Как стать автором
Обновить

Комментарии 74

Вторая статья за неделю про уязвимости, которую я читаю. У меня уже руки чешутся)
Аллергия?
Нет, что вы. Просто стало интересно самому поискать уязвимости.
Хотите в клуб? :)
Ваш инвайт очень похож на иконку Code::Blocks (только инвертированную по вертикали) :)
НЛО прилетело и опубликовало эту надпись здесь
Продолжайте голосовать за путина пользоваться почтой mail.ru, с надеждой на будущее… это единственное, что можно вам предложить.
у меня двухфакторная авторизация, про которую я достаточно много прочитал, и теперь абсолютно спокоен. Более того, я много читал как безопасн gmail вообще и двухфакторная авторизация в частности, в то же время как я постоянно вижу посты как небезопасен mail.ru, по моему выбор очевиден.
Да при чем здесь двухфакторная авторизация и дыры в сервисах?
Ок, вас не сбрутят. Но вы же не думаете, что это единственный способ взлома?
Да при чем здесь двухфакторная авторизация и дыры в сервисах?

При том, что она значительно усложняет взлом аккаунта и приравнивает шанс взлома аккаунта к нулю? (если не брать в расчет получение доступа к моему домашнему компьютеру) А отсутствие дыр страхует от исследователей вроде автора топика(к самому автору, претензий нет, но есть и другие). А аргументы вроде «Да мой сервис дырявый, но любой другой даже самый крутой можно сломать в теории», вообще просто смешны.
На любой Google найдётся взломщик)
Ну в теории то да…
На практике, при _не_включенной двухфакторной авторизации на гмыле, достаточно знать дату создания аккаунта и дату последнего входа. Если принять за дату последнего входа сегодняшнее число, то вариантов перебора совсем мало остается.
Не понимаю. Подобрали пару, и что дальше?
Запрос в службу поддержки на ручное восстановление доступа.
Помню взломал почту на gmail знакомого. Просто наугад ввёл данные в форме восстановления доступа (имя, фамилия, возраст, номер телефона и т.п.). И о счастье, пароль пришёл через 10 минут на моё мыло которое я указал. Радость моя была не долгой. 1 день. Знакомый понял что его взломали, так как не смог попасть в почту, написал в суппорт и ему восстановили доступ. Но этого дня хватило, чтобы её прочитать. Вот так работает gmail…
Помню пришел в гости к подруге, попросил пароль от её вайфая домашнего, продиктованная комбинация очень напоминала дату рождения с инициалами в конце. Сразу после этого попробовал этот вайфайный пароль во всех соц сетях где она была и в двух ящиках. Везде один и тот же пароль, еще и тривиальный… Провел лекцию по безопасности в сети, обещала исправиться.
История такова — Девушка купила тел с андроидом — Я ей сделалл аккаунт на гугле для маркета. Данные фейковые все ввел — пароль благополучно забыл
Приходит девушка и говорит что пароль очень хочет а я его не помню Назревает проблемма я начинаю думать как из андроида добыть пароль, пока я думал она делает запрос на восстановление пароля, ее спрашивают дату последнего входа (сегодня у нее тел включен и работает) и дату создания аккаунта (по чеку посмотрела дату покупки) и все!!! у нее перед глазами форма изменения пароля!
Спецслужбы США вас читают.
Между ФСБ и спецслужбами США я выберу последних. В этом случае, есть шанс, что меня не будут или будут читать, но не очень внимательно.
Вы действительно в это верите?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Я думал для этого есть социальные сети.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Абсолютно с вами согласен. Но к сожалению выбор не между «будут или не будут читать» а между тем кто будет читать.
раньше её можно было обойти зная ответ на секретный вопрос
вводишь ответ, меняешь пароль и тебя сразу пускает в почту

сейчас они вообще отключили такаю функцию как секретные вопросы
Я тоже считаю, что секретный вопрос официальная дыра в безопасности, всегда забиваю ответ, рандомными цифрами/буквами/спец символами
и двухфакторная авторизация, про которую Вы так много прочитали, не панацея
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Не думаю, всё же Яндекс старается набирать толковых ребят разбирающихся в технологиях, в том числе и в защите информации.
Вы когда нибудь слышали про mail.ru субботник, например?
А mail.ru старается набирать тупых? :)
Судя по последней конференции там все очень умные, но дыры у них на сервисах оочень забавные.
Это не дыры, это пасхалки.
НЛО прилетело и опубликовало эту надпись здесь
А вы сервисы их видели?
Ага, а базы яндекс.почт с яндекс.паролями нельзя найти на форумах с темой «раздаем ящики»…
Кстати забавно что я свой ящик на таком форуме нашел, пароль там был правильный а вот в сам ящик с ошибкой в знаке написали (тире вместо точки) :D
Если вы правы то яндекс делает хорошее дело, как бы мне не нравился гугл, но пусть все толковые ребята лучше работают на благо наших сервисов.
НЛО прилетело и опубликовало эту надпись здесь
бред
НЛО прилетело и опубликовало эту надпись здесь
ОМГ, Вы правы… %)
Минусанувшему Liza25 следует извиниться и «вернуть всё взад»… :))
В некоторых сервисах очень сложно сменить мыло (а в некоторых невозможно, в смысле администрация так отвечает), вот и расплачиваемся за ошибки молодости, когда, скажем, gmail ещё и в проекте не было.
У меня такое же положение, старые адреса существуют, но только потому что на них могут оказаться зареганными какие то сервисы, что бы доступ к которым злоумышленник просто заново создаст, несуществующее на данным момент мыло. Или, да есть сервисы мыло на которых сменить нельзя. Сколько таких сервисов, сказать невозможно, я не помню даже половину. Так и висит старый ящик как сборщик спама. Я даже не редирекчу с него почту.
А про пересылку с одного мыла на другое не слышали7?
Вы не поверите, слышали, остается вопрос, зачем?
Чтобы не просить сменить логин ящика а просто сделать пересылку с одного на другой.
Да давно никого не прошу, надо, зашел на старый ящик подтвердил смену пароля, раз в полгода
ты прямо идейный вдохновитель!
Не перестаю удивляться людям, которые точно знают как НЕ НАДО, а вот как НАДО они так-же точно не знают.
З.Ы. Причем здесь Путин? Пернул мозгом?
НЛО прилетело и опубликовало эту надпись здесь
outlook.com
Вот вы смеётесь, а у меня для айфона и мака ящик на icloud, для винды на outlook, а рабочий gmail пересылает на оба этих ящика. Удобно в том плане, что если вдруг кто-то шлёт файлы под софт работающий только под винду, говорю виндовый адрес, что-то быстро прочитать или можно под маком сделать – на icloud. Ну и плюс 2 ящика на russia.ru и yandex'е для всяких регистраций и прочего спама. И это при том, что я почтой уже давно и не пользуюсь, не пристало современному человеку этот анахронизм держать..))…
Жаль пофиксили, уже давно хочу восстановить когда-то забытый пароль от мейла, может письма какие интересные туда нападали.
напиши логин в личку
я думаю врядли писма есть так как после примерно 6 месяцев неиспользования ящик блокируется и всё с него удаляется
регишься вконтакте на ящик мейл.ру, потом его удаляют, потом кто-то регистрирует такой же и восстанавливает пароль от контактика на этот ящик, это как-то года полтора назад удалось сделать.
На рубеже веков таким образом многие становились обладателями 6-ти знаковых ICQ: регали просрочившуюся почту hotmail и тп, на которую был зарегистрирова uin, и использовали восстановление пароля на почту. В какой-то момент показ email, на который зарегистрирован uin убрали.
mail.ru к этому не относится с 2010 или 2011 года
ящики больше не анрегаются а блокируются и зная пароль(или ответ на секретный вопрос через который можно изменить пароль) можно их восстановить
если кому интересно могу дать запрос по которому можно найти в базе мыл именно локнутые
да да да)) были програмки по регистрации UIN пачками а уж какой из них золотой сам смотришь))
Все-таки я не понял, в чем конкретно уязвимость была?
А вы забыли про tor/vpn/proxy
Я вас умоляю, какие tor/vpn/proxy, если автор на хабре заявляет: «На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам»? Тем более использование перечисленных технологий не освобождает от ответственности.

Утомили всякие смутные личности пытающиеся по PR-иться за счёт попыток втоптать в грязь mail.ru. Лучше бы о чём-то полезном написали.
Я вообще не понимаю смысла «секретного вопроса». Я принципиально не отвечаю на него правду, а что я там соврал, а главное, какой секретный вопрос я выбрал — никогда при восстановлении пароля вспомнить не могу.
это тоже не всегда спасает
если подбирать брутом по базам слов то есть шанс что именно то слово попадётся
лучше ставить чтото не имееющие никакой смысловой нагрузки
от трёх разных символов и выше уже не подберут, лень не позволит
на маилру ?? где???
там не увидел капчи, но там после 10 неправильных попыток лочится сам механизм использования секретного вопроса к определенному ящику, то есть прокси не помогут. Вот и защита от брута.
А есть вообще бесплатные сервисы типа securemail с шифрованием? Типа написал письмо, зашифровал, отправил, а ключ шифра передал получателю иным способом?
а чем вас системы с открытым ключом не устроили? проще же
А есть такие? Именно сервисы?
Поскольку политика мэйл.ру достаточно четко соответсвует понятию корпорация зла, не могу отказать себе в удовольствие позлорадствовать.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории