Национальная почтовая безопасность +1



Новый год начался весело — случилось странное и непривычное – меня взломали. Адрес был на Национальной почтовой службе Мэйл.ру.


Ну взломали и взломали, с кем не бывает но, как говорится, «есть один нюанс».


Самое смешное, что последнее время пришлось немного заниматься вопросами кибербезопасности. Типичная картина «Сапожник без сапог».


Пароль был как пароль, старый и привычный, – цифробуквенная комбинация из 6 знаков, не усиленный.


Пароль для почты не светился и не использовался для других сайтов, ну кроме еще одной большой почтовой службы (на которую много лет уже не смотрю). Пользуюсь исключительно собственными компьютерами/ноутбуком, с телефона на почту не хожу.


Антивирусы, обновления тоже имеются. Вывод — кого то из трех взломали, и надеюсь что меня =)


Пришлось озадачиться вопросом почтовой безопасности, и выяснилось что:


  • Для начала замечу, что очень хороший и удобный журнал безопасности
  • Попыток подбора пароля в журнале не зафиксировано
  • Отсутствует автоматическое детектирование захода в почту с разных стран. Хотя из-за разных операторов страна может неверно определяться по IP-адресу. Вероятнее всего, для анализа нужно создавать какой-никакой искусственный интеллект (ИИ)
  • Хотя за 10минут четыре логина с 4х разных стран (РФ, США, Вьетнам, Бразилия) можно было отдетектировать и самому тупому ИИ
  • Количество писем по логу иногда не соответствует папке отправленных
  • Опасные операции, такие как удаление всех писем, не требуют двухфакторной авторизации (телефон привязан)
  • Ну искусственный интеллект наверное все же есть – блокировка сработала после удаления и очистки входящих =)

Что я потерял – немного. Только веру в безопасность и полдня на смену всех паролей.


Хотя служба техподдержки ожидаемо сказала, что ничего поделать не может (шутка ли, целых 12 часов прошло, какие такие бэкапы), копия почты у меня осталась в Аутлуке.


И маленький штрих. Недавно наблюдал пару сбоев в работе поиска (к которому привык, т.к был отличным) – письмо есть, но даже по адресату не находится. Но это уже совсем мелочь.


Резюмируя, поставил себе вопрос – «А что же с этим всем делать?». Чтобы ситуация не повторилась.


И ответ плохой – «А вы против взлома почти ничего поделать не можете», разве что нужно включать двухфакторную аутентификацию на телефон, причем с этого же телефона ходить на почту нельзя.


Насколько я понимаю, Национальная почтовая служба вполне может подпадать под свеженький N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".


Так что самое время открыть дело за недостаточное принятие организационных и технических мер для обеспечения безопасности (халатность) – Ст.11.2


Но на самом деле мне нужна шкурка взломщика – он засветился, как солнышко (не скажу в чем, вдруг он тут тоже Хабр читает =)


Свои ошибки постфактум
  1. Простой пароль
  2. Лень пользоваться двухфакторной аутентификацией
  3. Отсутствие контроля за журналом безопасности
  4. Расслабленность и доверие к настроенной "Системе"
  5. Использование не выделенного браузера для почты (спорно)
  6. Слишком сильная привязка сервисов к одной почте
  7. Полумеры в безопасности недопустимы




К сожалению, не доступен сервер mySQL