Хакер #305. Многошаговые SQL-инъекции
Пользователи популярного в Великобритании хостера и доменного регистратора 123 Reg негодуют. Из-за некого «технического сбоя» компания безвозвратно удалила данные клиентов, а самые свежие резервные копии, имеющиеся в распоряжении 123 Reg, оказались датированы августом 2017 года.
О проблеме стало известно 5 марта 2018 года, когда пользователи 123 Reg попытались призвать компанию к ответу и стали массово жаловаться в социальных сетях, что часть их данных или все сайты целиком загадочно исчезли.
@123reg Any chance of a public statement, apology or information in general about your catastrophic hardware failure which has affected many and will have cost money or caused financial losses?
— It's me. (@thinlamas) March 6, 2018
Yeah, same here. I have all my articles and posts, but no images/galleries from 3rd August 2017?
— PerformanceCarGuide (@MikePCG) March 5, 2018
Neither did I. I never expected my hosting supplier to delete my website!
— Rachel Parfitt (@RachelRParfitt) March 5, 2018
В ответ на этот шквал возмущений операторы официального аккаунта поддержки 123 Reg в Twitter принялись извиняться перед пользователями, признавая, что данные канули в Лету по вине компании. Хуже того, оказалось, что имеющиеся в распоряжении хостера бэкапы датированы августом 2017 года, из-за чего сотрудники поддержки просили резервные копии у самих пользователей.
Hi there, we do apologise to all those customers affected. The backup of the websites is to August 2017. Can I take your domain names affected, please? Thanks
— 123 Reg Help (@123regHelp) March 6, 2018
Hi Rachel, we sincerely apologise for this. Would the company who built your website have a copy? If so, our teams can help to restore that way. If you have a ticket open, our service teams can discuss compensation.
— 123 Reg Help (@123regHelp) March 6, 2018
Журналистам Bleeping Computer удалось получить от представителей 123 Reg официальный комментарий, согласно которому, причиной случившегося стал «технический сбой», затронувший лишь небольшое число клиентов. К сожалению, пообщавшись с пострадавшими пользователи, журналисты также пришли к выводу, что компания до сих пор никак не уведомила клиентов об инциденте, заявки в техническую поддержку остаются без ответа, а выяснить причину происходящего можно только через Twitter (даже официальная страница статуса серверов 123 Reg гласит, что никаких сбоев и проблем зафиксировано не было).
Ирония ситуации заключается в том, что в 2016 году компания 123 Reg уже оказывалась в центре очень похожего скандала. Тогда сотрудники 123 Reg случайно удалили все виртуальные серверы, вместе со всем их содержимым, то есть с сайтами клиентов. Хуже того, в 2016 году у компании вообще не нашлось никаких резервных копий, так что восстановить пострадавшие данные удалось далеко не всем пострадавшим.