Мы немного в когнитивном диссонансе, потому что история дикая и сделать правильно в ней явно будет неправильно. Сейчас объясню, но сначала хронология обращений в поддержку VDS-хостинга.

В один прекрасный день в техподдержку прилетает тикет. Пишет человек, что его почта была взломана и он утерял доступ к своему аккаунту. Пишет с личной почты с публичного сервиса типа @mail.ru.

Аккаунт зарегистрирован на почту внутри домена, домен и сервер, соответственно, скомпрометированы, по всей видимости. Просит восстановить доступ к серверу и перевязать всё на его личный ящик.

Мы, естественно, на слово не верим. Запросили дополнительные документы: паспорт и всё возможное, связанное с аккаунтом. Он присылает скан паспорта. ФИО в паспорте совпадает с данными в профиле аккаунта. Во-вторых, самое главное — банковские чеки и квитанции об оплате этого самого сервера за последние месяцы. Мы смотрим: документы в порядке, деньги платил именно он. Ситуация штатная: человек — назовём его первым человеком-пауком — потерял почту, подтвердил личность, подтвердил оплаты. Мы переносим аккаунт на его личную почту и отдаём доступ.

И тут с почты внутри домена приходит такой же тикет, только на другое имя. Мол, утерял доступ, верните.

Второй человек-паук

Через 2 дня появляется тикет с изначальной почты внутри домена. Текст панический: «Караул, у меня угнали аккаунт! Я настоящий владелец, верните всё как было!»

У поддержки начинается лёгкая паника.

Доступ к почте обычно приравнивается к владению аккаунтом.

Запросили документы и у него.

Паспорт он присылать отказался. Но, по идее, владение почтой и есть владение аккаунтом, и он в своём праве.

В чём основная засада

Аккаунтом владеет человек, который произвёл акцепт оферты.

Оферта акцептируется через оплату — то есть тот, кто оплатил, подписал её самим фактом оплаты.

Мы не видим личность человека и не храним банковские данные. То есть для авторизации по стандартам для пра��оохранительных органов такого акцепта достаточно. Если он правонарушит, они найдут его, запросив по номеру транзакции персональные данные из банка, выпустившего карту, либо параметры карты (с именем) из процессинга, если банк иностранный.

Мы не видим, кто он. Для нас он просто кот. В интернете все коты, пока не доказано обратное.
Мы не можем обратиться в суд, потому что конфликта пока нет. Если бы он был, они бы судились между собой.

Дальше право на владение аккаунтом фактически подтверждается при утере по минимальным признакам:

• ФИО, паспорт и документы об оплате — это один минимальный пакет.

• ФИО, паспорт и сертификат на домен с этим ФИО + владение почтой — это другой минимальный пакет.

И вот второй человек-паук предоставил нам сертификат на домен.

То есть оба они с точки зрения логики договора оферты обладают равными правами на аккаунт. По идее, мы должны выдать доступы им обоим, и это правильно. Но, как я говорил, это неправильно.

И есть ещё один нюанс.

Сертификат второго — на личную почту первого!

Второй человек-паук предоставил нам сертификат на домен. С ним две проблемы:

Приехать в Москву они не могут, потому что один за рубежом, второй далеко. Но оба готовы выйти на видеозвонок для подтверждения персональных данных с паспортом в зубах.

Мы запросили более свежий сертификат на домен и сидим в когнитивном диссонансе.

До кучи сервак скоро сходит с тарифа, у него заканчивается срок оплаты.

Что сделали сейчас

• Во-первых, нельзя останавливать сервер, потому что там у них, судя по контексту, крутится работающий коммерческий проект.

• Во-вторых, мы тут же сняли снапшот (полный бекап) на всякий случай и продолжаем итерировать эти технические бекапы. Как только они разберутся, где что, мы их предоставим конечному владельцу.

• В-третьих, мы временно заморозили доступ обоим человекам-паукам в панель управления до окончания разбирательств — как минимум пока они не предоставят дополнительные документы.

• В-четвёртых, мы продлим сервер за свой счёт на 1–2 месяца, если это затянется, и потом предложим им схемы эскроу или другого подобного условного платежа, если всё же они о��ратятся в суд.

Сейчас у нас ситуация следующая: один контролирует корпоративную почту, но документы на домен ссылаются на личную почту второго. Второй платил деньги и имеет паспорт, но не имеет доступа к корпоративной почте. Они ссылаются друг на друга, и их доказательства взаимоисключающие.

Наше решение сейчас — отправить их обоих добывать новый сертификат на домен. Принцип такой: кто контролирует домен, тот контролирует и админскую почту. То есть нам нужна свежая актуальная выписка от регистратора домена не раньше первого тикета.

Тот, кто её получит, должен будет выйти с нами на видеосвязь. Мы хотим увидеть его лицо, его паспорт и убедиться, что данные в паспорте совпадают с данными в свежей выписке на домен. Более того, возможно, мы попросим создать специальную запись в настройках DNS. Это технически докажет, что человек прямо сейчас управляет доменом, а не просто нашёл старые скриншоты.

Интуитивно мы подозреваем, что перед нами классическая ссора заказчика (например, владельца бизнеса) и админа. Один платил деньги — заказчик с паспортом, а второй всё настраивал и держит руку на пульсе технической части. Возможно, они разругались и теперь делят имущество через нашу техподдержку. Вероятно, что первый человек-паук не разбирается в технической части и поэтому успокоен сообщением, что «в целях безопасности доступ заморожен». Написано же, что в безопасности, значит, всё в порядке.

В общем, мы не знаем точно, что ещё можно сделать в такой ситуации, и вот теперь нам нужен ваш совет.