- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Я говорю, что организация работы хостера не способствует высокой уровни безопасности аккаунтов.
Вам доступна возможность включения двухэтапной аутентификации. Этого мало? Почему вы её не использовали?
Насколько я знаю, Агава - второй хостер в Рунете, внедривший такую возможность в Личном кабинете (после нас :) )
Но, у меня подозрение, что этих всех данных хостер не хранит, может экономия на технической поддержке не предусматривает проводить какие-нибудь нестандартные действия.
Не делайте поспешных выводов.
Вот такая же история с Амазоном, Apple и редактором журнала Wired Мэта Хонана
Как злоумышленнику получить доступ к аккаунту хостера зная данные клиента
Техподдержка Apple помогла хакерам получить доступ к компьютеру редактора журнала Wired Мэта Гонана (Mat Honan)
Теперь Амазон не меняет ничего в параметрах аккаунта по каким либо "неидентифицированным запросам" по email, телефону и так далее.
Ваше нежелание идентифицировать свою личность лишь усугубляет ситуацию - именно так злоумышленники, используя методы социальной инженерии пытаются вынудить службу хостера выполнить определённые действия.
У нас, кстати, были подобные случаи - у клиента уводят ящик (на mail.ru, к примеру) получают доступ к нашей тикетовке и начинают требовать root пароль от сервера под угрозой отказа от услуг и требования манибека. Правда потом смешно читать ответы злоумышленника, который не проходит второй уровень идентификации - на вопрос почему у него номер телефона раньше был в Волгограде, а сейчас вдруг он оказался в Татарстане....
Не делайте поспешных выводов.
Вот такая же история с Амазоном, Apple и редактором журнала Wired Мэта Хонана
Как злоумышленнику получить доступ к аккаунту хостера зная данные клиента
Техподдержка Apple помогла хакерам получить доступ к компьютеру редактора журнала Wired Мэта Гонана (Mat Honan)
Теперь Амазон не меняет ничего в параметрах аккаунта по каким либо "неидентифицированным запросам" по email, телефону и так далее.
Ваше нежелание идентифицировать свою личность лишь усугубляет ситуацию - именно так злоумышленники, используя методы социальной инженерии пытаются вынудить службу хостера выполнить определённые действия.
У нас, кстати, были подобные случаи - у клиента уводят ящик (на mail.ru, к примеру) получают доступ к нашей тикетовке и начинают требовать root пароль от сервера под угрозой отказа от услуг и требования манибека. Правда потом смешно читать ответы злоумышленника, который не проходит второй уровень идентификации - на вопрос почему у него номер телефона раньше был в Волгограде, а сейчас вдруг он оказался в Татарстане....
Я не обращался в техническую поддержку с просьбой изменить мои данные.
Я обратился с просьбой считать проведенное изменение контактного E-mail действием злого умысла, проведенного не хозяином аккаунта.
Я возражал против идентификации моей личности при помощи нотариуса. Я считаю есть достаточно способов идентифицировать её другими путями.
Я уже отправил сканы паспорта и получил в ответ (со ссылкой на законы Украины) требование прислать дополнительные страницы (страницы со 2-м фото). Не взирая на то, что считаю это требование излишним для проведения моей идентификации, я отправил сканы дополнительных страниц паспорта. Излишне говорить, что данные паспорта полностью совпадают с моими регистрационными данными.
Жду дальнейшего развития ситуации. В каком состоянии данные на сервере остаётся только предполагать.
Я не обращался в техническую поддержку с просьбой изменить мои данные.
Я обратился с просьбой считать проведенное изменение контактного E-mail действием злого умысла, проведенного не хозяином аккаунта.
Жил был нормальный клиент, у него злоумышленник угнал email - он это вовремя просёк и в АККАУНТЕ АГАВЫ изменил адрес электронной почты на новый. ЗЛОУМЫШЛЕННИК сильно разозлился (ему денег хочется) и написал хостеру требование вернуть email обратно.
Все персонажи в данной истории вымышленные, все совпадения число случайные.
Жил был нормальный клиент, у него злоумышленник угнал email - он это вовремя просёк и в АККАУНТЕ АГАВЫ изменил адрес электронной почты на новый. ЗЛОУМЫШЛЕННИК сильно разозлился (ему денег хочется) и написал хостеру требование вернуть email обратно.
Все персонажи в данной истории вымышленные, все совпадения число случайные.
И чтобы окончательно запутать всех, старый хозяин со своего нового E-mail (который стал контактным на АГАВЕ), отправляет на свой старый E-mail (злоумышленнику) письмо с требованием оплатить 1000 р за возврат контроля над аккаунтом, которого злоумышленник не добился.
Любой адекватный хостер проводил и будет проводить политику Know Your Customer, т.к. работает с не менее sensitive ("чувствительной") информацией, чем любой финансовый институт. Потому что последствия утечки такой информации могут быть очень и очень "чувствительны" (не в смысле кричащих тем). И риски будет нести хостер, как минимум в смысле траты своего времени на разрешение проблемной ситуации.
Да, многие до сих пор не хотят терять покупателей и при заказе требуют минимальное количество данных от клиента. Но нужно понимать, что хостер МОЖЕТ потребовать такую информацию в любой момент. И производится это в первую очередь для защиты клиента. Потому что интерес клиента и хостера здесь всегда совпадает.
Здесь уже были приведены примеры хакинга путем "социальной инженерии", которые всегда популярны у пионеров. О чем тогда разговор? По последствиям далеко ходить не нужно: это и воровство доменов и сайтов, и .htaccess редиректы для слива мобильного трафика, клоаки с дорами, ифреймы с эксплойтами. Почти везде есть риски прямых убытков. А в случае хостера - это еще и листинги с геморроем их разрешения.
Поэтому применение KYC хостером - это тот случай, когда своего партнера нужно "понять и простить". Тем более если никакой сомнительной деятельности вы не ведете, какие вообще проблемы себя идентифицировать? Ох, уж эта черта искать везде и всегда виноватых кроме себя самого, пытаясь тем самым оправдать любое свое неадекватное действие.
P.S. Я кстати большой любитель покритиковать хостеров, если кто засчитал здесь прогиб. Но критика должна быть адекватна и обоснована. А этот не тот случай. Намного больше смысла было бы - сделать так, как попросил хостер. А "кричать" и "мешать всех с говном" можно в полиции при подаче заявления о преступлении.
Ответ хостера был быстр
Копия паспорта будет внесена в личный кабинет, данные будут поправлены
согласно предоставленной копии.
Для возобновления доступа в личный кабинет и к заказанным услугам, как
просили ранее, просим предоставить какой либо еще документ с фотографией
удостоверяющий Вашу личность (например водительские права, военный билет
и т.д.)
Даже не знаю, что уже и сказать
Мне непонятны ваши затруднения, если вы не рисовали скан паспорта. У меня документы всегда с собой - взял и сфотографировал. Тем более такая критичная ситуация в связи с возможной утечкой данных злоумышленнику!
Это повсеместно распространенная практика. У меня как-то была иная проблема, когда у меня украли аккаунт у доменного регистратора, а я не мог до них долгое время достучаться, хотя был готов предъявить все что угодно, т.к. была угроза трансфер-аута домена, и там все решается куда проблемней.
Мне непонятны ваши затруднения, если вы не рисовали скан паспорта. У меня документы всегда с собой - взял и сфотографировал. Тем более такая критичная ситуация в связи с возможной утечкой данных злоумышленнику!
Это повсеместно распространенная практика. У меня как-то была иная проблема, когда у меня украли аккаунт у доменного регистратора, а я не мог до них долгое время достучаться, хотя был готов предъявить все что угодно, т.к. была угроза трансфер-аута домена, и там все решается куда проблемней.
Я сейчас не в Украине, а в Тайланде. Есть с собой пилотское. Спасибо за совет! Забыл, что вместо сканера можно использовать телефон.
Я не упираюсь процессу идентификации, хотя создалось чувство, что разыгрывается образцово-показательный процесс.
Проблема АГАВЫ, по моему, на системном уровне.
1. Не внедрены элементы защиты при регистрации аккаунта (секретное слово, подтверждённый номер мобильного телефона, дополнительный E-mail). Кому не нужна 2-х уровневая авторизация, пусть её не использует, но элементы быстрого восстановления доступа к аккаунту должны быть заложены на системном уровне.
2. Если бы поддержка среагировала не через 10 часов, а хотя бы через 30 минут после моего сообщения о взломе, возможно это также минимизировало ущерб. Не хватает людей, - сделайте специальный E-mail для такого рода сообщений.
3. Для разруливания таких форс мажорных событий в поддержке нужен кризисный менеджер.
И не было бы тогда этой темы
Я сейчас не в Украине, а в Тайланде. Есть с собой пилотское. Спасибо за совет! Забыл, что вместо сканера можно использовать телефон.
Я не упираюсь процессу идентификации, хотя создалось чувство, что разыгрывается образцово-показательный процесс.
Проблема АГАВЫ, по моему, на системном уровне.
1. Не внедрены элементы защиты при регистрации аккаунта (секретное слово, подтверждённый номер мобильного телефона, дополнительный E-mail). Кому не нужна 2-х уровневая авторизация, пусть её не использует, но элементы быстрого восстановления доступа к аккаунту должны быть заложены на системном уровне.
2. Если бы поддержка среагировала не через 10 часов, а хотя бы через 30 минут после моего сообщения о взломе, возможно это также минимизировало ущерб. Не хватает людей, - сделайте специальный E-mail для такого рода сообщений.
3. Для разруливания таких форс мажорных событий в поддержке нужен кризисный менеджер.
И не было бы тогда этой темы
Как все эти меры уберегли бы от форматирования сервера с требованием денег за бекапы?
Тут системный уровень проблемы в прокладке между стулом и монитором. Извините за прямоту.