Комментарии 21
Человек при регистрации ЭЦП предоставил поддельный паспорт.
Это готовая статья 327 УК РФ.
Насколько я понял, вы нашли этого человека.
Полиция возбудила уголовное дело? Если нет — чем был мотивирован отказ?
То есть некто Х перерегистрировал домен с владельца А на владельца Б?
Какой профит от этого человеку Х? Подгадить бизнесу?
доступы то все у него)) Поэтому хоть это и оформлено на Б, весь доход идет X
Если так. то отследить кому идет профит совсем несложно
Вот это, кстати, минус чисто банковских SIM-карт. Так как перевыпуск всё равно без соучастника на стороне оператора невозможен, то защита "никто номер не знает" не работает. Напротив, карточка без звонков и трафика ловится в системе сравнительно легко, а об угоне владелец может и не узнать до тех пор, пока следующую транзакцию кодом подтвердить не понадобится.
Но похоже, законодатели поступили как всегда — где не надо, раздувают из мухи слона («давайте запретим в интернете ВСЁ, а то мы слышали, там люди картинки лолей рисуют»), а где надо — не могут сложить 2 и 2 и сделать выводы.
Надо законом запретить получение ЭП без личного взаимодействия с владельцем, с обязательной проверкой паспорта явившегося лица на действительность. А за операции «по фотографии с паспортом и по ксерокопии паспорта» вообще бы ответственность предусмотреть не вредно.
В принципе, и без ЭП подобное можно провернуть, но получив ЭП по фальсифицированной доверенности — можно успеть наворочать больше, прежде чем поймают.
Так какой вывод? Как защитить собственность?
Отказаться от электронной подписи?
Я хочу для себя прояснить этот момент.
Получается, есть ЭЦП или нет ЭЦП, подлог электронной подписи - реально существующий бэкдор, от которого, по сути, нет никакой защиты? Проверять абсолютную подлинность ЭЦП вне компетенции регистратора...
все правильно, если у вас хотят что-то украсть - украдут
Именно. Сама дыра - в возможности без проблем получить ЭП на имя другого человека с поддельным паспортом + возможности тут же её начать применять в полную силу.
По-хорошему нужно к системе добавить второй фактор. Например, ЭП регистрируется при личном визите с паспортом, но активировать её можно только нажав особую кнопку на "Госуслугах". Тогда по крайней мере гражданин точно будет знать, что где-то что-то без его ведома было выпущено.
От угона аккаунта на "Госуслугах" это не спасёт, но всё же плюс барьер.
регистрировать у регистратора который не делает перевод другому лицу по электронной подпиcи, покрайне мере пока ее не перестанут выдавать всем подряд
Как у меня увели домен. Продолжение