Czy wiesz, co się dzieje z nieopłaconą domeną? Procedura jest standardowa – najpierw przez chwilę można ją jeszcze przedłużyć, potem trafia do puli dostępnych, następnie często przejmuje ją automat i próbuje sprzedać przez kolejny rok, a jeśli się to nie uda, a domena nie jest zbyt popularna, znika i znów każdy może ją zarejestrować. Chyba, że domena była szczególnie atrakcyjna. Na przykład – należała do kancelarii prawnej, która została zlikwidowana lub połączyła się z inną.
Ten temat postanowili zbadać dogłębniej Gabor Szathmari i Jeremiah Cruz. W ramach eksperymentu przejęli domeny garści firm prawniczych, które upadły w ostatnim okresie. Na przejętych domenach założyli konta pocztowe typu catch-all, przejmujące maile wysyłane pod dowolny adres w domenie. I w stosunkowo krótkim czasie otrzymali dostęp do poufnych dokumentów, nieprzeznaczonej dla nich korespondencji oraz prywatnych danych byłych klientów. Co więcej, dzięki dostępowi do wcześniej używanych adresów emailowych, mogli podawać się za aktywnych prawników (i naciągać byłych klientów), próbować odzyskać dostęp do nieaktywnych kont Office 365 i G Suite oraz przejąć prywatne konta społecznościowe byłych pracowników.
Co dokładnie wpadło w ręce badaczy? Na przykład komunikaty od banków o problemach z płatnością kartami, potwierdzenia rezerwacji hotelowych, powiadomienia z serwisu LinkedIn i rachunki. Oraz, niestety, poufne dokumenty wysyłane przez byłych klientów lub partnerów, dotyczące prowadzonych spraw sądowych czy innych działań typowych dla prawników.
Co istotne, dostęp do nieużywanych już adresów pocztowych umożliwił bezproblemowe wyciągnięcie informacji o przechwyconych hasłach, za pośrednictwem serwisów HaveIbeenPwned i SpyCloud. Tak – wiem, że duża część baz haseł krąży po sieci – ale po co ich szukać, jeśli same wpadają w ręce?
No i w końcu – kto z nas pamięta o usunięciu swoich starych adresów email z dziesiątków serwisów internetowych, w których się rejestrowaliśmy. A w wielu z nich wystarczy dostęp do jednego z podpiętych e-adresów, by przywrócić sobie dostęp po „zapomnieniu hasła”. Twitter? Facebook? Paypal? Czego dusza zapragnie.
Co zrobić, gdy chcemy się pozbyć domeny?
Oczywistym rozwiązaniem jest opłacanie domeny w nieskończoność. Ale łatwo się domyślić, że nie każdy może sobie na to pozwolić – co więcej, nie zawsze mamy wpływ na losy domen swoich dawnych pracodawców. Na pewno odchodząc z pracy (lub likwidując firmę) warto zamknąć lub przekonfigurować konta w serwisach online, w których korzystaliśmy ze służbowego adresu. Warto wypisać się ze wszystkich możliwych newsletterów – potrafią przychodzić nawet lata po likwidacji domeny i jej kupienie po jakimś czasie da nowemu nabywcy informację o tym, do czego używaliśmy kont (sprawdzone!). Trzeba – a ciągle się o tym zapomina – poinformować dawnych klientów i partnerów o zmianie adresów email. No i w końcu warto zaprzyjaźnić się z dwuskładnikowym uwierzytelnianiem. Coraz więcej serwisów daje możliwość 2FA, więc czemu z niej nie skorzystać? Uratuje to nasze stare dane przed ciekawskimi w sytuacji, gdy zapomnimy o wyłączeniu jakiejś usługi…
Źródła: