Comments 17
Секретный вопрос предназначен для восстановления пароля. А Вы вроде как его знаете…
+1
зато настоящий владелец мог бы восстановить по нему аккаунт.
а после удаления-восстановления аккаунт будет существовать, но настоящему владельцу уже доступ никак не восстановить.
а после удаления-восстановления аккаунт будет существовать, но настоящему владельцу уже доступ никак не восстановить.
+1
UFO just landed and posted this here
Уже была серия из двух статей по этой проблеме на Хабре.
Плохо искали.
Плохо искали.
-1
Невероятно. В самом деле, имея полный доступ к учётке, можно менять секретный вопрос, e-mail для восстановления и личные параметры? Кто бы мог подумать!
-1
Написано же «попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.»
Значит даже если у вас есть пароль, то вы ничего не сможете сделать против того что владелец заново получит к нему доступ через секретный вопрос.
Значит даже если у вас есть пароль, то вы ничего не сможете сделать против того что владелец заново получит к нему доступ через секретный вопрос.
+1
Даже если вы знаете секретный ответ на вопрос у вас не получится сменить серьезно что-то.
Я пытался изменить пароль на свой аккаунт раз 50 после того как сменил номер телефона в аккаунте.
Каждый раз пароль менялся где-то на сутки или меньше, а потом опять нужно было восстанавливать пароль через sms-ку, причем на номер телефона который был до смены. Иначе не пускал в аккаунт.
До конца логику я не уловил. Но то что такие вещи отслеживаются- это факт.
Я пытался изменить пароль на свой аккаунт раз 50 после того как сменил номер телефона в аккаунте.
Каждый раз пароль менялся где-то на сутки или меньше, а потом опять нужно было восстанавливать пароль через sms-ку, причем на номер телефона который был до смены. Иначе не пускал в аккаунт.
До конца логику я не уловил. Но то что такие вещи отслеживаются- это факт.
0
Проблема с постоянным восстановлением закончилась после того как я перестал менять в аккаунте и пароль и телефон одновременно. Телефон оставил старый.
0
Интересное наблюдение, а что бы вы посоветовали разработчикам Яндекс.Почты? Как исправить эту уязвимость?
0
Зная пароль вы можете все!
Теперь проделайте то-же самое только не зная пароля.
Теперь проделайте то-же самое только не зная пароля.
-3
Да, у гугла более правильный вариант. Лучше, если удалённый аккаунт повторно зарегистрировать нельзя будет.
+1
Если к почтовому аккаунту привязаны я.деньги зарегестрировать такой такой-же тоже нельзя.
P.S. ИМХО. Времени проверять сейчас нет…
P.S. ИМХО. Времени проверять сейчас нет…
0
Sign up to leave a comment.
Articles
Change theme settings
Yandex.Почта — «секретный вопрос» нам не помеха