{"id":13455,"url":"\/distributions\/13455\/click?bit=1&hash=8bce2c32fc522b9cfe1ab89089eff75ab558dbec8812c3dda390faecf1c743f2","title":"\u00ab\u0410 \u0442\u044b \u0442\u043e\u0447\u043d\u043e \u0440\u0438\u0435\u043b\u0442\u043e\u0440?\u00bb \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u043d\u0435\u043b\u043e\u0432\u043a\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u0431\u0440\u043e\u043a\u0435\u0440\u0443","buttonText":"\u041f\u043e\u043a\u0430\u0436\u0438\u0442\u0435","imageUuid":"ca4cf1a1-a5ed-5aca-9f34-357accc11bb1","isPaidAndBannersEnabled":false}

Mail.ru и отсутствие безопасности

О том, как Mail.ru заботится о своих клиентах и их персональных данных.

Часть 1: Мы просим Вас не обращать внимания.

Каждый раз я проверяю свою почту Gmail на наличие писем, сортируя их и удаляя ненужное, считаю каждое письмо должно быть прочитано.

Мне попалось письмо от команды Mail.ru, которое указывало, что в неизвестный для меня аккаунт Mail.ru вошли с нового устройства. Вначале письма отдельно было написано следующее:

Вы получили это письмо, потому что почта *Gmail* указана как резервная для *Mail.ru* Если кто-то указал вашу почту по ошибке, отпишитесь от уведомлений.

На данном этапе я уже спросил себя — неужели кто-то указал мою почту как резервную? Но еще хуже то, что Mail.ru отправило мне данное письмо. В письме была указана почта, которая мне не принадлежит, но и не скрыта никакими способами.

Часть 2: Бесконечные возможности.

Так как я неплохо разбираюсь в безопасности, для меня было очень просто войти в тот аккаунт, используя резервную почту, которая принадлежит мне. На тот момент я думал, что это давно забытая мною почта.

Не стесняясь, я пролистал всю почту от начала до конца, обнаружил множество писем, покупок и даже билетов, по которым человек перемещался из пункта А в пункт Б, из которых не составило труда узнать имя человека. После серфинга по чужой почте, мне не оставалось ничего, кроме как замести следы пребывания, а именно пометить письма отметкой «Не прочитано».

Следующее что я мог сделать — зайти в аккаунты разных соцсетей, которые были привязаны к почте, но я решил, что не стоит. Не говорю о том, что с помощью почты можно сделать что угодно, вплоть до денежных операций. Думаю это и так понятно.

Часть 3: Возврат почты и наставления по безопасности.

Не составило труда найти обладателя почты и через анонимный мессенджер передать ему все новые данные, а также попросить поставить двухфакторную аутентификацию и заменить резервный адрес почты, с последующей заменой пароля.

Данное использование почты было в целях ознакомления с уровнем безопасности Mail.ru. Соответствующее письмо о «лазейке» уже отправлено команде безопасности Mail.ru.

Советы

Используйте двухфакторную аутентификацию. Следите за входящими письмами, в некоторых из них может быть действительно что-то важное, относящееся к безопасности ваших данных. Меняйте пароли каждые пол года.

0
11 комментариев
Написать комментарий...
M K
Если кто-то указал вашу почту по ошибке,

Вот это наиболее правдоподобное объяснение, mail.ru вовсе ни при чем

Ответить
Развернуть ветку
Leha Shum

Без ввода кода почему работает?

Ответить
Развернуть ветку
M K

Не нужно там никакого кода вводить. При регистрации просто запрашивает вторичную почту и всё. При этом на саму вторичную почту никакого уведомления не приходит.
Вот, повторил процедуру регистрации:

Ответить
Развернуть ветку
Leha Shum

Вот я и говорю что баг.

Ответить
Развернуть ветку
D.Sh

Также, пришло уведомление о восстановлении пароля на ящик mail.ru, которым долго не пользовался. Обнаружил вход, новое устройство. Авторизация через Auth... (для меня не ясно, как). Сменил пассв, вкл. двухфакторку, выкинул доверенные устройства (или чтот подобное). Занавес.

Ответить
Развернуть ветку
ZaSalo

Дак автор к вам в ящик заходил. Вот и нашлись

Ответить
Развернуть ветку
Кунцево Crew

Алишер Бурханович так развивает интернет, чего ты удивляешься?
Тьфу на тебя, тс

Ответить
Развернуть ветку
Брагин Юлий

давно уже понял что им пофиг на безопасность, то что двухфакторная аутентификация спасает, но в принципе везде её можно поставить

Ответить
Развернуть ветку
Елена Кучерявенко

На мой ящик mail.ru уже лет 8 приходят чужие авторизации и переписки на игровых серверах, покупки билетов, брони гостиниц, статусы доставки заказов в интернет-магазинах и оплаты интернета Дом.ру в Новосибирске (я в Питере). И даже переписка по корпоративным закупкам.

До сих пор не могу понять, кому так кайфово указывать чужой ящик для подобных транзакций.

Ответить
Развернуть ветку
Яна Громова

Здравствуйте! Я сотрудник VK, занимаюсь поддержкой пользователей сервиса Почта Mail.ru.
Пожалуйста, пришлите номер вашей заявки в службу поддержки или адрес, с которого вы отправляли письмо о ситуации, через эту форму: https://help.mail.ru/surveys/claims

Ответить
Развернуть ветку
Andrew Lebedew

У меня есть ящик на мейле специально для спама с какого-то лохматого года. Даже не знаю сколько ему лет уже. Так вот, там трехзначный пароль ) Раньше это было возможно.

Ответить
Развернуть ветку
Читать все 11 комментариев
null