PR-провал: на REG.RU украли домены

REG.RU — крупнейший (а по некоторым показателям самый крупный) аккредитованный регистратор доменных имён. Почти 100% за то, что если вы впервые покупаете домен, это произойдёт на REG.RU.

Поступила информация, что на REG.RU воруют домены. Я не преследую цель очернить деловую репутацию REG.RU, более того, я много лет пользуюсь их услугами. Почти все мои домены изначально куплены у них. Меня сильно удивило прочитанное. Выводы делаю в конце.

Перейдём к фактуре: у нас два случая, описанных на vc.ru. Цитирую не меняя пунктуации:

Случай №1

«Ночью 9.06.2020 был украден домен из учетной записи Reg.ru. Как все произошло: утром я увидел сообщения, присланные от регистратора доменных имен Reg.ru.

Были они такого плана:

Процедура смены владельца для следующих доменов успешно завершена. Запрос на подтверждение смены контактов владельца регистрации. Перенос доменов между аккаунтами REG.RU

Если сказать что я удивился... это ничего не сказать... К слову, сообщения небыли прочитаны. Я быстро посмотрел, что в данных сообщениях, и увидел, что мой основной домен был передан какому-то Артему (фамилия и почта). Зайдя на сайт в админку я не попал, сервер выдал 404. Это и понятно, адрес админки был нестандартным. Так я понял что домен хостится на другом сервере.

Зайдя в аккаунт Reg.ru, обнаружил что домена нет. Начал писать тех. поддержке. Они сообщили, что домен был передан в другой аккаунт с приложением документов владельца домена и подтверждением с почтового ящика владельца домена. Я сообщил что домен никому не передавал. И как такое стало возможно.

Юридический отдел Reg.ru сообщил:

Обратите внимание, что перенос домена в другой аккаунт был осуществлен не из авторизованной части, то есть вход в ваш Личный кабинет не производился. Домен был перенесен с помощью формы: https://www.reg.ru/domain/service/transfer_services.

И тут я еще больше удивился.

Я попросил проверить, были ли загружены настоящие документы или нет. Они сказали, предоставьте их. В общем выяснилось, что была загружена цветная скан-копия другого паспорта. При том другого паспорта у меня нет и не было! Имелось удостоверение. Кто-то что-то подделал, и прокатило...

В переписке я также попросил провести внутреннюю проверку, привлечь службу безопасности и заблокировать домен пока его не увели из Reg.ru. В ответ мне написали: «ООО Рег.ру не является юрисдикционным органом и не может установить юридический факт кражи доменного имени».

Так же я интересовался, как мои данные, которые были только у регистратора Reg.ru, стали известны злоумышленнику. При том я пользовался платной услугой скрытия персональных данных. Мало того аккаунт в Reg.ru был на одном email, а email администратора на другом email, и был надежно скрыт... как и имя с фамилией. Не один из данных email не использовался на сайте, домен которого украли!

В общем мне сообщили, что факта загрузки левого документа не достаточно, а достаточно, по правилам ICANN, подтверждения по почте. Теперь пишу «Яндексу», дабы тот подтвердил или опроверг факт взлома почты! Reg.ru пишет, обратитесь в полицию, мы тут все пуф... Еще много писать...

Но мне срочно надо ехать на консультацию к адвокату по данному вопросу. Если что упустил, дополню. Пишите, как быть, что делать? При таком случае угона домена.

Я вернулся) В общем меня проконсультировали... Куда, зачем и как обращаться. Буду пробовать завтра. Но так не хочется этой волокиты... докажи что ты это ты...

Яндекс отписал:

Если вам нанесли вред или вы стали объектом иных противоправных действий, вы можете обратиться в правоохранительные органы. По их запросу мы обязательно предоставим всю имеющуюся у нас информацию.

Рег.ру тоже написал:

ООО Регистратор сможет рассмотреть запрос правоохранительных органов с просьбой передать домен предыдущему владельцу.

Ну и дальше написали как и что надо делать... за это спасибо конечно же. Но я не хочу чтобы ограны просили за меня у кого либо. Потому как в полицию обращаться дело такое себе... Я живу мирно и с ними дела имел аж в далеком 2003. Было бы классно если бы регистратор сам разобрался в факте несанкционированной передачи или кражи домена... самое обидное даже аккаун в рег ру не взломали а так забрали... через почту или документы... Вопросов много... ответов мало. Позже как выяснится любая инфа... оповещу.

Добавлю что зона в которой был домен международная. Имеются частые вопросы по данному поводу.

12.06.20 Подано заявление в органы по поводу кражи доменного имени и предшествующих действий со стороны не установленного гражданина, приведших к таким последствиям.»

Случай №2

«Здравствуйте всем. Хочу рассказать свою ситуацию с Reg.ru. 25 июня утром взломали мою почту в mail.ru, где стоял тяжелый пароль и 2х-сторонняя аутентификация и угнали международный домен без авторизации в ЛК у регистратора. Эта большая дыра в их системе, уже затестил и реально это так, можно украсть домен без лк. Отписал сразу же тем же утром, что у меня угнали домен и я никому не передавал и не продавал, на что они попросили написать в письменном виде заявление на имя директора Reg.ru с подробной ситуацией и приложить сканы всех документов и селфи. Я отправил все о чем они просили и даже дополнительные скрины, что взломали почту и мне пришлось разговаривать с администрацией почты mail.ru через скайп, чтобы восстановили аккаунт.
Далее в тикете Reg.ru в самом начале пообещали разобраться через 3-5 дней и что окончательно разберутся, но прошло уже 10 дней и каждый день слышу — "Мы передали предоставленную вами информацию нашим специалистам. Ожидаем ответ. Как только он будет получен, мы сразу вам сообщим в рамках данной заявки".
За этот период можно было связаться с угонщиком, и попросить какие либо документы, которые докажут его личность или что он купил или еще что-то. Более уверен, что угонщик не ответит им и не предоставит данные так как испугается, потому что он прячет днс используя Cloudflare.»

Реакция REG.RU

На мой взгляд, REG.RU разруливает ситуацию. Вот их ответ:

«Недавно мы изменили регламент действий по переносу международных доменов. По домену ситуация следующая:

После того, как мы получили заявку с информацией об угоне, заблокировали любые действия с доменом. Сейчас находится у регистратора REG.RU, все действия будут проводиться в соответствии с правовым полем РФ.

По регламенту действия с международным доменам мы направили новому администратору запрос о предоставлении информации легитимности по проведенной операции: на основании чего произведена, договор и другие юридические подтверждающие доказательства.

Срок предоставления ответа истекает в ночь с 4 на 5 июля. Если ответ не будет предоставлен, то для домена вернутся старые значения DNS и он будет работать как раньше.

Главное, не только предупреждать подобные ситуации, но и наказывать виновных. Поэтому важно написать заявление об инциденте. Как это сделать:

1. Зайдите на сайт МВД https://xn--b1aew.xn--p1ai/request_main, выберите подразделение «Министерство внутренних дел Российской Федерации», нажмите кнопку «Продолжить», далее кликните на галочку «С информацией ознакомлен» и кнопку «Подать обращение».

2. На странице заявления заполните все поля и подробно опишите ситуацию. Нажмите «Отправить обращение». После этого вы получите документ с номером обращения для отслеживания статуса. Фото или скан документа передайте в тикет-систему.

После проведения расследования, в случае если подтверждается угон, домен возвращается прежнему владельцу.

В этой ситуации мы незаинтересованная третья сторона. Наша задача — проводить операции в соответствии с регламентом и правилами, которые утверждены международными организациями. Верификация через электронную почту является базой для авторизационных действий по международным доменом, это обязательное требование. Мы к нему добавляем предоставление удостоверяющих документов, это усиливает защиту. Однако, это не всегда помогает.

Так как была взломана почта, рекомендуем сообщить об этом почтовому оператору для поиска уязвимостей, которые позволяют получить доступ несмотря на сложные пароли и двухфакторную аутентификацию.

Всё будет хорошо, мы с вами!»

Регистратор прикрывает дыру в интерфейсе. Идёт навстречу законному владельцу.

Вывод

Даже у лидеров рынка можно найти дыру в системе безопасности. REG.RU немного запоздало отреагировали на первую жалобу на vc.ru и получили в ответ много негатива в комментариях. Я видел там прямые призывы байкотировать регистратора, мат-перемат в их сторону и обвинения в чёрт знает чём. Это серьёзный удар по репутации REG.RU. Такие пожары нужно тушить в зародыше.

Вот что написали REG.RU в ответ на нападки:

«Наша работа — нейтралитет и соблюдение регламентов и законов. Мы действуем всегда строго на основании заявлений, которые выражены в регламентной или законной форме. И, да, мы в действительности не знаем как выглядит администратор и его паспорт, у нас нет информации о том кто в действительности стоит за e-mail сообщением. К сожалению, в работе мы сталкивались с тысячами случаев мошенничества, часть из которых казались невероятными, а часть выливались в публичный террор нашей компании, но в ходе следствия оказывалась манипуляциями мошенников. Любые правила и законы написаны «кровью» и лучшее, что можно сделать, это соблюдать их всем сторонам.

Часто ли мошенники угоняют домен?
Мы знаем много попыток, но нет ни одного случая, который бы в итоге не обернулся победой реального администратора домена. Да, иногда это занимает время, но если действовать по закону, то правда всегда восторжествует.

В подобной ситуации все домены одинаковые?
Каждая доменная зона имеет свои правила. И, в действительности, национальные доменные зоны (.RU и .РФ) существеннее защищены от мошенничества, так как в них не принимается юридически значимой процедура запроса критического действия с доменом через email. А вот международные домены как раз наоборот, требуют проводить все операции строго удаленными способами, на основании email. Потеря контроля над электронной почтой грозит ситуациями подобной этой.»

Убедительно и достойно. Но поздно! Технические проблемы — это действительность, от который не уйти. Высший пилотаж — использовать такие поводы для PR. Это вполне реально. Есть масса примеров, когда компании обращала фейл в плюс к карме. Для этого нужно постоянно мониторить упоминание бренда в сети и срочно реагировать на негатив.

В этом случае REG.RU мог оперативно ответить на обвинения в комментариях и описать свои действия. REG.RU обвиняли, в первую очередь, в пассивной позиции: обращайтесь в полицию, без уголовного дела мы ничего делать не станем. Но оказывается, компания вовсю решала проблемы клиента, только никому об этом не говорила. В информационном вакууме потерпевший клиент успел настрочить статью на одном из самых популярных и токсичных на комментарии интернет-ресурсе и пошло-поехало.

Советовать, как говорится, легко. Добрый совет ко времени хорош. Наша с вами задача — вынести урок и не совершать подобных ошибок.

Что касается покупки доменов на REG.RU — меня успокоили их слова и действия. Считаю, что вашим доменам на REG.RU ничего не угрожает. Следите за своим мейлом, кражи домена на REG.RU происходили через взломанную электронную почту.

Ранее написано по теме:

Первый сайт — как первый секс

Главный страх клиента при заказе сайта

Как заказчики выбирают CMS для сайта

Обслуживание сайта: как не потерять сайт

P.S.

REG.RU чётко мониторят инфополе и следят за упоминанием своего бренда. Официальная реакция в виде комментария появилась под этой статьёй через 40-50 минут после публикации. Отличный результат!

Использовал цитаты из источников:

https://vc.ru/claim/133510-ukrali-domen-v-reg-ru

https://vc.ru/claim/139520-ugnan-domen-iz-reg-ru-chto-delat

ОСТАВЬТЕ КОММЕНТАРИЙ

Д е й с т в у й !
Оставьте ваши контакты и мы ответим в течение 10 минут.
Ваша заявка принята!

Рассылка Reconcept, подпишитесь на наш полезный блог

Ваша заявка принята!