Хостинг-провайдер «NetAngels» сообщает об обнаружении факта массовой кражи доменных имен RU, начавшейся 3 июня. Как сообщается, все домены были украдены по одной и той же схеме:

1. У домена в контактной информации указан e-mail на mail.ru или bk.ru.

2. Данные контактные e-mail никем не использовались и Mail.ru их освободил (сделал доступным для повторной регистрации). Надо отметить, что этот факт, видимо, известен далеко не всем пользователям почтовой службы Mail.Ru, но в пользовательском соглашении прямо указано, что Mail.Ru оставляет за собой право прекратить обслуживание учетной записи пользователя, которая не использовалась в течение периода составляющего более трех месяцев. Другими словами, в случае неиспользования почтового ящика более трех месяцев, ваш ящик могут удалить и любой желающий сможет зарегистрировать его заново, что и произошло в данном случае.

3. Все данные e-mail были по-новой зарегистрированы злоумышленниками. Информация по этим e-mail была взята из открытых источников (сервис whois).

4. По всем данным доменам был запрошен пароль через форму восстановления пароля у регистратора RU-CENTER.

5. У всех доменов dns-серверы были сменены на ns1.domain.ru и ns2.domain.ru, где domain.ru - имя домена, у которого менялся dns.

6. Все новые ns- и a-записи указывают на ip-адреса из одной и той же сети: 62.122.75.0/24, где подняты прокси-серверы. При обращении к соответствующим сайтам запросы переадресуются (проксируются) на реальные серверы хостинга. Таким образом, факт воровства пока визуально практически не заметен, однако фактически злоумышленники контролируют весь трафик с соответствующих сайтов и в любой момент могут заменить любую выдаваемую сайтом информацию на свою собственную.