Предупреждение.

Hans 19.05.2014 - 12:01

В очередной раз "ломанули" одного из участников, на этот раз модератора.
Сломавший по крупному нагадил в ОПТИКЕ и немножко в КПП
По странному стечению обстоятельств, все сломанные аккаунты (за год) имели контактные почтовые ящики на mail.ru и похожих (bk.ru inbox.ru) Делайте выводы.

SR-71 19.05.2014 - 20:37

Hans
В очередной раз "ломанули" одного из участников, на этот раз модератора.
Сломавший по крупному нагадил в ОПТИКЕ и немножко в КПП
По странному стечению обстоятельств, все сломанные аккаунты (за год) имели контактные почтовые ящики на mail.ru и похожих (bk.ru inbox.ru) Делайте выводы.

😊 Как говорил Великий ..... Надо учиться, учиться и учиться.. 😊

blazer11 20.05.2014 - 09:18

Сталкивался с такой проблемой в начале года. Увели почту. смс пришла о смене пароля и удалении телефона. Почту восстановил, конечно. Начал искать откуда ноги растут и нашел ответ на на одном ресурсе, приведу ссылку:
http://habrahabr.ru/post/129256/
и комментарий оттуда:
Думаю, что ситуацию прояснит официальный комментарий от Почты Mail.Ru.

А ситуация тут следующая: когда-то давно в Mail.Ru не было верификации телефонов (строго говоря, в начале этого года ее еще не было). Можно было просто указать номер телефона в настройках (любой, без подтверждения), и скрипт восстановления пароля отправлял на него SMS с кодом. Как и другие настройки безопасности, этот телефон можно было указать (или удалить) зная пароль (заметьте, требуется именно ввод пароля, а не просто активная сессия). Очевидно, что такая схема далека от идеала, поэтому мы ее улучшили (об этом ниже).

Так вот, у автора топика был именно такой телефон - не верифицированный. И кто-то (мы знаем его IP и еще кое-что) сегодня зашел в акканут автора и удалил этот телефон. При этом на номер отправилось SMS-уведомление о смене важных данных - эту фичу мы сделали пару месяцев назад (согласитесь, полезно мгновенно узнать о том, что настройки Вашей безопасности изменены).

Так что никаких багов тут нет - злоумышленник завладел паролем и проник в аккаунт.

Теперь о безопасности. Чтобы исключить такие ситуации, несколько месяцев назад мы ввели возможность верификации телефона. Верифицированный телефон удаляется именно с SMS-подтверждением, как разумно заметили тут в комментах. На случай, если Вы утратили этот номер (что опять же отметили в комментах) - можно удалить и без подтверждения, но с большим таймаутом (две недели телефон продолжает 'висеть'). Так что теперь, даже если хакер узнает пароль и проникнет в аккаунт, Вы во первых, сразу об этом узнаете, а во вторых - сможете восстановить доступ.

На текущий момент мы в процессе перехода от старой схемы к новой (поверьте, на сотне миллионов пользователей это нельзя сделать мгновенно). Это означает, что мы постепенно предлагаем таким пользователям, как автор топика, верифицировать их телефон - и получить лучшую безопасность. А кто не хочет ждать - просто зайдите в настройки и добавьте свой телефон.

Надеюсь будет полезно

Карбофос54 17.06.2014 - 20:52

Да мылру давно известна как дырявая почта, и только "На текущий момент мы в процессе перехода от старой схемы к новой" 😊 😊 😊 не смешите мои седые яйца, вы 1(один) раз отмените выезд за бугор со своими секретутками, а дайте денег тем кто реально работает, и произойдёт чудо:"(поверьте, на сотне миллионов пользователей это нельзя сделать мгновенно)" отмазка не понадобится, всё будет сделано в разумные сроки и довольно быстро 😊 😊 😊