Осторожно, Агава!

Отправил в ЛС

Я в общих чертах отвечу о:

1. вероятных причинах произошедшего

2. следует ли платить взломщику

3. оценке действий сапорта

4. что следует делать клиентам (не обязательно Агавы), чтобы такое не происходило

Итак, по порядку:

1. У вас "увели" пароль от Личного кабинета. Произойти это могло в нескольких случаях:

- кто-то получил доступ к содержимому вашей почты

- у вас есть вирусы на вашем локальном компьютере

- вы кому-то передавали пароль

- вы ранее отреагировали на одно из фишинговых писем, несколько волн которых прокатывалось по базе клиентов, когда контактный email для домена был открытой информацией и перешли по ссылке с последующей авторизацией

- или из последнего http://habrahabr.ru/post/209486/ - обратите внимание на безопасность домашней/локальной сети.

2. Ни в коем случае не стОит платить взломщику. Напротив, рекомендуем обратиться в правоохранительные органы. В логах нашей учётной системы сохраняется вся история операций с аккаунтами, а также ip адреса, с которых производились любые изменения. Кроме того, взломщик связывался с вами.

3. Разумеется, для клиентов есть другие "упрощённые" способы авторизации, как владельца аккаунта. Но вы не предоставили свои персональные данные, как того требует оферта. А также указали в качестве контактного телефона заведомо неверный номер. При этом как вы, так и, назовём его, "ваш оппонент" обращаетесь сейчас в поддержку с утверждением, что это обращение от владельца аккаунта.

4. Про предотвращение: Мы рекомендуем (и делали рассылки по этому поводу и размещали новости: http://goo.gl/FpWIbe и http://goo.gl/sSvbEY) включать пользователям двухфакторную авторизацию для входа в ЛК (с использованием протокола OTP, популярной реализацией клиента для которого является приложение Google authenticator или через SMS). Практика использования двухфакторной авторизации уже давно является стандартом во многих сферах, где производится работа с важными данными/деньгами. Использование данного инструмента на порядок снижает вероятность взлома аккаунта и потери данных/денег.

(Правда, пока не у всех хостеров такая техническая возможность предоставлена в настоящее время.)

Что касается дальнейших действий по вашему случаю, инструкции будут дополнительно высланы через тикетную систему. Благодарим за сотрудничество.

С уважением, Светиков Евгений.

Директор служб хостинга Агава.

---------- Добавлено 19.01.2014 в 05:19 ----------

Не могли бы вы раскрыть мысль? В каком году в последний раз пользовались нашими услугами? Чем принципиально отличаются те, кто занимаются сайтостроением 10 лет, от тех, кто занимается им 5 лет в контексте вашего утверждения? И как это всё связано с проблемой ТС? Спасибо.

Я это понимаю, а вот ТС похоже не очень.

К сожалению (а может к счастью) уехал на месяц в ЮВА, но не ответить не мог

По-моему глубокому убеждению, пароль подобрали (я не говорю уже о худшем) у вас. Моя вина заключалась только была в том, что я выбрал слишком простой пароль.

Однако, часть вашей вины в том, что вы не запретили мне использовать такой простой пароль. Нетрудно было бы поставить какие-то ограничения на выбор безопасности пароля, как это делают другие.

Я сам знаю, что у взломщика IP адрес одесский (из письма), что он в сетке провайдера Интертелеком. Вы считаете, что этим будут заниматься правоохранительные органы? Вопросом в 1000 рублей? Наверное, вы никогда с ними не сталкивались.

Я предоставил вам при регистрации свои полные персональные данные включая полные данные паспорта и правильный номер телефона.

Мало того, вы мне эти мои данные переслали в письме от 14 января 2010, 17:09.

Возвращаю вам в поддержку это письмо, а также ещё раз номер аккаунта (может вы не там смотрели контактные данные).

По поводу того, чтобы я предоставил скан письма на имя директора и скан моего паспорта.

У меня нет сейчас возможности делать эти сканы.

Более того, это прозвучит с моей стороны невежливо, но я до сих пор продолжаю считать, что вы должны без всяких сканов вернуть мой аккаунт в исходное состояние (состояние до взлома), восстановив в нем мой контактный E-mal (тот, по которому я регистрировался у вас в 2010-м году)

Это наврят-ли пройдет. Хостер должен быть уверен в том - кому отдает аккаунт.

Может тот человек, который регистриовал акаунт, сам сменил свои данные на другие, а вы просто пытаетесь украсть его сайт. Хостер же не имеет понятия как оно там было на самом деле. Однако, согласен вам помочь, и хочет убедиться, что отдает доступы нужному человеку.

Не хотите слать скан паспорта, тогда приезжайте к ним в офис и просто его покажите - т.е. идентифицируйте себя.

Под "честное слово" нормальные компании доступы в аккаунты не раздают. Это нормально и для вашей же безопасности и сохранности сайтов.

Почти полностью поддерживаю, за исключением того, что паспорт таки будет отксерен и прикреплен к некому договору смены пароля и.т.п, просто так "Драсте, я вася, вот мой паспорт..." так не бывает..... ибо тогда любой сотрудник Агавы может кому угодно поменять пароль и сказать "ну тут парень заходил в офис, паспорт был его...." :)))) Так не бывает ну или по крайней мере не должно быть :)

ТС, вы меня простите конечно, может быть я где-то упустил, но я прочел топик и не могу осознать, вы сами подтверждаете вот это:

Т.е ящик действительно сменили ???? Или вы уже не можете попасть в кабинет? Не работают пароли \ сайт?

Это вам урок - и цена за урок вполне адекватна.

Хостера вина может и есть - но я вижу эту ситуацию так, что вы купили сейф, поставили код на открытие "1234", его, естественно, вскрыли, и вот вы теперь расстроены.

Боты идут по пути наименьшего сопротивления - идут с брутфорсом, с миллионными словарями, пытаются вскрыть. При этом, многие пользователи регают по той или иной причине аккаунты "ради галочки" (и юзают их) - и им пофиг на пароль. Ставят "12345". И меня, например, напрягает, когда мне говорят, что "в вашем пароле должно быть пять букв, семь цифр, три нестандартных символа, пробел, иероглиф, арабская вязь и что-нибудь из геометрической формулы". Это вопрос пользователя, какой он хочет пароль - главное предупредить его о безопасности.

А если что-то ценное, нужное - то там пароль ставится помощней уже, а не "12345". Нет?

Сразу после взлома злоумышленник изменил контактный E-mail, пароль на вход в кабинет и пароль на root доступ к серверу. Также отключил один из сайтов.

Потом с изменённого E-mail на мой (бывший контактный) прислал письмо с предложением оплатить 1000 р за восстановление работы сайта.

Пароль у меня был не 1234, а английское слово из 7 символов.

Скан паспорта мне доступен, и я его естественно вышлю. Из Харькова не так просто совершить личную явку.

Коллеги, вы мне правите репутацию, потому что я кого-то этой темой обидел? Не надо было выносить сор из избы?

Какой бы не был, возможно просто подобрал, возможно у вас сидит троян.

Если бы взломали со стороны хостера, то обидчиков было бы намного больше.

Поставьте себя на месте хостера, откуда ему знать, что вы, это действительно первый хозяин аккаунта?

Если вы платили webmoney, возможно хостер сможет проверить по WMID

Я не утверждаю, что хостер взломал мой аккаунт.

Я говорю, что организация работы хостера не способствует высокой уровни безопасности аккаунтов. Так же мне было непонятно, зачем мне нужно было собирать такое количество документов.

На письмо от хостера о смене контактного E-mail в моём аккаунте я отреагировал в течение минуты.

Обратная реакция продолжалась около 10 часов.

Да, я платил webmoney, у меня есть персональный аттестат, можно было и по нему идентифицировать.

Но, у меня подозрение, что этих всех данных хостер не хранит, может экономия на технической поддержке не предусматривает проводить какие-нибудь нестандартные действия.

Проще было бы всё откатить и выслать на мой E-mail инструкцию по возобновлению паролей (с указанием паспортных данных, например, которые я им оставлял при регистрации).

Но, видимо, и откатывать не знали куда.