Ограбление по-дилетантски или о том, как Яндекс хранит пароли
Многие (хабро)люди рискуют «профукать все полимеры», используя сервисы Яндекса для сбора корреспондеции или фильтрации спама с других почтовых ящиков. Вопрос встал особенно остро, когда с недавних пор в Я.Онлайне появилась опция слежения за несколькими почтовыми аккаунтами. Если злоумышленники выкрадут\подберут ключи к Вашей учетке, то у них в руках тут же окажутся вторичные явки\пароли. Как ребята из Яндекса могли допустить такой промах, я ума не приложу. Кстати, ситуация актуальна уже несколько лет. Ниже приводится иллюстрация уязвимости.
Топик подготовлен jeditobe, опубликован мной, так как у автора не хватает кармы. Это первый его пост.
1.Заходим в Яндекс.Почту, далее жмем по ссылкам «настройки» и «вид почты».
2.Выбираем «классический» интерфейс.
3.Жмем по ссылкам «настройки» и «сбор почты»
4.Подаем на страницу со списком всех ящиков, которые мониторит сборщик.
5.Выбираем любую из заинтересовавших записей, кликнув на соответствующую ссылку — откроется всплывающее окно с настройками.
6. Заглядываем в исходный код содержимого всплывающего окна и среди немногочисленных срок находим несколько весьма интересных.
Яндекс использует для этих страниц протокол http://, что позволяет перехватить в сетевом трафике логины и пароли.
UPD Перенесено в блог Информационная безопасность
UPD2 Ответ сотрудника Яндекса
Как убрать звездочки в яндекс почте
© Valve Corporation. Все права защищены. Все торговые марки являются собственностью соответствующих владельцев в США и других странах. Политика конфиденциальности | Правовая информация | Соглашение подписчика Steam | Возврат средств
Установить Steam
Все обсуждения > Форумы Steam > Русскоязычный Форум > Подробности темы
Тема закрыта
13 авг. 2015 в 4:56
Помогите узнать почту
Помогите узнать что эта за почта- N*******@m*******.***.это почта взломщика,от Суппорта ни ответа ни привета уже 3 неделю,решил своими силами попытатся,вообщем мне главное знать,что это за Почта,ну тип ЯНдекс или МЕйл и т.д.
Сообщения 1 – 13 из 13
13 авг. 2015 в 5:04
Автор сообщения: ⌘ ID ⌘
Пробуй вместо звездочек ставить символы, и писать туда, узнавать, может поможет.
Я например не экстрасенс. Но думаю почта эта NNNNNNN@mail.ru проверь.
Там смотри,7 Звезд,значит не мейловская почта точно,и окончание идет видимо на.com
13 авг. 2015 в 5:06
Автор сообщения: Сергей Пахомов
Автор сообщения: ⌘ ID ⌘
Пробуй вместо звездочек ставить символы, и писать туда, узнавать, может поможет.
Я например не экстрасенс. Но думаю почта эта NNNNNNN@mail.ru проверь.
Там смотри,7 Звезд,значит не мейловская почта точно,и окончание идет видимо на.com Открою тебе тайну — есть одноразовые почтовые ящики.
13 авг. 2015 в 5:07
А может окончание на .net ? Откуда такая уверенность ? Зон не так много, а вот домен может быть любым. Предлогаете поиграть в угадалки ? Каким образом мы вам можем подсказать этот адрес почты, если мы даже понятия не имеем о чем речь.
13 авг. 2015 в 5:07
Автор сообщения: Emitedoroom
Автор сообщения: Сергей Пахомов
Там смотри,7 Звезд,значит не мейловская почта точно,и окончание идет видимо на.com
Открою тебе тайну — есть одноразовые почтовые ящики.
мда. а так вообще нету вариков,что это за почта?
13 авг. 2015 в 5:10
Автор сообщения: Сергей Пахомов
Автор сообщения: Emitedoroom
Открою тебе тайну — есть одноразовые почтовые ящики.
мда. а так вообще нету вариков,что это за почта? А что изменится, если найдёшь?
13 авг. 2015 в 5:13
Автор сообщения: Emitedoroom
Автор сообщения: Сергей Пахомов
мда. а так вообще нету вариков,что это за почта?
А что изменится, если найдёшь?
Буду мстить)
13 авг. 2015 в 5:26
Автор сообщения: Сергей Пахомов
Автор сообщения: Emitedoroom
А что изменится, если найдёшь?
Буду мстить) Кому ты будешь мстить?Даже если ты узнаешь буквы после @m, сам адрес почты тебе не будет известен, только сервис, на котором эту почту создали.
А если почта одноразовая — вся твоя *мстя* уйдёт вникуда.
Отредактировано Emitedoroom; 13 авг. 2015 в 5:27
13 авг. 2015 в 6:14
он просто ддоснет почтовый сервис сей
13 авг. 2015 в 6:31
Автор сообщения: Mryx
он просто ддоснет почтовый сервис сей
когда меня обидели, и я знаю почтовый адрес обидчиков — подписываю их на рассылки всяких майлплейсити. Поэтому меня никто не обижал)
13 авг. 2015 в 6:40
Автор сообщения: Ray
Автор сообщения: Mryx
он просто ддоснет почтовый сервис сей
когда меня обидели, и я знаю почтовый адрес обидчиков — подписываю их на рассылки всяких майлплейсити. Поэтому меня никто не обижал)
Это просто гениально =)
13 авг. 2015 в 7:11
Автор сообщения: Mryx
Автор сообщения: Ray
когда меня обидели, и я знаю почтовый адрес обидчиков — подписываю их на рассылки всяких майлплейсити. Поэтому меня никто не обижал)
Это просто гениально =) Гениальнее не придумать.
1. Разве кто-то заходит на почту каждый день\неделю просто так? нет!
2. Подписываем почту на 10 разных рассылок (или больше!)
3. Большинство рассылок не попадают в спам.
4. За пару месяцев почта будет уничтожена
Как в Яндекс Почте убрать функцию группировки писем
Во многих почтовых сервисах есть различные варианты группировки писем. Это может быть, например, группировка от конкретного отправителя или по ключевым словам в теме сообщения. Такой вариант для входящих сообщений довольно удобный, ведь не надо будет искать послание от нужного человека во всей почте. Достаточно только открыть нужную папку и увидеть то послание, которое надо быстро отыскать. Однако иногда группировка писем может перестать работать, так как встроенный алгоритм неправильно определил тематику послания и отправил его совсем не в то место, которое требуется. Поэтому иногда приходится отключать данную функцию почтового сервиса. Но далеко не все пользователи знают, как можно в Яндекс Почте убрать группировку писем. Далее в этой статье опишем, как можно выключить данную функцию: в браузере на компьютере и мобильном варианте веб-интерфейса на смартфоне, а также через фирменное приложение.
Использование почтовых сервисов удобно, потому что просто и быстро можно выполнить все настройки и начать работу. Стоит отметить, что в случае, если варианты настроек и характеристики такого сервиса не позволяют реализовать все ваши желания, то можно самостоятельно развернуть свой почтовый сервис. Для этого можно, например, взять выделенный сервер в аренду. Это актуально для организаций, требующих высокой конфиденциальности пересылаемой и хранимой информации или особой реализации механизма управления корпоративной почтой.
В браузере на ПК
В данном разделе рассмотрим, как можно отключить группировку писем в Яндекс Почте в десктопной версии программы на компьютере. Для этого необходимо сделать такие шаги:
- Открываем сайт почтового сервиса от Yandex, потом проходим авторизацию при помощи имени пользователя и кода доступа.
- После этого попадаем в почтовый ящик, где надо справа вверху кликнуть по строчке «Вид» со стрелочкой.
- Потом в выпадающем меню нужно просто убрать галочку около пункта «Группировать письма».
Как только галочку около данного пункта будет убрана, сразу же отменится группировка писем в почтовом ящике. Вернуть группировку писем обратно можно в любой момент при помощи той же самой процедуры
В веб-обозревателе на смартфоне или планшете
Теперь рассмотрим ниже отключение группировки писем в Яндекс Почте в мобильной версии сайта. Для этого надо будет сделать следующие шаги:
- Открываем мобильную версию сайта Яндекс Почты на смартфоне или планшете. Для этого можно использовать следующие ссылки — yandex.ru/touch или mail.ya.ru
- Далее кликаем по иконке в виде трех полосок слева вверху на экране. В открывшемся контекстном меню щелкаем по строчке «Полная версия».
- После этого откроется полная версия почтового сервиса. Дальнейшие шаги будут аналогичны ранее описанным в предыдущем пункте. Кликаем по пункту меню «Вид» со стрелочкой справа вверху.
- Конечный шаг — в выпадающем меню убираем галочку около строчки «Группировать письма».
В мобильном приложении
Функция отключения группировки посланий доступна и в мобильном приложении от Яндекса. Порядок действий при этом будет таким:
- Открываем мобильное приложение Яндекс Почта и авторизуемся при помощи логина, пароля.
- Затем слева вверху кликаем по гамбургер-меню, а потом в выпадающем списке щелкаем по строчке «Настройки». Рядом с ней отображается иконка в виде шестеренки.
- После этого в новом окошке кликаем по названию своего аккаунта.
- Пролистываем открывшееся окошко и находим строчку «Группировать письма». Переводим бегунок около нее влево, чтобы отключить группировку посланий.
Группировка писем в мобильном приложении после этих действий будет отключена. Как и говорилось ранее в данном материале, вы можете всегда вернуть обратно группировку посланий при помощи точно такой же процедуры. При этом надо понимать, что отключение данной функции в десктопной версии на ПК автоматически приведет к тому, что они не будут группироваться в мобильной версии почтового сервиса и мобильном приложении на смартфоне, планшете.
Заключение
Разработчики Яндекс Почты добавили группировку сообщений, чтобы упростить работу с почтовым ящиком. Она позволяет довольно удобно сортировать входящие и исходящие послания по нужным папкам. Но иногда данный функционал по ряду причин надо выключить. Сделать это можно, используя различные способы на разных устройствах. Для этого в этом материале приведены подробные инструкции по отключению данной опции. Вы всегда сможете включить обратно данную функцию, если потребуется.
Просто чудо из чудес, об этом знает целый лес. Яндекc.ID
Много лет я пользуюсь сервисами Яндекса и до сих пор меня все относительно устраивало: почта, станция, облако, kinopoisk.hd, новый сезон смешариков. В общем, все было хорошо до появления Яндекс.ID. Протухла у меня однажды сессия в браузере и понеслась.
Ввожу я, значит, правильный логин и пароль, а меня просят ввести.
Ответ на контрольный вопрос, контрольный, его, вопрос.
Откуда? Кому такое могло прийти в голову?
- почему нельзя выслать СМС на номер телефона, который вы меня обязали привязать?
- кто, вообще, помнит ответы на свои контрольные вопросы?
- покажите мне пальцем сервис, который просит ввести контрольный вопрос при логине
- куда смотрели инженеры QA, когда это выпускали?
Что делать? Давайте попробуем обратится в поддержку?
Это просто гениально и находится на недостижимом уровне. Поддержки нет, её просто нет. Что бы ты не выбрал, тебя просто еще раз попросят прочитать документацию. Представляю, как это придумали — а давайте мы забьем на пользователей, они все равно тупые, и просто скинем им ссылку на документацию как поддержку.
Ладно, доступ как-то надо восстанавливать, нахожу планшет с рабочей сессией, пытаюсь изменить контрольный вопрос. И?
Меня опять просят ввести этот контрольный вопрос, просто нет слов.
Что делать дальше? Попытаемся настроить 2FA с QR кодом. Читаем следующее:
Ага, забывать PIN код тоже нельзя, а то больше никогда не войдешь в свой аккаунт. Знаем мы, как потом тебе поддержка поможет.
И о чудо, наконец-таки после этого я вошел в аккаунт. По 2FA. Азбука. Б. Безопасность, которая называется 2FA. Двухфакторная аутентификация. А я вхожу в аккаунт по одному QR-коду. Одному.
Что же дальше. Все закончилось? Нет, я лег спать и ночью в 4 часа утра Алиса мне начала орать на ухо — вы вышли из аккаунта, привяжите станцию повторно. Это было последней каплей.
У меня еще есть 3 аккаунта, в которые я уже не смогу войти таким образом. Это петиция и от лица всех пострадавших я требую выполнения следующих условий (если бы была форма обратной связи, я бы написал туда, но её, увы, нет):
- спрашивать контрольный вопрос при логине, только если это разрешено ранее в настройках
- разрешить нормально менять контрольный вопрос без указания предыдущего ответа (пусть даже через СМС на телефон)
- сделать галочку — спрашивать пароль при 2FA. Это называется безопасность
- сделать галочку — запретить восстановление пароля по привязанному телефону. Восстановление пароля по телефону — это не безопасность. Любой бомж придет в салон связи, даст взятку и получит доступ к телефону и любой почте.
- Информационная безопасность
- IT-компании