Kosztowna utrata domeny

Czy wiesz, co się dzieje z nieopłaconą domeną? Procedura jest standardowa – najpierw przez chwilę można ją jeszcze przedłużyć, potem trafia do puli dostępnych, następnie często przejmuje ją automat i próbuje sprzedać przez kolejny rok, a jeśli się to nie uda, a domena nie jest zbyt popularna, znika i znów każdy może ją zarejestrować. Chyba, że domena była szczególnie atrakcyjna. Na przykład – należała do kancelarii prawnej, która została zlikwidowana lub połączyła się z inną.

domena nie została znalezionaTen temat postanowili zbadać dogłębniej Gabor Szathmari i Jeremiah Cruz. W ramach eksperymentu przejęli domeny garści firm prawniczych, które upadły w ostatnim okresie. Na przejętych domenach założyli konta pocztowe typu catch-all, przejmujące maile wysyłane pod dowolny adres w domenie. I w stosunkowo krótkim czasie otrzymali dostęp do poufnych dokumentów, nieprzeznaczonej dla nich korespondencji oraz prywatnych danych byłych klientów. Co więcej, dzięki dostępowi do wcześniej używanych adresów emailowych, mogli podawać się za aktywnych prawników (i naciągać byłych klientów), próbować odzyskać dostęp do nieaktywnych kont Office 365 i G Suite oraz przejąć prywatne konta społecznościowe byłych pracowników.

Co dokładnie wpadło w ręce badaczy? Na przykład komunikaty od banków o problemach z płatnością kartami, potwierdzenia rezerwacji hotelowych, powiadomienia z serwisu LinkedIn i rachunki. Oraz, niestety, poufne dokumenty wysyłane przez byłych klientów lub partnerów, dotyczące prowadzonych spraw sądowych czy innych działań typowych dla prawników.

Co istotne, dostęp do nieużywanych już adresów pocztowych umożliwił bezproblemowe wyciągnięcie informacji o przechwyconych hasłach, za pośrednictwem serwisów HaveIbeenPwned i SpyCloud. Tak – wiem, że duża część baz haseł krąży po sieci – ale po co ich szukać, jeśli same wpadają w ręce?

No i w końcu – kto z nas pamięta o usunięciu swoich starych adresów email z dziesiątków serwisów internetowych, w których się rejestrowaliśmy. A w wielu z nich wystarczy dostęp do jednego z podpiętych e-adresów, by przywrócić sobie dostęp po “zapomnieniu hasła”. Twitter? Facebook? Paypal? Czego dusza zapragnie.

Co zrobić, gdy chcemy się pozbyć domeny?
Oczywistym rozwiązaniem jest opłacanie domeny w nieskończoność. Ale łatwo się domyślić, że nie każdy może sobie na to pozwolić – co więcej, nie zawsze mamy wpływ na losy domen swoich dawnych pracodawców. Na pewno odchodząc z pracy (lub likwidując firmę) warto zamknąć lub przekonfigurować konta w serwisach online, w których korzystaliśmy ze służbowego adresu. Warto wypisać się ze wszystkich możliwych newsletterów – potrafią przychodzić nawet lata po likwidacji domeny i jej kupienie po jakimś czasie da nowemu nabywcy informację o tym, do czego używaliśmy kont (sprawdzone!). Trzeba – a ciągle się o tym zapomina – poinformować dawnych klientów i partnerów o zmianie adresów email. No i w końcu warto zaprzyjaźnić się z dwuskładnikowym uwierzytelnianiem. Coraz więcej serwisów daje możliwość 2FA, więc czemu z niej nie skorzystać? Uratuje to nasze stare dane przed ciekawskimi w sytuacji, gdy zapomnimy o wyłączeniu jakiejś usługi…

Źródła:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →