МАХ - взломали аккаунт ребенка без СМС
Сегодня утром у ребенка МАХ вышел из профиля на телефоне и требует 2FA пароль.
На всякий случай сразу же удалили приложение на случай фишинга и установили заново из RuStore. При попытке регистрации, смс приходит, принимается, и далее требует дополнительный пароль который мы не устанавливали. Почта не привязана, по этому предлагает только удалить аккаунт и попробовать зайти через 7 дней.
Поддержки у МАХ нету, только бот который также предложил удалитить аккаунт и ждать 7 дней.
Очевидно что кто то получил доступ к аккаунту.
Я бы мог подумать что ребенок скомпрометировал устройство, но в СМС сообщених нету попыток входа кроме наших ну и в целом он образован в этом плане и ни кому ничего бы не передавал бы. Доступа третьих лиц к телефону ночью не было. По этому делаю вывод что МАХ был взломан без получения СМС на телефон, либо это технический сбой.
Поскольку поддержки у МАХ нету пишу здесь и еще отправлю письмо на support@max.ru с следующими предложениями:
1) Предлагать привязывать свою почту по умолчанию при регистрации МАХ (эта возможность скрыта и неочевидна)
2) Дублировать на эту почту логи всех действий с безопасностью такие как установка 2FA пароля
3) Разобраться как возможен взлом/установка 2FA пароля без прихода СМС третьими лицами
И жутко бесит этот момент что на 7 дней можно остаться без связи и полное удаление профиля, которое пришлось нажать. При этом злоумышленники могут производить попытки входа, и возможно это сбросит счетчик ожидания "дней до удаления".
МАХ сделайте пожалуйста публикацию по безопасности, напишите что делать в такой ситуации пользователям и как вы собираетесь решать такие проблемы ?
update:
Пришел ответ с support@max.ru
Как видно по email тоже поддержка не работает, просто отписка.
А на пикабу бывают представители МАХ ?, или люди у которых есть выход на людей у которых есть доступ к команде разработчиков/руководителей МАХ ?
update:
Вопрос к тем кто минусит сообщение, напишите, пожалуйста, причину:
1. Вы хотите чтобы об этих проблемах никто не писал и не видел ?
2. Вы разработчики МАХ ?
3. Вас бесит МАХ, блокировки и вы хотите чтобы все страдали вокруг включая автора ?
4. Какие еще причины могут быть, реально не доганяю ?
UPD:
Прошло более 7 дней, профиль так и не был удален. Войти не удалось.
Честно сказать это выглядит очень сыро небезопасно и тревожно.
Но у нас в городе не работают толком звонки, уже много мест где обычная связь просто прерывается (слов не разобрать). СМС не доходят, VPN в любой момент могут забанить... а МАХ это хотья какая то дополнительная возможность для общения.
p.s. прошу поднять пост, чтобы его могли увидеть люди которые могут помочь.
