Недавно Джек Буш, редактор технического портала GroovyPost.com, рассказал о том, как хакер завладел его личными данными, используя его аккаунт в сервисах Google и просроченный домен.
Однажды он обнаружил, что его старый адрес электронной почты взломали, и сейчас его используют для массовых рассылок спама. Это стало ясно после того, как на его новый адрес пришло извещение от Gmail о том, что сообщение с его старого адреса не удалось доставить. Оно содержало текст письма, который являлся спамом, а IP-адрес отправителя принадлежал другому человеку, который проживает во Вьетнаме.
Самое неприятное было то, что в настройках электронной почты содержались имя пользователя и контактные данные, включая номер телефона. Часть этой информации была также включена в подпись, т.е. личные данные Джека Буша из-за этого были разосланы тысячам других пользователей.
Уязвимым местом оказались сервисы Google – в частности, Google Apps For Domains (сейчас он называется Google Apps for Business).
Google Apps for Domains отличается от других сервисов Google тем, что его аккаунт привязан к доменному имени, которое могло быть зарегистрировано не у Google, а у другой компании. В 2010 г. Буш зарегистрировал имя Anthrocopy.com, но, после того, как оно стало ненужным, он не стал продлевать его регистрацию. 20 июня этого года срок регистрации истек, и домен был перекуплен другим пользователем. Казалось бы, самая обычная ситуация. Но новый владелец домена пошел дальше.
Он взломал его аккаунт в Google Apps for Domains через форму восстановления доступа. Но для того, чтобы доказать, что именно вы являетесь владельцем домена, там не обязательно восстанавливать пароль. Достаточно лишь создать запись CNAME в системе доменных имен, и Google дает вам все права доступа к своим сервисам, включая электронную почту.
Как сказали в техподдержке Google, восстановить в таких случаях доступ невозможно – по той причине, что пользователь не является владельцем домена. Единственное, что они смогли порекомендовать – обратиться в правоохранительные органы.
Вывод, который Джек Буш сделал из этой истории – то, что Google Apps for Domains – небезопасный сервис. Также он советует более внимательно отнестись в проблеме безопасности, и при необходимости удалять все свои старые и ненужные домены и аккаунты в онлайн-сервисах и социальных сетях, особенно если они содержат личные данные.