Yandex.Почта — «секретный вопрос» нам не помеха

[lifecom]

Секретный вопрос предназначен для восстановления пароля. А Вы вроде как его знаете…

[atd]

зато настоящий владелец мог бы восстановить по нему аккаунт.
а после удаления-восстановления аккаунт будет существовать, но настоящему владельцу уже доступ никак не восстановить.

[mshubin]

настоящий владелец сможет вероятно вернуть себе логин через техподдержку, но это другой вопрос.
непонятно почему бы не сделать задержку удаления на пару недель, да и почему бы не спросить лишний раз ответ на секретный вопрос мне непонятно.

[Kopart]

Уже была серия из двух статей по этой проблеме на Хабре.
Плохо искали.

[seraph]

Невероятно. В самом деле, имея полный доступ к учётке, можно менять секретный вопрос, e-mail для восстановления и личные параметры? Кто бы мог подумать!

[Morfi]

Написано же «попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.»

Значит даже если у вас есть пароль, то вы ничего не сможете сделать против того что владелец заново получит к нему доступ через секретный вопрос.

[haskel]

Даже если вы знаете секретный ответ на вопрос у вас не получится сменить серьезно что-то.

Я пытался изменить пароль на свой аккаунт раз 50 после того как сменил номер телефона в аккаунте.
Каждый раз пароль менялся где-то на сутки или меньше, а потом опять нужно было восстанавливать пароль через sms-ку, причем на номер телефона который был до смены. Иначе не пускал в аккаунт.

До конца логику я не уловил. Но то что такие вещи отслеживаются- это факт.

[haskel]

Проблема с постоянным восстановлением закончилась после того как я перестал менять в аккаунте и пароль и телефон одновременно. Телефон оставил старый.

[serjnazarov]

Интересное наблюдение, а что бы вы посоветовали разработчикам Яндекс.Почты? Как исправить эту уязвимость?

[mshubin]

например задержку удаления на некоторое время, за которое настоящий владелец успеет восстановить и сменить пароль.

[serjnazarov]

Напишите им в саппорт, если еще не писали
Там дружелюбный саппорт

[mshubin]

написал на адрес support@mail.yandex.ru

[conturov]

Зная пароль вы можете все!
Теперь проделайте то-же самое только не зная пароля.

[mshubin]

некоторое время назад мой бывший ноут перешел к жене по наследству, юзер в винде остался стихийно тот же, так вот когда она отловила вирус, мне пришлось долго вспоминать какие пароли там могли быть сохранены и менять.

[fog]

Да, у гугла более правильный вариант. Лучше, если удалённый аккаунт повторно зарегистрировать нельзя будет.

[sinchro]

Если к почтовому аккаунту привязаны я.деньги зарегестрировать такой такой-же тоже нельзя.

P.S. ИМХО. Времени проверять сейчас нет…