» » » Одна CNAME запись и прощайте ваши данные из G Suite

 

Одна CNAME запись и прощайте ваши данные из G Suite

Автор: admin от 13-02-2018, 08:40, посмотрело: 206

Одна CNAME запись и прощайте ваши данные из G Suite

Недавно здесь на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор атаки всё тот же: административный доступ к сайту и домену, но в этот раз — со стороны DNS.



Эту неприятность рискуют испытать на себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.

И такое, при попытке восстановить доступ.



Стоит ли говорить что с таким отношением большого G к вашим данным вы можете получить и другие письма, в том числе требующие перевести 0.5 BTC на кошелёк автора того письма в течении трёх дней, или лишиться всего архива почты.



К делу



Хорошие новости: если не знать конкретного логина администратора и резервного адреса или телефона, то практически невозможно восстановить доступ к почте на домене в G Suite. Да, можно получить доступы к отдельным ящикам традиционными способами (фишингом...), особенно если не используется 2FA. Наверное и аккаунт администратора можно таким образом получить, если знать кто им пользуется. Если не знать, то всё много сложней.



Если задача получить доступ к архиву почты не стоит, то идём дальше. При попытке подключить домен к G Suite, который уже используется кем-то, выводится сообщение о недоступности домена:



Одна CNAME запись и прощайте ваши данные из G Suite

Пройдя по ссылкам помощи находим инструкцию по восстановлению доступа и в ней находим ссылку на форму для восстановления доступа. В ней на чистом английском заполняем что-то вроде:



Subject:

Restore access for test.ru



I cannot sign up for G Suite with test.ru. Getting error: "This domain is already in use"

Ждём некоторое время и получаем сначало письмо с подтверждением получения запроса и номером тикета...



Subject: Case #[14112233] Restore access to Apps for test.ru

Date: Mon, 5 Feb 2018 02:10:15 +0000 (GMT)



Hey there,



Thanks for opening this G Suite support ticket. Your ticket number is 14112233, and we'll be in touch with you soon.

In the meantime, you can help us speed up the support process.



...

В вольном переводе: спасибо что открыли запрос, ваш номер такой-то, мы скоро с вами свяжемся...



А потом получаем письмо с детальными инструкциями:



Здравствуйте, Алексей.



Спасибо что связались с поддержкой G Suite. Я так понимаю что у вас есть проблемы при создании нового аккаунта с доменом test.ru. Меня зовут Даниэль и я отвечаю за ваш кейс, буду рад помочь. Чтобы вы знали, в офисе я с семи до шестнадцати по CST, с понедельника по пятницу.



Я не могу вам позвонить так как вы находитесь в другой временной зоне. Также в анкете вы указали номер российского телефона..., если есть более подходящий номер телефона пожалуйста, сообщите, а также когда лучше вам позвонить.



Я понимаю что вы пытаетесь подключить домен test.ru к G Suite, и не можете это сделать. После изучения вашего запроса я выяснил что этот домен уже связан с другим аккаунтом G Suite в нашей системе. Пожалуйста, уточните, не зарегистрировал ли этот аккаунт кто-то другой в вашей компании. Если так, то постарайтесь получите доступы к этому аккаунту у того человека.



Если же никто у вас не может вспомнить факт регистрации G Suite, пожалуйста подтвердите права на домен следующим образом:


  • Создайте запись CNAME у хостера вашего домена со следующим содержанием…



    Название: deleteGAPPSnotBefore20180215utc



    Цель: case-14112233-for-test.ru-at.google.com



    TTL: 3600


  • Если ваш регистратор отличается от хостера вашего домена, убедитесь что вы создаёте домен у хостера вашего домена. За более подробной информацией обратитесь к странице помощи…





  • После выполнения этих шагов, ответьте на это письмо и сообщите мне. После подтверждения ваших прав на домен test.ru я свяжусь с владельцем ранее зарегистрированного аккаунта G Suite и дам ему/ей как минимум три рабочих дня чтобы сделать резервную копию всех сколько-нибудь важных данных.



    Если от предыдущего владельца не поступит сообщений в течении трех рабочих дней, то тогда я удалю ранее зарегистрированный аккаут G Suite из нашей системы. Пожалуйста имейте ввиду что мы делаем всё возможное чтобы решить вашу проблему в течении трёх рабочих дней, но окончательное решение может занять больше времени из-за чувствительности этой проблемы. Тем временем пожалуйста не перенастраивайте ваш домен на использование MX записей Google, так как так вы рискуете пропустить важные сообщения.



    Если у вас есть дополнительные вопросы или соображения, не стесняйтесь мне написать. Я буду жать вашего ответа!



    Искренне ваш,

    Даниэль




    Это первый критический момент: если такую CNAME запись сможет создать посторонний, то вы имеете все шансы остаться без почты. Достаточно сказать что большинство хостеров DNS никак не уведомляют о добавлении новых записей. Значит, такую запись можно добавить незаметно.



    Записи создаём, на письмо отвечаем.



    Subject: Re: [#14112233] Restore access to Apps for test.ru



    Hello Daniel,



    I've added a CNAME record you asked for to verify my ownership of the domain in subject.



    $ dig +short CNAME deleteGAPPSnotBefore20180215utc.test.ru

    case-14112233-for-test.ru-at.google.com.



    Thanks.

    Спустя некоторое время на ящик, который используется для восстановления доступа к аккаунту администратора, приходит письмо следующего содержания:



    Здравствуйте,



    Спешу вам сообщить что другой пользователь подтвердил права на домен test.ru.



    Если вы всё ещё владелец этого домена, пожалуйста, ответьте на это сообщение как можно скорее и предоставьте подтверждение ваших прав на домен путем выполения следующих инструкций:



    Создайте запись CNAME у хостера вашего домена со следующим содержанием…



    Если вы больше не владеете этим доменом, вы расторгли соглашение для G Suite. У есть три дня чтобы перенести ваши данные, которые вы хотите сохранить, из вашего аккаунта. Через три дня ваш аккаунт G Suite и все данные в нём будут удалены.



    Вы можете войти в консоль администратора G Suite по адресу admin.google.com, в качестве логина используя адрес в домене вида xyz@test.ru. Также вы можете удалить все данные из вашего аккаунта следуя инструкциям в этой статье: https://support.google.com/a/answer/1257646



    Если у вас есть вопросы или другие соображения, пожалуйста, ответьте на это сообщения.



    Искренне ваш,

    Даниэль




    Если вы это письмо пропустили, то всё. Больше никаких писем и предупреждений от поддержки G Suite вы не получите!



    Если вы всё ещё владелец домена, то всё просто: добавляете записи, удаляете другие, меняете пароли, отвечате на письмо.



    Если вы в самом деле уже не владелец домена (потому что, например, он был просрочен), то у вас проблемы. Вам нужно связаться со всеми пользователями домена и сообщить им неприятные новости. Каждому пользователю нужно будет самостоятельно сделать архив своих данных и выкачать его. Наверное можно ответить на письмо и попросить ещё немного времени на экспорт данных.



    Декларируется также возможность скачать все данные всех пользователей через API. Это значит вам нужно будет изучить и начать использовать это API в трёхдневный срок, не говоря уж о том что у автора вообще не получилось получить реквизиты доступа к API IAM (форма создания пользователя API грузилась вечно).



    Оставалось 72 часа...



    Дальше переписка идёт только с лицом, восстанавливающим доступ:



    Subject: [#14112233] Restore access to Apps for test.ru

    Date: Tue, 6 Feb 2018 13:11:21 +0000 (GMT)



    Hello Alexey,



    Thank you for your last response, it is great to work with you.



    For your information, I have contacted the previous owner for the account in order to notify it about the process that we are about to complete. Remember, after 72 hours from now I will request the deletion for the account and it may take up to 24 hours more for the domain to be completed deleted from the system. As part of our privacy and security process for accounts, if the account is deleted from the system it will be with the data also, and there is no way to save it.



    I’ll keep this case open while the process is completed. If you have any other questions or additional comments, don’t hesitate to reply to this email and I'll be happy to further assist you or call you back immediately. Have a great day.



    Sincerely,



    Daniel

    G Suite Support

    В письме сообщается что предыдущий владелец был уведомлен о ситуации. Отмечается что осталось 72 часа до удаления домена, что операция удаления занимает до суток, и что по причинам конфиденциальности и безопасности данные удаляются безвозвратно, без возможности сохранения для нового владельца домена. Это — хорошие новости.



    Спустя немного больше трёх дней, со скидкой на выходные дни, приходит последнее письмо:



    Здравствуйте, Алексей.



    Надеюсь, что это письмо вас найдёт. Это дополнительное сообщение относительно вашего кейса поддержки G Suite.



    Я не стал звонить вам из-за разных временных зон. Рад сообщить что домен test.ru был удалён из нашей системы, и вы можете сделать новый аккаунт G Suite используя этот домен.



    Этот кейс пока останется открытым на случай вашего ответа. Сообщите, пожалуйста, есть ли у вас есть какие-либо вопросы или соображения, чтобы мы могли закрыть этот кейс.



    Искренне ваш,

    Даниэль




    Как вы понимаете, на этом переписка заканчивается. Домен удалён, все ваши письма, файлы, сайты и прочие данные удалены, и при выходе вы видите загадочное сообщение об удалении из начала этого поста ("This account was deleted").



    Одна CNAME запись и прощайте ваши данные из G Suite

    Восстановить доступ можно даже не пытаться. Вы сами были администратор, к кому ещё вам обращаться?..



    Одна CNAME запись и прощайте ваши данные из G Suite

    Итого



    Плохие новости очевидны: достаточно одной CNAME записи чтобы для любого домена, который использует бесплатный вариант G Suite, в течении 72 часов удалить вообще всё. Пользователей, письма, файлы, ну то есть вообще всё. Корпорация ли зла Google с таким подходом к данным пользователей? Так сразу и не ответишь отрицательно.



    Есть и хорошие новости:




  • Одной CNAME записи недостаточно чтобы получить доступ к архиву вашей переписки на домене, подключенном к G Suite / Google Apps.




  • Если внимательно читать почту, приходящую на адреса для восстановления, удаление данных можно предотвратить.




  • Следует очень обдуманно давать доступы на добавление записей в DNS таблицы домена если вы пользуетесь G Suite или Google Apps.




  • Риск подобных событий можно уменьшить если не класть все яйца в одну корзину. Для DNS лучше использовать отдельный хостинг (пусть даже от Cloudflare), для сайтов — отдельно арендованный сервер, для почты — другой отдельный сервис.



  • К счастью, не все почтовые хостинги подходят к вопросу смены владельца домена так беспринципно и, прямо скажем, ужасающе, как Google. Например, из FastMail (те, которые поддерживают Cyrus IMAP) мне ответили что ваша переписка останется вашей, а домен придётся отдать. Как подходят к этому вопросу в ПДД Яндекса и в Mail.ru — вопрос открытый. Ждём представителей в комментах.



    Остаётся надеяться что Google не будет делать вид что проблемы не существует и что всё это by design, как это делают некоторые, а внесёт изменения в свои алгоритмы чтобы если не адреса, то хотя бы доступ к архиву почты и файлов у вас оставался после отключения домена. Мне же видится что для владельцев старой, бесплатной, почты было бы здорово иметь возможность "распустить" домен и отправить все пользователей в свободное плавание со своими отдельными аккаунтами с пересылкой писем со старых адресов в домене. Разве это так сложно, а, Google?



    Источник: Хабрахабр

    Категория: Компании » Google

    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
    Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    Добавление комментария

    Имя:*
    E-Mail:
    Комментарий:
    Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
    Введите два слова, показанных на изображении: *