступа по IP и уведомления о входе в аккаунт.
Получается, что пароль или как-то выудили у вас (менеджер паролей в браузере, к примеру), или просто подобрали? В любом случае, где-то какие-то следы этойпредпринимательскойактивности остались.
Аккаунт «read-only», не могу плюс поставить, но хотел бы узнать, как ситуация в итоге решится. Ну и, разумеется, пожелаю решения вопроса в вашу пользу.Alessandra
04.12.2017 15:48О, нет. Возможности для защиты аккаунта хорошие: ограничение по IP, та же 2FA. Если бы данные опции были бы активированы пользователем, этой статьи бы попросту не было бы здесь.
JohnnyBlack
04.12.2017 16:21+1Звучит хорошо, однако есть два «но»: 1 — многие сервисы уже выработали у пользователей привычку искать включение/выключение 2FA на странице/вкладке «Безопасность»/«Настройки безопасности» и пр. Вполне логично, что кто-то не находит нужных опций защиты аккаунта, т.к. у вас они размещаются на странице «SMS-сервисы», что не сильно ассоциируется с 2FA и подобным, особенно при наличии рядом ссылки на страницу «Настройки безопасности». И отсюда уже 2й момент — слишком шустро уплыл домен от человека, об этом тут уже много написано в комментариях.
Evgeniy112
04.12.2017 05:53сколько раз сталкивался с косяками reg.ru, изза которых народ деньги теряет.
надеюсь у меня никогда не наступит тот черный и кошмарный день, когда я зарегаюсь на регру
Dymatize
04.12.2017 05:53Аналогично буквально пару дней назад увели несколько доменов у от 2domains к reg.ru
Решается проблема аналогично, можно сказать стандартно.
Кто то из работников регистратора решил подзаработать?Alessandra
04.12.2017 15:47Подскажите, вы обращались в службу поддержки? Если да, назовите номер тикета. Проанализируем ситуацию и дадим фидбэк.
kzpromo
04.12.2017 07:34В далеком 2011 году у меня была такая же история с компанией REG.RU как у автора.
Был сервис по кардшарингу, который приносил большие деньги. Работали с одним украинским партнером, который в последствии кинул меня. Этот нехороший человек взломал мой аккаунт от REG.RU и переписал домены на себя, хотя домены были оформлены на мое имя. Писал, звонил в службу поддержки, никакого результата, не смог вернуть домены. Нужно было писать заявление в Российский суд, чтобы по решению суда мне вернули домены. Но я это не смог сделать по двум причинам: 1) я гражданин другой страны 2) бизнес не является легальным. В общем отжали доход по полной))
Canapsis
04.12.2017 07:47Раз такому крупному сервису начихать на проблему клиента, а точнее баг со стороны этого самого сервиса, то пусть восстанавливает своё доверие в порядке очереди как говориться и отдыхает сколько ему заблагорассудиться. Все на выход товарищи, бойкот reg.ru
Alessandra
04.12.2017 15:45К счастью, вы не правы. Мы переживаем за своих клиентов и постараемся помочь в решении этого вопроса. Ниже прокомментировали эту ситуацию, будем следить за развитием событий и находиться на связи.
Informatik
04.12.2017 08:12Lico, а какого уровня сложности у вас был установлен пароль к reg.ru? Возможно было ли его подобрать по словарю? Или он был слишком короткий, что стал уязвимым для случайного перебора?
Germanets
04.12.2017 10:54Да ладно, в 2017ом году всё ещё есть крупные сервисы, в которых можно перебрать хотя бы несколько миллионов вариантов паролей? Вроде бы уже давно нормальные сервисы на 10й — 20й раз попытки неправильного пароля блокируют попытки перебора на N минут и отправляют соответствующие сообщения на почту\телефон…
splatt
04.12.2017 08:30+1Не понимаю, почему все обсуждают отсутствие двухфакторной аутентификации, короткий пароль, итд.
Вместо того, что бы обсуждать отсутствие периода ожидания у reg.ru (у всех других регистраторов между письмом "инициирована процедура передачи домена другому владельцу" и передачей как таковой должно пройти как миниум несколько рабочих дней) и при этом игнор типа "рассмотрим в течении 5 рабочих дней".
А компенсировать утраченную прибыль за эти 5 дней, если взлом бых по их вине, они не хотят?
Вот поэтому я перестал покупать домены у ру-регистраторов. Можно сколько угодно ненавидеть GoDaddy, но у них есть 24/7 техподдержка по телефону и специальный ящик undo@godaddy.com, предназначенный именно для таких случаев.
gromnsk
04.12.2017 18:05не совсем так, есть такие понятия, как FOA1 и FOA2, это 2 письма, первое отправляетсявладельцу и администратору домена для подтверждения старта трансфера и только после его подтверждения уходит реальный запрос на перенос, а затем прилетает FOA2, в котором текущий владелец может подтвердить перенос домена и тогда этот самый перенос будет завершен немедленно, это правило ICANN и тот же GoDaddy ему следует, а вот если FOA2 не подтвержден, то для gTLD действует правило, что через 5 суток будет автоматическое подтверждение трансфера, если за это время его не отменят. Получается, что бы забрать домен таким образом надо не только взломать аккаунт в рег.ру, но еще и почту.
jetsam
04.12.2017 19:31вообще-то, у всех процедура стандартная (при трансфере)
1. вводишь код (epp домена) у регистратора «приемщика»
2. на емейл «нового» владельца приходит письмо от «нового» регистратора (от нескольких минут, до дня) — «согласен ли принять\начать.
3. если в п.2 „согласен“, то — тут у разных регистраторов срок разный. обычно (у крупных) несколько минут, но есть тормоза… приходит емейл владельцу (берется из whois) от „старого“ регистратора — ссылка (урл) на страницу „соласен отдать да\нет“. причем, тонкость — у некоторых приходит ссылка сразу на „отказ“ (нажал и без запроса отказ), а не да\нет — один раз так машинально нажал и пришлось запускать процедуру снова.
4. если в п.3 „да“, то — через несколько минут (namecheap, name.com, dynadot, godaddy, alpnames,...) или часов — домен на новом месте. Если же в п.4 „нет“ — сразу отказ. А если ничего не нажимать (есть регистраторы, что не присылают или до россии не доходит) — стандартные 7 дней ожидания и домен „на новом месте“
* ругаемый godaddy — у него еще добавлено — кто принимает, тот в ЛК еще должен ввести код, который приходит на емейл „нового“ владельца.
** эта схема работает прекрасно и, практически, у всех. угнать домен по ней — трудно. а угон из ЛК — это не к процедуре трансфера или смена администратора.
*** у меня рег ру, кста, был единственным, кто при передаче захотел копию паспорта :)
eshimischi
04.12.2017 08:37Зашел в настройки своего аккаунта Рег.ру и там есть все необходимые настройки безопасности, вплоть до ограничения входа только по IP и тд… Это к сведению!
kuftachev
04.12.2017 13:23Вот отлично, расскажите это не читателям хабра, а условной женщине лет 50-ти у которой своя парикмахерская. И объясните как всем этим пользоваться.
bigtortik
04.12.2017 15:55Причем тут женщина 50-ти лет? Человек наверное хотел сказать что возможность защиты аккаунта была, а автор ей не воспользовался.
А если я женщина лет 50 и у меня украли машину мне что теперь к производителю авто идти и говорить вы не обеспечили безопасность моего авто, вы не подумали что я женщина 50 лет?
Dymatize
04.12.2017 16:02У меня домены были у 2domains
Защиты у них не оказалось вообще никакой, хотя указаны номер телефона, секретный email и кодовое слово…
Мне вообще не единого уведомления не пришло.
А 2domains это тот же reg.ru
Дело даже не в том что сменили аккаунт доменам без моего ведома, а в том что сменили данные владельца домена, без запроса подтверждения у самого владельца… Это как вообще?
Когда я оформлял домены, меня просили прислать даже сканы документов, что мол цитирую «защитить вас в случае чего».
А получилось так, что защиты нет просто никакой. А перенести домены оказывается можно, даже не находясь в профиле у владельца этих самых доменов, можно запросить перенос извне…
Пожалуйста www.reg.ru/domain/service/transfer_services
Так можно утащить любой домен вообще.
mokhin-denis
04.12.2017 09:42Вот все мы тут обсуждаем двухфакторную авторизацию… да. А СМС идут на второй нокиа мобила 3310 или на тот же смарт, где подключены акки гугла, яндекса? На тот же смарт, которого если уйдут… ну вы понимаете…
Пошёл покупать вторую симку для своей нокиа мобилы 3310...Zenitchik
04.12.2017 10:53А у меня вот 3310 не сохранилась. Надо на ардуине и GSM-модуле приёмник СМСок собрать…
rPman
04.12.2017 13:56кстати на сколько это сложно, сделать максимально компактный приемник, экран (текстовый) 3 кнопки (вперед, назад, вкл/выкл)?
Elmot
04.12.2017 15:23Сделать просто, отлаживать заманаешься. У мну 2й год недопиленный GPS трекер валяется :(
Zenitchik
04.12.2017 16:15Какого рода проблемы возникали?
Elmot
04.12.2017 16:35Я пытался работать с разными модулями.
Модули вываливаются из сети каждый по-своему, с разной диагностикой (или без таковой), в некоторых случаях один и тот же модуль выпадает по-разному, и оживлять его тоже надо по-разному. Хотя если нужен модуль только для SMS, то это может быть гораздо проще, чем sms+gprs.
Но если соберетесь делать, попробуйте. Можно связаться через ЛС, чем могу — помогу.
Stalker_RED
04.12.2017 20:54Если вас не сам процесс творчества интересует, а результат, то проще купить нокию на авито или радиорынке.
Если интересно именно самоделку, то можно взять ардуину, экранчик и GSM-shield. Но вполне вероятно, что с отладкой придется повозиться.
evgenmax
04.12.2017 10:38+1Переписка с регистраторами в 99% случаев бесполезна. Нет у них права по письму лица, не имеющего уже никакого отношения к домену, менять администратора. Если только по большому блату кто-то возьмет на себя риски.
Про полицию уже все выше написали.
Единственный вариант — Арбитраж WIPO, но он подходит только для сайтов, которые могут показать высокую посещаемость.
Процедура долгая и дорогая (от 1500$ пошлина, срок около 4 месяцев), но реально работает. Несколько раз сам возвращал.Germanets
04.12.2017 10:58Можете подробнее расписать процедуру или даже написать отдельную статью — как можно обратиться в этот самый Арбитраж WIPO, какие проблемы\подводные камни и прочее на этом пути есть? Думаю сообщество будет вам благодарно, а кому-то это поможет восстановить бизнес…
evgenmax
04.12.2017 11:16Спасибо за идею, напишу.
Я правда когда-то давно пробовал написать статью, но остался в песочнице )
Возможно сейчас что-то изменилось
super-guest
04.12.2017 12:40Держать домен в российской конторе? А смелости вам не занимать…
redmanmale
04.12.2017 16:17Я тоже люблю рисковать
mibazhenov
04.12.2017 12:54Пока читал, почему то вспомнил фильм «Исчезнувшая». Было бы круто в финале этой истории прочитать, что на самом деле, это пара друзей, которая обнаружив не очевидный косяк у регру, решила прибавить своему ит-бизнесу немного популярности и создали прецедент.
Lico Автор
04.12.2017 12:56Увы, все реально. Проект в посте никак не светится, да и целевая аудитория у него практически не совпадает с ЦА хабра.
mibazhenov
04.12.2017 13:09Ну это я так, пофантазировал) Люблю неожиданные развязки. Надеюсь у Вас будет всё хорошо, рег.ру всё исправит, а негодяя «вычислят по айпи»
slayeek
04.12.2017 17:35А как нагуглить, что за проект такой интересный?
kafeman
04.12.2017 18:21Из информации в посте очевидно, что osteohondrosy.net.
Germanets
04.12.2017 20:07+1Осторожно переходите по ссылке, там сейчас редирект на левый сайт, и завтра он может вести уже куда угодно…
kl09
04.12.2017 12:54+1Был похожий случай. На аккаунте reg.ru стоял вход по СМС паролю(никакого смс не приходило, но под моим аккаунтом зашли).Также пришел имейл о передаче прав на домен. Благо я сразу получил это письмо и успел написать чтобы заблокировали. В течение 3-ех дней кое как удалось вернуть домен.
mike_y_k
04.12.2017 12:58А ещё можно попробовать частный сыск.
Ну а потом на найденного виновника в гражданском производстве повесить все понесённые убытки. Или вспомнить лихие 90-е, практикум по ТРКА,…
kuftachev
04.12.2017 13:21Да, сервис на грани фантастики. В этой всей ситуации больше всех радует реакция службы поддержки, типа Вы г-но и нам вообще на Вас н-ть!
Рассказы про настройку всяких авторизаций в сервисе и прочих штук связанных с безопасностью — это фигня, есть много людей которые просто вообще не разбираються в этом. Одно дело, если бы кто-то зашел, подменил DNS и отправил все на свой сайт из-за недостаточной защиты кабинета конкретного пользователя, а другое дело, когда регистратор позволяет передать домен третьему лицу, а настоящий владелец ничего не знает.
Мне все-таки кажется, что по первому обращению должны возращать домен изначальному владельцу, а потом новый владелец должен договором подтверждать свое право владения, или через какой-то заметный срок, типа месяц или два передаче считается подтвержденной автоматически, если никто не обратился.Alessandra
04.12.2017 15:39Рассказы про настройку всяких авторизаций в сервисе и прочих штук связанных с безопасностью — это фигня
Это доступные инструменты, которыми необходимо воспользоваться, чтобы избежать таких ситуаций. Специалисты технической поддержки действовали согласно регламенту. Ниже мы дали развернутый комментарий по этому вопросу.
k0ldbl00d
04.12.2017 13:22На nic.ru захочешь — не сможешь без нервотрёпки перевести домен с договора на договор, не говоря уже о другом регистраторе.
Extortioner
04.12.2017 19:32Год назад перекидывал у них домен с физ лица на юр. лицо (2 договора разных). Для этого отправил им письмо в МСК на тему того, что я желаю осуществлять действия касательно домена в электронном виде и без бумажек. Потом просто перекинул через пару недель.
Если срочно надо, то да. Без их офиса по месту проживания это будет крайне гемморойно. Но оно того стоит.
BeppeGrillo
04.12.2017 13:31+1Alessandra что это за позорище?
syno66
Скажу сразу, органы скорее всего работать не захотят.
Тут у большинства опускаются руки и единственное что они предпринимают это нытьё в интернетиках про «сраные органы сраной рашки» анекдоты про трактор и баяны про правила ведения бизнеса в РФ.
Но на самом деле это не значит что органы работать не могут.
Просто до них необходимо донести необходимость этим заниматься.
Как?
Зажарить нерадивых работничков отдела К в их собственном бюрократическом аду!
Это если шутя.
Серьёзно, при возникновении пробуксовок писать заявыв спортлотовышестоящему начальству, в отдел внутреннего контроля и копию в администрацию президента и РосКомПозорНадзор. Дублировать телеграммой (бл@, не ржите, я серьёзно).
Каждый ответ просить выдать в письменном виде с датой, печатью и подписью.
На все заявления и документы которые вы им отдаёте требовать подтверждение получения с датой, печатью и подписью.
Периодически справляться у них не нужен ли ещё какой документик, а то они «забывают» об этом уведомлять.
Почтой лучше не отправлять а если отправлять то застраховано, с копией и подтверждением получения.
Потребовать привлечь регру и меилру с целью извлечения логов.
Написать жалобу на регру в РосКомНадзор, в конце концов на самом деле он таким и должен заниматься а не блокировками покемонов.
(нето чтобы это помогло но если есть возможность пнуть регру то почемубы и не пнуть?)
Последний совет: все вышеописанный действия следует применять только если вы встретите нежелание работать, неискренность и неоправданное затягивание дела. В противном случае эффект противоположный!BeppeGrillo
04.12.2017 13:38syno66 Ах да, скиньте мне в личку емеил на который был зарегистрирован аккаунт в регру, я кое-что проверю.
BeppeGrillo
04.12.2017 19:03syno66 И ещё, в полиции напирайте не на факт взлома а на факт вымогательства 700 000 рублей
kozzztik
04.12.2017 13:31Вот интересно, несколько лет назад пытался перекинуть домен с одной учетки на другую — безуспешно. «Ошибка» и все тут. Техподдерка на запрос просто… не ответила.
А тут нате, раз и перекинули. Однако.
alex-1917
04.12.2017 14:48Мне одному показалось странным, что основной массив действий по отъему домена произошел в субботу, в течение короткого времени, в то время как при обращении автора статьи по обратному действию реакция — в понедельник, ждите три дня, и т.д.? Сговор детектед?
Alessandra
04.12.2017 15:34Друзья, как и обещали, возвращаемся с комментарием.
Первичное действие с доменом (передача домена на другой аккаунт) производилось из Личного кабинета клиента, о чём ему сразу было направлено уведомление. А значит в этот момент необходимо было поднимать тревогу и написать обращение в службу технической поддержки, чтобы установить для домена запрет на выполнение любых операций (к сожалению, этого сделано не было). Конечно, Личный кабинет для любой цифровой услуги — это святая святых. В арсенале REG.RU есть все необходимые для защиты инструменты и мы о них пишем в своих приветственных письмах и сообщениях, которые сопровождают услуги:
— ограничение доступа в Личный кабинет по IP;
— двухфакторная авторизация.
Эти сервисы бесплатны для всех клиентов. И мы расстроены, что их также не использовали.
Кроме этих опций, настоятельно рекомендуем изменить свои пароли на более устойчивые к подбору и указать кодовое слово, для восстановления пароля, если до сих пор не сделали этого. О том, как это сделать мы рассказываем здесь: www.reg.ru/support/lichnyj-kabinet/Bezopasnost-akkaunta. Стоит отметить, что подобрать пароль методом перебора к личному кабинету REG.RU почти невозможно и мы многократно тестировали уязвимости в этой части и исторически эволюционным путем добились того, что теперь механизм защиты от перебора работает в балансе с интересами пользователей и эффективно.
Давайте вернемся к ситуации и попробуем в ней разобраться. Есть регламент ICANN, который описывает метод взаимодействия с администраторами домена. Этот метод един для всех gTLD доменов. Он обладает уязвимостями подобными той, в которой мы сейчас с Вами разбираемся. Но есть и фактор, который гарантирует сохранность домена: система регистрации доменных имен едина во всем мире и гарантирует сохранность домена в руках добросовестного администратора, а также справедливое разбирательство в этом вопросе:
— согласно правилам ICANN, после любого критического действия накладывается срок ограничения в 60 дней на последующее критическое действие;
— регистратор, руководствуясь местным законодательством, самостоятельно или с участием специализированных медиаторов разбирается в ситуации и совершает все необходимые действия с целью восстановления справедливости;
— домен как сущность никуда не исчезает, домен остается в системе — это как здание, которое временно оказалось в споре. Но при этом оно физически существует и им можно пользоваться.
В соответствии с Правилами, регистратор не является стороной в отношениях действующего или предыдущего администратора. В нашей практике было много случаев, когда в подобных ситуациях, казалось бы однозначных, в итоге после разбирательства было понятно, что изначальное представление ситуации не является честным и правдоподобным, а бумаги, денежные транзакции или решения суда доказательно показывали ошибочность первичного представления.
В настоящий момент, для домена установлен запрет на выполнение любых операций (блокировка), DNS в соответствии с регламентами находится в состоянии предшествующему смене администратора, как следствие домен продолжает функционировать в обычном порядке и текущая ситуация не наносит урон ни одной из сторон конфликта (прежнему администратору необходимо подключить домен на хостинге). Клиент обратился в уполномоченные органы, что является абсолютно верным действием: зло должно быть наказано. Со стороны регистратора собирается всесторонняя информация по всем операциям, которые были совершены до и после операции с целью предоставления этих данных следственным органам, в случае, если от них поступят соответствующие запросы. Рекомендуем занять проактивную позицию в работе с органами, регулярно связываться и запрашивать информацию о ходе расследования.
Мы будем держать сообщество в курсе по данной ситуации, так как мы считаем, что любой подобный случай может помочь в нашей работе и расширить знания сообщества.
BigD
05.12.2017 08:20+1Александра, какие выводы вы сделаете из данной ситуации для предотвращения/минимизации рисков клиентов, с учётом уже имеющейся информации, и разумных предложений комментаторов?
abrahadabra
05.12.2017 09:07Не могли бы вы дать ссылку на этот регламент ICANN, который описывает подобный метод взаимодействия с администраторами домена? К сожалению не нашел.
При этом у другого российского регистратора r01.ru, метод несколько отличается: help.r01.ru/domain/gtld/trans_contract.html. Там, чтобы перенести международный домен «необходимо отправить заявку на info@r01.ru с контактного административного e-mail».
Т. е. тоже можно провернуть подобное, только взламывать надо уже не личный кабинет, а почтовый ящик текущего администратора.
Еще не очень понял у вас в справке вот это место:
Предложения 1 и 2 противоречат друг другу и это нововведение, наоборот, призвано не улучшить, а ухудшить защиту доменных имен, поскольку подтверждение запрашивается ТОЛЬКО у нового администратора. Если бы оно запрашивалось в том числе и у старого администратора, то кражи домена бы не произошло.
Возможность увести домен, обладая только логином и паролем к ЛК регистратора является большой дырой в безопасности. Тут как минимум должна быть двухфакторная защита и не по желанию клиента, а принудительно. Поскольку далеко не каждый клиент знает вообще, что такое двухфакторная защита.
Представьте, если бы для доступа в ЛК какого-нибудь онлайн-банка по умолчанию действовала возможность доступа только со статическим логином и паролем. Да воровство было бы сплошное. Это понимает любой банк и любого, у кого возникает желание пользоваться онлайн-банком, принуждает использовать двухфакторную защиту. С доменами без разницы, международные они или нет, должно быть также, поскольку цена некоторых доменов побольше, чем банковский вклад.Alessandra
05.12.2017 10:10Пардон, вот ссылка на регламент: www.icann.org/resources/pages/transfer-policy-2017-05-23-ru
vikarti
04.12.2017 16:35Читаю я это… и захотелось посмотреть на свой аккаунт на webnames.ru старый (несколько доменов, в том числе .ru). Ой.
Cледов СМС-авторизации и возможности заблокировать вход по IP — не обнаружено. При этом есть ограничение на максимальную длину пароля (16 символов) (новый пароль — 16 символов случайный)(на почте аккаунта давно 2FA).
Думаю вот стоит ли переехать куда подальше.
Arepo
04.12.2017 17:23Вот же, положила: https://www.webnames.ru/my/security
Всего-то 490р в год! Налетай!vikarti
04.12.2017 18:16Спасибо. Видимо или у меня с глазами что-то или действительно ссылка хорошо запрятана (из. А как до этой ссылки добраться если ее не знать? У меня вот — не вышло (нет в ЛК ее).
Кстати а что там за 490 рублей? .ru мне в 150 рублей у них обходятся.Arepo
04.12.2017 19:12490р в год — стоимость включения 2FA, вот что написано у меня по ссылке:
Расширенная безопасность — это:
Двухэтапная аутентификация для входа в аккаунт: пароль + SMS-код;
SMS-авторизация для смены пароля или контактного e-mail;
SMS-авторизация для продажи домена на аукционе;
SMS-уведомления о смене владельца домена.
Стоимость услуги — 490 рублей в год.Возможно, цена зависит от тарифа, нет другого аккаунта чтобы проверить
vikarti
04.12.2017 20:19У меня нет 'Расширенной безопасности' там. Аккаунт партнера и достаточно старый. Но да — драть за то что должно быть стандартным это конечно нечто.
kafeman
04.12.2017 20:52+1StartSSL в свое время отказывались бесплатно отзывать сертификаты после Heartbleed, за что и поплатились…
beTrue
04.12.2017 16:55+1Автору желаю спокойствия и сил, норм что опубликовали, рег.ру без резонанса не начал бы шевелиться.
Спасибо, пора переезжать сервисы, первое правилоAlessandra
04.12.2017 17:25-1рег.ру без резонанса не начал бы шевелиться
Увы, но вы не правы. Как можно заметить, даже не смотря на статью, потребовалось некоторое время, чтобы провести анализ ситуации и дать подробный комментарий.
apelsyn
04.12.2017 18:08+2Ну конечно, 5 дней надо чтоб разобраться и статья на хабре (там же в письме все написано)… Для интернет-бизнеса это просто удар ниже пояса, так нельзя делать.
У вас есть сканы паспорта клиента, проблему можно было бы решить в субботу и не получить такой удар по репутации.Alessandra
04.12.2017 18:35Опять же, в письме указан максимальный срок ожидания по юридическому вопросу (но в большинстве случаев, это быстрее 5-ти дней). Как только что-то стало известно, клиенту сообщили в рамках тикета. Сейчас мы ждем уведомления от уполномоченных органов и полностью готовы помочь расследованию, если это будет необходимо.
alex-1917
04.12.2017 17:39А что за домен-то, когда карты все раскроют, сижу целый день на этой странице...?
Приходится выдумывать самому, вот что пока выдумал:
начало на os, окончание y.net, скорее всего окончание buy.net
Прилагаю скрин моих исследований, кусок внутри имени домена osssssstssbuy.net это то что я не расшифровал))):
Jogger
04.12.2017 18:39-1Статья какая-то излишне поспешная. И не соответствует заголовку, поскольку не раскрывает собственно «как». Мне было бы интересно почитать статью о том, как именно увели домен, в чём была уязвимость, как регистратор исправил/не исправил её, как стражи порядка нашли и наказали злоумышленников (или если не нашли — то почему)… А так одна завязка без кульминации и развязки, а из полезной информации — мысль «всегда включайте двухфакторную аутентификацию».
Lico Автор
04.12.2017 18:43Уязвимости reg.ru в данном случае не использовались. Теоретически известно как это было сделано, но без доказательств пока рано это публиковать. Заявление в полицию подано только в воскресенье, соответственно развязка будет позже.
Jogger
04.12.2017 18:47Так я о том и говорю, что статью стоило бы писать когда наступит это «позже».
Lico Автор
04.12.2017 18:53+1Статья написана не с целью рассказать интересный кейс о взломе (она скорее всего будет позже, когда домен вернется обратно в собственность, а взломщик надеюсь будет наказан), а с целью рассказать о багофиче регистратора.
Jogger
04.12.2017 18:58-1Но позвольте, вы только что сказали что
Уязвимости reg.ru в данном случае не использовались.
Тогда о какой багофиче речь? О том, что после захода в личный кабинет можно переносить домены? Так вроде как судя по объяснениям в статье, это не фича оператора, а общемировая практика…Lico Автор
04.12.2017 19:03Общемировая практика — при передаче домена делать внешнее подтверждение действия как с передающей стороны (sms или e-mail), так и с принимающей. А в данном случае только с принимающей.
bvv2001
04.12.2017 19:32Вставлю и свой камень в выхлопную трубу REG.RU… Я по простоте душевной думал что тот беспредел, который происходил с доменами в зоне NET уже прекратился… А нет, воз как говорится и ныне там… Лет 7 назад регистрировали домен в зоне NET у этого с позволения сказать «регистратора», помню точно что это сопало по времени с требованием паспортной аутентификации всех пользователей национальных доменов РФ. Так вот, домен был заблокирован на уровне ICAAN, при этом со стороны REG.RU не было получено ни одного уведомления ни о прtеупреждениях ни о блокировке. Как узнали позже из другого источника таких предупреждений было с десяток и все они пересылались в REG.RU. Так вот к чему я это все. Все домены а у нас их было с полсотни переведены к другим регистраторам как национальным так и международным. Чего и Вам всем желаю. Как говорится: не умеете вести бизнес — меняйте сферу деятельности…
saartr
04.12.2017 21:15+2Вот я почитал сообщения от REG.RU. Вроде бы все складно и действительно можно подключить двухфакторную аутентификацию, но клиент сам виноват, что не включил.
НО, почему REG.RU дает пользователям право переноса без этой галочки в настройках безопасности? У меня только в этом вопрос, если аккаунт без защиты, то почему у него есть права на такие операции…
Source
05.12.2017 21:36А, кстати, реально хорошая идея "хочешь перенести домен — сначала включи двухфакторную аутентификацию". Хочешь поменять номер телефона — пришли скан паспорта.
В общем всё решаемо при желании регистратора.
morozovsk
04.12.2017 21:25Написал статью про регистраторов доменных имён и их «маркетинговые» уловки ещё пару месяцев назад, но всё никак ни мог её опубликовать. Сегодня получил хороший стимул, чтобы её дописать.
Провёл небольшое расследование по поводу РегРу.
Trumanbaz
04.12.2017 22:06Мне вот интересно в этой ситуации следующее: если товарищ А продаст свой домен товарищу Б, а затем напишет в техподдержку о том, что учетку взломали и домен увели, то что делать регистратору в таком случае? Требовать у товарища Б документы, подтверждающие факт сделки? И что будет являться таким документом? Договор?
firk
04.12.2017 22:47Блокировать операции с доменом (чтобы домен дальше не утёк) и слать предъявителя в полицию для разбирательств.
Trumanbaz
04.12.2017 23:50Если я правильно понял, то в оригинальной истории reg.ru так и сделал: по ICANN запрет на операции с доменом на 60 дней, и разбирайтесь сами друг с другом и с соответствующими органами. А то получается, что товарищ А может присылать «скриншоты» с вымогательством, а товарищ Б «скриншоты» договора, и регистратор никак не сможет определить какие «скриншоты» не фотошоп. Получается только суд. А если продажа домена еще как-то «по-серому» прошла, то интересно какие шансы у товарища Б остаться и без домена, и без денег.
Ну а регистратору конечно же лучше сделать обязательное подтверждение через email или SMS для критичных операций с доменами.
keslo
04.12.2017 23:40Уже недалеко от начала статьи в памяти всплыло — «работает — не трогай»
Вдруг захотелось залезть на свои аккаунты и убедиться, что все хорошо
misharin
05.12.2017 09:07+1На счёт обращения в полицию — исходя из своего опыта не думаю, что будет положительный результат. Скорее всего через 30 дней Дмитрий получит отказ в возбуждении уголовного дела по отсутствию события преступления. Можно будет попробовать обжаловать это решение в прокуратуре, но это, скорее всего, даст ещё 30 дней бездействия со стороны правоохранительных органов и очередную отписку. Буду очень рад, если ошибусь.
spikepavel
05.12.2017 09:07+1Тема немного мутная. Регистратору как то по-фигу украли домен или продали, или вдруг подарили. Как регистратор узнает об этом? Он может оперировать только с реальными доступными ему данными. А так я считаю регистратор поступил правильно, просто заблокировал ресурс и все операции по нему, а дальше пусть уже полиция разбирается с новыми и старыми хозяевами, а как будет решение, то они уже вернут домен на законное место.
vavkin
05.12.2017 11:52Была похожая ситуация на этом же регистраторе reg.ru. В какой то момент в личном кабинете я увидел что висит долг, при том что срок оплаты был только через несколько месяцев. Еще через 5 минут я увидел, что домен выставлен на продажу. Оплата была заблокирована, я не мог оплатить домен. Абсолютно случайно я делал скриншоты буквально за час до этого где было видно, что домен был оплачен. После отправки этих скриншотов и кучи звонков, домен вернули, при этом поддержка утверждала что они ничего не делали.
Alessandra
05.12.2017 12:22Подскажете номер тикета?
vavkin
05.12.2017 13:15-1С какой целью?
Alessandra
05.12.2017 15:10Изучить этот инцидент. Если есть недоработки, то исправиться, чтобы не повторять ошибок. Если их нет, то прокомментировать ситуацию.
vavkin
05.12.2017 16:17К сожалению у меня нет доверия к вашей компании, поэтому я сначала перенесу домены в другую компанию а потом подробно опишу ситуацию. А доверие пропало окончательно когда я пришёл получить сертификат на домен и его при мне в графе «Генеральный директор» подписал оператор. Или у вас генеральный директор сидит на приеме клиентов?
m0Ray
05.12.2017 15:49Давно зарёкся иметь дела с упомянутой компанией. Интерфейс обвесили всякой ерундой и усложнениями «фюр потребляйтер защитен», утащить домен от них к другому регистратору практически нереально, куча препонов (из-за чего некоторые свои домены мне пришлось просто бросить), а реальная безопасность — ну сами видите…
Alessandra
05.12.2017 16:52+1Мы совсем скоро выкатим Новый личный кабинет. Он в разы удобнее, чем текущий. Заходите к нам через несколько дней. Приятно удивим!)
Arris
06.12.2017 03:56Лично меня уже не интересует новый личный кабинет. Меня интересует простая и быстрая процедура переноса домена на другого регистратора.
Вы готовы обеспечить быстрое прохождение этой процедуры или это все так и останется бла-бла-бла в комментариях?
m0Ray
06.12.2017 09:43Спасибо, но меня это уже не интересует. Домены, что были у вас, уже утеряны, а новые у других регистраторов с достаточно удобными интерфейсами.
jetsam
05.12.2017 17:08а реальная безопасность — ну сами видите…
— Если честно — не вижу, в статье нет четкого описания, что лажа была у рег.ру
* в рег.ру домены покупал только по акциям (в подарок и, как времянки). Не лучше и не хуже. Через их партнеров — дешевле в разы. Для фирмы сойдет. Для частного лица — задрано.m0Ray
06.12.2017 09:58Допускаю, что выборка из автора статьи и меня нерепрезентативна, но я как-то привык смотреть на результаты, а не описания. Я по схожим причинам не пойду, например, к регистратору, у которого в названии есть слово «папочка».
Для серьёзных фирм я, кстати, всегда выбирал другого регистратора. С ними было немножко дольше, но документация — комар носа не подточит. А сабжевую контору до поры до времени использовал исключительно для «по-быстрому забить домен, пока пиво не кончилось». И до сих пор жалею, что доверил ей свои личные домены. Впрочем, практика показала, что без них можно обойтись.
Acuna
05.12.2017 20:30Вообще контора реально трешовая. Да, кабинет удобный, мощный, окошечки, аякс, тут все тип-топ, но проблемы реально вымораживают. Уже два года (возможно и более, просто я начал работать с ним два года назад примерно, раньше другой был) не работает сохранение формы изменения профилей для регистрации доменов. Пару лет назад писал об этом, взяли скриншоты, божились разобраться, в конечном итоге почтовый адрес решил не менять, чем с ними бодаться. Недавно снова появилась необходимость в изменений данных (уже реально нужная, ибо требуется вписать новый адрес конторы) — пробую, но нет, проблема все еще не решена. Снова пишу в поддержку, традиционно просят очистить кэш браузера, проверить в других браузерах, пишу что пробовал даже в старом IE, просят скрины ошибки, все присылаю, отвечают что проблема будет решена «в кратчайшие сроки», прошу уведомления об этом, говорят да-да, известим лично просто, в итоге прошел уже месяц почти, и как обычно: ни извещения, ни, собссно, решения проблемы.
Специально, чтобы не быть голословным, проверил сейчас перед написанием коммента, но нет, все по старому. А ведь казалось бы, появляется всплывающее окошко с сообщением «Произошла ошибка. Попробуйте ещё раз». Ну залезьте вы в код, посмотрите чем эта ошибка может быть вызвана, и так и напишите, мол, у вас, например, какой-нибудь сертификат просрочен, или банально дата на компе не верная, и я такой: «Ооооой, тооочно, точно, такой сервис подозревал понапрасну, ой как неловко». Но нет.
Доменов много, половина у небольшого реселлера (название писать не буду, ибо не реклама, хотя в свете всего этого надо было бы), половина у REG.RU. Реселлер вообще песня, имею домены у него и радуюсь как ребенок. И вот сижу, думаю, переносить ли половину туда, или, соответственно, другую половину — туда. Еще и стоит не забывать под какой статьей я оставил этот коммент, что тоже сильно перевешивает чашу весов. Возможно, конвертики для бумажных заявлений на перенос все же приобрести нужно, пусть лежат в любом случае, хлеба не просят.lehha
06.12.2017 15:15с сентября 2016 года домены можно переносить между регистраторами без бумажек — просто получить пароль от домена (Authinfo-код) и передать его новому регистратору. Одной проблемой меньше))
Acuna
06.12.2017 23:07О, вот как, интересно, спасибо. Но это был эдакий словесный оборот. Имел ввиду, что при переносе от основного регистратора к ресселлеру вроде как требуется бумажное заявление (а может и наоборот, я даже не помню, честно признаюсь). Вот я и говорю, в любом случае, конвертики стоит закупить, хлеба не просят, ну типа планирую переезжать, и все такое)
lehha
07.12.2017 10:22Бумажкой с нотариусом при переносе к реселлеру внутри регистратора балуется только Никру. Все остальные регистраторы пока держатся без этого — по обычному письму в саппорт))
jetsam
05.12.2017 20:43не работает сохранение формы изменения профилей для регистрации доменов.
пункт "Дополнительные профили для быстрой регистрации" в субменю «Аккаунт»?
только что работал (изм и сохр емейл). или другой?
dostigai
07.12.2017 09:12В четырёх российских компаниях-регистраторах, и в Reg.ru в том числе, есть услуга, при подключении которой замораживаются все операции по домену. Небольшое исследование на эту тему.
jetsam
07.12.2017 10:37Простите, но это не исследование. Это ссылка на некую четвергу регистраторов с некими доп.услугами. Услуги такого типа у крупных «забугорных» в порядке вещей.
А ссылка на крымские санкции для страны с «законом Димы Яковлева», «звонком от РКН» и бомбежкой Воронежа — вообще моветон.
* и вообще, почему регистраторы еще не иноагенты?
MMik
del