О том, как Mail.ru заботится о своих клиентах и их персональных данных.
Часть 1: Мы просим Вас не обращать внимания.
Каждый раз я проверяю свою почту Gmail на наличие писем, сортируя их и удаляя ненужное, считаю каждое письмо должно быть прочитано.
Мне попалось письмо от команды Mail.ru, которое указывало, что в неизвестный для меня аккаунт Mail.ru вошли с нового устройства. Вначале письма отдельно было написано следующее:
Вы получили это письмо, потому что почта *Gmail* указана как резервная для *Mail.ru* Если кто-то указал вашу почту по ошибке, отпишитесь от уведомлений.
На данном этапе я уже спросил себя — неужели кто-то указал мою почту как резервную? Но еще хуже то, что Mail.ru отправило мне данное письмо. В письме была указана почта, которая мне не принадлежит, но и не скрыта никакими способами.
Часть 2: Бесконечные возможности.
Так как я неплохо разбираюсь в безопасности, для меня было очень просто войти в тот аккаунт, используя резервную почту, которая принадлежит мне. На тот момент я думал, что это давно забытая мною почта.
Не стесняясь, я пролистал всю почту от начала до конца, обнаружил множество писем, покупок и даже билетов, по которым человек перемещался из пункта А в пункт Б, из которых не составило труда узнать имя человека. После серфинга по чужой почте, мне не оставалось ничего, кроме как замести следы пребывания, а именно пометить письма отметкой «Не прочитано».
Следующее что я мог сделать — зайти в аккаунты разных соцсетей, которые были привязаны к почте, но я решил, что не стоит. Не говорю о том, что с помощью почты можно сделать что угодно, вплоть до денежных операций. Думаю это и так понятно.
Часть 3: Возврат почты и наставления по безопасности.
Не составило труда найти обладателя почты и через анонимный мессенджер передать ему все новые данные, а также попросить поставить двухфакторную аутентификацию и заменить резервный адрес почты, с последующей заменой пароля.
Данное использование почты было в целях ознакомления с уровнем безопасности Mail.ru. Соответствующее письмо о «лазейке» уже отправлено команде безопасности Mail.ru.
Советы
Используйте двухфакторную аутентификацию. Следите за входящими письмами, в некоторых из них может быть действительно что-то важное, относящееся к безопасности ваших данных. Меняйте пароли каждые пол года.
Вот это наиболее правдоподобное объяснение, mail.ru вовсе ни при чем
Без ввода кода почему работает?
Не нужно там никакого кода вводить. При регистрации просто запрашивает вторичную почту и всё. При этом на саму вторичную почту никакого уведомления не приходит.
Вот, повторил процедуру регистрации:
Вот я и говорю что баг.
Также, пришло уведомление о восстановлении пароля на ящик mail.ru, которым долго не пользовался. Обнаружил вход, новое устройство. Авторизация через Auth... (для меня не ясно, как). Сменил пассв, вкл. двухфакторку, выкинул доверенные устройства (или чтот подобное). Занавес.
Комментарий недоступен
Алишер Бурханович так развивает интернет, чего ты удивляешься?
Тьфу на тебя, тс
давно уже понял что им пофиг на безопасность, то что двухфакторная аутентификация спасает, но в принципе везде её можно поставить
Комментарий недоступен
Здравствуйте! Я сотрудник VK, занимаюсь поддержкой пользователей сервиса Почта Mail.ru.
Пожалуйста, пришлите номер вашей заявки в службу поддержки или адрес, с которого вы отправляли письмо о ситуации, через эту форму: https://help.mail.ru/surveys/claims
У меня есть ящик на мейле специально для спама с какого-то лохматого года. Даже не знаю сколько ему лет уже. Так вот, там трехзначный пароль ) Раньше это было возможно.