Комментарии 50
Читаю заголовок представлял себе нечто мегатруЪхакерское, это же надо, взломать GoDaddy фотошопом!
А по факту, обычная социнженерия и подделка документов.
История с зеками сделавшими ксивы из газетных обрезков и то круче.
А по факту, обычная социнженерия и подделка документов.
История с зеками сделавшими ксивы из газетных обрезков и то круче.
А по-моему по заголовку вполне очевидно, что речь про подделку документов или чего-то такого.
да нет, я сначала подумал что через встроенный браузер работал ))))
Или немыслимо жестокая пытка сотрудников GoDaddy при участии диска с фотошопом и прочей атрибутики.
Я по заголовку подумал, что речь о новых статистических алгоритмах деконволюции, которые позволяют восстановить размытое изображение :) Мол, кто-то заблюрил какие-то закрытые данные, выложил, а их восстановили :)
А что за история? Или это просто метафора?
Один из побегов из Крестов.
Копипаста из вики:
Это вам не доки фотошопить
Копипаста из вики:
Очередной групповой побег случился 20 сентября 1984 года. Двое заключенных изготовили поддельные служебные удостоверения сотрудников милиции из газетных вырезок и цветных ниток из расплетённых носков. В этот день выдавали заработную плату персоналу, и часть контролёров отсутствовала. На пути с прогулки беглецы отстали, незаметно проникли в следственные помещения и вышли наружу через посты контроля вместе с посетителями тюрьмы. Впрочем, один из бежавших вернулся на следующий день, а ещё через день был задержан и второй.
Это вам не доки фотошопить
Лично на мой взгляд, это халатность и безответственность оператора и собственно системы определения личности.
И самое забавное, чаще всего самые эпические «взлому» именно у GoDaddy.
И самое забавное, чаще всего самые эпические «взлому» именно у GoDaddy.
4 часа на подделку прав? За это время можно физическую подделку сделать 3 раза.
> например, Network Solutions также восстанавливает
> права на домены через личные документы, только
> их необходимо передавать по факсу, а не загружать
> фото с компьютера.
Чёрт! Это ж в корне меняет дело! Факс — это вам не хухры-мухры!
> права на домены через личные документы, только
> их необходимо передавать по факсу, а не загружать
> фото с компьютера.
Чёрт! Это ж в корне меняет дело! Факс — это вам не хухры-мухры!
Круче факса только нотариально заверенный скриншот :)
Они их вообще не восстанавливают, ниже написал (никогда им этого не прощу).
Но в целом идентификация по факсу — еще хуже, учитывая качество передачи у факса. Фейк, который будет виден невооруженным глазом на скане через факс вполне себе сойдет за легитимный документ.
Но в целом идентификация по факсу — еще хуже, учитывая качество передачи у факса. Фейк, который будет виден невооруженным глазом на скане через факс вполне себе сойдет за легитимный документ.
Передача по факсу покажет номер и засветит канал связи, с которого идёт факс. С публичных сервисов факсы можно и не принимать.
Ну пошлю я с VoxOx факс, номер там не отличить, зарегистрировать можно хоть на папуаса, денег платить не надо (на отправку хватит стартового баланса). Зато для нормальных клиентов сколько лишнего гемороя, учитывая сколько стоит передача факса в США, что факс нужно еще найти, а обычный вариант отправки факса с отделения почты уже не сканает, публичный же сервис.
Но ведь большинство VoIP провайдеров имеют возможность указывать произвольный номер вызывающего абонента. Есть даже сервисы на просторах интернета, предоставляющих подобные услуги (звони с произвольного номера, например) за небольшую плату.
Комментарий GoDaddy из оригинальной статьи:
“GoDaddy has stringent processes and a dedicated team in place for verifying the identification of customers when a change of account/email is requested. While our processes and team are extremely effective at thwarting illegal requests, no system is 100 percent efficient. Falsifying government issued identification is a crime, even when consent is given, that we take very seriously and will report to law enforcement where appropriate.”
По-моему достаточно попросить клиентов фотографировать свой документ и делать селфи с документом, — тогда все вопросы отпадают автоматически.
Это плюс час работы с фотошопом. Короткий видео ролик подделать куда сложнее (например).
Вообще нужно после таких операций с аккаунтом не давать выполнять необратимых действий с доменами (какое-то время), это позволит минимизировать возможный ущерб.
Вообще нужно после таких операций с аккаунтом не давать выполнять необратимых действий с доменами (какое-то время), это позволит минимизировать возможный ущерб.
Для получения доступа к VPN в одну крупную фирму на букву А — надо включить видеокамеру и показать рядом с собой водительские права или паспорт.
Ну вот есть владелец домена, который живет где-то за океаном. Да или хотя бы даже на одной улице с вами. Как вы заставите человека сфотографироваться держа что-то в руках перед собою? К тому же можно ввести правила, что должно быть видно на фото, как требования к фотографии в американское посольство. Плюс ведь есть программы, которые подсказывают был ли тут фотошоп или нет. Видеоролик конечно же +. Не сомневаюсь, что подделать можно всё, но введя несколько вариантов авторизации, или даже обычный звонок в скайп + пара местных документов решит все вопросы.
А зачем мне заставлять его фотографироваться?
«Плюс ведь есть программы, которые подсказывают был ли тут фотошоп или нет.» — и те которые позволяют читать смс переписку вашей подруги, достаточно отправить СМС…
Да любой просмотрщик картинок может показать, редактировалась ли картинка в Фотошопе.
Вот, например:
Вот, например:
Скрытый текст
Вы же прекрасно понимаете, что подправить заголовки не составит большого труда?
Минута в любом HEX редакторе и ничего никто показывать не будет.
Да, конечно. Но это позволит отсекать хотя бы часть поддельных картинок.
Если человек смог найти бланк и его подредактировать, а уж тем более нарисовать с нуля, то заголовки он уберет с вероятностью 99.9%, особенно если будет знать, что их проверяют.
С другой стороны легальный владелец домена получит «отлуп» всего лишь из-за того, что решил обрезать полученный скан в фотошопе, а не в пэйнте.
С другой стороны легальный владелец домена получит «отлуп» всего лишь из-за того, что решил обрезать полученный скан в фотошопе, а не в пэйнте.
GoDaddy — большой хостер с кучей низкоквалифицированных «индусов» в саппорте. Сам сталкивался с ними, несли полную чушь. Например, на вопрос «почему перестала отправляться почта функцией mail() в php?» они ответили, типа, «если вы хотите отправлять на почту заполненную форму обратной связи, то вот по этой ссылке пример скрипта». Такое ощущение, что отвечает бот с наиболее подходящим ответом из базы знаний по ключевым словам. Так что ничего удивительного, что не замечают подвоха.
А еще лет 13 назад местный провайдер, он же хостер, говорил пароль от фтп сайта просто по телефонному звонку. Ну не может же левый человек интересоваться паролем от вашего сайта, ну зачем он ему. :))
А еще лет 13 назад местный провайдер, он же хостер, говорил пароль от фтп сайта просто по телефонному звонку. Ну не может же левый человек интересоваться паролем от вашего сайта, ну зачем он ему. :))
китайская комната В действии :)
НЛО прилетело и опубликовало эту надпись здесь
На самом деле все не так уж и печально с GoDaddy. Да действительно «вернуть» домен не зная данных учетки возможно.
Но по моему личному горькому опыту, когда домен был зарегистрирован сотрудником компании который в этой компании больше не работал, вернуть домен оказалось нереально.
Они действительно передали права на домен на новую учетку в течение 2-3 дней.
Все документы были реальными и не нарисованными. Карта на которую покупался домен была тоже реальной и принадлежала генеральному директору.
И все бы хорошо, но через неделю сотрудник компании смог обратиться в тех поддержку и вернуть домен, сказав что раз учетка его и у него есть к ней доступ. Объяснить сотрудникам тех поддержки что домен куплен на другую кредитку и данные whois гласят о другом владельце мы не смогли. Домен был потерян.
Но по моему личному горькому опыту, когда домен был зарегистрирован сотрудником компании который в этой компании больше не работал, вернуть домен оказалось нереально.
Они действительно передали права на домен на новую учетку в течение 2-3 дней.
Все документы были реальными и не нарисованными. Карта на которую покупался домен была тоже реальной и принадлежала генеральному директору.
И все бы хорошо, но через неделю сотрудник компании смог обратиться в тех поддержку и вернуть домен, сказав что раз учетка его и у него есть к ней доступ. Объяснить сотрудникам тех поддержки что домен куплен на другую кредитку и данные whois гласят о другом владельце мы не смогли. Домен был потерян.
Похоже сотрудника обидели, да? ;)
Я бы сказал, что это как раз ещё более печально.
Идеальный вариант работы саппорта — когда всегда восстанавливают домен в правомерных случаях и никогда — в неправомерных.
В данном случае получается же наоборот — в правомерном случае домен не вернули, а в неправомерном — отдали.
Идеальный вариант работы саппорта — когда всегда восстанавливают домен в правомерных случаях и никогда — в неправомерных.
В данном случае получается же наоборот — в правомерном случае домен не вернули, а в неправомерном — отдали.
Offtopic. Постоянно читаю слово «учетка» как утечка. Из-за этой херни предпочитаю синоним «акаунт».
Network Solutions домены вообще не восстанавливает, можно им эти сканы отсылать сотню раз и ничего не получить. Они так уже «отжали» очень хороший и дорогой домен, когда после попытки взлома им же об этом и сообщили, они его просто заблочили и стали требовать документы. Однако все отправленные им факсом документы их не устроили (понятия не имею почему, даже с нотариально заверенным переводом). $1500 потеряны навсегда.
Network Solutions — ужасный регистратор с неадекватными ценами, даже GoDaddy отбирающий купонные домены и то лучше в разы.
Никогда с ними не связывайтесь.
Network Solutions — ужасный регистратор с неадекватными ценами, даже GoDaddy отбирающий купонные домены и то лучше в разы.
Никогда с ними не связывайтесь.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Доступ к аккаунту GoDaddy удалось получить с помощью фотошопа