Истёкшие домены — дыра в безопасности Google Apps

    Английский разработчик Бен Рейес написал в своём блоге, как он зарегистрировал только что истёкший домен и в качестве бонуса получил к нему чужой ящик Gmail, календарь и контакты. Завладев чужим ящиком, Бен смог зайти и в аккаунты на сторонних сервисах, таких как Amazon.

    Провернуть такую операцию получилось с помощью Google Apps. Дело в том, что Бен захотел после получения домена сразу же привязать его к своему аккаунту Google App, но обнаружил, что домен уже к кому то привязан.



    Бен обратился за помощью к знакомым в твиттере и ему ответил сотрудник Google, который объяснил, что у них в справочном разделе описана процедура, как восстановить привязку домена к аккаунту. Он изменил соответствующие настройки (скриншот) и получил админский доступ к сайту. Интересно, что Google предложил на выбор два админских аккаунта на двух разных незнакомых людей. Бен выбрал один из них случайным образом и установил новый пароль. Следующее, что он увидел, был почтовый ящик с архивом почты за несколько лет с кучей паролей и другой ценной информации.

    Через несколько минут Бен уже был на сайте Amazon под чужим именем. Дальше он ничего не делал, но говорит, что мог бы зайти также в аккаунты Dropbox, Facebook и PayPal. Каждый знает, какие возможности открываются у того, кто получил доступ к чужому почтовому ящику (читай хронику взлома HBGary группировкой Anonymous).

    В общем, пока что дыра в Google Apps не закрыта, и некоторые недобросовестные граждане уже написали скрипт на Python по поиску свежеистёкших доменов с привязкой к Google Apps.

    Средняя зарплата в IT

    111 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 7 268 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 38

      +11
      Отсюда мораль: следите за своими доменами!
        +3
        А если уже некому следить? Может быть бывший владелец уже rip.
          +5
          Тогда ему и на почту свою уже тоже пофигу, и на пароли, которые там хранятся.
            +1
            Ему то может быть и пофиг, но со стороны гугла в любом случае нехорошо давать доступ к конфиденциальной информации, тем более что там может быть что угодно вплоть до банковских данных.
              0
              А как Гугл должен узнать, что доменом управляют уже другие люди?
                +1
                Вероятно следить за информацией о владельце. Регистратор же все равно изменит ее после продажи.
                  0
                  а если я сам сменю регистратора или закажу услугу скрывающую мои данные я лишусь Гугл Аппсов без права восстановления?
                  –1
                  ну просить чтоб владелец домена прописывал в CNAME какой-нибудь специальный код и при смене пароля это дело проверять, у яндекса вроде так сделано.
                    0
                    > у яндекса вроде так сделано.
                    нету там такого.
                      0
                      а это pdd.yandex.ru/help/section22/
                      Также вы можете подтвердить собственность домена одним из следующих способов:

                      1) Поместить файл с указанным именем и содержимым в корневой каталог вашего сайта. Это можно сделать через FTP-доступ к вашему сайту.

                      2) Настроить CNAME запись с указанного на странице поддомена на домен mail.yandex.ru. Для настройки CNAME-записи у вас должен быть доступ к редактированию DNS записей вашего домена у вашего регистратора.
                        +1
                        Во-первых, эта штука используется разово, для подтверждения собственности домена.
                        Во-вторых, можно прекрасно обойтись без нее. Это лишь один из способов.
                        В-третьих, раз уж на то пошло, у гугла тоже есть возможность подтвердить собственность через CNAME. Однако что у яндекса, что у гугла дальнейшее удаление данной CNAME записи никоим образом не влияет на дальнейшую работу сервиса.
                0
                Ребята из ФСБ так не считают, поэтому данные умерших людей тоже должны храниться и обрабатываться в соответствии с 152-ФЗ. В США наверняка есть что-то подобное.
            0
            Я случайно привязал один из своих доменов к google apps (в админке это делается один кликом), а как отвязать — не могу понять уже пару лет :) Нет такой команды! И хотя оно вроде как и не мешает, но «неаккуратненько».
              +1
              MX записи сменить на те, которые предоставляет ваш хостер и все — вся отвязка.
                +3
                Да это понятно :)
                Просто даже после этой процедуры, когда домен давно уже работает как реальный сайт — в аккаунте продолжает висеть статус «Google Apps: active». И убрать это невозможно, кнопка работает по системе «ниппель». Не мешает, но глаз мозолит.
                  +3
                  можно удалить домен из google apps, в cpanel: Domain Settings, Account information
                  сам лично удалял недавно пару доменов таким образом.
              +1
              Насколько я знаю, там в настройках есть возможность полностью удалить все аккаунты и апсы со всеми данными «You can close your Google Apps account and delete all user accounts and data associated with it.» Т.е. просто надо не забывать удалять все, если забрасываете домен.
                –1
                Неоплаченный домен находится в RedemptionPeriod в течение 30 дней, потом еще в PendingDelete в течение 5 дней.
                Если за этот срок домен владельцу так не понадобилось проплатить, то ценность почты на нем уже будет весьма сомнительна.
                  0
                  А если, например, человек в больницу попал на это время?
                    0
                    В какой-то степени вы правы… Если человек попал в больницу, да еще так, что потерял дееспособность. Но каковы шансы попать в больницу на месяц с полной потерей дееспособности, да еще во время когда срок действия домена заканчивается. Плюс надо, чтоб доменом пользовался только именно этот конкретный бедняга.
                      0
                      Каковы бы ни были шансы — они есть, а значит это доступ к конфиденциальной информации без ведома ее владельца, а значит дыра в безопасности.
                        +1
                        Тогда если развивать мысль, то многие сервисы осуществляют восстановление пароля путем его отправления на адрес электронной почты.
                        Таким образом, восстановив drop`нутый домен можно безо всяких google apps`ов в теории получать такого рода письма с восстановленными паролями.
                          0
                          В свое время кстати таким образом хитроумные граждане навосстанавливали себе короткие ICQ UIN`ы: писался скрипт для поиска UIN-ов с адресами на @hotmail.com и других почтовых серверах, где аккаунт удалялся по истечении некоторого количества времени непользования.
                          Адрес заново регистрировался, на него приходило письмо с восстановлением доступа к ICQ.
                            0
                            Ваши аргументы мне понятны, но вот вопрос — я не хочу чтобы к моему GA кто-то чужой смог получить доступ если со мной что-то случится. Как мне себя обезопасить? В случае с ICQ насколько я понимаю владельцу достаточно было изменить email. Тут же для полной безопасности надо полностью отказаться от GA?
                      +1
                      Поэтому важные домены надо оплачивать сразу на несколько лет, и с продлением не тянуть до истечения срока регистрации )
                      0
                      Разве это дыра и проблема Google Apps?

                      Это проблема администратора. Подобным трюком все таскали ICQ-номера, зарегистрированные на Hotmail — ящики так же удалялись за неактивностью.
                        +4
                        Рассказываю случай из жизни. Купил домен на аукционе (чудом, обмудрив противника, который был, судя по всему, предыдущим владельцем). Начал разворачивать классику — Google Apps, не дает — говорит, мол, уже существует. В общем завладеть доступом к GA было делом 2х дней, даже не смотря на запрет восстановления пароля и прочих мелочей. Понятное дело, GA контент был возвращен предыдущему владельцу, расстались по-дружески.

                        Собственно вторая уязвимость. Входим в чей-нибудь GA-account, доступа как следует полагать — нет, возможности восстановить пароль тоже (отключена по дефолту). Теперь логинимся под своим GA-account'ом и перелогиниваемся (пробуем) под первым — появится возможность восстановить пароль :)
                          0
                          У яндекса например если вы купили сайт и вешаете свой код метрики, то вы не получите доступ к предыдущей статистике. И это всего лишь статистика…
                          А проблема с почтой, такая поголовно… я такое видел у трех хостеров… Просто нет механизма ее удаления или руки не доходят. Они не знают, в каком случае можно удалить, а в каком нет.

                            +1
                            код метрики привязан к аккаунту на яндексе, а не домену.
                            сравнение не совсем корректное.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +3
                              А какая разница?
                              +1
                              Вот тут бы помогла двухшаговоя верификация
                                –1
                                «Следующее, что он увидел, был почтовый ящик с архивом почты за несколько лет с кучей паролей и другой ценной информации. » — В Google Apps пароли скрыты, по крайней мере я как администратор домена — посмотреть или узнать их НИКАК не могу. Разве что пароли хранились в почте? О_О
                                  0
                                  Да, Google Docs — чертовски удобная штука для таких дел, сам еле-еле смог устоять перед соблазном.
                                    0
                                    _Очень_ многие сервисы при регистрации присылают пароль на почту. Я в таких случаях стараюсь сразу сменить пароль, но некоторые сервисы и этого не дают сделать.
                                      0
                                      я в таких случаях стираю письмо (и из треша тоже). и все, разве нет?
                                        0
                                        какая разница? всё-равно можно восстановить на почту через сам сервис.
                                    +3
                                    «Через несколько минут Бен уже был на сайте Amazon под чужим именем.»
                                    А Бен то зря времени не терял!

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое