Риски G Suite: что, если вы потеряли домен?


    Представьте себе что вы потеряли контроль над доменом, к которому подключена бесплатная версия G Suite. Полностью ли по причине окончания срока регистрации, либо потому что дали постороннему права на изменение DNS записей, либо потому что у хостера ваших DNS на сайте есть XSS, позволя­ющая добавлять произвольные записи.


    Что в такой ситуации может ожидать обычный, не особенно подкованный технически, и не чи­та­вший ToS дальше первых двух абзацев, человек? Представьте себе на месте этого человека вашего друга или родственника. Таких людей много, если не большинство.


    Такой обычный человек будет чувствовать себя более-менее спокойно: новую почту он не получает, но с его файлами и фото ведь ничего не должно произойти, тем более ничего не должно произойти с его под­пиской на дисковое место, его профилем G+, его купленными играми и приложениями. Обычный человек будет думать что все это — его, хотя бы потому что его аккаунт на первый взгляд выглядит точно так, же как его другой обычный Gmail без домена.


    Что на самом деле может произойти?


    Потеря контроля над доменом с бесплатной версией G Suite может привести к потери всех аккаунтов на этом домене, включая все их содержимое, включая почту, адресные книги, фото, купленные прило­жения, и так далее. Мало того, что такому развитию событий никто не будет рад, так и для всевозможных сетевых авантюристов такое беспечное отношение к пользовательским данным со стороны Google может стать золотым дном. Об этом — в выводах статьи.


    Для платной версии эта проблема тоже актуальна, хоть и в меньшей степени: там вы можете добавить ещё один домен и перенести пользователей на него.


    С такими неприятностями рискуют столкнуться все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня Gmail с адресом в вашем домене.


    О таких неприятностях предупреждает строчка в соглашении об использовании:


    Если Клиент не является владельцем имен доменов и не контролирует их, компания Google не обязана предоставлять ему свои Службы.

    Всё ещё не верится, что данные удалят в самом деле? Проведём эксперимент.


    Эксперимент


    Что нужно чтобы удалить всю вашу почту и все файлы, включая все когда-либо купленные прило­же­ния, если вы далеки от ИБ и слишком полагаетесь на модные облачные сервисы? Для этого ничего осо­бен­ного не требуется: достаточно прав на создание CNAME записей и немного времени. Такие права можно получить как через обычные административные инструменты в панели хостинга, так и заменой DNS серверов на свои, что вполне может случиться по определению какого-нибудь Усть-Ла­бин­ского районного суда Краснодарского края.


    В процессе вы получите ровно одно письмо, предупреждающее о грядущем удалении всех ваших дан­ных. Письмо придёт совсем не обязательно на ту почту в домене, которой вы пользуетесь, а скорей на ящик, который указан для восстановления доступа. Если вы не часто читаете письма в том ящике, то в один прекрасный день вы можете встреть такое сообщение после ввода пароля:



    И такое, при попытке восстановить доступ.


    Стоит ли говорить что с таким отношением большого G к вашим данным можно ожидать и другие письма, в том числе от вымогателей с требованием перевести, например, 0.1 BTC на какой-то кошелёк в течении трёх дней, или лишиться всего архива почты.


    Сразу скажу что в процессе эксперимента никакие пользовательские данные не пострадали, хотя с оставшейся с давних времен бесплатной подпиской на G Suite пришлось проститься не понарошку.


    Впрочем, туда ей и дорога.


    К делу


    Хорошие новости: если не знать конкретного логина администратора и резервного адреса или теле­фона, то практически невозможно восстановить доступ к почте на домене в G Suite. Да, можно получить доступы к отдельным ящикам традиционными способами (фишингом или перехватом писем подменой MX записей), особенно если не используется 2FA. Наверное и аккаунт администратора можно таким образом получить, если знать кто им пользуется. Если не знать, то всё много сложней.


    Если задача получить доступ к переписке не стоит, то идём дальше. При попытке подключить домен к G Suite, который уже используется кем-то, выводится сообщение о недоступности домена:



    Пройдя по ссылкам помощи находим инструкцию по восстановлению доступа и в ней находим ссылку на форму для восстановления доступа. В ней на чистом английском заполняем что-то вроде:


    Subject:
    Restore access for test.ru

    I cannot sign up for G Suite with test.ru. Getting error: "This domain is already in use"

    Ждём некоторое время и получаем сначало письмо с подтверждением получения запроса...


    Subject: Case #[14112233] Restore access to Apps for test.ru
    Date: Mon, 5 Feb 2018 02:10:15 +0000 (GMT)

    Hey there,

    Thanks for opening this G Suite support ticket. Your ticket number is 14112233, and we'll be in touch with you soon.
    In the meantime, you can help us speed up the support process.

    ...

    В вольном переводе: спасибо что открыли запрос, ваш номер такой-то, мы скоро с вами свяжемся...


    Инструкции для нового владельца


    А потом получаем письмо с детальными инструкциями, суть которых сводится к просьбе добавить CNAME запись, подтверждающую обладание доменом.


    Subject: [#14112233] Restore access to Apps for test.ru
    Date: Mon, 5 Feb 2018 12:22:42 +0000 (GMT)

    Hello Alexey,

    Thank you for contacting G Suite Support. I understand that you have issues to create a new account using the domain test.ru. My name is Daniel and I'll be in charge of your case from now on, it will be a pleasure to help you in this case. Let me share with you that I'm at the office from 7am to 4pm CST, Monday to Friday.

    I was unable to call you due to the different time zone where you are located. Also, the phone number indicated to contact you is 495-100-2548 based on Russia, please let me know if this is the best contact phone number, otherwise provide me with the correct phone number and the best time to call you back.

    I understand that you are trying to register test.ru with G Suite, and haven't been able to do so. Upon reviewing your application, I see that there is already a G Suite account associated with your domain in our systems. Please check whether someone else within your organization previously registered this domain with G Suite. If so, you should work with him/her to obtain access to the account.

    If nobody within your organization recalls registering with G Suite, please verify domain ownership by following the steps below:

    Create a CNAME record:
    1. Create the following CNAME record through your domain hosting provider:

      Label/Host: deleteGAPPSnotBefore20180215utc

      Destination/Target: case-14112233-for-test.ru-at.google.com

      Time to live (TTL): 3600
    2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support


    Once you have completed the verification steps above, please reply to this message and let me know. After I have verified your ownership of test.ru I will contact the owner of the existing G Suite account and give him/her at least three business days to back-up any important account data.

    If I do not hear back from the previous owner within three business days, I will remove the existing G Suite account from our systems. Please be aware that we will make the best effort to process this within three business days, but it can take a little longer than that due to the sensitive nature of this issue. In the meantime, do not point your domain's MX records to Google yet, as this may result in missing important messages.

    If you have any additional questions or concerns, please do not hesitate to let me know. I look forward to your response!

    Sincerely,

    Daniel
    G Suite Support

    Это первый критический момент: если такую CNAME запись сможет создать посторонний, то вы имеете все шансы остаться без почты. Достаточно сказать что большинство хостеров DNS, с которыми сталкивался автор, никак не уведомляют о добавлении новых записей. Значит, такую запись можно добавить незаметно.


    Записи создаём, на письмо отвечаем.


    Subject: Re: [#14112233] Restore access to Apps for test.ru

    Hello Daniel,

    I've added a CNAME record you asked for to verify my ownership of the domain in subject.

    $ dig +short CNAME deleteGAPPSnotBefore20180215utc.test.ru
    case-14112233-for-test.ru-at.google.com.

    Thanks.

    Письмо прошлому администратору


    Спустя некоторое время на ящик, который используется для восстановления доступа к аккаунту администратора, приходит другое письмо следующего содержания, в котором просят добавить другую CNAME запись для подтверждения прав на домен старого владельца аккаунта:


    From: Google Cloud Support
    Date: 6 February 2018 at 21:16
    Subject: IMPORTANT: Your G Suite account using test.ru

    Hello,

    I am contacting you to let you know that another user has verified ownership of test.ru.

    If you still own this domain, please reply to this message as soon as possible and provide us with proof of your ownership by following the steps below:

    Create a CNAME record:
    1. Create the following CNAME record through your domain hosting provider: 14112233 points to google.com
    2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support


    If you no longer own this domain, you have terminated the agreement for G Suite. You have three days to migrate any data from your G Suite account that you would like to keep. After 3 days, your account and all information in the G Suite account will be deleted.

    You can access the G Suite Admin console from admin.google.com with the email address on the domain as example xyz@test.ru. Also, you can purge your account by following the steps listed in this article https://support.google.com/a/answer/1257646

    Please reply to this message if you have any questions or concerns.

    Sincerely,

    Daniel
    G Suite Support

    Если вы это письмо пропустили, то всё. Больше никаких писем и предупреждений от поддержки G Suite вы не получите.


    Что теперь?


    Если вы всё ещё владелец домена, то всё просто: добавляете записи, удаляете другие, меняете пароли, подключаете 2FA, если ещё нет, отвечате на письмо.


    Если вы в самом деле уже не владелец домена (потому что, например, он был просрочен), то у вас про­блемы. Вам нужно связаться со всеми пользователями домена и сообщить им неприятные новости. Каждому пользователю хорошо будет самостоятельно сделать архив своих данных и выкачать его.


    Наверное можно ответить на письмо и попросить ещё немного времени на экспорт данных. Если вы исполь­зуете почту для работы, то есть вариант подписаться на платную версию G Suite, которая будет стоить вам порядка $5 в месяц за пользователя, до конца времён. Затем можно будет добавить другой домен и перенести пользователей на него.


    Декларируется также возможность скачать все данные всех пользователей через API. Это значит вам нужно будет изучить и начать использовать это API в трёхдневный срок, написать свои скрипты, или же найти и оплатить подписку на другие существующие средства для бэкапа G Suite, не говоря уж о том что у автора вообще не получилось получить реквизиты доступа к API IAM (форма подключения API грузилась вечно).


    Оставалось 72 часа...


    Дальше переписка идёт только с лицом, восстанавливающим доступ:


    Subject: [#14112233] Restore access to Apps for test.ru
    Date: Tue, 6 Feb 2018 13:11:21 +0000 (GMT)

    Hello Alexey,

    Thank you for your last response, it is great to work with you.

    For your information, I have contacted the previous owner for the account in order to notify it about the process that we are about to complete. Remember, after 72 hours from now I will request the deletion for the account and it may take up to 24 hours more for the domain to be completed deleted from the system. As part of our privacy and security process for accounts, if the account is deleted from the system it will be with the data also, and there is no way to save it.

    I’ll keep this case open while the process is completed. If you have any other questions or additional comments, don’t hesitate to reply to this email and I'll be happy to further assist you or call you back immediately. Have a great day.

    Sincerely,

    Daniel
    G Suite Support

    В письме сообщается что предыдущий владелец был уведомлен о ситуации. Отмечается что осталось 72 часа до удаления домена, что операция удаления занимает до суток, и что по причинам конфиден­циальности и безопасности данные удаляются безвозвратно, без возможности сохранения для нового владельца домена. Это — хорошие новости.


    Последнее письмо


    Спустя немного больше трёх дней, со скидкой на выходные дни, приходит последнее письмо:


    Subject: [#14112233] Restore access to Apps for test.ru
    Date: Mon, 12 Feb 2018 12:13:37 +0000 (GMT)

    Hello Alexey,

    I hope this message finds you well. This is a follow up message concerning your case with G Suite Support.

    I was unable to reach you due to the different time zone. I'm glad to inform you that the domain test.ru, was deleted correctly from our system, and you will be able to create a new account for G Suite using the particular domain.

    I’ll keep this case open while I wait for your reply. Please let me know if you have any other questions or if you consider the issue as resolved, so that we can proceed to close this case.

    Sincerely,

    Daniel
    G Suite Support

    Как вы понимаете, на этом переписка заканчивается. Домен удалён, все ваши письма, файлы, сайты и прочие данные удалены, и при входе вы видите то самое загадочное сообщение об удалении ("This account was deleted").



    Восстановить доступ можно даже не пытаться. Вы сами были администратор, к кому ещё вам обращаться?..



    Итого


    Плохие новости очевидны:


    • Достаточно одной CNAME записи для любого домена, который использует G Suite, чтобы в течении 72 часов удалить вообще всё. Пользователей, письма, файлы, приложения, ну то есть вообще всё. Корпорация ли добра Google с таким подходом к данным пользователей? Вам слово в опросе в конце поста.


    • У всевозможных проходимцев и мошенников появился ещё один рычаг чтобы убедить обычного человека попрощаться с его деньгами. Для вымогателей всё очень просто: ищем все домены, к которым давно подключены Google App, какой факт обычно очевиден из SOA записи. Находим регистратора домена и от его имени делаем фишинговую рассылку. Получаем пароли, пишем в поддержку Google, в течении трёх дней получаем оплату от настоящего владельца домена. Или Google получит ещё одного платящего клиента.

    Хорошие новости


    Не всё только плохие новости, есть и хорошие:


    1. Одной CNAME записи недостаточно чтобы получить доступ к архиву вашей переписки на домене, подключенном к G Suite / Google Apps. Подмена MX записей — тема широкая, оставим авторам других постов.


    2. Если внимательно читать почту, приходящую на адреса для восстановления, удаление данных можно предотвратить.

    Кроме того:


    1. Чтобы избежать подобного, следует очень обдуманно давать доступы на добавление записей в DNS таблицы домена, даже если вы пользуетесь платной версией G Suite или Google Apps. Еще лучше — не давать такие права никому.


    2. Риск подобных событий можно уменьшить если не класть все яйца в одну корзину. Для DNS лучше использовать отдельный хостинг (пусть даже от Cloudflare), для сайтов — отдельно арендованный сервер, для почты — другой отдельный сервис.


    3. Если это ваша персональная почта и личные данные, то, если есть возможность, лучше переключиться на использование персонального аккаунта, не привязанного ни к какой организации или доменному имени. Так сохранность ваших данных будет меньше зависеть от регистрации какого-то домена. Полностью исключить риск потери может только резервное копирование.


    4. В наше время, когда обычный предприниматель для выполнения технической задачи скорей обратится к фрилансеру, чем сделает что-то сам, даже если это касается таких, казалось бы, элементарных задач как добавление A записей, вырисовывается широкая группа риска тех, кто рискует в самом деле столкнуться с описанной ситуацией, возникшей от рук недовольного подрядчика.

    А что другие хостинги?


    К счастью, не все почтовые хостинги подходят к вопросу смены владельца домена так беспринципно и, прямо скажем, пугающе, как Google в его бесплатной версии. В той же платной версии G Suite можно подключить еще один домен и перенести на него пользователей. Другие сервисы относятся похоже.


    Например, из FastMail (те, которые поддерживают Cyrus IMAP) мне ответили что ваша переписка останется вашей, только лишь бесполезный вам домен придётся отдать. Впрочем, это платный сервис.


    Как подходят к этому вопросу в бесплатные ПДД Яндекса и Mail.Ru для бизнеса — вопрос открытый.


    Вместо постскриптума: последнее предупреждение


    Бесплатную версию G Suite вы можете потерять не только из-за потери контроля над доменом, но и просто так, если не пользуетесь службами больше года. В этом случае вы получите примерно такое письмо:


    Hello,

    It looks like you haven’t used your Google Apps account for the domain test.ru in the past 365 days. Google will suspend your account on or after Mar 5, 2018, and will close your account and delete your account data on or after May 1, 2018, unless you take action as described below.

    Want to keep your account?
    If you want to keep this Google Apps account, please sign in to admin.google.com before May 1, 2018, and we’ll know that you’re still using the account. If you’ve forgotten your username or password, we can help you recover your account. Once you log in, you should receive an email within the next 48 hours letting you know that your account is no longer targeted for deletion.

    Don’t want your account or your data?
    If you don’t want this Google Apps account and don’t want to save any of your data (such as any Gmail messages or contacts, or files stored in Drive), you don’t need to do anything. We’ll automatically close your account and delete your data on or after May 1, 2018.

    Once your account is closed, you will no longer be able to access your Google Apps account for the domain test.ru and all your data in that account will be permanently deleted. No one will be able to access your old data by creating a new Google Apps account with this domain name.

    Want to export your data?
    If you want to export your data from your Google Apps account, you can sign in to admin.google.com and export your data any time in the next 60 days. Then, if you want to delete your account, follow instructions to delete your account.

    Visit the G Suite Help Center to learn more about why Google closes inactive accounts.

    Sincerely,
    The Google Apps Team

    Рекомендация прежняя: читайте почту, которая указана для восстановления доступа.


    Проверить, какая почта указана для восстановления, можно по ссылке.

    Google — это…

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 77
    • +1

      Очень хочется увидеть подробную инструкцию, как жить, чтобы ничего не угнали. Ну, кроме 2FA везде где можно

      • +2
        1. Регулярно делай бэкапы
        2. Используй только длинные сложные пароли
        3. Держи пароли в тайне
        4. Не обижай админа
        5. Своевременно меняй пароли
      • +7
        Вообще-то это не «Одна CNAME запись» какая-то, а полноценный доступ к управлению доменом/хостингом в руках недоброжелателя.
        Непонятно в чем можно обвинить Google. В том что кто-то выучил новое для себя слово «Бэкап» только после того как возникла проблема?
        Гугл же предупреждает обе стороны и дает дополнительно 3 дня.
        Если автор настолько часто пользуется почтой, что даже домен забыл продлить или вспомнил про нее только после продажи привязанного домена, то, уж простите, он ССЗБ.
        • +2
          Вообще-то это не «Одна CNAME запись» какая-то, а полноценный доступ к управлению доменом/хостингом в руках недоброжелателя.

          Это! Это не только проблемы с гуглом. Это вообще глобальные проблемы!
          • –2
            То есть вы хотите сказать что когда Google удаляет весь архив вашей переписки, все файлы, все загруженные фото, профиль G+ и всё остальное оправдывая это заботой о вашей конфиденциальности и безопасности, если вы продали кому-то свой домен или решили не продлять его, то это нормально и правильно?
            • +2
              Т.е. пользоваться чужим доменом — это ок? Что мешало на другой домен перепривязать этот аккаунт если он нужен? Почему вы думаете что Гугл должен хранить данные, которые не понятно нужны или не нужны? А ещё Гугл не дает вам доступ к почте, если Вы пароль забыли и все подсказки, запасные ящики, и ведь тоже заботой о безопасности прикрывается.
              • 0
                В том и дело что у гугла нет опции перепривязать аккаунт на другой домен. Если б такая опция была, то не было бы статьи! Понимаете?
                  • 0
                    В бесплатном аккаунте, про которые статья, такой опции нет. Там прямо написано открытым текстом:
                    This feature is not available for legacy Free edition accounts
                    • 0
                      Конечно недоступна, потому что иначе можно было бы покупать неиспользуемые бесплатные аккаунты и привязывать к ним новые домены. Вы заключили договор на бесплатные услуги для одного конкретного домена, другие домены вам обслуживать бесплатно никто не обещал. С тех пор как G Suites стал платным новые домены бесплатно использовать нельзя. Если надо — берете триал на 14 дней, переносите на другой домен, оттуда потом бекапите если что.

                      Я не понимаю в чем проблема. У вас в договоре было написано: «Если Клиент не является владельцем имен доменов и не контролирует их, компания Google не обязана предоставлять ему свои Службы.»
                      Вы не контролируете домен, значит вы расторгли договор, Google может делать что угодно дальше. С учетом того, что вы пользовались бесплатным аккаунтом, от которых Google уже много лет старается полностью избавиться, полное удаление через 3 дня выглядит логичным.
                      • 0
                        В триале нельзя на другой домен перенести, наверное уже два года как.

                        То есть вы хотите сказать что когда Google удаляет весь архив вашей переписки, все файлы, все загруженные фото, профиль G+ и всё остальное оправдывая это какими угодно причинами, если вы продали кому-то свой домен или решили не продлять его, то это нормально и правильно? Вы бы хотели чтобы и с вами поступили точно так же, в случае чего, верно?
                        • +2
                          Это нормально. Вам обещали хранить данные пока вы контролируете домен. Хранение стоит денег, которые Google тратит потому что обещал вам по договору. Как только вы договор расторгли, т.е. фактически сказали что данные вам не нужны, Google имеет полное право данные удалить и никакие причины для объяснения этого не нужны.

                          Заметьте, во многих подобных ситуациях компании просто уведомляют об изменении в условиях сервиса и все. Например: «через 30 дней услуги станут платными, не нравится — забирайте данные». Google не стал этого делать и позволил имеющимся пользователям продолжать пользоваться сервисом для домена, пока он им нужен. То что пользователь перед продажей домена не удосужился подумать или спросить что будет с данными — его проблема.

                          А о сценарии где пользователь передал управление DNS злоумышленнику давайте не будем. Удаление данных из G Suites это наименьшая из проблем в этом случае.

                          Ну а это просто прекрасно:
                          Вы бы хотели чтобы и с вами поступили точно так же, в случае чего, верно?
                          Кроме того, простите, может я что-то пропустил, но разве аргументы ad hominem стало нормально употреблять в приличном обществе?
                          • –2
                            Мы с вами кардинально не сходимся по позиции. Я считаю что удалять пользовательские данные, включая, например, купленные за деньги приложения, это что-то за пределами добра и зла. Нельзя так делать, а если кто-то так делает, то об этом нужно писать и всех предупреждать.

                            Где-то есть комментарий где я перешел на личности с другим комментатором и вас это так порадовало? Не вижу, где бы. Вы, наверное, опять меня с кем-то путаете.
                            • +1
                              Вот вы откуда-то вытащили приложения купленные за деньги, о которых ни в статье, ни в комментариях раньше не упоминалось. Вы сейчас о Google Play или о Marketplace? Или вы понятия не имеете, потому что узнали об этом от vikarti?

                              Мобильные приложения привязаны к аккаунту, о чем везде написано. Вы покупаете не приложение, а лицензию на его использование, пока у вас есть этот аккаунт, о чем тоже везде написано. Нет аккаунта — нет лицензии. У вас не может быть аккаунта в домене которым вы не владете и администратор которого вам аккаунт создавать не хочет.

                              Пользовательские данные удалять нужно, более того, требуется законодательно, после того как у пользователя больше нет аккаунта.

                              Обе цитаты — ваши. Меня радует как вы переходите на личности со мной при этом лицемерно укоряя другого комментатора за переход на личности.
                              • 0
                                Каюсь, запамятовал про приложения когда статью писал. Вы победили в этом споре, нашли слабину и обыграли меня в чистую. Ох не надо было мне редактировать статью, сразу все очки растерял. Поздравляю с победой!
                    • 0
                      Нет, это опция на бесплатных аккаунтах, про которые статья, не работает. Там прямо так и написано курсивом, вы посмотрите.
                    • +1
                      А разве статья о том, что Вам не удалось сохранить свои данные или перепривязать аккаунт из-за отсутствия такой функции у Гугла?
                      Да и зачем препривязывать? Сохранил данные, зарегистрировал аккаунт на новом домене, залил данные, пользуешься.
                      По моему вполне нормально предварительно планировать и обдумывать свои последующие шаги наперед.
                      Как Вы планировали использовать «Гугл для домена» после того как избавились от домена?
                      Для кого Гугл должен был хранить данные после смены администратора и как он после этого должен понять, что данные могут еще понадобиться, а человек, затребовавший доступ к этим данным не мошенник?
                      Вас не смущает, что вся новая почта от тех с кем Вы переписывались ранее будет приходить новому владельцу домена? Ведь теперь Ваш старый email — это его новый адрес.
                      Как Вы, правильно заметили в начале статьи — Вы смотрите на произошедшее — С «точки зрения пользователя, далёкого от системного подхода к информационной безопасности», но говоря так, Вы себе все же льстите.
                      На самом деле — у Вас просто отсутствует системный подход как таковой, и Вы не задумываетесь о последствиях своих действий.

                      Кстати из статьи не вполне понятно что же произошло на самом деле.
                      Доступ к Вашему домену получили злоумышленники или Вы его продали?
                      Если первое, то за 3 дня вполне можно было успеть восстановить доступ через хостера/регистратора.
                      Если второе — то кроме себя здесь некого винить.
                      Судя по комментариям — второе.
                      • 0
                        Из какой части статьи вы делаете вывод что с данными автора что-то вообще случилось?

                        Кроме того, простите, может я что-то пропустил, но разве аргументы ad hominem стало нормально употреблять в приличном обществе?
                        • 0
                          Все события излагаемые в статье, описываются как случившийся факт.
                          Пометок, что это лишь перевод, я в статье не заметил. Из чего я и сделал вывод, что автор статьи и есть протагонист.
                          Прошу прощения, если чем-то обидел Вас, но какого либо перехода, на личности, я здесь не вижу.
                          Я лишь, комментирую фразы из статьи и обращаю, внимание на более глубокую причину возникновения проблем, а также на риск возникновения совершенно новых.
                          К примеру таких: кто-то из «партнеров» просто отвечает на старое письмо и не удаляет историю переписки. В результате все, что обсуждалось, возможно несколько месяцев или даже лет — летит в почту нового обладателя домена. Что, при определенных, условиях может оказаться похуже утери всех данных.
                          Если же с Вашими данными все в порядке и Вы, написали статью только, для того чтобы сообщить окружающим о гипотетической возможности произошедшего, то зачем минусовать карму обсуждающим?
                          • 0
                            Если в статье автор протагонист, то как, простите, автор смог процитировать всю переписку от имени антагониста? Не знаю, о какой карме вы говорите.
                            • +1
                              О чем Ваша статья?
                              О том, что если удалить аккаунт, то потеряешь все данные в нем? О том, что если передать кому-то управление доменом, то можешь потерять все, что с ним связано?
                              Итоги статьи — в духе всем известного Капитана.
                              Прочитав статью, видишь как автор негодует по поводу яко бы некорректного поведения Гугла, начинаешь думать что у автора совсем все плохо.
                              А он спрашивает:
                              Из какой части статьи вы делаете вывод что с данными автора что-то вообще случилось?
                              Склоняюсь к тому, что Вы очень мастерски нас протроллили.
                              Я — точно повелся, снимаю шляпу.
                              • 0
                                Статья о том, что если передать кому-то домен, то рискуешь не только потерять возможность писать и получать письма с адресами в этом домене, но и потерять вообще всё.
              • 0
                Одна CNAME запись + один админ, у которого увели\перекупили домен, не проверяет почту и не делает бэкапы (апи изучать не обязательно, есть куча софта который бэкапит GSuite), и прощайте ваши данные из G Suite.
                • –2
                  Вы хотите сказать что это хорошо и правильно что Гугл вот так просто удаляет все ваши данные просто потому что у домена, который был привязан к вашему аккаунту, сменился владелец? Даже если забыть что другие компании так не делают.
                  • 0
                    Может у меня какой-то другой кейс, но GSuite это последнее что меня волновало бы при потере контроля над доменом. Во все щели 2FA и блокировки и все что только можно придумать и максимально ограниченные права. Вы должны проходить неиллюзорные круги ада для модификации DNS на проде.
                    • +1
                      Например, домен .ru нужно продлять и оплачивать каждый год. Нельзя его как, например, .com оплатить на 10 лет вперед. Это значит что каждый год у вас есть не иллюзорный риск забыть продлить домен. Забыли продлить домен — его подхватили киберсквоттеры — вы попрощались со всем архивом писем, со всеми купленным приложениями и так далее. Как видите, очень неприятно могут события развиваться из-за одной строчки в условия для G Suite у Гугла.

                      Исчезновение прав на домен не должно быть основанием для лишения прав на все другие приобретения, будь это приложения или подписки.
                • +5
                  А что случилось со статьей на хабре, где вам написали 40 комментариев о том, что имея доступ к DNS злоумышленник может просто поменять MX записи и украсть всю вашу почту, вместе с аккаунтом, а вы всех активно убеждали, что изменение MX записи вы бы заметили, в отличие от добавленной CNAME?
                  • +1
                    Злоумышленник может сделать еще проще, он сделает заглушку на вход в онлайн почту, соберет пароли, а потом удалит заглушку и без регулярного аудита никто вообще никогда не узнает, что вся почта отправляемая и получаемая, и весь архив слит на сторону. А учитывая, что много чего к этой почте еще может быть привязано, уйдут на сторону и данные этих сервисов.
                    • 0
                      На G Suite такой трюк с заглушкой не пройдет так как там вход в почту идет на их домене, а не на вашем. Про 2FA не забываем, хотя это лишь усложнение для фишинга, а не какая-то принципиально непреодолимая преграда.
                      • 0
                        Что именно не пройдет? Там замечательно ставиться удобный адрес для входа, что было описано в их процедуре настройки( например: mail.pupkin.ru ) который редиректит на них, никто не мешает подменить mail.pupkin.ru.
                        • 0
                          Такое есть, но разве не проще набирать в адресной строке сразу gmail.com, чем адрес вашей заглушки? С вашей позиции такие штуки лучше сразу не настраивать. Даже если настроили, пароль вы все равно вводите на сайте гугла даже с переадресаций, значит можно будет заметить как любой другой фишинг (сохраненный пароль не будет подставляться).
                          • +1
                            Бесплатные аккаунты все довольно старые. Раньше вводить пароль прямо на gmail.com было нельзя( возможно я ошибаюсь, но практически в этом уверен, очень давно было ). В пошаговой процедуре настройки бесплатного аккаунта был шаг с установкой подобного адреса( mail.xxx.ru ) для входа пользователей и настройки для него dns записи. Подменив данную запись, мы получаем свою страницу без редиректа в гуг, которая собирает пароль, большая часть пользователей не обратят на это внимания, после чего делать редирект на гуг и вставлять пароль туда.
                            • 0
                              С самого начала пароль не вводился на своём домене, всегда была переадресация на https.
                              • 0
                                Переадресация была, но не на gmail, на gmail аккаунт не gmail ввести было нельзя.
                                • 0
                                  Да, не на Gmail, а на специальную страницу на одном из доменов гугла. Еще логин нужно было без домена вводить. Так и иначе вы никогда не вводили пароль прямо на своём домене. Всегда было что-то от гугла.
                        • 0
                          Можно заменить MX, насобирать адресов на этом домене и пробовать восстановить пароли по этим адресам на других сервисах, которые позволяют по почте пароль сбросить.
                          • 0
                            Статья разве про перехват писем?.. В перехвате писем ничего нового нет, к тому же он обратим в том смысле что посторонние MX записи можно удалить и почта будет работать как раньше. Другое дело когда ваша почта уже удалена.
                      • –2
                        Сюда статья переехала, потому что тут ей и место. Про MX записи вы пишите какую-то чепуху, путаете меня с каким-то другим комментатором. Как-как вы можете украсть аккаунт поменяв только MX записи? Всю новую почту читать — это да, легко. Но украсть аккаунт, не зная данных для восстановления, не имея данных для 2FA, это вообще как?
                        • 0

                          Да что вы привязались к этому аккаунту. Подменив MX записи можно получить доступ ко всему, что есть у человека и что присылает ссылки восстановления пароля на почту. А вы переживаете, что фоточки удалят...

                          • 0

                            В наше время почти у всего есть 2FA, так что с получением доступа ко всему нужно будет постараться. MX записи можно вернуть, а приложения, которые вы купили за свои деньги, исчезнут безвозвратно.

                      • +2
                        Жду статьи от автора «Я продал домен, а покупатель, подлец, разметил там свой сайт».
                        • +2
                          Я хотел зарегистрировать себе домен для почты, а он уже кем-то занят. Напишу письмо с жалобой в спортолото.
                        • +2
                          Вообщем то — логичное поведение.
                          Кстати все еще хуже — если что-то было куплено в Google Play на эти аккаунты — можете с контентом — попрощаться.
                          Собственно за почтой админа домена следить надо. Регистрировать домен через одну компанию (и видимо НЕ Российскую и не в .RU, судебные решения все же будут более предказуемые (мы же знаем что у нас на домене нет чего то на что во всем мире стойку делают сразу?), DNS-хостинг — через другую (да — ту же Cloudflare), сайт если он нужен — вообще в третьем месте
                          • +2

                            Не иметь доступа к управлению доменом, и надеяться, что это не вызовет проблем с почтой на этом домене… Да Вы шутите.

                            • –1
                              Ну окей, скажите, какое отношение имеют приложения, которые вы купили за свои деньги на маркете, к домену, которым вы уже не владеете?
                              • 0

                                Какое отношение имеет электролампочка, которую Вы купили за свои деньги, к электроэнергии, которой у вас больше нет?
                                Нет, я понимаю, что отсутствие возможности перенести купленные в маркете приложения на другой аккаунт — это неприятно, но я, к примеру, когда только начинал пользоваться Google apps, озаботился выяснением наличия такой возможности заранее.
                                В конце концов, это даже логически верно. Когда Вы что-то покупаете в маркете, Вы покупаете это не на свое ФИО или организацию, а на аккаунт, принадлежащий со всеми потрохами Гуглу. Неприятно. Но объективная реальность. Конечному пользователю, как и всегда, предлагается голосовать кошельком.

                                • 0
                                  Хорошо что мы согласны с вами в том, что это неприятно! Вы всё-таки считаете полезно и нужно всех об этой неприятной особенности предупреждать, или не стоит писать статьи об этом и рассказывать?
                                  • 0

                                    Ну если писать про эту неприятность, то достаточно будет "Алярм! Если вы вдруг по какой-то причине захотите сменить Гугл аккаунт на другой, или просто потеряете его — вы потеряете все приложения, купленные в маркете!".
                                    Только в статье написано совсем не это. В статье описана частная причина потери аккаунта, причем с учётом ситуации — ожидаемая.

                                    • –2
                                      Если эта такая ожидаемая причина, то почему, интересно, в случае других почтовых хостингов никакого такого удаления всех данных не происходит? Взять хотя бы FastMail. Это значит они что-то делают не так, а Гугл всё делает правильно, для человека, да?
                                      • +1
                                        Простите, а разве FastMail предлагает бесплатные аккаунты? Я про него впервые слышу, но ни в текущих, ни в legacy тарифах их что-то невидно.

                                        Просто получается, что вы приводите пример, где платные аккаунты обслуживаются также, как и платные у Google для иллюстрации почему у Google неправильно обслуживаются бесплатные аккаунты. Хотя и другой пример тоже ничего не значит. Если вы удалите аккаунт, то любой сервис обязан удалить ваши данные в течение какого-то времени по закону ряда стран.
                                        • –2
                                          Вы хотите меня убедить что удалять почту и данные пользователей, включая купленные приложения и подписки на дисковое место, по причине смены владельца у домена — это хорошо и правильно? Не тратьте время, не получится.
                                          • 0
                                            Даже Гугл со мной согласен что это не здорово. Вот только в бесплатной версии у них это правило почему-то не работает.
                                          • 0
                                            В случае платного аккаунта это довольно легко решается привязкой аккаунта к другому домену.
                                            В случае бесплатного аккаунта, на сколько я понимаю, это невозможно.
                                            И я понимаю зачем так сделано. Банально затем, чтобы особо предприимчивые люди не начали торговать бесплатными google apps аккаунтами.
                                            Что касается удаления — если у почты нет домена, и его невозможно сменить, значит он не будет работать, значит незачем его хранить. Логично.
                                            У Вас, по сути, только один вариант: выяснить, можно ли сконвертировать аккаунт в платный, сделать это, если возможно, и привязать его к другому домену. Правда, рентабельность этого, подозреваю, околонулевая.
                                            • 0
                                              Да, только конверсия в платный. Если успеете за 72 часа. Вот, например, есть у меня другой домен с этой бесплатной версией G Suite, в котором исторически есть девять, пусть десять для ровного счета, ящиков каких-то друзей студенческих времен. Причем люди ящиками пользуются, заводят на них всякие интернет-банки, оформляют подписки на 100 Гб для фото и так далее… И что вы думаете, случится что-нибудь такое как в посте, разве это будет легко $50 за эти ящики каждый месяц из собственного кармана выплачивать?.. Короче, подложил собаку Гугл всем пользователям бесплатной версии G Suite.
                                              • 0
                                                Короче, подложил собаку Гугл всем пользователям бесплатной версии G Suite.

                                                Гугл ничего никому не подкладывал. Гугл неоднократно предупреждал, что бесплатные версии google apps не поддерживаются, и не являются полнофункциональными.
                                                При всём уважении, но те пользователи, которые проигнорировали эти предупреждения — ССЗБ.

                                                P.S. в случае привязки онлайн банков, и вообще чего бы то ни было, к почте при потере домена никакой гугл Вам ничем и никак не поможет, MX записи домена просто не в его власти.
                                                За доменом нужно следить, блокировать, и в обязательном порядке использовать 2FA, с распечатанными и спрятанными в сейф кодами восстановления аутентификаторов и прочего. И никакой привязки к телефону. И с почтами, на которые аккаунт регистратора зарегистрирован — тоже самое.
                                                • 0
                                                  Предупреждал где, на сайте уведомлением? Рассылкой? Вот, запустил поиск по архиву. Ни одного похожего предупреждения.

                                                  За доменом необходимо следить — именно такой вывод даётся в конце статьи. Статью вы не читали, да?
                                                  • 0

                                                    Кто читает условия, договоры, EULA, которые иногда обновляются, и которые просят принять. Никто, правда?
                                                    Бросьте дурака включать. Даже я, человек, узнавший о google apps сильно позже закрытия бесплатной версии, знаю это.


                                                    Большую часть статьи я читал по диагонали, разумеется, т.к. довольно быстро становится понятно, что количество полезной информации в ней стремится к нулю.
                                                    Далее, если Вы делаете из ситуации правильный вывод, то какого лешего у Вас крайний все ещё Гугл?

                                                    • 0

                                                      Вы читаете все ToS и вы — молодец, а это статья просто не для вас. Таки в какой части статьи вы видите чтобы крайним был Гугл?

                                                      • 0
                                                        а это статья просто не для вас.

                                                        Я даже боюсь представить, для кого может быть статья, вся суть которой заключается в том, что если человек берется использовать нечто, что выходит за рамки кейсов среднестатистического пользователя, то он обязан понимать что он делает, к чему могут привести его действия, и как за результатом этих действий следить. Ну не понимаю я зачем это нужно разжёвывать. Это же… Это же… Ну это как дышать :(

                                                        Таки в какой части статьи вы видите чтобы крайним был Гугл?

                                                        Да хотя бы в этой:
                                                        Короче, подложил собаку Гугл всем пользователям бесплатной версии G Suite.
                                                        • –1

                                                          В какой части статьи вы нашли эту фразу? Под большей частью статьи, которую вы читали по диагонали, наверное имеется ввиду какой-нибудь абзац по середине?


                                                          Честно говоря, даже и не знаю, о чём с вами можно говорить. "Статью не читал, но осуждаю." Молодец, да.

                                                • 0
                                                  G Suite предназначен для организаций. Для личного пользования есть личные аккаунты.
                                                  Разве можно привязывать всякие личные сервисы и интернет банки к корпоративной почте, т.е. к тому, чем ты управлять не можешь?
                                                  Что будет, если привязать Вконтактик/Гугл/Фейсбук/Свой банк/etc к рабочей почте и уволиться?
                                                  Что такое сумма в $50? Примерно эти же деньги платят за выделенный хостинг среднего уровня, только в случае с Гуглом вся инфраструктура уже настроена и готова к употреблению даже неопытными пользователями. Если такой сервис необходим, то вполне это подъемная сумма да и ее еще можно между пользователями поделить.
                                                  Если все ради баловства, то просто считайте что Ваш личный эксперимент не удался. Гугл сделал все по правилам.
                                                  • 0
                                                    Вы это всё знали до прочтения поста? Пост не принёс ничего нового, ровно никакой полезной информации и его можно спокойно удалять?
                                                    • 0

                                                      Мне кажется, что Вы перепутали этот ресурс с каким-то другим. Тут подобные вещи большая часть аудитории знает на уровне рефлексов.

                                                      • 0

                                                        Мне думается что это вы перепутали ресурс. Читаем здесь.


                                                        Geektimes — младший брат «Хабрахабра»… пользователи размещали информацию… не относящуюся к программированию, разработке и другим тематикам из области профессиональных знаний IT-специалистов.
                                                        • 0

                                                          Это не значит, что ГТ — песочница.

                                                          • 0

                                                            Если ГТ — не песочница, то как из этого следует что большинство на этом сайте читали соглашение об использовании G Suite?


                                                            Вам в посте не нравится что в нём для вас лично ничего нового, так?

                                                            • 0
                                                              Понимание опасности потери домена не требует прочтения EULA G Suite.
                                                              Понимание опасности потери домена само собой проистекает из понимания работы DNS, при чем понимая общего, а не углубленного.
                                                              Человек, не обладающий общим пониманием работы DNS, не сможет самостоятельно зарегистрировать домен и привязать его к почте. Разве что по пошаговому гайду. Но это, как раз, случай ССЗБ.

                                                              Я считаю, что статья подводит к одной маленькой, тривиальной мысли, которая должна быть интуитивно понятна людям, настраивающим сервис, подобный тому, что приведен в статье. При этом статья крайне громоздкая, и явно написана на эмоциях. Кроме того, вероятность возникновения подобной ситуации крайне незначительна в силу специфики бесплатной версии gapps, коих в принципе сильно ограниченное количество. Следовательно ценность статьи стремится к нулю, с моей точки зрения.

                                                              Не вижу ни малейшего смысла продолжать спор, я свое мнение выразил уже не единожды. В этом комментарии его полная версия. За сим откланиваюсь.
                                                              • 0
                                                                Ладно, убедили. Статью удаляю.
                                                                • 0

                                                                  Статьи не было если бы несколько человек которых я опросил, включая тех, у которых есть G Suite, не были бы удивлены узнав тот факт, что если они просрочат домен, то они лишатся всего, включая даже купленные приложения. Платной версии эта проблема тоже касается, другой дело что там больше возможностей избежать удаления всего-всего. Вы считаете что все-все статьи на этом сайте должны писаться только с расчётом на вас?

                                    • +2
                                      Ну, вообще говоря, если потеряли доступ к домену, то потеряли домен. Не?
                                      • 0
                                        Например, в случае платной версии G Suite это не так.
                                      • +1

                                        Попробуйте удалить и выложить эту статью в третий раз. Возможно, тогда наконец мнение читателей изменится.

                                        • 0
                                          Для хабра эта статья очевидный оффтопик, точно не для профессионалов ИБ. Потому ей там не место. Вы считаете что это ошибка и на самом деле статья для профессионалов ИБ полезна и нужна?
                                        • 0
                                          Я вот вас сейчас напугаю до невозможности. Имея доступ к ДНС, можно не только CNAME прописать но и MX-ы поменять )
                                          • –1
                                            Можно, только MX записи можно удалить и вернуть, а удалённую по прихоти гугла почту, файлы, купленные приложения уже не вернуть.
                                          • +1
                                            Для тех, кто забрел сюда после 16.02.2018 и удивляется почему у такой довольно неплохой статьи столько едких комментариев.
                                            Статья была переписана, причем существенно в лучшую сторону — она стала гораздо более логична и освещает адекватный подход к вопросу. Предыдущая версия выглядела примерно так: «АААА, если кто-то поменяет вам всего одну запись в DNS, то гугл удалит весь ваш аккаунт G Suite. Даст 3 дня, но потом удалит!!! адынадны ГУГОЛ НИПРАВ»

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.