Открытка: Почему Ru-Center хранит пароли клиентов в открытом виде?
Пользователи интернета еще в 2010 году обратили внимание, что Ru-Center хранит свои пароли в открытом виде, тогда как большинство компаний используют хэш-шифрование. Когда пользователь вводит пароль он превращается в шифрованный отпечаток и когда впоследствии пользователь вводит пароль то система сравнивает два отпечатка, то есть сам пароль в открытом виде никуда не пересылается.
Ru-Center хранит пароли в изначальном виде, что можно обнаружить например когда пользователь пытается восстановить пароль - новый пароль компания просто присылает по почте в теле письма, такая практика действует и сейчас. Проблема усугубляется тем, что большинство пользователей использует один и тот же пароль для разных сервисов, то есть утечка базы Ru-Center может скомпрометировать большое число сервисов в Рунете.
Комментарий "Роем!": Ru-Center оправдал техническое отставание преклонным возрастом компании:
RU-CENTER как старейший регистратор доменов в России, к сожалению, до настоящего момента в самых глубоких местах архитектуры имеет технологические решения, которым по 10-15 лет. Сейчас доступ к внутренним информационным системам имеет ограниченный набор сотрудников, он контролируется службой безопасности. В ближайшее время мы полностью обновим логику авторизации и восстановления доступа (новая система сейчас тестируется). Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по ip-адресу, установить запрет на получение пароля по e-mail и запретить любые операции с доменом без личного присутствия в офисе регистратора. Последние годы мы планомерно приводим в порядок наши внутренние системы и сервисы — в результате мы получим не только современные и удобные пользовательские интерфейсы и продукты, но и безопасную и масштабируемую внутреннюю инфраструктуру, - сказал Андрей Кузьмичев, директор по продуктам RU-CENTER.
3 комментария | Подписаться на комментарии | Комментировать
Источник: Roem.ru
Похожие новости
- Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов
- Вредоносная атака на Laravel-Lang
- Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
- Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
- CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
- Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
- QNAME minimisation на практике: RFC 7816, реализация, грабли
- Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
- Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
- Объявлены победители Workspace Digital Awards-2026