Одна CNAME запись и прощайте ваши данные из бесплатного G Suite +14


Представьте себе что вы потеряли контроль над доменом, к которому подключена бесплатная версия G Suite. Полностью ли по причине окончания срока регистрации, либо потому что дали постороннему права на изменение DNS записей, либо потому что у хостера ваших DNS на сайте есть XSS, позволяющая добавлять произвольные записи.


Что в такой ситуации может ожидать обычный, не особенно подкованный технически, и не читавший ToS дальше первых двух абзацев, человек? Представьте себе на месте этого человека вашего друга или родственника.


Такой обычный человек будет чувствовать себя более-менее спокойно: новую почту он не получает, но с его файлами и фото ничего не должно произойти, тем более ничего не должно произойти с его подпиской на дисковое место, его профилем G+, его купленными играми и приложениями. Обычный человек будет думать что все это его, хотя бы потому что его аккаунт на первый взгляд выглядит точно так же как его другой обычный GMail без домена.


Что на самом деле может произойти?


Потеря контроля над доменом с бесплатной версией G Suite может привести к потери всех аккаунтов на этом домене, включая все их содержимое, включая почту, адресные книги, фото, купленные приложения и так далее.


С такими неприятностями рискуют столкнуться все себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.


Такие неприятности становятся возможны из-за одной строчки в соглашении об использовании:


Если Клиент не является владельцем имен доменов и не контролирует их, компания Google не обязана предоставлять ему свои Службы.

Условия для неприятностей


Что нужно чтобы удалить всю вашу почту и все файлы, включая все когда-либо купленные приложения, если вы далеки от ИБ и слишком полагаетесь на модные облачные сервисы? Для этого ничего особенного не требуется: достаточно прав на создание CNAME записей и немного времени. Такие права можно получить как через обычные административные инструменты в панели хостинга, так и заменой DNS серверов на свои, что вполне может случиться по определению какого-нибудь Усть-Лабинского районного суда.


В процессе вы получите ровно одно письмо, предупреждающее о грядущем удалении всех ваших данных данных. Письмо придёт совсем не обязательно на ту почту в домене, которой вы пользуетесь, а скорей на ящик, который указан для восстановления доступа. Если вы не часто читаете письма в том ящике, то в один прекрасный день вы можете встреть такое сообщение после ввода пароля:



И такое, при попытке восстановить доступ.


Стоит ли говорить что с таким отношением большого G к вашим данным вы можете получить и другие письма, в том числе требующие перевести 0.5 BTC на кошелёк автора того письма в течении трёх дней, или лишиться всего архива почты.


Сразу скажу что в процессе эксперимента никакие пользовательские данные не пострадали, хотя с оставшейся с давних времен бесплатной подпиской на G Suite пришлось проститься не понарошку.


К делу


Хорошие новости: если не знать конкретного логина администратора и резервного адреса или телефона, то практически невозможно восстановить доступ к почте на домене в G Suite. Да, можно получить доступы к отдельным ящикам традиционными способами (фишингом...), особенно если не используется 2FA. Наверное и аккаунт администратора можно таким образом получить, если знать кто им пользуется. Если не знать, то всё много сложней.


Если задача получить доступ к архиву почты не стоит, то идём дальше. При попытке подключить домен к G Suite, который уже используется кем-то, выводится сообщение о недоступности домена:



Пройдя по ссылкам помощи находим инструкцию по восстановлению доступа и в ней находим ссылку на форму для восстановления доступа. В ней на чистом английском заполняем что-то вроде:


Subject:
Restore access for test.ru

I cannot sign up for G Suite with test.ru. Getting error: "This domain is already in use"

Ждём некоторое время и получаем сначало письмо с подтверждением получения запроса и номером тикета...


Subject: Case #[14112233] Restore access to Apps for test.ru
Date: Mon, 5 Feb 2018 02:10:15 +0000 (GMT)

Hey there,

Thanks for opening this G Suite support ticket. Your ticket number is 14112233, and we'll be in touch with you soon.
In the meantime, you can help us speed up the support process.

...

В вольном переводе: спасибо что открыли запрос, ваш номер такой-то, мы скоро с вами свяжемся...


А потом получаем письмо с детальными инструкциями:


Здравствуйте, Алексей.

Спасибо что связались с поддержкой G Suite. Я так понимаю что у вас есть проблемы при создании нового аккаунта с доменом test.ru. Меня зовут Даниэль и я отвечаю за ваш кейс, буду рад помочь. Чтобы вы знали, в офисе я с семи до шестнадцати по CST, с понедельника по пятницу.

Я не могу вам позвонить так как вы находитесь в другой временной зоне. Также в анкете вы указали номер телефона..., если есть другой более подходящий номер телефона пожалуйста, сообщите, а также когда лучше вам позвонить.

Я понимаю что вы пытаетесь подключить домен test.ru к G Suite, и не можете это сделать. После изучения вашего запроса я выяснил что этот домен уже связан с другим аккаунтом G Suite в нашей системе. Пожалуйста, уточните, не зарегистрировал ли этот аккаунт кто-то другой в вашей компании. Если так, то постарайтесь получите доступы к этому аккаунту у того человека.

Если же никто у вас не может вспомнить факт регистрации G Suite, пожалуйста подтвердите права на домен следующим образом:
  1. Создайте запись CNAME у хостера вашего домена со следующим содержанием…

    Название: deleteGAPPSnotBefore20180215utc

    Цель: case-14112233-for-test.ru-at.google.com

    TTL: 3600
  2. Если ваш регистратор отличается от хостера вашего домена, убедитесь что вы создаёте домен у хостера вашего домена. За более подробной информацией обратитесь к странице помощи…


После выполнения этих шагов, ответьте на это письмо и сообщите мне. После подтверждения ваших прав на домен test.ru я свяжусь с владельцем ранее зарегистрированного аккаунта G Suite и дам ему/ей как минимум три рабочих дня чтобы сделать резервную копию всех сколько-нибудь важных данных.

Если от предыдущего владельца не поступит сообщений в течении трех рабочих дней, то тогда я удалю ранее зарегистрированный аккаут G Suite из нашей системы. Пожалуйста имейте ввиду что мы делаем всё возможное чтобы решить вашу проблему в течении трёх рабочих дней, но окончательное решение может занять больше времени из-за чувствительности этой проблемы. Тем временем пожалуйста не перенастраивайте ваш домен на использование MX записей Google, так как так вы рискуете пропустить важные сообщения.

Если у вас есть дополнительные вопросы или соображения, не стесняйтесь мне написать. Я буду жать вашего ответа!

Искренне ваш,
Даниэль

Оригинал письма
Subject: [#14112233] Restore access to Apps for test.ru
Date: Mon, 5 Feb 2018 12:22:42 +0000 (GMT)

Hello Alexey,

Thank you for contacting G Suite Support. I understand that you have issues to create a new account using the domain test.ru. My name is Daniel and I'll be in charge of your case from now on, it will be a pleasure to help you in this case. Let me share with you that I'm at the office from 7am to 4pm CST, Monday to Friday.

I was unable to call you due to the different time zone where you are located. Also, the phone number indicated to contact you is 495-100-2548 based on Russia, please let me know if this is the best contact phone number, otherwise provide me with the correct phone number and the best time to call you back.

I understand that you are trying to register test.ru with G Suite, and haven't been able to do so. Upon reviewing your application, I see that there is already a G Suite account associated with your domain in our systems. Please check whether someone else within your organization previously registered this domain with G Suite. If so, you should work with him/her to obtain access to the account.

If nobody within your organization recalls registering with G Suite, please verify domain ownership by following the steps below:

Create a CNAME record:
  1. Create the following CNAME record through your domain hosting provider:

    Label/Host: deleteGAPPSnotBefore20180215utc

    Destination/Target: case-14112233-for-test.ru-at.google.com

    Time to live (TTL): 3600
  2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support


Once you have completed the verification steps above, please reply to this message and let me know. After I have verified your ownership of test.ru I will contact the owner of the existing G Suite account and give him/her at least three business days to back-up any important account data.

If I do not hear back from the previous owner within three business days, I will remove the existing G Suite account from our systems. Please be aware that we will make the best effort to process this within three business days, but it can take a little longer than that due to the sensitive nature of this issue. In the meantime, do not point your domain's MX records to Google yet, as this may result in missing important messages.

If you have any additional questions or concerns, please do not hesitate to let me know. I look forward to your response!

Sincerely,

Daniel
G Suite Support

Это первый критический момент: если такую CNAME запись сможет создать посторонний, то вы имеете все шансы остаться без почты. Достаточно сказать что большинство хостеров DNS никак не уведомляют о добавлении новых записей. Значит, такую запись можно добавить незаметно.


Записи создаём, на письмо отвечаем.


Subject: Re: [#14112233] Restore access to Apps for test.ru

Hello Daniel,

I've added a CNAME record you asked for to verify my ownership of the domain in subject.

$ dig +short CNAME deleteGAPPSnotBefore20180215utc.test.ru
case-14112233-for-test.ru-at.google.com.

Thanks.

Спустя некоторое время на ящик, который используется для восстановления доступа к аккаунту администратора, приходит письмо следующего содержания:


Здравствуйте,

Спешу вам сообщить что другой пользователь подтвердил права на домен test.ru.

Если вы всё ещё владелец этого домена, пожалуйста, ответьте на это сообщение как можно скорее и предоставьте подтверждение ваших прав на домен путем выполения следующих инструкций:

Создайте запись CNAME у хостера вашего домена со следующим содержанием…

Если вы больше не владеете этим доменом, вы расторгли соглашение для G Suite. У есть три дня чтобы перенести ваши данные, которые вы хотите сохранить, из вашего аккаунта. Через три дня ваш аккаунт G Suite и все данные в нём будут удалены.

Вы можете войти в консоль администратора G Suite по адресу admin.google.com, в качестве логина используя адрес в домене вида xyz@test.ru. Также вы можете удалить все данные из вашего аккаунта следуя инструкциям в этой статье: https://support.google.com/a/answer/1257646

Если у вас есть вопросы или другие соображения, пожалуйста, ответьте на это сообщения.

Искренне ваш,
Даниэль

Оригинал письма
From: Google Cloud Support
Date: 6 February 2018 at 21:16
Subject: IMPORTANT: Your G Suite account using test.ru

Hello,

I am contacting you to let you know that another user has verified ownership of test.ru.

If you still own this domain, please reply to this message as soon as possible and provide us with proof of your ownership by following the steps below:

Create a CNAME record:
  1. Create the following CNAME record through your domain hosting provider: 14112233 points to google.com
  2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support


If you no longer own this domain, you have terminated the agreement for G Suite. You have three days to migrate any data from your G Suite account that you would like to keep. After 3 days, your account and all information in the G Suite account will be deleted.

You can access the G Suite Admin console from admin.google.com with the email address on the domain as example xyz@test.ru. Also, you can purge your account by following the steps listed in this article https://support.google.com/a/answer/1257646

Please reply to this message if you have any questions or concerns.

Sincerely,

Daniel
G Suite Support

Если вы это письмо пропустили, то всё. Больше никаких писем и предупреждений от поддержки G Suite вы не получите!


Если вы всё ещё владелец домена, то всё просто: добавляете записи, удаляете другие, меняете пароли, отвечате на письмо.


Если вы в самом деле уже не владелец домена (потому что, например, он был просрочен), то у вас проблемы. Вам нужно связаться со всеми пользователями домена и сообщить им неприятные новости. Каждому пользователю нужно будет самостоятельно сделать архив своих данных и выкачать его. Наверное можно ответить на письмо и попросить ещё немного времени на экспорт данных.


Декларируется также возможность скачать все данные всех пользователей через API. Это значит вам нужно будет изучить и начать использовать это API в трёхдневный срок, не говоря уж о том что у автора вообще не получилось получить реквизиты доступа к API IAM (форма создания пользователя API грузилась вечно).


Оставалось 72 часа...


Дальше переписка идёт только с лицом, восстанавливающим доступ:


Subject: [#14112233] Restore access to Apps for test.ru
Date: Tue, 6 Feb 2018 13:11:21 +0000 (GMT)

Hello Alexey,

Thank you for your last response, it is great to work with you.

For your information, I have contacted the previous owner for the account in order to notify it about the process that we are about to complete. Remember, after 72 hours from now I will request the deletion for the account and it may take up to 24 hours more for the domain to be completed deleted from the system. As part of our privacy and security process for accounts, if the account is deleted from the system it will be with the data also, and there is no way to save it.

I’ll keep this case open while the process is completed. If you have any other questions or additional comments, don’t hesitate to reply to this email and I'll be happy to further assist you or call you back immediately. Have a great day.

Sincerely,

Daniel
G Suite Support

В письме сообщается что предыдущий владелец был уведомлен о ситуации. Отмечается что осталось 72 часа до удаления домена, что операция удаления занимает до суток, и что по причинам конфиденциальности и безопасности данные удаляются безвозвратно, без возможности сохранения для нового владельца домена. Это — хорошие новости.


Спустя немного больше трёх дней, со скидкой на выходные дни, приходит последнее письмо:


Здравствуйте, Алексей.

Надеюсь, что это письмо вас найдёт. Это дополнительное сообщение относительно вашего кейса поддержки G Suite.

Я не стал звонить вам из-за разных временных зон. Рад сообщить что домен test.ru был удалён из нашей системы, и вы можете сделать новый аккаунт G Suite используя этот домен.

Этот кейс пока останется открытым на случай вашего ответа. Сообщите, пожалуйста, есть ли у вас есть какие-либо вопросы или соображения, чтобы мы могли закрыть этот кейс.

Искренне ваш,
Даниэль

Оригинал письма
Subject: [#14112233] Restore access to Apps for test.ru
Date: Mon, 12 Feb 2018 12:13:37 +0000 (GMT)

Hello Alexey,

I hope this message finds you well. This is a follow up message concerning your case with G Suite Support.

I was unable to reach you due to the different time zone. I'm glad to inform you that the domain test.ru, was deleted correctly from our system, and you will be able to create a new account for G Suite using the particular domain.

I’ll keep this case open while I wait for your reply. Please let me know if you have any other questions or if you consider the issue as resolved, so that we can proceed to close this case.

Sincerely,

Daniel
G Suite Support

Как вы понимаете, на этом переписка заканчивается. Домен удалён, все ваши письма, файлы, сайты и прочие данные удалены, и при выходе вы видите загадочное сообщение об удалении из начала этого поста ("This account was deleted").



Восстановить доступ можно даже не пытаться. Вы сами были администратор, к кому ещё вам обращаться?..



Итого


Плохие новости очевидны: достаточно одной CNAME записи чтобы для любого домена, который использует бесплатный вариант G Suite, в течении 72 часов удалить вообще всё. Пользователей, письма, файлы, ну то есть вообще всё. Корпорация ли зла Google с таким подходом к данным пользователей? Так сразу и не ответишь отрицательно.


Есть и хорошие новости:


  1. Одной CNAME записи недостаточно чтобы получить доступ к архиву вашей переписки на домене, подключенном к G Suite / Google Apps.


  2. Если внимательно читать почту, приходящую на адреса для восстановления, удаление данных можно предотвратить.


  3. Следует очень обдуманно давать доступы на добавление записей в DNS таблицы домена если вы пользуетесь G Suite или Google Apps. Еще лучше — не давать такие права никому.


  4. Риск подобных событий можно уменьшить если не класть все яйца в одну корзину. Для DNS лучше использовать отдельный хостинг (пусть даже от Cloudflare), для сайтов — отдельно арендованный сервер, для почты — другой отдельный сервис.

К счастью, не все почтовые хостинги подходят к вопросу смены владельца домена так беспринципно и, прямо скажем, ужасающе, как Google в его бесплатной версии. В той же платной версии G Suite можно подключить еще один домен и перенести на него пользователей. Другие сервисы относятся похоже. Например, из FastMail (те, которые поддерживают Cyrus IMAP) мне ответили что ваша переписка останется вашей, а домен придётся отдать. Но это платные сервисы.


Как подходят к этому вопросу в бесплатный ПДД Яндекса и в Mail.ru — вопрос открытый.


Остаётся надеяться что Google не будет делать вид что проблемы не существует и что такая забота о сохранности данных пользователей пусть даже бесплатной версии — это правильно и хорошо, а внесёт изменения в свои правила чтобы если не адреса, то хотя бы доступ к архиву почты и купленным приложениям у человека оставался после отключения домена. Мне же видится что для владельцев старой, бесплатной, почты было бы здорово иметь возможность "распустить" домен и отправить все пользователей в свободное плавание со своими отдельными аккаунтами с пересылкой писем со старых адресов в домене. Разве это так сложно, а, Google?


К сожалению, это не первый и не последний раз, когда Google удаляет все-все данные пользователя просто потому что они так могут. Выводы из этого напрашиваются очень неприятные.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (68):

  1. betony
    /#10607329

    Очень хочется увидеть подробную инструкцию, как жить, чтобы ничего не угнали. Ну, кроме 2FA везде где можно

    • undisclosed
      /#10607353

      1. Регулярно делай бэкапы
      2. Используй только длинные сложные пароли
      3. Держи пароли в тайне
      4. Не обижай админа
      5. Своевременно меняй пароли

  2. undisclosed
    /#10607339 / +1

    Вообще-то это не «Одна CNAME запись» какая-то, а полноценный доступ к управлению доменом/хостингом в руках недоброжелателя.
    Непонятно в чем можно обвинить Google. В том что кто-то выучил новое для себя слово «Бэкап» только после того как возникла проблема?
    Гугл же предупреждает обе стороны и дает дополнительно 3 дня.
    Если автор настолько часто пользуется почтой, что даже домен забыл продлить или вспомнил про нее только после продажи привязанного домена, то, уж простите, он ССЗБ.

    • cicatrix
      /#10607433

      Вообще-то это не «Одна CNAME запись» какая-то, а полноценный доступ к управлению доменом/хостингом в руках недоброжелателя.

      Это! Это не только проблемы с гуглом. Это вообще глобальные проблемы!

    • alexkbs
      /#10607613

      То есть вы хотите сказать что когда Google удаляет весь архив вашей переписки, все файлы, все загруженные фото, профиль G+ и всё остальное оправдывая это заботой о вашей конфиденциальности и безопасности, если вы продали кому-то свой домен или решили не продлять его, то это нормально и правильно?

      • fedorro
        /#10607715

        Т.е. пользоваться чужим доменом — это ок? Что мешало на другой домен перепривязать этот аккаунт если он нужен? Почему вы думаете что Гугл должен хранить данные, которые не понятно нужны или не нужны? А ещё Гугл не дает вам доступ к почте, если Вы пароль забыли и все подсказки, запасные ящики, и ведь тоже заботой о безопасности прикрывается.

        • alexkbs
          /#10607725

          В том и дело что у гугла нет опции перепривязать аккаунт на другой домен. Если б такая опция была, то не было бы статьи! Понимаете?

          • Graphite
            /#10607731
            • alexkbs
              /#10607775

              В бесплатном аккаунте, про которые статья, такой опции нет. Там прямо написано открытым текстом:

              This feature is not available for legacy Free edition accounts

              • Graphite
                /#10607845

                Конечно недоступна, потому что иначе можно было бы покупать неиспользуемые бесплатные аккаунты и привязывать к ним новые домены. Вы заключили договор на бесплатные услуги для одного конкретного домена, другие домены вам обслуживать бесплатно никто не обещал. С тех пор как G Suites стал платным новые домены бесплатно использовать нельзя. Если надо — берете триал на 14 дней, переносите на другой домен, оттуда потом бекапите если что.

                Я не понимаю в чем проблема. У вас в договоре было написано: «Если Клиент не является владельцем имен доменов и не контролирует их, компания Google не обязана предоставлять ему свои Службы.»
                Вы не контролируете домен, значит вы расторгли договор, Google может делать что угодно дальше. С учетом того, что вы пользовались бесплатным аккаунтом, от которых Google уже много лет старается полностью избавиться, полное удаление через 3 дня выглядит логичным.

                • alexkbs
                  /#10607901

                  В триале нельзя на другой домен перенести, наверное уже два года как.

                  То есть вы хотите сказать что когда Google удаляет весь архив вашей переписки, все файлы, все загруженные фото, профиль G+ и всё остальное оправдывая это какими угодно причинами, если вы продали кому-то свой домен или решили не продлять его, то это нормально и правильно? Вы бы хотели чтобы и с вами поступили точно так же, в случае чего, верно?

                  • Graphite
                    /#10607943 / +2

                    Это нормально. Вам обещали хранить данные пока вы контролируете домен. Хранение стоит денег, которые Google тратит потому что обещал вам по договору. Как только вы договор расторгли, т.е. фактически сказали что данные вам не нужны, Google имеет полное право данные удалить и никакие причины для объяснения этого не нужны.

                    Заметьте, во многих подобных ситуациях компании просто уведомляют об изменении в условиях сервиса и все. Например: «через 30 дней услуги станут платными, не нравится — забирайте данные». Google не стал этого делать и позволил имеющимся пользователям продолжать пользоваться сервисом для домена, пока он им нужен. То что пользователь перед продажей домена не удосужился подумать или спросить что будет с данными — его проблема.

                    А о сценарии где пользователь передал управление DNS злоумышленнику давайте не будем. Удаление данных из G Suites это наименьшая из проблем в этом случае.

                    Ну а это просто прекрасно:

                    Вы бы хотели чтобы и с вами поступили точно так же, в случае чего, верно?
                    Кроме того, простите, может я что-то пропустил, но разве аргументы ad hominem стало нормально употреблять в приличном обществе?

                    • alexkbs
                      /#10608077 / -2

                      Мы с вами кардинально не сходимся по позиции. Я считаю что удалять пользовательские данные, включая, например, купленные за деньги приложения, это что-то за пределами добра и зла. Нельзя так делать, а если кто-то так делает, то об этом нужно писать и всех предупреждать.

                      Где-то есть комментарий где я перешел на личности с другим комментатором и вас это так порадовало? Не вижу, где бы. Вы, наверное, опять меня с кем-то путаете.

                      • Graphite
                        /#10608195 / +1

                        Вот вы откуда-то вытащили приложения купленные за деньги, о которых ни в статье, ни в комментариях раньше не упоминалось. Вы сейчас о Google Play или о Marketplace? Или вы понятия не имеете, потому что узнали об этом от vikarti?

                        Мобильные приложения привязаны к аккаунту, о чем везде написано. Вы покупаете не приложение, а лицензию на его использование, пока у вас есть этот аккаунт, о чем тоже везде написано. Нет аккаунта — нет лицензии. У вас не может быть аккаунта в домене которым вы не владете и администратор которого вам аккаунт создавать не хочет.

                        Пользовательские данные удалять нужно, более того, требуется законодательно, после того как у пользователя больше нет аккаунта.

                        Обе цитаты — ваши. Меня радует как вы переходите на личности со мной при этом лицемерно укоряя другого комментатора за переход на личности.

                        • alexkbs
                          /#10608261

                          Каюсь, запамятовал про приложения когда статью писал. Вы победили в этом споре, нашли слабину и обыграли меня в чистую. Ох не надо было мне редактировать статью, сразу все очки растерял. Поздравляю с победой!

            • alexkbs
              /#10607777

              Нет, это опция на бесплатных аккаунтах, про которые статья, не работает. Там прямо так и написано курсивом, вы посмотрите.

          • undisclosed
            /#10607869 / +1

            А разве статья о том, что Вам не удалось сохранить свои данные или перепривязать аккаунт из-за отсутствия такой функции у Гугла?
            Да и зачем препривязывать? Сохранил данные, зарегистрировал аккаунт на новом домене, залил данные, пользуешься.
            По моему вполне нормально предварительно планировать и обдумывать свои последующие шаги наперед.
            Как Вы планировали использовать «Гугл для домена» после того как избавились от домена?
            Для кого Гугл должен был хранить данные после смены администратора и как он после этого должен понять, что данные могут еще понадобиться, а человек, затребовавший доступ к этим данным не мошенник?
            Вас не смущает, что вся новая почта от тех с кем Вы переписывались ранее будет приходить новому владельцу домена? Ведь теперь Ваш старый email — это его новый адрес.
            Как Вы, правильно заметили в начале статьи — Вы смотрите на произошедшее — С «точки зрения пользователя, далёкого от системного подхода к информационной безопасности», но говоря так, Вы себе все же льстите.
            На самом деле — у Вас просто отсутствует системный подход как таковой, и Вы не задумываетесь о последствиях своих действий.

            Кстати из статьи не вполне понятно что же произошло на самом деле.
            Доступ к Вашему домену получили злоумышленники или Вы его продали?
            Если первое, то за 3 дня вполне можно было успеть восстановить доступ через хостера/регистратора.
            Если второе — то кроме себя здесь некого винить.
            Судя по комментариям — второе.

            • alexkbs
              /#10607905

              Из какой части статьи вы делаете вывод что с данными автора что-то вообще случилось?

              Кроме того, простите, может я что-то пропустил, но разве аргументы ad hominem стало нормально употреблять в приличном обществе?

              • undisclosed
                /#10607987

                Все события излагаемые в статье, описываются как случившийся факт.
                Пометок, что это лишь перевод, я в статье не заметил. Из чего я и сделал вывод, что автор статьи и есть протагонист.
                Прошу прощения, если чем-то обидел Вас, но какого либо перехода, на личности, я здесь не вижу.
                Я лишь, комментирую фразы из статьи и обращаю, внимание на более глубокую причину возникновения проблем, а также на риск возникновения совершенно новых.
                К примеру таких: кто-то из «партнеров» просто отвечает на старое письмо и не удаляет историю переписки. В результате все, что обсуждалось, возможно несколько месяцев или даже лет — летит в почту нового обладателя домена. Что, при определенных, условиях может оказаться похуже утери всех данных.
                Если же с Вашими данными все в порядке и Вы, написали статью только, для того чтобы сообщить окружающим о гипотетической возможности произошедшего, то зачем минусовать карму обсуждающим?

                • alexkbs
                  /#10608083

                  Если в статье автор протагонист, то как, простите, автор смог процитировать всю переписку от имени антагониста? Не знаю, о какой карме вы говорите.

                  • undisclosed
                    /#10608343

                    О чем Ваша статья?
                    О том, что если удалить аккаунт, то потеряешь все данные в нем? О том, что если передать кому-то управление доменом, то можешь потерять все, что с ним связано?
                    Итоги статьи — в духе всем известного Капитана.
                    Прочитав статью, видишь как автор негодует по поводу яко бы некорректного поведения Гугла, начинаешь думать что у автора совсем все плохо.
                    А он спрашивает:

                    Из какой части статьи вы делаете вывод что с данными автора что-то вообще случилось?
                    Склоняюсь к тому, что Вы очень мастерски нас протроллили.
                    Я — точно повелся, снимаю шляпу.

                    • alexkbs
                      /#10608899

                      Статья о том, что если передать кому-то домен, то рискуешь не только потерять возможность писать и получать письма с адресами в этом домене, но и потерять вообще всё.

  3. fedorro
    /#10607379

    Одна CNAME запись + один админ, у которого увели\перекупили домен, не проверяет почту и не делает бэкапы (апи изучать не обязательно, есть куча софта который бэкапит GSuite), и прощайте ваши данные из G Suite.

    • alexkbs
      /#10607621

      Вы хотите сказать что это хорошо и правильно что Гугл вот так просто удаляет все ваши данные просто потому что у домена, который был привязан к вашему аккаунту, сменился владелец? Даже если забыть что другие компании так не делают.

      • farcaller
        /#10608353

        Может у меня какой-то другой кейс, но GSuite это последнее что меня волновало бы при потере контроля над доменом. Во все щели 2FA и блокировки и все что только можно придумать и максимально ограниченные права. Вы должны проходить неиллюзорные круги ада для модификации DNS на проде.

  4. Graphite
    /#10607655

    А что случилось со статьей на хабре, где вам написали 40 комментариев о том, что имея доступ к DNS злоумышленник может просто поменять MX записи и украсть всю вашу почту, вместе с аккаунтом, а вы всех активно убеждали, что изменение MX записи вы бы заметили, в отличие от добавленной CNAME?

    • nApoBo3
      /#10607689

      Злоумышленник может сделать еще проще, он сделает заглушку на вход в онлайн почту, соберет пароли, а потом удалит заглушку и без регулярного аудита никто вообще никогда не узнает, что вся почта отправляемая и получаемая, и весь архив слит на сторону. А учитывая, что много чего к этой почте еще может быть привязано, уйдут на сторону и данные этих сервисов.

      • alexkbs
        /#10607739

        На G Suite такой трюк с заглушкой не пройдет так как там вход в почту идет на их домене, а не на вашем. Про 2FA не забываем, хотя это лишь усложнение для фишинга, а не какая-то принципиально непреодолимая преграда.

        • nApoBo3
          /#10607743

          Что именно не пройдет? Там замечательно ставиться удобный адрес для входа, что было описано в их процедуре настройки( например: mail.pupkin.ru ) который редиректит на них, никто не мешает подменить mail.pupkin.ru.

          • alexkbs
            /#10607793

            Такое есть, но разве не проще набирать в адресной строке сразу gmail.com, чем адрес вашей заглушки? С вашей позиции такие штуки лучше сразу не настраивать. Даже если настроили, пароль вы все равно вводите на сайте гугла даже с переадресаций, значит можно будет заметить как любой другой фишинг (сохраненный пароль не будет подставляться).

            • nApoBo3
              /#10607945 / +1

              Бесплатные аккаунты все довольно старые. Раньше вводить пароль прямо на gmail.com было нельзя( возможно я ошибаюсь, но практически в этом уверен, очень давно было ). В пошаговой процедуре настройки бесплатного аккаунта был шаг с установкой подобного адреса( mail.xxx.ru ) для входа пользователей и настройки для него dns записи. Подменив данную запись, мы получаем свою страницу без редиректа в гуг, которая собирает пароль, большая часть пользователей не обратят на это внимания, после чего делать редирект на гуг и вставлять пароль туда.

              • alexkbs
                /#10608087

                С самого начала пароль не вводился на своём домене, всегда была переадресация на https.

                • nApoBo3
                  /#10608101

                  Переадресация была, но не на gmail, на gmail аккаунт не gmail ввести было нельзя.

                  • alexkbs
                    /#10608105

                    Да, не на Gmail, а на специальную страницу на одном из доменов гугла. Еще логин нужно было без домена вводить. Так и иначе вы никогда не вводили пароль прямо на своём домене. Всегда было что-то от гугла.

        • fedorro
          /#10607757

          Можно заменить MX, насобирать адресов на этом домене и пробовать восстановить пароли по этим адресам на других сервисах, которые позволяют по почте пароль сбросить.

          • alexkbs
            /#10607807

            Статья разве про перехват писем?.. В перехвате писем ничего нового нет, к тому же он обратим в том смысле что посторонние MX записи можно удалить и почта будет работать как раньше. Другое дело когда ваша почта уже удалена.

    • alexkbs
      /#10607721

      Сюда статья переехала, потому что тут ей и место. Про MX записи вы пишите какую-то чепуху, путаете меня с каким-то другим комментатором. Как-как вы можете украсть аккаунт поменяв только MX записи? Всю новую почту читать — это да, легко. Но украсть аккаунт, не зная данных для восстановления, не имея данных для 2FA, это вообще как?

  5. xi-tauw
    /#10607673

    Жду статьи от автора «Я продал домен, а покупатель, подлец, разметил там свой сайт».

    • TIgorA
      /#10607809

      Я хотел зарегистрировать себе домен для почты, а он уже кем-то занят. Напишу письмо с жалобой в спортолото.

  6. vikarti
    /#10607833 / +2

    Вообщем то — логичное поведение.
    Кстати все еще хуже — если что-то было куплено в Google Play на эти аккаунты — можете с контентом — попрощаться.
    Собственно за почтой админа домена следить надо. Регистрировать домен через одну компанию (и видимо НЕ Российскую и не в .RU, судебные решения все же будут более предказуемые (мы же знаем что у нас на домене нет чего то на что во всем мире стойку делают сразу?), DNS-хостинг — через другую (да — ту же Cloudflare), сайт если он нужен — вообще в третьем месте

  7. Ziptar
    /#10607851 / +2

    Не иметь доступа к управлению доменом, и надеяться, что это не вызовет проблем с почтой на этом домене… Да Вы шутите.

    • alexkbs
      /#10608091 / -1

      Ну окей, скажите, какое отношение имеют приложения, которые вы купили за свои деньги на маркете, к домену, которым вы уже не владеете?

      • Ziptar
        /#10608129

        Какое отношение имеет электролампочка, которую Вы купили за свои деньги, к электроэнергии, которой у вас больше нет?
        Нет, я понимаю, что отсутствие возможности перенести купленные в маркете приложения на другой аккаунт — это неприятно, но я, к примеру, когда только начинал пользоваться Google apps, озаботился выяснением наличия такой возможности заранее.
        В конце концов, это даже логически верно. Когда Вы что-то покупаете в маркете, Вы покупаете это не на свое ФИО или организацию, а на аккаунт, принадлежащий со всеми потрохами Гуглу. Неприятно. Но объективная реальность. Конечному пользователю, как и всегда, предлагается голосовать кошельком.

        • alexkbs
          /#10608141

          Хорошо что мы согласны с вами в том, что это неприятно! Вы всё-таки считаете полезно и нужно всех об этой неприятной особенности предупреждать, или не стоит писать статьи об этом и рассказывать?

          • Ziptar
            /#10608161

            Ну если писать про эту неприятность, то достаточно будет "Алярм! Если вы вдруг по какой-то причине захотите сменить Гугл аккаунт на другой, или просто потеряете его — вы потеряете все приложения, купленные в маркете!".
            Только в статье написано совсем не это. В статье описана частная причина потери аккаунта, причем с учётом ситуации — ожидаемая.

            • alexkbs
              /#10608167 / -2

              Если эта такая ожидаемая причина, то почему, интересно, в случае других почтовых хостингов никакого такого удаления всех данных не происходит? Взять хотя бы FastMail. Это значит они что-то делают не так, а Гугл всё делает правильно, для человека, да?

              • Graphite
                /#10608215 / +1

                Простите, а разве FastMail предлагает бесплатные аккаунты? Я про него впервые слышу, но ни в текущих, ни в legacy тарифах их что-то невидно.

                Просто получается, что вы приводите пример, где платные аккаунты обслуживаются также, как и платные у Google для иллюстрации почему у Google неправильно обслуживаются бесплатные аккаунты. Хотя и другой пример тоже ничего не значит. Если вы удалите аккаунт, то любой сервис обязан удалить ваши данные в течение какого-то времени по закону ряда стран.

                • alexkbs
                  /#10608267 / -2

                  Вы хотите меня убедить что удалять почту и данные пользователей, включая купленные приложения и подписки на дисковое место, по причине смены владельца у домена — это хорошо и правильно? Не тратьте время, не получится.

                • alexkbs
                  /#10608895

                  Даже Гугл со мной согласен что это не здорово. Вот только в бесплатной версии у них это правило почему-то не работает.

              • Ziptar
                /#10608229

                В случае платного аккаунта это довольно легко решается привязкой аккаунта к другому домену.
                В случае бесплатного аккаунта, на сколько я понимаю, это невозможно.
                И я понимаю зачем так сделано. Банально затем, чтобы особо предприимчивые люди не начали торговать бесплатными google apps аккаунтами.
                Что касается удаления — если у почты нет домена, и его невозможно сменить, значит он не будет работать, значит незачем его хранить. Логично.
                У Вас, по сути, только один вариант: выяснить, можно ли сконвертировать аккаунт в платный, сделать это, если возможно, и привязать его к другому домену. Правда, рентабельность этого, подозреваю, околонулевая.

                • alexkbs
                  /#10608279

                  Да, только конверсия в платный. Если успеете за 72 часа. Вот, например, есть у меня другой домен с этой бесплатной версией G Suite, в котором исторически есть девять, пусть десять для ровного счета, ящиков каких-то друзей студенческих времен. Причем люди ящиками пользуются, заводят на них всякие интернет-банки, оформляют подписки на 100 Гб для фото и так далее… И что вы думаете, случится что-нибудь такое как в посте, разве это будет легко $50 за эти ящики каждый месяц из собственного кармана выплачивать?.. Короче, подложил собаку Гугл всем пользователям бесплатной версии G Suite.

                  • Ziptar
                    /#10608293

                    Короче, подложил собаку Гугл всем пользователям бесплатной версии G Suite.

                    Гугл ничего никому не подкладывал. Гугл неоднократно предупреждал, что бесплатные версии google apps не поддерживаются, и не являются полнофункциональными.
                    При всём уважении, но те пользователи, которые проигнорировали эти предупреждения — ССЗБ.

                    P.S. в случае привязки онлайн банков, и вообще чего бы то ни было, к почте при потере домена никакой гугл Вам ничем и никак не поможет, MX записи домена просто не в его власти.
                    За доменом нужно следить, блокировать, и в обязательном порядке использовать 2FA, с распечатанными и спрятанными в сейф кодами восстановления аутентификаторов и прочего. И никакой привязки к телефону. И с почтами, на которые аккаунт регистратора зарегистрирован — тоже самое.

                    • alexkbs
                      /#10608893

                      Предупреждал где, на сайте уведомлением? Рассылкой? Вот, запустил поиск по архиву. Ни одного похожего предупреждения.

                      За доменом необходимо следить — именно такой вывод даётся в конце статьи. Статью вы не читали, да?

                      • Ziptar
                        /#10608963

                        Кто читает условия, договоры, EULA, которые иногда обновляются, и которые просят принять. Никто, правда?
                        Бросьте дурака включать. Даже я, человек, узнавший о google apps сильно позже закрытия бесплатной версии, знаю это.


                        Большую часть статьи я читал по диагонали, разумеется, т.к. довольно быстро становится понятно, что количество полезной информации в ней стремится к нулю.
                        Далее, если Вы делаете из ситуации правильный вывод, то какого лешего у Вас крайний все ещё Гугл?

                        • alexkbs
                          /#10608973

                          Вы читаете все ToS и вы — молодец, а это статья просто не для вас. Таки в какой части статьи вы видите чтобы крайним был Гугл?

                  • undisclosed
                    /#10608401

                    G Suite предназначен для организаций. Для личного пользования есть личные аккаунты.
                    Разве можно привязывать всякие личные сервисы и интернет банки к корпоративной почте, т.е. к тому, чем ты управлять не можешь?
                    Что будет, если привязать Вконтактик/Гугл/Фейсбук/Свой банк/etc к рабочей почте и уволиться?
                    Что такое сумма в $50? Примерно эти же деньги платят за выделенный хостинг среднего уровня, только в случае с Гуглом вся инфраструктура уже настроена и готова к употреблению даже неопытными пользователями. Если такой сервис необходим, то вполне это подъемная сумма да и ее еще можно между пользователями поделить.
                    Если все ради баловства, то просто считайте что Ваш личный эксперимент не удался. Гугл сделал все по правилам.

                    • alexkbs
                      /#10608885

                      Вы это всё знали до прочтения поста? Пост не принёс ничего нового, ровно никакой полезной информации и его можно спокойно удалять?

                      • Ziptar
                        /#10608965

                        Мне кажется, что Вы перепутали этот ресурс с каким-то другим. Тут подобные вещи большая часть аудитории знает на уровне рефлексов.

                        • alexkbs
                          /#10608969

                          Мне думается что это вы перепутали ресурс. Читаем здесь.


                          Geektimes — младший брат «Хабрахабра»… пользователи размещали информацию… не относящуюся к программированию, разработке и другим тематикам из области профессиональных знаний IT-специалистов.

                          • Ziptar
                            /#10608971

                            Это не значит, что ГТ — песочница.

                            • alexkbs
                              /#10608979

                              Если ГТ — не песочница, то как из этого следует что большинство на этом сайте читали соглашение об использовании G Suite?


                              Вам в посте не нравится что в нём для вас лично ничего нового, так?

  8. amarao
    /#10608311 / +2

    Ну, вообще говоря, если потеряли доступ к домену, то потеряли домен. Не?

    • alexkbs
      /#10608881

      Например, в случае платной версии G Suite это не так.

  9. jehy
    /#10608521 / +1

    Попробуйте удалить и выложить эту статью в третий раз. Возможно, тогда наконец мнение читателей изменится.

    • alexkbs
      /#10608891

      Для хабра эта статья очевидный оффтопик, точно не для профессионалов ИБ. Потому ей там не место. Вы считаете что это ошибка и на самом деле статья для профессионалов ИБ полезна и нужна?

  10. Equin0x
    /#10608883

    Я вот вас сейчас напугаю до невозможности. Имея доступ к ДНС, можно не только CNAME прописать но и MX-ы поменять )

    • alexkbs
      /#10608887

      Можно, только MX записи можно удалить и вернуть, а удалённую по прихоти гугла почту, файлы, купленные приложения уже не вернуть.