Одна CNAME запись и прощайте ваши данные из G Suite

2-aryq7uxest2pn0mdenvs-e7co.png

Недавно на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор атаки всё тот же: административный доступ к сайту и домену, но в этот раз — со стороны DNS.

Эту неприятность рискуют испытать на себе все, кто когда-либо подключал бесплатную почту для домена от Google, то есть сервис, который раньше назывался Google Apps и сейчас называется G Suite. Примерно до 2011 года этот сервис был бесплатным и чуть ли не единственным способом получить почту уровня GMail с адресом в вашем домене.

Всё дальнейшее изложение идёт исходя из точки зрения пользователя, далёкого от системного подхода к информационной безопасности. Если вы подкованы в части ИБ, если вы делаете бэкапы и готовы ко всему, то подумайте о тех, кто не так подкован, как вы. С такой ситуацией может столкнуться каждый. Предупреждён — значит вооружен.


Что к чему

Что нужно чтобы удалить всю вашу почту и все файлы, если вы далеки от ИБ и слишком полагаетесь на модные облачные сервисы? Для этого ничего особенного не требуется: достаточно прав на создание CNAME записей и немного времени. Такие права можно получить как через обычные административные инструменты в панели хостинга, так и заменой DNS серверов на свои, что вполне может случиться по определению какого-нибудь Усть-Лабинского районного суда.

В процессе вы получите ровно одно письмо, предупреждающее о грядущем удалении всех ваших данных данных. Письмо придёт совсем не обязательно на ту почту в домене, которой вы пользуетесь, а скорей на ящик, который указан для восстановления доступа. Если вы не часто читаете письма в том ящике, то в один прекрасный день вы можете встреть такое сообщение после ввода пароля:

acsjxcp94m0wjfxdka-ncxhmt2q.png

И такое, при попытке восстановить доступ.

Стоит ли говорить что с таким отношением большого G к вашим данным вы можете получить и другие письма, в том числе требующие перевести 0.5 BTC на кошелёк автора того письма в течении трёх дней, или лишиться всего архива почты.


К делу

Хорошие новости: если не знать конкретного логина администратора и резервного адреса или телефона, то практически невозможно восстановить доступ к почте на домене в G Suite. Да, можно получить доступы к отдельным ящикам традиционными способами (фишингом…), особенно если не используется 2FA. Наверное и аккаунт администратора можно таким образом получить, если знать кто им пользуется. Если не знать, то всё много сложней.

Если задача получить доступ к архиву почты не стоит, то идём дальше. При попытке подключить домен к G Suite, который уже используется кем-то, выводится сообщение о недоступности домена:

x9kqigdvew7rqyflwli5becn7uo.png

Пройдя по ссылкам помощи находим инструкцию по восстановлению доступа и в ней находим ссылку на форму для восстановления доступа. В ней на чистом английском заполняем что-то вроде:


Subject:
Restore access for test.ru

I cannot sign up for G Suite with test.ru. Getting error: «This domain is already in use»

Ждём некоторое время и получаем сначало письмо с подтверждением получения запроса и номером тикета…


Subject: Case #[14112233] Restore access to Apps for test.ru
Date: Mon, 5 Feb 2018 02:10:15 +0000 (GMT)

Hey there,

Thanks for opening this G Suite support ticket. Your ticket number is 14112233, and we’ll be in touch with you soon.
In the meantime, you can help us speed up the support process.

В вольном переводе: спасибо что открыли запрос, ваш номер такой-то, мы скоро с вами свяжемся…

А потом получаем письмо с детальными инструкциями:


Здравствуйте, Алексей.

Спасибо что связались с поддержкой G Suite. Я так понимаю что у вас есть проблемы при создании нового аккаунта с доменом test.ru. Меня зовут Даниэль и я отвечаю за ваш кейс, буду рад помочь. Чтобы вы знали, в офисе я с семи до шестнадцати по CST, с понедельника по пятницу.

Я не могу вам позвонить так как вы находитесь в другой временной зоне. Также в анкете вы указали номер телефона…, если есть другой более подходящий номер телефона пожалуйста, сообщите, а также когда лучше вам позвонить.

Я понимаю что вы пытаетесь подключить домен test.ru к G Suite, и не можете это сделать. После изучения вашего запроса я выяснил что этот домен уже связан с другим аккаунтом G Suite в нашей системе. Пожалуйста, уточните, не зарегистрировал ли этот аккаунт кто-то другой в вашей компании. Если так, то постарайтесь получите доступы к этому аккаунту у того человека.

Если же никто у вас не может вспомнить факт регистрации G Suite, пожалуйста подтвердите права на домен следующим образом:

  1. Создайте запись CNAME у хостера вашего домена со следующим содержанием…

    Название: deleteGAPPSnotBefore20180215utc

    Цель: case-14112233-for-test.ru-at.google.com

    TTL: 3600

  2. Если ваш регистратор отличается от хостера вашего домена, убедитесь что вы создаёте домен у хостера вашего домена. За более подробной информацией обратитесь к странице помощи…

После выполнения этих шагов, ответьте на это письмо и сообщите мне. После подтверждения ваших прав на домен test.ru я свяжусь с владельцем ранее зарегистрированного аккаунта G Suite и дам ему/ей как минимум три рабочих дня чтобы сделать резервную копию всех сколько-нибудь важных данных.

Если от предыдущего владельца не поступит сообщений в течении трех рабочих дней, то тогда я удалю ранее зарегистрированный аккаут G Suite из нашей системы. Пожалуйста имейте ввиду что мы делаем всё возможное чтобы решить вашу проблему в течении трёх рабочих дней, но окончательное решение может занять больше времени из-за чувствительности этой проблемы. Тем временем пожалуйста не перенастраивайте ваш домен на использование MX записей Google, так как так вы рискуете пропустить важные сообщения.

Если у вас есть дополнительные вопросы или соображения, не стесняйтесь мне написать. Я буду жать вашего ответа!

Искренне ваш,
Даниэль


Оригинал письма

Subject: [#14112233] Restore access to Apps for test.ru
Date: Mon, 5 Feb 2018 12:22:42 +0000 (GMT)

Hello Alexey,

Thank you for contacting G Suite Support. I understand that you have issues to create a new account using the domain test.ru. My name is Daniel and I’ll be in charge of your case from now on, it will be a pleasure to help you in this case. Let me share with you that I’m at the office from 7am to 4pm CST, Monday to Friday.

I was unable to call you due to the different time zone where you are located. Also, the phone number indicated to contact you is 495–100–2548 based on Russia, please let me know if this is the best contact phone number, otherwise provide me with the correct phone number and the best time to call you back.

I understand that you are trying to register test.ru with G Suite, and haven’t been able to do so. Upon reviewing your application, I see that there is already a G Suite account associated with your domain in our systems. Please check whether someone else within your organization previously registered this domain with G Suite. If so, you should work with him/her to obtain access to the account.

If nobody within your organization recalls registering with G Suite, please verify domain ownership by following the steps below:

Create a CNAME record:

  1. Create the following CNAME record through your domain hosting provider:

    Label/Host: deleteGAPPSnotBefore20180215utc

    Destination/Target: case-14112233-for-test.ru-at.google.com

    Time to live (TTL): 3600

  2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support

Once you have completed the verification steps above, please reply to this message and let me know. After I have verified your ownership of test.ru I will contact the owner of the existing G Suite account and give him/her at least three business days to back-up any important account data.

If I do not hear back from the previous owner within three business days, I will remove the existing G Suite account from our systems. Please be aware that we will make the best effort to process this within three business days, but it can take a little longer than that due to the sensitive nature of this issue. In the meantime, do not point your domain’s MX records to Google yet, as this may result in missing important messages.

If you have any additional questions or concerns, please do not hesitate to let me know. I look forward to your response!

Sincerely,

Daniel
G Suite Support

Это первый критический момент: если такую CNAME запись сможет создать посторонний, то вы имеете все шансы остаться без почты. Достаточно сказать что большинство хостеров DNS никак не уведомляют о добавлении новых записей. Значит, такую запись можно добавить незаметно.

Записи создаём, на письмо отвечаем.


Subject: Re: [#14112233] Restore access to Apps for test.ru

Hello Daniel,

I’ve added a CNAME record you asked for to verify my ownership of the domain in subject.

$ dig +short CNAME deleteGAPPSnotBefore20180215utc.test.ru
case-14112233-for-test.ru-at.google.com.

Thanks.

Спустя некоторое время на ящик, который используется для восстановления доступа к аккаунту администратора, приходит письмо следующего содержания:


Здравствуйте,

Спешу вам сообщить что другой пользователь подтвердил права на домен test.ru.

Если вы всё ещё владелец этого домена, пожалуйста, ответьте на это сообщение как можно скорее и предоставьте подтверждение ваших прав на домен путем выполения следующих инструкций:

Создайте запись CNAME у хостера вашего домена со следующим содержанием…

Если вы больше не владеете этим доменом, вы расторгли соглашение для G Suite. У есть три дня чтобы перенести ваши данные, которые вы хотите сохранить, из вашего аккаунта. Через три дня ваш аккаунт G Suite и все данные в нём будут удалены.

Вы можете войти в консоль администратора G Suite по адресу admin.google.com, в качестве логина используя адрес в домене вида xyz@test.ru. Также вы можете удалить все данные из вашего аккаунта следуя инструкциям в этой статье: https://support.google.com/a/answer/1257646

Если у вас есть вопросы или другие соображения, пожалуйста, ответьте на это сообщения.

Искренне ваш,
Даниэль


Оригинал письма

From: Google Cloud Support
Date: 6 February 2018 at 21:16
Subject: IMPORTANT: Your G Suite account using test.ru

Hello,

I am contacting you to let you know that another user has verified ownership of test.ru.

If you still own this domain, please reply to this message as soon as possible and provide us with proof of your ownership by following the steps below:

Create a CNAME record:

  1. Create the following CNAME record through your domain hosting provider: 14112233 points to google.com
  2. If your hosting provider is separate from your domain registrar, make sure you are modifying the CNAME record with your hosting provider. For more information on how to create a CNAME record, please visit https://support.google.com/a/answer/47283. If you need assistance creating the CNAME record, please contact your hosting provider for support

If you no longer own this domain, you have terminated the agreement for G Suite. You have three days to migrate any data from your G Suite account that you would like to keep. After 3 days, your account and all information in the G Suite account will be deleted.

You can access the G Suite Admin console from admin.google.com with the email address on the domain as example xyz@test.ru. Also, you can purge your account by following the steps listed in this article https://support.google.com/a/answer/1257646

Please reply to this message if you have any questions or concerns.

Sincerely,

Daniel
G Suite Support

Если вы это письмо пропустили, то всё. Больше никаких писем и предупреждений от поддержки G Suite вы не получите!

Если вы всё ещё владелец домена, то всё просто: добавляете записи, удаляете другие, меняете пароли, отвечате на письмо.

Если вы в самом деле уже не владелец домена (потому что, например, он был просрочен), то у вас проблемы. Вам нужно связаться со всеми пользователями домена и сообщить им неприятные новости. Каждому пользователю нужно будет самостоятельно сделать архив своих данных и выкачать его. Наверное можно ответить на письмо и попросить ещё немного времени на экспорт данных.

Декларируется также возможность скачать все данные всех пользователей через API. Это значит вам нужно будет изучить и начать использовать это API в трёхдневный срок, не говоря уж о том что у автора вообще не получилось получить реквизиты доступа к API IAM (форма создания пользователя API грузилась вечно).


Оставалось 72 часа…

Дальше переписка идёт только с лицом, восстанавливающим доступ:


Subject: [#14112233] Restore access to Apps for test.ru
Date: Tue, 6 Feb 2018 13:11:21 +0000 (GMT)

Hello Alexey,

Thank you for your last response, it is great to work with you.

For your information, I have contacted the previous owner for the account in order to notify it about the process that we are about to complete. Remember, after 72 hours from now I will request the deletion for the account and it may take up to 24 hours more for the domain to be completed deleted from the system. As part of our privacy and security process for accounts, if the account is deleted from the system it will be with the data also, and there is no way to save it.

I«ll keep this case open while the process is completed. If you have any other questions or additional comments, don«t hesitate to reply to this email and I’ll be happy to further assist you or call you back immediately. Have a great day.

Sincerely,

Daniel
G Suite Support

В письме сообщается что предыдущий владелец был уведомлен о ситуации. Отмечается что осталось 72 часа до удаления домена, что операция удаления занимает до суток, и что по причинам конфиденциальности и безопасности данные удаляются безвозвратно, без возможности сохранения для нового владельца домена. Это — хорошие новости.

Спустя немного больше трёх дней, со скидкой на выходные дни, приходит последнее письмо:


Здравствуйте, Алексей.

Надеюсь, что это письмо вас найдёт. Это дополнительное сообщение относительно вашего кейса поддержки G Suite.

Я не стал звонить вам из-за разных временных зон. Рад сообщить что домен test.ru был удалён из нашей системы, и вы можете сделать новый аккаунт G Suite используя этот домен.

Этот кейс пока останется открытым на случай вашего ответа. Сообщите, пожалуйста, есть ли у вас есть какие-либо вопросы или соображения, чтобы мы могли закрыть этот кейс.

Искренне ваш,
Даниэль


Оригинал письма

Subject: [#14112233] Restore access to Apps for test.ru
Date: Mon, 12 Feb 2018 12:13:37 +0000 (GMT)

Hello Alexey,

I hope this message finds you well. This is a follow up message concerning your case with G Suite Support.

I was unable to reach you due to the different time zone. I’m glad to inform you that the domain test.ru, was deleted correctly from our system, and you will be able to create a new account for G Suite using the particular domain.

I«ll keep this case open while I wait for your reply. Please let me know if you have any other questions or if you consider the issue as resolved, so that we can proceed to close this case.

Sincerely,

Daniel
G Suite Support

Как вы понимаете, на этом переписка заканчивается. Домен удалён, все ваши письма, файлы, сайты и прочие данные удалены, и при выходе вы видите загадочное сообщение об удалении из начала этого поста («This account was deleted»).

_lkbsitxozvdeyguhqlwy_kauma.png

Восстановить доступ можно даже не пытаться. Вы сами были администратор, к кому ещё вам обращаться?…

labr6o2lvjly6a-n5t4-wcxowva.png


Итого

Плохие новости очевидны: достаточно одной CNAME записи чтобы для любого домена, который использует бесплатный вариант G Suite, в течении 72 часов удалить вообще всё. Пользователей, письма, файлы, ну то есть вообще всё. Корпорация ли зла Google с таким подходом к данным пользователей? Так сразу и не ответишь отрицательно.

Есть и хорошие новости:


  1. Одной CNAME записи недостаточно чтобы получить доступ к архиву вашей переписки на домене, подключенном к G Suite / Google Apps.


  2. Если внимательно читать почту, приходящую на адреса для восстановления, удаление данных можно предотвратить.


  3. Следует очень обдуманно давать доступы на добавление записей в DNS таблицы домена если вы пользуетесь G Suite или Google Apps.


  4. Риск подобных событий можно уменьшить если не класть все яйца в одну корзину. Для DNS лучше использовать отдельный хостинг (пусть даже от Cloudflare), для сайтов — отдельно арендованный сервер, для почты — другой отдельный сервис.

К счастью, не все почтовые хостинги подходят к вопросу смены владельца домена так беспринципно и, прямо скажем, ужасающе, как Google. Например, из FastMail (те, которые поддерживают Cyrus IMAP) мне ответили что ваша переписка останется вашей, а домен придётся отдать. Как подходят к этому вопросу в ПДД Яндекса и в Mail.ru — вопрос открытый. Ждём представителей в комментах.

Остаётся надеяться что Google не будет делать вид что проблемы не существует и что всё это by design, как это делают некоторые, а внесёт изменения в свои алгоритмы чтобы если не адреса, то хотя бы доступ к архиву почты и файлов у вас оставался после отключения домена. Мне же видится что для владельцев старой, бесплатной, почты было бы здорово иметь возможность «распустить» домен и отправить все пользователей в свободное плавание со своими отдельными аккаунтами с пересылкой писем со старых адресов в домене. Разве это так сложно, а, Google?

К сожалению, это не первый и не последний раз, когда Google удаляет все-все данные пользователя просто потому что они так могут. Выводы из этого напрашиваются очень неприятные.

© Geektimes