Халатность Webnames, как украли 25 тыс. у.е. и любая корпоративная почта под угрозой.

Если домен был верифицированный, то фотошоп не прошел бы.

Как понять верифицирован? У меня с вебнеймс письменный договор заключен. Причем тут верифицированный домен и то что они пароли шлют кому попало по 1 скану, пусть даже и настоящему!?

Настоящий скан или нет будет известно через несколько дней когда будет получен ответ от вебнейсм правоохранительными органами.

Если домен уже был верифицированным, то левый фотошоп не прошел-бы. А то что Webnames отправляет пароли кому попало, это конечно жесть.

Кстати, точно

Домен верифицирован.

state: REGISTERED, DELEGATED, VERIFIED

Сейчас при регистрации домена, нужно отправлять скан паспорта, если домен регистрируется на физ.лицо или уставные документы, если на юр.лицо. Как только приходят документы, домен ставится в статус VERIFIED, в противном случае UNVERIFIED, на работу домена это никак не сказывается.

Тогда ситуация становится интереснее, получается вор отправил реальный скан паспорта, что сужает немного поиск.

В общем пока не придёт скан из webnames сложно сказать, реальный был или нет. Хуже если окажется, что скан был поддельный, тогда вообще будет реальная жесть.

В целом если вы работаете в е-коммерции и заключаете договора, высылаете сканы аспортов в платежные системы и еще куда-то на проверку то где-то как-то скан паспорта мог быть уведенным :(

Забавно почему нет ни секретного вопроса/ответа либо еще чего-то какой-то дополнительной защиты. Как можно так легко передавать доступ и даже есть скан настоящий почему новый пароль не сообщить на тот емайл что указан в анкете пользователя? а почему не на верифицированный ВМИД ? Высылают пароль куда попадя.

Методы социальной инженерии - самый действенные.

Пример из своей практики: делали некоторые работы для негосударственного пенсионного фонда. Нужно было для верификации домена завести специальный е-мейл. Почта на службах гугла. Узнал телефон фирмы, которая заведует обслуживаним у них компьютеров и заодно заведует доменом.

Звонок: "Я, имярек, из ... фонда, мне нужен для работы е-мейл такой-то, поставьте пожалуйста, такой-то пароль". Никаких вопросов, проверок и т.д. Через пять минут у меня нужный е-мейл. Через 10 минут нужные подтверждения на домен получены.

Поэтому можно ругаться на WebMoney за возможность настроить их защиту до пар*****ального уровня, но у них это есть, и от определенных сумм это многим необходимо.

ganushak добавил 06.12.2010 в 14:50

звездочками заделалось слово п-а-р-а-но-ид-ального, в какой фильтр попало - не понял :)

С какого адреса был отправлен скан вообще не играет никакой роли. Потому как отправить письмо можно с любого обратного адреса.

Это да, только вот ответ ему нужно было получить не на "любой адрес" . Вебнейс жжет.😒

Мошеннику помимо всего необходимо было знать, что email, указанный в аккаунте LR, именно того домена которого он угнал. Мыло не публичное, и ни кто кроме держателя не может его знать. Вопрос, а может быть это кто-то из близких или знакомых?

Откуда он(вор) мог знать, что это именно, например, blabla.com прописан в аке либы, а не gmail.com?

Это была первичная информация, а все остальное уже следствие.

Так как задача ставилась узнать мыло в аккаунте, а потом уже как получить к нему доступ.

А може и работник свой поделился данными

Там было мыло которое все знали.

WMIRK.ru добавил 06.12.2010 в 19:19

щас там уже другое, которое я сам не знаю.