@Mail.ru, Ну вы чё?!
Мы живем в век высоких технологий. Те, кто носят шапочку из фольги - ходят с кнопочным телефоном, остальные же с горем пополам придумывают хитрые пароли для доступа к веб приложениям. Самые грамотные давно используют двухфакторную аутентификацию.
Но, допустим, последнее у вас не установлено. Мы сейчас не ведём речь о выборе того, или иного почтового сервиса, хотелось бы просто донести о некотором формате действия злоумышленников, дыбы обезопасить читающих этот пост.
Итак,
1. У вас не включена двухфакторка
2. Ваш пароль «в зоне риска» (это те пароли, которые легко подобрать с помощью определенного софта), ну либо вы скомпроментировали пароль
Важные вводные:
1. У вас в настройках установлен основной номер телефона (и вот тут-то многие попадаются, они думают, что это для двухватрки, ну вот такой UX у мэйла)
2. Вы даже указали почту дополнительную
К слову, обе эти позиции нацелены на облегчение жизни пользователя в случае «ударили по голове, забыл пароль»
Начнём
Злоумышленник получил доступ к вашей почте (сам ли вы «лох», или звезда смерти подобрала пароль), как не суть важно.
Он заходит в данные о номере телефона
Тут же он нажимает кнопку «Добавить» и указывает номер, к которому он (злоумышленник) имеет доступ
Далее остаётся только подтвердить номер телефона
Вносим последние 6 цифр с номера из Вашингтона (или другого западного города), с которого вам позвонили и вуаля, номер добавлен и теперь этот номер уполномочен так же восстанавливать доступ и прочее, как и предыдущий
Видим теперь уже два номера телефона и нажимаем на корзинку возле телефона хозяина
В общем-то вы поняли, что нажимается кнопка с тем, что доступа нету к номеру. Ведь это и правда, ведь номер мог быть утерян. Смело он (злоумышленник) эту кнопку нажимает и мы видим, что запрос принят
Принят он только с одной поправкой, что будет удалён через 14 дней, при этом видим в ЛК вот так:
Тоже самое можно сделать и с почтой.
А что дальше? А дальше вы пишете в мыло.ру и говорите, что вас взломали. Говорите роботу, или админу, которому плевать в общем-то на вас. Вы подтверждаете свою личность ответами на нехитрые вопросы. И Вам восстанавливают доступ.
Вы клянётесь, что больше никогда не забудете о двухфакторной аутентификации, тут пожалуй можно было бы закончить, НО!
Вы видите, что номер, который установил злоумышленник всё ещё в списке. Вы хотите его удалить. Нажимаете «корзину», принимается запрос на удаление в 14 дней (всё с той же поправкой о доступе к номеру)
Нажимаете на корзину (уже весь красный от гнева) ещё раз. О чудо!!! (Нет) он просит вас внести СМС код. А злоумышленник в это время спалил, что вы его спалили ( это важно ) и вам остаётся просто ждать 14 дневный срок.
Вы бежите на соседнюю вкладку «безопасность», что бы включить двухфакторку, вносите свой номер телефона , но них%! не происходит, ответа от сервиса нет.
Ну а пока вы ищете как связаться с самой де&@)()ой поддержкой в мире (у них даже чата нет), ваш взломщик, сукин сын, уже восстановил доступ по своему номеру и удалил ваш! А удалил ваш номер спокойно , знаете почему? Потому что этот номер новый и его можно удалить без подтверждения (Карл) и не в 14 дневный срок.
Знаете, что @Mail.ru, шли бы вы в ж@«у!!!
Если бы вы обрабатывали бы запросы о взломе качественнее (по крайней мере там, где клиент подтвердил личность), то вот таких ситуаций можно было бы избежать. А пока вы там чешете яйца, это хейтер/ школьник/ агент из матрицы (или кто он там) со скриптом (или не ) уже снова изменил доступ.
Убогий UI, убогий UX, убогая поддержка.
На этом всё.
P.s. Попался я на почту для рассылок, захожу туда раз в две недели. Есть рассылки с чеками. Распутал этот этот клубок и офигел насколько сервис не дорожит своей репутацией.
P.p.s. Надеюсь, что вы, читатели, будете внимательнее.