Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
zapominai
6 лет назад

Как потерять мастер-пароль от golos.io имея 7 резевных копий облачного хранилища

"А не написать ли чего-нибудь в бложик на голосе" — подумал я, после утренних ритуалов первого дня нового года. А то что-то совсем забыл про golos, что оказалось взаимно, сайт попросил представиться залогиниться. Заполнив имя, полез с паролешницу. У меня там всё структурировано, категории подкатегории. Я ж дофига организованный... Даже покажу вам всю эту красоту:


Информация хранится в неявном виде, т.е. даже если злоумышленник получит файл воспользоваться не сможет, внутри нет данных для расшифровки, их вообще нет на цифровых носителях.

Кликаю на golos.io и обнаруживаю, что никаких паролей там нет, только имя и почта. Конечно бывало, чтобы эта программа подглюкивала (сейчас вообще существуют программы без багов?) но такой подлости не ожидал. В голове сразу пронеслись все те предупреждения которыми пестрит сайт: "НЕ ТЕРЯЙТЕ ПАРОЛЬ", "он не восстанавливается", "вам никто не поможет...". Можно было потерять что угодно и восстановить через телефон или почту, кроме одной единственной учётки, которая и пропала, свезло так свезло.

Но стоп.

Я же продвинутый пользователь и храню всё в облаке, а там, как всем известно, можно восстановить старые версии файлов. Нужно просто пойти и достать старый файл, где пароль ещё есть. Он там точно был, хорошо это помню.

Тут ждал первый удар. В самой старой версии пароля уже не было. Доступен был только последний месяц изменений. Облако заманчиво предлагает загрузить более поздние версии, но при клике на этот пункт выдаёт ошибку. Читаю документацию, для базовых аккаунтов хранят месяц. Пишу в тех. поддержку, со слабой надеждой, что они каким-то чудом не трут файлы, чтобы показать их если ты вдруг перейдёшь на премиум. Параллельно включаю бесплатный пробный период бизнес-аккаунта, при клике на "показать более поздние версии" всё та же ошибка. Тех. поддержка отвечает, что файлы они трут физически, что логично.

Оккккей... У меня ещё есть 7(!) резервных копий облака, на разных машинах, ноутах, виртуалках. Конечно, большинство из них постоянно синхронизируется и там будет последняя версия но есть и не обновляемые копии, я же предусмотрительный. Удар номер два: в старых копиях пароля ещё не было, а в новых уже не было.

В этом месте вспоминаю, что когда регистрировался и писал на голосе, пользовался другим браузером. Может там сохранился пароль? Судорожно запускаю, вбиваю урл, опа, кука осталась! В этом браузере у меня авторизованная сессия! Что это даёт? Ура? Смотрю, что можно сделать, получаю приватные ключи для постинга и заметок. Приватные части активного и мастер ключа получить нельзя. Поменять пароль тоже, восстановить - фик, аккаунт не менял владельца. Что в итоге? Можно писать, комментировать, голосовать, нельзя выводить средства. Лёгким движением рук, golos превратился для меня в обычный бложик...

Спасение пришло откуда не ждал.

Много лет пользуюсь менеджером буфера обмена Ditto. Подсадил на неё кучу народа. Незаменимая в работе вещь. Если кратко, эта программа хранит историю буфера обмена, позволяя вставлять часто используемую информацию и не копировать по триста раз одно и тоже.

Когда все рациональные места хранения были проверены, пошёл глядеть историю Ditto. Надежды было мало, в настройках стоит ограничение на максимум 200 объектов хранения, а регистрация была в марте 2017. Воспользоваться поиском нельзя, для этого нужно знать хотя бы несколько символов из последовательности пароля. Беглый просмотр, начиная с самых старых записей ничего не дал. Тлен, тщет...

Сегодняшним утром, смирившись с неизбежным, придумывая имя для нового аккаунта, решил ещё раз покопаться в браузере с открытой мастер сессией. Третий сюрприз — сессия протухла этой ночью. "Теперь точно конец эпопеи" — подумал я и пошёл прибираться в хранилище паролей. И тут вдруг заметил, что имеющиеся приватные ключи (для постинга и заметок) начинаются с одних и тех же символов. Хм... а может мастер-ключ тоже начинается с них? Поищу ка в истории Ditto. Без всякой надежды вбиваю в поиск и... вижу ключ, не совпадающий с теми что есть, т.е. это не недавняя копия, это какой-то другой приватный ключ!! Пульс участился. Смотрю дату добавления, МАРТ 2017!!! Да ладно? Бегу на сайт, вбиваю, ПУСКАЕТ. Если это мастер-ключ, он должен позволить посмотреть приватную часть активного ключа. Прохожу вторую авторизацию, нажимаю "показать приватный ключ", УРААААА!!! Это он!

Посторгазмическое расследование показало, что Ditto, из-за ошибки (в этом месте я улыбаюсь), игнорирует настройки и хранит гораздо больше чем 200 последних объектов, файл записей весит более 3Гб. Получилась история о том как один баг победил другой. Даже не помню когда я так радовался ошибке в программе. Стоит ли говорить, что настроение моё улучшилось.)))

С вами был Иван. Всем удачи и регулярных резервных копий.

4
0.633 GOLOS
0
Ответить
На Golos с March 2017
Комментарии (3)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io