Comments 188
Я бы на Вашем месте после первого угона перешел на нормальную почту…
К сожалению, у меня слишком много чего завязано на нее… Да и я подумал, что верификация сотовым телефоном должна меня спасти :)
Ну можно было постепенно переходить (переадресация писем и т.д...) — я так и сделал пару лет назад, теперь mail.ru только для второстепенных форумов использую… Но логика программистов тут бесподобна конечно. Функция оповещения об угоне почты, можно было сразу так назвать:)
Удачи Вам с восстановлением.
Удачи Вам с восстановлением.
UFO just landed and posted this here
Подойдет такая схема — уйти на другой почтовик! Пусть майлом пользуется другое поколение.
Да, согласен. Надо сваливать. Просто, меня ввела в заблуждение возможность привязать сотовый. Почувствовал себя в безопасности, так сказать…
UFO just landed and posted this here
Адрес обыкновенный. Ящик по большей части для личного пользования. Думаю, угоняют-таки боты… но вот как — хз. Пароль несловарный, с циферками, 15 символов, больше нигде не используется…
Обновлять, конечно же, — буду.
Обновлять, конечно же, — буду.
Мои две копейки — может вы последнее время где то читали почту используя free wifi точки?
Пароль могли угнать именно там.
Пароль могли угнать именно там.
Шифрование нынче не спасает?
HTTPS? Нет, уже не спасает. Это как раз случай, когда у злоумышленника есть все возможности сделать это — в его распоряжении бокс между клиентом и вебом
если хотите поподробнее, то искать по словам https Man-in-the-middle
Случайно предупреждений в этом случае быть не должно?
при тупой подмене сервера — да должны. но несколько недель назад проскакивало, что накрутили новую методу, по ней ошибка подтверждения сертификата не появляется
вот, вроде примерно так
informationweek.com/news/security/vulnerabilities/231601759
informationweek.com/news/security/vulnerabilities/231601759
Скорее всего маловероятно, тут похоже у жулика была цель взять именно его ящик. Если бы ящик был украден массово, пароль бы не меняли, а просто бы вытянули всю корреспонденцию на наличие паролей/кредиток.
У родственника угнали ящик с целью завладения красивым номером ICQ, вернуть номер так и не получилось, ибо привязку номера к почте можно легко изменить.
Может на телефоне зараза какая-нибудь поселилась? Я жене тоже майл привязал к телефону на всякий случай, теперь думаю что зря только время потратил.
Вовсе не зря! Я ниже объяснил ситуацию. Все правильно сделали!
Не помню, есть ли такое у гугла, но вот с яндексом, если очень хочется продолжить писать с ящика на майл.сру, можно добавить адрес старой почты (активировать его) и поставить его по умолчанию для новых писем и для ответа.
Это к выше сказанному. Для особого изощренного изврата. :)
Это к выше сказанному. Для особого изощренного изврата. :)
Вы знаете, через 3 дня после такой потери (сменили емейл, посыпался жесткий диск, умер телефон с контактами) — понимаешь, насколько легко можно обходиться без этого имущества, ранее казавшегося жизненно важным.
Плюсанул на 5. С mail.ru сталкивался с проблемой когда ящик вдруг перестал работать и через месяц (пока мы пытались восстановить доступ) — появился новый владелец. Говорит что зарегистрировал ящик как новый — был не занят. А mail.ru Ответил что ящик был неактивным более 6 месяцев и они его удалили (что есть чушь).
На майле я смотрю тенденция, вчера xss нашли, сегодня сотовые обошли, а стоит ли игра свеч? Ведь там большинство регистрируется лишь из-за — «Мой мир», либо для распространения спама etc.
Живые ящики с мейл.ру продаются по цене 5$ за 1000 штук.
Только вдумайтесь — 0,5 цента за ящик, среди которых может оказаться и ваш!
Только вдумайтесь — 0,5 цента за ящик, среди которых может оказаться и ваш!
Сегодня читал что уже за 1$ можно купить 1000 штук, обесценивается компания дня.
Ну товарищи, это же не «живые ящики», а регистрации скриптами, через ботнеты. Да, у нас можно зарегистрироваться по капче, а поскольку разгадывание капчи стоит дешево — то боты регистрируются пачками. Но, честно говоря, мы контролируем ситуацию и большинство этих ботов у нас «под колпаком» ;-)
А подскажите, когда это было? Удаление отменено в начале этого года, по идее теперь это невозможная ситуация.
Человеку, у которого три раза угоняли почту через секретный вопрос надо не почту менять, а подумать над секретными вопросами и ответами.
Созрел до двухэтапной авторизации в gmail, сходил включил.
Да черт с ней, с авторизацией! Это-то ладно. Но вот отвязка сотового без верификации — это какой-то нонсенс!
А как иначе?
Потеряли вы телефон, контракт истёк — решаете сменить номер в настройках, а он вам смс на старый номер?
Потеряли вы телефон, контракт истёк — решаете сменить номер в настройках, а он вам смс на старый номер?
Например можно телефон отвязывать в течении недели, т.е. если в течении недели на кучку sms ушедших на телефон никто не среагировал — отвязываем. А так, у реального владельца будет время, что бы предпринять какие либо действия. Да и… кто мешает реализовать привязку к 2-м номерам сразу? Один висит в отвязке, второй действует (это для вашего примера с истекшим контрактом).
У меня телефон валяется в столе, к нему вебманя привязана, вспоминаю я о нем лишь только когда надо посмотреть код во время совершения сделки, а это бывает раз в 3 месяца, думаю отвязываться телефон не должен. Тут нужно пересматривать политику безопасности компании. На счет привязки второго номера полностью с вами согласен, сегодня в гугле хотел вторую симку добавить, но нет, нельзя.
О, вот именно так мы и сделали в итоге, после аналогичных раздумий и анализа вариантов ;-)
Потерял телефон — пошел в офис сотового оператора и восстановил номер. Вообще не вопрос.
Только если номер на вас зарегистрирован, очень много народу регистрируют номер на паспорт знакомых и т.п. а потом жалуются. У меня сотрудник так и растерял всех клиентов, когда бросил девушку, а симка была на нее зарегистрирована, она ее просто заблокировала и все.
Пусть это по хамски, но почему Шерифа должны интересовать проблемы индейцев? Потеряли телефон, который зарегистрирован не на вас, по моему это называется «Сам Себе Злобный Буратино».
Был случай. Потерялся телефон. А симка вообще на неизвестно кого зарегистрирована, т.к. при подключении торопились, а подключавший мальчик даже не заполнил никаких данных. Для восстановления симки достаточно было назвать PUK код. А вот, чтобы сменить владельца, надо было отвечать на глупые вопросы, кому куда зачем звонил, без телефона на которые ответить нереально.
Зачастую — купить новый припейд дешевле, чем восстановить старый номер. и многих — это устраивает.
На Украине сим карты продаются свободно, без паспорта. Так что для украинцев это не выход.
Я тоже сегодня включил, правда после прочтения другого топика о попытке угона доменов у магазина.
второй пост про угон аккаунтов на Хабре сегодня!
тоже включил.
тоже включил.
По IP они привязку случаем не придумали? сегодня искал мимолетно, но в пустую.
UFO just landed and posted this here
Попробуйте, если найдете какую-либо дырку — сообщите мне, пожалуйста :-) Пока что дырок не видно.
Это печально
Ждем комментариев представителей компании из этого длинного списка…
Ответил ниже
в саппорт/представителям Яндекса на Хабре отписались?
Прям день угонов почты на хабре.
Пошел привязку врубать и пароли менять.
Пошел привязку врубать и пароли менять.
Обратите внимание на блок «Компания дня» в правой колонке Хабра. Действительно компания дня ))
> Раза 4 заполнял их форму.
Чтобы быстро восстановили доступ к почте на майле, нужно указать с какого IP адреса проверяешь почту (если динамический, то тот который у тебя в данный момент), каким браузером пользуешься (с точностью до версии), в какое время последний раз проверял почту, через веб или через стороннюю программу. Чем больше таких тонкостей укажешь, тем быстрее получишь письмо для смены пароля. Проверенно уже несколько раз, самое долгое пришлось ждать ответа около 6 часов и то были выходные.
Чтобы быстро восстановили доступ к почте на майле, нужно указать с какого IP адреса проверяешь почту (если динамический, то тот который у тебя в данный момент), каким браузером пользуешься (с точностью до версии), в какое время последний раз проверял почту, через веб или через стороннюю программу. Чем больше таких тонкостей укажешь, тем быстрее получишь письмо для смены пароля. Проверенно уже несколько раз, самое долгое пришлось ждать ответа около 6 часов и то были выходные.
Тогда именно так и делал. Айпи статичный и 95% проверок почты было именно с него. Нифига! Получал стандартный отбой типа «указанной информации недостаточно для восстановления»
В дополнительной информации это указывать надо.
Да, именно так и делал, говорю же!
Что-то тут не так, майлру всегда быстро восстанавливал доступ, буквально проделывал это пару недель назад, может они там уже все поменяли вместе со своим новым интерфейсом, стало очень интересно! пошел проверять!
Я тоже очень удивлялся. 4 раза отправлял им всяческие сканы документов, свой статик IP, информацию о почтовом клиенте и т.п.
Но — нифига. Каждый раз получал стандартный отбой. Такое чувство, что никто даже не читал мои комменты.
Возможно, с тех пор что-то изменилось… Очень надеюсь.
Но — нифига. Каждый раз получал стандартный отбой. Такое чувство, что никто даже не читал мои комменты.
Возможно, с тех пор что-то изменилось… Очень надеюсь.
Искренне сочувствую! Думаю вы уже смотрите в сторону другого почтового сервиса.
Да, с того времени работа службы поддержки действительно радикально изменилась. Мы писали об этом на Хабре недавно: habrahabr.ru/company/mailru/blog/128445/
Как представитель компании по существу вопроса не прокомментируете — номер телефона действительно меняется так легко (без предварительной отсылки сообщений на старый)?
Ответ дан, спасибо.
Прокомментировал ниже — просто долго писал ;-)
что удивительно, только позавчера жена озаботилась вопросом о том, что не помнит пароль от mail.ru, а для того чтобы сменить пароль на новый нужно указать старый. В итоге, не надеясь на благополучный исход, заполнила оный формуляр, указав что помнит (и на вопросы типа «когда регистрировались» тоже ответить не смогла — ящику более 10 лет). И каково было наше удивление, когда вчера утром ей пришла ссылка на создание нового пароля для ящика…
> Проверенно уже несколько раз
И часто приходится восстанавливать?
И часто приходится восстанавливать?
UFO just landed and posted this here
Мне кажется оба случая дело рук одного и того же человека. И компьютер или еще что-то где-то палится. Хотя конечно же архитектору безопасности mail.ru надо сделать ата та та.
UFO just landed and posted this here
Если ввести отвязкус подтверждением с оригинального номера, как быть с кражей/утерей телефона?
Видимо восстанавливать сим карту придется.
Никак, номер телефона возвращается с новой симкартой.
У нас в России есть старая добрая традиция, покупать новый номер, каждый раз как потерял телефон…
Не ожидал, что среди местного контингента есть такие люди.
Не ожидал, что среди местного контингента есть такие люди.
Видимо, у нас в России есть старая добрая традиция при оформлении сим-карты вписывать ФИО и прочие данные от балды.
Таких людей миллионы! А потом они звонят оператору и задают вопросы — а вы не подскажете почему у меня снимают деньги по непонятным мне причинам (естественно задолжность на других сим картах)
Да ещё поменять оператора на самого выгодного в данный момент.
Как хорошо что с этой говнопочтой дел не имею, о бурлениях спама приходящего мимо их «спам-фильтра» вообще молчу.
UFO just landed and posted this here
Ну а что прикажете делать если телефон украли или телефон поменял?
Восстановление доступа со старого телефона все-таки должно быть.
Google apps = gmail на своем домене
Восстановление доступа со старого телефона все-таки должно быть.
Google apps = gmail на своем домене
У меня один номер с 2000 года, за это время столько произошло, главное чтобы симка на тебя была оформлена, восстановить всегда получится!
У меня тоже. Но очень много людей, которые меняют телефон достаточно часто.
В случае утери лень восстанавливать или жадность за восстановление деньги платить.
А вот почему остальные, кто не терял, для меня загадка.
В случае утери лень восстанавливать или жадность за восстановление деньги платить.
А вот почему остальные, кто не терял, для меня загадка.
Мне кажется, что «восстановление сим-карты» стоит максимум рублей 100. А то и бесплатно.
Если настолько жадность, что аж 200 рублей жалко, то о какой безопасности вообще может идти речь? Кстати, как минимум у Билайна восстановление бесплатное и делается за 5 минут после обращения (т.е. пришел, показал паспорт, забрал симку со старым номером).
А зачем привязывать почту к номеру телефона за который не держитесь? =)
Может и правда проще пойти и купить новую сим карту, чем куда-то ехать и что-то писать и т.п.
У другого оператора могут быть более выгодные тарифы, например. Я так, собственно, всех операторов большой тройки «прошёл».
У меня номер с 2000го в 2007м уехал на 2года, по приезду смку уже раз 5 перепродали и даже наличие договора и старой симки не помогло.
Да, сейчас тоже предстоит уезд — и перспектива раз в 180 дней вставлять симку и пользоваться «любой платной услугой» чтоб номер не забрали — не впечатляет.
Вообще печально, что, с одной стороны, многие сервисы используют мобильный номер как «последний рубеж» аутентификации, но при этом нет возможности (до сих пор) юридически закрепить номер за собой (в случае переезда, смены оператора, etc.)
Вообще печально, что, с одной стороны, многие сервисы используют мобильный номер как «последний рубеж» аутентификации, но при этом нет возможности (до сих пор) юридически закрепить номер за собой (в случае переезда, смены оператора, etc.)
Аналогично, номер с 2003 года, воровали телефон, симка горела еще что то было. Получается другая и нет проблем.
Включил двух этапную авторизацию на гугле пару дней назад, после похожей статьи.
Включил двух этапную авторизацию на гугле пару дней назад, после похожей статьи.
А что за почта такая что её угоняют? Т.е. там под чёрненькой полосой что-то типа putin@mail.ru или что-то более ординарное? Интересно какие мотивы-то у этих «угонщиков».
Ничему людей жизнь не учит. Я до сих пор удивляюсь, как еще кто-то пользуется этим почтовиком. Это же аморально. Переадресация решает проблему с переездом в пару кликов.
//irony mode on//
Да! Я таки дождался этого топика, это же mailru!
//irony mode off//
Это уже совсем как то дико, или обновление накатывали какое нибудь, или дыра может в восстановлении есть.
Да! Я таки дождался этого топика, это же mailru!
//irony mode off//
Это уже совсем как то дико, или обновление накатывали какое нибудь, или дыра может в восстановлении есть.
Лучшее восстановление пароля от mail.ru — это самому брутануть гидрой, медузой.
А вообще по личному опыту — виновника искать надо среди своих знакомых (врагов).
вообще Почту в студию!!! (для дружественного брута) — вдруг получится помочь хабрабрату.
А вообще по личному опыту — виновника искать надо среди своих знакомых (врагов).
вообще Почту в студию!!! (для дружественного брута) — вдруг получится помочь хабрабрату.
Думаю, это будет очень в тему :-)
опередили меня, то обсуждение очень порадовало
Честно говоря, странный критерий отбора кандидатов.
Слышал в свое время, что если отправить коммерческое предложение в какую нибудь солидную контору с бесплатной почты, то ваше письмо даже не откроют.
даже сейчас, если выслать с адреса ko3RBo4ka@%freemailname%, то его с очень большой степенью вероятности не откроют.
Ну это немного другое. В вашем случае речь идет о корпоративной почте, это нормально.
А в случае по ссылке речь идет о том, что работодателю не устраивает то, чем пользуется человек в повседневной жизни. А между прочим, у мейла уже давно есть более продвинутый интерфейс. Замечу так же, что работодатель сам пользуется яндекс почтой, которая только недавно стала в таком виде, в котором она есть сейчас.
На самом деле, не хочется особо дискутировать на данную тему.
Просто меня реально удивил такой критерий отбора. Хотя, возможно что это, наоборот, кандидатам повезло.
А в случае по ссылке речь идет о том, что работодателю не устраивает то, чем пользуется человек в повседневной жизни. А между прочим, у мейла уже давно есть более продвинутый интерфейс. Замечу так же, что работодатель сам пользуется яндекс почтой, которая только недавно стала в таком виде, в котором она есть сейчас.
На самом деле, не хочется особо дискутировать на данную тему.
Просто меня реально удивил такой критерий отбора. Хотя, возможно что это, наоборот, кандидатам повезло.
Ну, я тоже не согласен с автором, но уж больно интересно там срач почитать :-) У меня самого куча почтовых аккаунтов, в том числе и мейлру с 2002-го года. С почтой на мейлру проблем вообще ни разу не было, в отличие от того же Яндекса.
помню года 2 назад у меил ру был баг, когда можно было сбросить пароль для любого ящика с помощью сотового телефона…
Мне кажется, эта форма восстановления пароля сразу уходит в dev/null. Я из-за нее ящиков 5 на мейле профукал и, подозреваю, профукаю еще немало (пользуюсь как пятиразовым мылом). И да, день, когда я регистрирую на мейл.ру ящик я никогда не запоминаю и в календарике красным не обвожу. Вопрос этот аж бесит.
Я вообще не понимаю, как может быть жива почта, которая удаляет почтовые ящики после ТРЕХ месяцев неиспользования.
yahoo в свое время таким баловался. но то было давно.
У Mail.Ru, к счастью, это тоже уже в прошлом.
п. 8.5 Пользовательского соглашения, чтобы не быть голословным :)
help.mail.ru/mail-help/UA
help.mail.ru/mail-help/UA
Такое ощущение что соглашение где-то скопипастили и чуть-чуть подкорректировали.
Если Вы посмотрите на пользовательские соглашения от других почтовых сервисов (да и многих других сайтов) — то тоже найдете там пункты об удалении за неактивность. Однако наличие такого пункта не означает, что ящики удаляют.
Да, Mail.Ru действительно раньше удалял неактивные ящики, и это было неправильно по отношению к пользователям — поэтому теперь ящики не удаляются.
Да, Mail.Ru действительно раньше удалял неактивные ящики, и это было неправильно по отношению к пользователям — поэтому теперь ящики не удаляются.
Лет 5 о пользователях этой почты у меня одна мысль — про мышей и кактус.
Мэйлру, сжет в очередной раз. И так хватало «пунктиков», на их счет. Спасибо, за ещё один!
Почта, ящик в которой, самоуничтожается если им не пользоваться полгода да еще и становится доступен для повторной регистрации, не имеет права называться почтой.
Всем спасибо за минуса, то что хотел сказать — сказал!
Думаю, что ситуацию прояснит официальный комментарий от Почты Mail.Ru.
А ситуация тут следующая: когда-то давно в Mail.Ru не было верификации телефонов (строго говоря, в начале этого года ее еще не было). Можно было просто указать номер телефона в настройках (любой, без подтверждения), и скрипт восстановления пароля отправлял на него SMS с кодом. Как и другие настройки безопасности, этот телефон можно было указать (или удалить) зная пароль (заметьте, требуется именно ввод пароля, а не просто активная сессия). Очевидно, что такая схема далека от идеала, поэтому мы ее улучшили (об этом ниже).
Так вот, у автора топика был именно такой телефон — не верифицированный. И кто-то (мы знаем его IP и еще кое-что) сегодня зашел в акканут автора и удалил этот телефон. При этом на номер отправилось SMS-уведомление о смене важных данных — эту фичу мы сделали пару месяцев назад (согласитесь, полезно мгновенно узнать о том, что настройки Вашей безопасности изменены).
Так что никаких багов тут нет — злоумышленник завладел паролем и проник в аккаунт.
Теперь о безопасности. Чтобы исключить такие ситуации, несколько месяцев назад мы ввели возможность верификации телефона. Верифицированный телефон удаляется именно с SMS-подтверждением, как разумно заметили тут в комментах. На случай, если Вы утратили этот номер (что опять же отметили в комментах) — можно удалить и без подтверждения, но с большим таймаутом (две недели телефон продолжает «висеть»). Так что теперь, даже если хакер узнает пароль и проникнет в аккаунт, Вы во первых, сразу об этом узнаете, а во вторых — сможете восстановить доступ.
На текущий момент мы в процессе перехода от старой схемы к новой (поверьте, на сотне миллионов пользователей это нельзя сделать мгновенно). Это означает, что мы постепенно предлагаем таким пользователям, как автор топика, верифицировать их телефон — и получить лучшую безопасность. А кто не хочет ждать — просто зайдите в настройки и добавьте свой телефон.
P.S. Ребята, мы правда думаем о безопасности и обо всем остальном, и становимся лучше — но мы физически не можем исправить все проблемы одновременно :-) Уже очень многое сделано, и планы тоже большие. Спасибо, что вы с нами и спасибо, что критикуете, находите дырки, сообщаете о проблемах — мы это очень ценим.
А ситуация тут следующая: когда-то давно в Mail.Ru не было верификации телефонов (строго говоря, в начале этого года ее еще не было). Можно было просто указать номер телефона в настройках (любой, без подтверждения), и скрипт восстановления пароля отправлял на него SMS с кодом. Как и другие настройки безопасности, этот телефон можно было указать (или удалить) зная пароль (заметьте, требуется именно ввод пароля, а не просто активная сессия). Очевидно, что такая схема далека от идеала, поэтому мы ее улучшили (об этом ниже).
Так вот, у автора топика был именно такой телефон — не верифицированный. И кто-то (мы знаем его IP и еще кое-что) сегодня зашел в акканут автора и удалил этот телефон. При этом на номер отправилось SMS-уведомление о смене важных данных — эту фичу мы сделали пару месяцев назад (согласитесь, полезно мгновенно узнать о том, что настройки Вашей безопасности изменены).
Так что никаких багов тут нет — злоумышленник завладел паролем и проник в аккаунт.
Теперь о безопасности. Чтобы исключить такие ситуации, несколько месяцев назад мы ввели возможность верификации телефона. Верифицированный телефон удаляется именно с SMS-подтверждением, как разумно заметили тут в комментах. На случай, если Вы утратили этот номер (что опять же отметили в комментах) — можно удалить и без подтверждения, но с большим таймаутом (две недели телефон продолжает «висеть»). Так что теперь, даже если хакер узнает пароль и проникнет в аккаунт, Вы во первых, сразу об этом узнаете, а во вторых — сможете восстановить доступ.
На текущий момент мы в процессе перехода от старой схемы к новой (поверьте, на сотне миллионов пользователей это нельзя сделать мгновенно). Это означает, что мы постепенно предлагаем таким пользователям, как автор топика, верифицировать их телефон — и получить лучшую безопасность. А кто не хочет ждать — просто зайдите в настройки и добавьте свой телефон.
P.S. Ребята, мы правда думаем о безопасности и обо всем остальном, и становимся лучше — но мы физически не можем исправить все проблемы одновременно :-) Уже очень многое сделано, и планы тоже большие. Спасибо, что вы с нами и спасибо, что критикуете, находите дырки, сообщаете о проблемах — мы это очень ценим.
Очень радует. Спасибо за подробный коммент!
Тогда хотелось бы узнать еще пару вещей:
1. как скоро решится вопрос о восстановлении моего мейла?
2. знание айпишника злоумышленника влечет за собой какие-то действия? или это просто так, к сведению :)
Тогда хотелось бы узнать еще пару вещей:
1. как скоро решится вопрос о восстановлении моего мейла?
2. знание айпишника злоумышленника влечет за собой какие-то действия? или это просто так, к сведению :)
Если злоумышленник не дурак, это не его реальный айпишник будет :)
Пожалуйста. Отвечаю:
1. Тут выше писали, что саппорт обычно решает проблему в течение нескольких часов… но поскольку Вы довольно «громко» обратились, то Вас уже обрабатывает специальный сотрудник :-) Насколько я понимаю, уже все решилось.
2. Как правило, ничего не влечет, потому что (как тут верно отметили) обычно это IP из ботнета — т.е. компьютер какого-нибудь ничего не подозревающего пользователя. Причем, чаще всего, динамический. Если есть шанс улучшить ситуацию, то пишем на abuse-контакты провайдера, которому принадлежит этот IP.
1. Тут выше писали, что саппорт обычно решает проблему в течение нескольких часов… но поскольку Вы довольно «громко» обратились, то Вас уже обрабатывает специальный сотрудник :-) Насколько я понимаю, уже все решилось.
2. Как правило, ничего не влечет, потому что (как тут верно отметили) обычно это IP из ботнета — т.е. компьютер какого-нибудь ничего не подозревающего пользователя. Причем, чаще всего, динамический. Если есть шанс улучшить ситуацию, то пишем на abuse-контакты провайдера, которому принадлежит этот IP.
>но поскольку Вы довольно «громко» обратились, то Вас уже обрабатывает специальный сотрудник :-)
Вот так и появляются массовые «письма к Президенту» :(
Вот так и появляются массовые «письма к Президенту» :(
ВНИМАНИЕ! Это комментарий для всех, кто читает эту страницу в поисках решения своих проблем с Mail.Ru.
С момента событий, упомянутых тут, прошло более 5 лет. Я уже давно не работаю в Mail.Ru, поэтому писать мне не нужно. Поскольку я очень тепло отношусь к Почте и Mail.Ru в целом, я конечно вам отвечу, но ответ будет следующий (считайте, что вы его уже получили):
С момента событий, упомянутых тут, прошло более 5 лет. Я уже давно не работаю в Mail.Ru, поэтому писать мне не нужно. Поскольку я очень тепло отношусь к Почте и Mail.Ru в целом, я конечно вам отвечу, но ответ будет следующий (считайте, что вы его уже получили):
Прежде всего, пройдите стандартным путем восстановления пароля. Если вы не помните данные, вы попадете на большую форму, которую надо максимально подробно заполнить – и в течение 1-2 рабочих дней вам ответят. Если с этим возникают какие-либо трудности, пожалуйста, пишите на support@corp.mail.ru – там работают адекватные люди, которые обязательно рассмотрят вашу заявку. Впредь, чтобы избежать проблем, привязывайте свой мобильник к ящику.
Получается, что у вас есть три категории пользователей:
1. Вообще не указали телефон в настройках аккаунта.
2. Указали телефон достаточно давно, когда его ещё не требовалось валидировать (подтверждать по коду из SMS).
3. Указали телефон в настройках относительно недвано и при этом подтвердили его (прошли валидацию номера по SMS).
И, как мне кажется, очень многие ваши пользователи, которые (как и автор топика) относятся ко 2-й категории, не понимают разницы между 2-й и 3-й категорией. Т.е. вообще даже не предполагают, что такое различие существует. Они искренне уверены, что раз когда-то в настройках указали телефон, то теперь любые изменения аккаунта (включая удаление или изменение номера телефона) будут проходить только через подтверждение через SMS.
Вот читателям Хабра вы сейчас в комментарии пояснили эту совершенно неочевидную разницу. А ведёте ли вы разъяснительную работу среди своих пользователей? Ваши пользователи, которые указали номер давно и не подтвердили его кодом из SMS, получили информационное письмо от администрации сервера с подробным объяснением на пальцах этой ситуации? В этом письме должно было объясняться, что хоть номер телефона и указан, но нужно ещё пройти валидацию, а иначе возможны такие-то негативные последствия и вот такие-то действия смогут быть совершены даже без подтверждения через телефон.
Плюс кроме письма такое предупреждение должно выводиться на экран сразу после логона через веб-интерфейс таких вот пользователей из 2-й категории.
Хоть какое-то информационное оповещение о необходимости валидации указанного ранее телефона вы сделали для своих пользователей?
1. Вообще не указали телефон в настройках аккаунта.
2. Указали телефон достаточно давно, когда его ещё не требовалось валидировать (подтверждать по коду из SMS).
3. Указали телефон в настройках относительно недвано и при этом подтвердили его (прошли валидацию номера по SMS).
И, как мне кажется, очень многие ваши пользователи, которые (как и автор топика) относятся ко 2-й категории, не понимают разницы между 2-й и 3-й категорией. Т.е. вообще даже не предполагают, что такое различие существует. Они искренне уверены, что раз когда-то в настройках указали телефон, то теперь любые изменения аккаунта (включая удаление или изменение номера телефона) будут проходить только через подтверждение через SMS.
Вот читателям Хабра вы сейчас в комментарии пояснили эту совершенно неочевидную разницу. А ведёте ли вы разъяснительную работу среди своих пользователей? Ваши пользователи, которые указали номер давно и не подтвердили его кодом из SMS, получили информационное письмо от администрации сервера с подробным объяснением на пальцах этой ситуации? В этом письме должно было объясняться, что хоть номер телефона и указан, но нужно ещё пройти валидацию, а иначе возможны такие-то негативные последствия и вот такие-то действия смогут быть совершены даже без подтверждения через телефон.
Плюс кроме письма такое предупреждение должно выводиться на экран сразу после логона через веб-интерфейс таких вот пользователей из 2-й категории.
Хоть какое-то информационное оповещение о необходимости валидации указанного ранее телефона вы сделали для своих пользователей?
Роман, спасибо за подробное изложение.
Под словами «мы в процессе перехода от старой схемы к новой» я имел в виду именно то, что Вы написали. Да, мы показываем пользователям «категории 2» предложение верифицировать телефон и стать защищенными пользователями «категории 3» — причем не письмом, а именно в виде диалога в интерфейсе после входа в почту.
Пользователям из «категории 1» мы пока ничего не показываем, но скоро начнем показывать — разумеется, о них тоже хочется позаботиться и сделать их защищенными.
Под словами «мы в процессе перехода от старой схемы к новой» я имел в виду именно то, что Вы написали. Да, мы показываем пользователям «категории 2» предложение верифицировать телефон и стать защищенными пользователями «категории 3» — причем не письмом, а именно в виде диалога в интерфейсе после входа в почту.
Пользователям из «категории 1» мы пока ничего не показываем, но скоро начнем показывать — разумеется, о них тоже хочется позаботиться и сделать их защищенными.
Да, мы показываем пользователям «категории 2» предложение верифицировать телефон и стать защищенными пользователями «категории 3»Т.е. вы утверждаете, что автор топика был в явном виде, в понятной форме и однозначно (без разночтений) уведомлен администрацией ресурса mail.ru о том, что телефон, указанный в свойствах его аккаунта, не был подтверждён, и это означает, что он может быть изменен в настройках без подтверждения через SMS?
Из его слов следует, что он был не в курсе, и его не уведомили. Так кто из вас врёт?
> причем не письмом, а именно в виде диалога в интерфейсе после входа в почту.
А почему вы считаете, что все пользуются почтой mail.ru только через веб-интерфейс? Как насчёт уведомления письмом тех, кто работает со своим ящиком по POP3, IMAP (или какие там ещё протоколы вы поддерживаете)?
так автор сам пишет, что не пользовался веб интерфейсом. То есть ровно ваше предположение.
Цитата:
«Когда входили через веб?» (вообще без понятия… почти никогда)
Цитата:
«Когда входили через веб?» (вообще без понятия… почти никогда)
Да, если бы я заходил через веб-интерфейс, то может и увидел бы.
А так — только pop, конечно. И ничего, конечно же, — не знал…
А так — только pop, конечно. И ничего, конечно же, — не знал…
Погодите, я этого не утверждаю. Я же сказал, что мы в процессе внедрения такого предупреждения. Разумеется, мы не выкатываем такие (и почти никакие) фичи на 100% аудитории сразу (да у нас, наверное, SMS-шлюз рухнет, если одновременно 10 миллионов человек пойдут верифицировать телефоны). То есть вполне вероятно, что именно автор этого предупреждения не видел.
И разумеется, мы не считаем, что все пользуются почтой через веб (хотя таких подавляющее большинство) — иногда мы делаем информационные рассылки, чтобы их получили пользователи POP3, однако по понятным причинам не любим этим злоупотреблять.
И разумеется, мы не считаем, что все пользуются почтой через веб (хотя таких подавляющее большинство) — иногда мы делаем информационные рассылки, чтобы их получили пользователи POP3, однако по понятным причинам не любим этим злоупотреблять.
Зашёл в настройки, выяснил, что телефон не верифицирован. Однако никаких сообщений об этом не видел, при том, что использую веб-интерфейс почти ежедневно. Телефон был добавлен очень давно.
Ну я чуть выше ответил на такой же вопрос. Если еще не видели — значит, увидите в ближайшие пару недель.
Вот вы — умный и взвешенный человек. Все верно ответили, разъяснили, почему тот факт, что при нажатии на педаль газа загораются фары — это не баг а фича, но карма mail.ru — она как карма АвтоВАЗ. «Говорили же место проклятое, а вы всё руки из жопы...».
То, что вы думаете о безопасности в 2011 году никак не отменяет того факта, что mail.ru – решето с дырками такого размера, что подходит для отсеивания футбольных мячей от баскетбольных.
И убеждать IT сообщество в обратном просто бессмыленно, когда у вас в 2011 году XSS возможен напрямую через вводимые пользователем в поле ввода данные! (О боже, ну как можно было не экранировать пользовательский ввод! Даже девелопер средней руки знает, что так надо делать.)
А что говорить про не столь очевидные уязвимости? Которые надо покопать в скриптах и аджаксах всяких. Очевидный ответ: там вообще никто ничерта не проверял. И тот факт, что эксцесы повторяются постоянно (и это не преувеличение) говорит пользователям одно: пользуйтесь mail.ru только для спама.
Врочем, учитывая, что у вас «сотня миллионов» пользователей — это так и есть.
То, что вы думаете о безопасности в 2011 году никак не отменяет того факта, что mail.ru – решето с дырками такого размера, что подходит для отсеивания футбольных мячей от баскетбольных.
И убеждать IT сообщество в обратном просто бессмыленно, когда у вас в 2011 году XSS возможен напрямую через вводимые пользователем в поле ввода данные! (О боже, ну как можно было не экранировать пользовательский ввод! Даже девелопер средней руки знает, что так надо делать.)
А что говорить про не столь очевидные уязвимости? Которые надо покопать в скриптах и аджаксах всяких. Очевидный ответ: там вообще никто ничерта не проверял. И тот факт, что эксцесы повторяются постоянно (и это не преувеличение) говорит пользователям одно: пользуйтесь mail.ru только для спама.
Врочем, учитывая, что у вас «сотня миллионов» пользователей — это так и есть.
Mail.ru похоже дырявей решета… Предлагал им дырки поискать, так ведь нет, гордые, проигнорировали предложение
UFO just landed and posted this here
Почему столько несогласных, мне кажется человек знает о чем говорит.
Читаю вот, читаю, и поражаюсь. Словно в другом мире живу. Ящик на mail.ru с 1998, кажется, года, где-то через пару месяцев после запуска сервиса создан. Не угоняют. Не спамят. Никаких проблем вообще. Может я теперь там «платиновый клиент»? ;)
За эти годы всякое было. Было года полтора, когда вообще отключалась спамоловка. Потом вернулась (года 3 назад), и стала работать не хуже, чем на gmail, а с учетом того, что логин на mail.ru примерно вчетверо короче чем на gmail (другой мой, служебный ящик), и никогда не прячется, а всегда и всюду пишется во все формы открыто, задача для спамобоя куда больше.
Так и подмывает спросить: «Что я делаю не так?» %)
За эти годы всякое было. Было года полтора, когда вообще отключалась спамоловка. Потом вернулась (года 3 назад), и стала работать не хуже, чем на gmail, а с учетом того, что логин на mail.ru примерно вчетверо короче чем на gmail (другой мой, служебный ящик), и никогда не прячется, а всегда и всюду пишется во все формы открыто, задача для спамобоя куда больше.
Так и подмывает спросить: «Что я делаю не так?» %)
Вы не одиноки ))) мне вот интересно зачем угонять именно это мыло, что в нем такого?
Походу, мы частенько попадаем в «хорошие руки» :)
Хоть и не пользуюсь уже давно этим ящиком, абсолютная переадресация стоит, после ухода с него, подключил себе одну из почтовых рассылок, предвещая, что они задумают об удалении аккаунтов :) Сейчас и пароль уже не помню, а письма исправно приходят и уходят (привязку сделал) и спаму нет.
Хоть и не пользуюсь уже давно этим ящиком, абсолютная переадресация стоит, после ухода с него, подключил себе одну из почтовых рассылок, предвещая, что они задумают об удалении аккаунтов :) Сейчас и пароль уже не помню, а письма исправно приходят и уходят (привязку сделал) и спаму нет.
UFO just landed and posted this here
Почтовик от треш — холдинга маст дай!
Абсолютно такая же схема на другом субпродукте холдинга — mamba. Зачем делается привязка к номеру телефона — в принципе, непонятно. Но пароль брутанули и мыло сменили без всяких подтверждающих писем и прочего. А привязка телефона ничего не дала.
Поражают такие вещи… Сам работал в мейлру когда-то, слава богу, ни одним сервисом не пользуюсь
Поражают такие вещи… Сам работал в мейлру когда-то, слава богу, ни одним сервисом не пользуюсь
Вот что бывает когда лень держать почту свою на своем почтовом сервере.
Автор, вы бы лучше задумались как вам удалось два раза за столь короткий срок прохлопать пароль на почтовый ящик.
моя слёзная история:
в далеком 2000/2001-м году мне заблокировали ящик на mail.ru с неожиданной мотивацией «рассылка спама» и никакое общение с техподдержкой восстановить его не помогло.
с тех пор я недолюблюваю mail.ru и стараюсь не пользоваться их услугами.
:)
в далеком 2000/2001-м году мне заблокировали ящик на mail.ru с неожиданной мотивацией «рассылка спама» и никакое общение с техподдержкой восстановить его не помогло.
с тех пор я недолюблюваю mail.ru и стараюсь не пользоваться их услугами.
:)
Просто не надо пользоваться mail.ru, и все будет хорошо.
Выбранный номер нельзя использовать для SMS-уведомлений — ваш оператор не поддерживает эту услугу
… Забавно! Оператор Красноярского края…
… Забавно! Оператор Красноярского края…
Sign up to leave a comment.
Угон почты mail.ru, привязанной к сотовому? Думаете, вы защищены? [UPD4]