Electronic CHATS
Зарегистрируй себе бесплатно многофункциональный, профессиональный, быстрый чат!

Главная страница | Форум тех. поддержки Впервые у нас? Тогда читай FAQ и Правила! Сделать стартовой | Добавить в избранное

АДМИНКА

Логин:
создать чат
Пароль:
вспомнить


СВЯЗЬ С НАМИ

Администрация

Autodesk admin [показать ICQ]

Помощники

этим людям можно задавать вопросы по настройке и блокировки чата:

Pavel 5006165 helper [?]
Alex 630868614 helper [?]

РАДИО


РЕКЛАМА


«Социальная инженерия vs mchost.ru»

Недавно был взломан один из сайтов, хостящийся у mchost. Взлом был осуществлён из-за халатности техподдержки хостинга, не уделяющей должное внимание безопасности.

Во взломе нет ничего сверхъестественного:
1. По whois узнали почту и хостера.
2. Создали похожий почтовый ящик и написали в техсаппорт просьбу о добавлении его как дополнительного контрольного.
3. На просьбу техсаппорта о письме с 1-го контрольного отправили письмо с подменой адреса отправителя.
4. Техсаппорт, ответив о неправильном 1-м контрольном ящике указал домен реального контрольного ящика.
5. Отправили письмо с подменой адреса отправителя на реальный контрольный и техсаппорт внесла новый емайл в список контрольных.
6. Получили на новый контрольный данные по доступу к сайту.

Теоретически можно скомпрометировать любой сайт, хостящийся на mchost?
На Хабре присутствуют сотрудники mchost, хотелось бы услышать их комментарии.

Видео взлома:
avi | 1280 x 800 | 47.6 MB
видео на youtube

P.S. я не имею отношения ни к взломщикам, ни к пострадавшему сайту, меня интересуют проблемы безопасности.

UPD от специалиста технической поддержки компании McHost.Ru
Михаила Озоровича :


Вся сложность ситуации была в том, что реальным клиентом не были указаны реальные регистрационные данные аккаунта и было очень тяжело увидеть что запрос липовый, если бы они были, то у псевдоклиента попросили бы указать их или прислать скан паспорта.
Данная ситуация была решена оперативно нами и мы можем гарантировать, что такое не может повторится больше.
В данной ситуации сайт клиента не был взломан, как написал автор данной статьи и клиент и дальше размещает у нас свои проекты.

Какие итоги и советы? Всегда указывать свои реальные данные в регистрационной информации аккаунтов, тогда никогда не возникнут такие проблемы. Хочу подчеркнуть, что данная ситуация не правило, а редкое исключение, такое случается практически у всех хостинг компаниях.
Компания McHost недавно ввела жесткие правила относительно смены регистрационных данных аккаунтов, как раз что бы не повторялись такого рода ситуации и минимизировать возможность кражи аккаунта.
Дата публикации: 2009-05-27


СЧЁТЧИКИ

создать чат бесплатно - - - - Топ100 - Хостинг
Design by Autodesk
Копирование любых материалов с сайта, без установки ссылки на echats.ru - ЗАПРЕЩЕНО!
Electronic CHATS™ Company | Copyright © 2009-2020 | All rights reserved