Když vás zablokuje sám velký Google – poučení z krizové situace

Google - váš účet byl deaktivován
Před týdnem jsem digitálně přestal existovat. Google zablokoval můj pracovní účet z důvodu závažného porušení smluvních pravidel.
Jenže ten účet byl zároveň hlavním superadminem celé školy a středem celého mého pracovního života. K happyendu vedla cesta dlouhá 30 hodin.
Tento text není návod co s tím. Tento text není manuál. Je to jen zamyšlení nad stavem ve kterém se může ocitnout každý z vás.

Krize – váš účet byl deaktivován

Váš účet byl deaktivován z důvodu porušení smluvních podmínek. Toto je zpráva, se kterou se opravdu nechcete v neděli ráno probudit. Svítila jako oznámení na mém mobilu. Ospalému mozku chvíli trvalo, než ji vůbec pochopil a uvědomil si závažnost situace.

Když jsem se už probuzený zkoušel k účtu připojit, pochopil jsem, že je pravdivá. Závažně jsem porušil smluvní pravidla. Ale jaká, to Google neuváděl. Jen mě přesměroval na stránku, kde jsem mohl vyplnit formulář (v angličtině) a požádat o řešení situace. Takže opravdu krize.

Google - váš účet byl deaktivován

Detektivní pátrání — hledám stopy

Jako zodpovědný admin mám samozřejmě k účtu navázané telefonní číslo a záložní e-mail. V něm jsem posléze objevil informaci o zablokování účtu. Jenže v ní se už Google nezmiňoval o porušení pravidel. Jen o zablokování z důvodu porušení zabezpečení. Tedy diametrálně odlišný důvod. Google uváděl podezřelý přístup k pracovnímu účtu z nového zařízení. Jednalo se o chromebook a posléze i systém s Windows během jednoho dne.

Jenže oba dva notebooky, ten googlovský chromebook i notebok s microsoftím systémem využívám k práci celkem často a již v minulosti jsem se z nich do pracovního účtu hlásil. Neodklikávám tedy poctivě všechna upozornění, která se na mě valí. Zvlášť u chromebooku jsem předpokládal, že jej Google dobře zná.

Byla to chyba.

Řešení

Když chcete kontaktoval podporu pro G Suite, máte samozřejmě mnoho možností. Rozhodně víc, než uživatelé běžného Gmail účtu. Můžete telefonovat, můžete chatovat, můžete e-mailovat. Toho jsem si byl vědomý a hned se na ni obrátil.

Jenže!

Ke kontaktování podpory se musíte přihlásit administrátorským účtem pro G Suite. Tedy právě tím, který mi Google zablokoval. Takže tudy cesta nevede.

Okamžitě mě napadlo, že ke kontaktu s podporou využiji další záložní superadministrátorský účet ze stejné domény. Každý správce G Suite by jej měl při zřízení služby pro jistotu zařídit.

To bylo už dávno :-(

My byli progresivní škola a na G Suite jsem z microsoftího Exchange, který mi běžel na serveru pod stolem v práci, převedl poštu už v květnu 2010. Snažil jsem se proto dohledat, jak se vlastně ten můj záložní admin jmenuje. A nenašel jsem u sebe uložené žádné přístupové údaje. Ani jméno, ani heslo. Prostě nic. A vím s jistotou, že před deseti roky jsem mobilní telefon ještě nepoužíval (ano, jsou mezi námi i takoví lidé).

Takže nastala naprosto neřešitelná situace.

Napadlo mě kontaktovat Google z jiného G Suite účtu jiné domény. Mám jich víc a také jsem už v minulosti nějaké zakládal pro jiné školy. První, co hned přišlo na řadu, byla moje doména tybrdo.cz. Běží také v G Suite. Jenže se jedná o historickou Legacy free edition. A tím pádem bez nároku na podporu.

Všechna vejce v jednom košíku

V pracovním účtu jsem měl veškeré pracovní podklady, projekty, písemky, videa, fotky v Disku.

Mám na něj navázaný kompletní e-learning přes Google Classroom pro všechny třídy, které učím. Tedy i výsledky testů a projektů a tím i jejich klasifikaci. To rozhodně nechcete zažít týden před uzávěrem klasifikace.

Přes můj účet řeším i školní fotogalerii postavenou na Google webech a Disku. Přibližně 40 000 fotek za více než osmnáct let.

Množství sdílených dokument s kolegy.

Sdílené (dříve Týmové) disky – ty naštěstí přežily už ze svého principu.

Prostě veškerý můj pracovní život. Vše nedostupné.

Happyend

Tato krize proběhla během neděle. Tedy o víkendu. U placených a enterprise řešení máme nějakou představu o neustálé podpoře 24/7. Je to často i součástí slibů a smlouvy.

Zhruba po 30 hodinách od prvního oznámení na mobil, tedy v pondělí dopoledne, se ozvala podpora Google na náhradní e-mail, který jsem uvedl v žádosti. Psal mi anglicky nějaký Radoslav. Možná byl Čech a možná psal anglicky proto, že jsem původně sám anglicky vyplnil formulář žádosti o obnovu. Je to možné.

Hello Pavel,

Thank you for contacting Google Cloud Support. I hope you are having an excellent day.

From now on we will be working together in order to solve your access issue in a timely manner. You can trust I will do my best and I’ll be happy to help you resolve any account access concerns.

I understand that your super admin account may have been compromised, and as a result, has been disabled.

Nezmiňovali žádné závažné porušení smluvních pravidel, kterého jsem se měl dopustit. A rovnou nabídli možnost obnovit účet. Takže prima. Jen psát naštvanému adminovi frázi “I hope you are having an excellent day” mi v této situaci připadá poněkud nemístné.

Účet jsem si obnovil v podstatě obratem.

Hurá, mám ho. Jsem zpět. Žiju, jsem zas online. Škola funguje.

Je obnovit Google účet vážně tak jednoduché?

Jenže v tom vidím celkem velký problém. Přečtěte si pečlivě navrhovaný postup.

  1. Login with the affected account where a “Google Account disabled due to suspicious activity” page is displayed
  2. Click on the “having trouble signing in” link and then select the option “I’m having other problems signing in”
  3. Enter the email address of the affected account and the last password you remember
  4. You will be prompted to verify that you own the domain by adding a CNAME record in your domain host’s control panel. Follow the instructions provided in adding the CNAME record. Once added, do not forget to go back to the list of steps and click on “I have completed these steps” in order to initiate the verification process.
  5. After verifying your domain via CNAME, you will receive a link to a set of questions about your G Suite account. Once we verify that you own the account through your answers, you will be directed to a password reset link.
  6. Resetting the password will restore the suspended super admin account.

Vidím v tom logickou chybu jen já sám? Přehlédl jsem něco? E-mail s návodem mi přišel do účtu, který jsem vyplnil v žádosti o obnovu. Tento e-mail nemá žádnou spojitost s pracovním účtem a teoreticky by jej mohl vyplnit kdokoliv a jakkoliv. Přijde mu tedy postup jak postupovat dál.

Kontrolní CNAME záznam mám už dávno zavedený. Toto není v této situaci důkaz toho, že skutečně doménu vlastním. Tento krok jsem tedy přeskočil. Stejně tak by to nemusel řešit případný útočník.

No a teď se tedy dostávám k tomu hlavnímu problému. Řekněme, že by někdo skutečně odhalil mé heslo. Při obnově Google kontroluje e-mail, heslo a CNAME záznam. Já si tedy z naprosto cizího účtu obnovil svůj vlastní pracovní G Suite účet. Jméno a heslo mám, CNAME záznam už byl z minula nastavený.

Otázka tedy zní: Může tedy takto kompromitovat účet případný útočník, pokud někde získá mé heslo? Vychází mi z toho, že ano. Jediná obrana, na kterou jsem v průběhu celého procesu narazil, byly otázky ve formuláři k obnově:

  • Jaký záložní e-mail je u účtu vedený?
  • Jaké další uživatele jste zadal do domény?
  • Kolik uživatelů je v doméně celkem zavedeno?

Co s tím

Tak si to shrňme. Google mě obvinil ze závažného porušení podmínek a zablokoval bez varování pracovní účet. Tento účet je zároveň nejvyšší administrátorský pro celou doménu. Neuvedl jaká pravidla jsem porušil a v dalších zprávách píše jen o narušené bezpečnosti. Důvodem bylo přihlášení na školní chromebook. Poněkud trapné, ne?

Mám rád cloud. Nechci se vracet do dob, kdy mi vše běželo na serveru pod stolem v práci. A přenosné disky a USB flešky jsou také pasé.

Zároveň jsem si ale během jedné krizové neděle uvědomil, jak moc jsme na cloudu a konkrétní firmě závislí.

Nechci provozovat žádný NAS ani jiný soukromý cloud na vlastním serveru. Jen budu dál opatrnější a rozhodně si už neuložím údaje o záložním superadminovi do stejného cloudu. Budu zálohovat do jiných systémů. Google Disk do Dropboxu, Dropbox do One Drive. One Drive do Mega. Mega na externí disk do šuplíku.

A pro začátek určitě bude stačit, když si i vy zkontrolujete, že máte přístup k záložnímu SuperAdminovi vašeho G Suite. A zapněte si dvoufázové ověření při přihlášení.

Ať nedopadnete jako já. I když to bylo jen na pár hodin.