Топик будет об одной небольшой уязвимости Яндекс.Почты, которая тем не менее сводит на нет все защитные функции «секретного вопроса».
В двух словах: зная пароль от аккаунта можно легко угнать его у пользователя банально удалив и перерегив заново.
И так — есть аккаунт на яндексе от коего был утащен пароль. Радостно потирая потные ручонки мы заходим в почту — настройки — изменить пароль. Готово, пароль изменен. Как продвинутые кулхацкеры мы там же рядом находим пункт, где можно удалить введенные хозяином адреса электронной почты для связи. Можно даже добавить свои при желании, нет проблем.
Так, вроде бы все, хозяину теперь предстоит или забыть про акк или попытаться восстановить его через техподдержку. На всякий случай все же попробуем ткнуть в пункт «вспомнить пароль» на главной странице. Опаньки!
Попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.
«Хех!» — сказали суровые сибирские лесорубы.
Не сдаемся сразу и еще немножко полазив в настройках находим один интересный пункт (для того чтобы мы его не пропустили Яндекс даже специально выделил его красным цветом).
Нажимаем на него. Достаточно только пароля. Удаление происходит моментально. Регистрируемся заново с тем же логином. Получилось, работает.
Попробовал сделать тоже самое на gmail.com — удаляется моментально, достаточно пароля, единственное отличие в том, что зарегиться под этим именем еще раз не удается.
В двух словах: зная пароль от аккаунта можно легко угнать его у пользователя банально удалив и перерегив заново.
И так — есть аккаунт на яндексе от коего был утащен пароль. Радостно потирая потные ручонки мы заходим в почту — настройки — изменить пароль. Готово, пароль изменен. Как продвинутые кулхацкеры мы там же рядом находим пункт, где можно удалить введенные хозяином адреса электронной почты для связи. Можно даже добавить свои при желании, нет проблем.
Так, вроде бы все, хозяину теперь предстоит или забыть про акк или попытаться восстановить его через техподдержку. На всякий случай все же попробуем ткнуть в пункт «вспомнить пароль» на главной странице. Опаньки!
Попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.
«Хех!» — сказали суровые сибирские лесорубы.
Не сдаемся сразу и еще немножко полазив в настройках находим один интересный пункт (для того чтобы мы его не пропустили Яндекс даже специально выделил его красным цветом).
Нажимаем на него. Достаточно только пароля. Удаление происходит моментально. Регистрируемся заново с тем же логином. Получилось, работает.
Попробовал сделать тоже самое на gmail.com — удаляется моментально, достаточно пароля, единственное отличие в том, что зарегиться под этим именем еще раз не удается.