Пользователь TJ Просто Хэнк отправил запрос на восстановление доступа к личному кабинету на сайте RU-Center. Однако вместо временной ссылки, которая позволяет указать новые учетные данные, он получил в письме старый пароль в незашифрованном виде.
На запрос пользователя, а затем и редакции vc.ru в RU-Center рассказали, что планируют внедрить новую систему авторизации и восстановления доступа. Когда это произойдет – неизвестно, пока продолжается тестирование системы. В качестве альтернативного способа защиты в технической поддержке предложили установить в личном кабинете запрет на отправку пароля по электронной почте.
«RU-Center как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10–15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности», – цитирует vc.ru заместителя директора RU-Center по продуктам.
Пока ситуация выглядит таким образом, что злоумышленникам достаточно украсть базу данных, чтобы получить доступ к закрытой части сайта. Одновременно в зоне риска могут оказать не только личные кабинеты на RU-Center, но и учетные записи на других ресурсах, поскольку пользователи часто используют одни и те же пароли для разных сервисов, например, почты, социальных сетей, интернет-банкинга.
Не менее угрожающей и реальной выглядит ситуация, при которой сотрудник с доступом решит скопировать базу данных с паролями. Это позволит перехватить контроль над большим количеством русскоязычных доменов. В разделе «О компании» говорится, что RU-Center обслуживает более 3 млн доменных имен, а количество клиентов превышает 750 тысяч. RU-Center, например, регистратор доменов gov.ru и kremlin.ru. А проблему хранения паролей в незашифрованном виде клиенты регистратора обсуждали еще в 2010 году.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных