Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 74
Вторая статья за неделю про уязвимости, которую я читаю. У меня уже руки чешутся)
Продолжайте голосовать за путина пользоваться почтой mail.ru, с надеждой на будущее… это единственное, что можно вам предложить.
А кто сказал, что Gmail, например, полностью безопасен?
у меня двухфакторная авторизация, про которую я достаточно много прочитал, и теперь абсолютно спокоен. Более того, я много читал как безопасн gmail вообще и двухфакторная авторизация в частности, в то же время как я постоянно вижу посты как небезопасен mail.ru, по моему выбор очевиден.
Да при чем здесь двухфакторная авторизация и дыры в сервисах?
Ок, вас не сбрутят. Но вы же не думаете, что это единственный способ взлома?
Ок, вас не сбрутят. Но вы же не думаете, что это единственный способ взлома?
Да при чем здесь двухфакторная авторизация и дыры в сервисах?
При том, что она значительно усложняет взлом аккаунта и приравнивает шанс взлома аккаунта к нулю? (если не брать в расчет получение доступа к моему домашнему компьютеру) А отсутствие дыр страхует от исследователей вроде автора топика(к самому автору, претензий нет, но есть и другие). А аргументы вроде «Да мой сервис дырявый, но любой другой даже самый крутой можно сломать в теории», вообще просто смешны.
На любой Google найдётся взломщик)
Ну в теории то да…
На практике, при _не_включенной двухфакторной авторизации на гмыле, достаточно знать дату создания аккаунта и дату последнего входа. Если принять за дату последнего входа сегодняшнее число, то вариантов перебора совсем мало остается.
Не понимаю. Подобрали пару, и что дальше?
Запрос в службу поддержки на ручное восстановление доступа.
Помню взломал почту на gmail знакомого. Просто наугад ввёл данные в форме восстановления доступа (имя, фамилия, возраст, номер телефона и т.п.). И о счастье, пароль пришёл через 10 минут на моё мыло которое я указал. Радость моя была не долгой. 1 день. Знакомый понял что его взломали, так как не смог попасть в почту, написал в суппорт и ему восстановили доступ. Но этого дня хватило, чтобы её прочитать. Вот так работает gmail…
Помню пришел в гости к подруге, попросил пароль от её вайфая домашнего, продиктованная комбинация очень напоминала дату рождения с инициалами в конце. Сразу после этого попробовал этот вайфайный пароль во всех соц сетях где она была и в двух ящиках. Везде один и тот же пароль, еще и тривиальный… Провел лекцию по безопасности в сети, обещала исправиться.
История такова — Девушка купила тел с андроидом — Я ей сделалл аккаунт на гугле для маркета. Данные фейковые все ввел — пароль благополучно забыл
Приходит девушка и говорит что пароль очень хочет а я его не помню Назревает проблемма я начинаю думать как из андроида добыть пароль, пока я думал она делает запрос на восстановление пароля, ее спрашивают дату последнего входа (сегодня у нее тел включен и работает) и дату создания аккаунта (по чеку посмотрела дату покупки) и все!!! у нее перед глазами форма изменения пароля!
Приходит девушка и говорит что пароль очень хочет а я его не помню Назревает проблемма я начинаю думать как из андроида добыть пароль, пока я думал она делает запрос на восстановление пароля, ее спрашивают дату последнего входа (сегодня у нее тел включен и работает) и дату создания аккаунта (по чеку посмотрела дату покупки) и все!!! у нее перед глазами форма изменения пароля!
Спецслужбы США вас читают.
раньше её можно было обойти зная ответ на секретный вопрос
вводишь ответ, меняешь пароль и тебя сразу пускает в почту
сейчас они вообще отключили такаю функцию как секретные вопросы
вводишь ответ, меняешь пароль и тебя сразу пускает в почту
сейчас они вообще отключили такаю функцию как секретные вопросы
и двухфакторная авторизация, про которую Вы так много прочитали, не панацея
Не думаю, всё же Яндекс старается набирать толковых ребят разбирающихся в технологиях, в том числе и в защите информации.
Вы когда нибудь слышали про mail.ru субботник, например?
Вы когда нибудь слышали про mail.ru субботник, например?
А mail.ru старается набирать тупых? :)
Ага, а базы яндекс.почт с яндекс.паролями нельзя найти на форумах с темой «раздаем ящики»…
Кстати забавно что я свой ящик на таком форуме нашел, пароль там был правильный а вот в сам ящик с ошибкой в знаке написали (тире вместо точки) :D
Если вы правы то яндекс делает хорошее дело, как бы мне не нравился гугл, но пусть все толковые ребята лучше работают на благо наших сервисов.
Кстати забавно что я свой ящик на таком форуме нашел, пароль там был правильный а вот в сам ящик с ошибкой в знаке написали (тире вместо точки) :D
Если вы правы то яндекс делает хорошее дело, как бы мне не нравился гугл, но пусть все толковые ребята лучше работают на благо наших сервисов.
В некоторых сервисах очень сложно сменить мыло (а в некоторых невозможно, в смысле администрация так отвечает), вот и расплачиваемся за ошибки молодости, когда, скажем, gmail ещё и в проекте не было.
У меня такое же положение, старые адреса существуют, но только потому что на них могут оказаться зареганными какие то сервисы, что бы доступ к которым злоумышленник просто заново создаст, несуществующее на данным момент мыло. Или, да есть сервисы мыло на которых сменить нельзя. Сколько таких сервисов, сказать невозможно, я не помню даже половину. Так и висит старый ящик как сборщик спама. Я даже не редирекчу с него почту.
ты прямо идейный вдохновитель!
Не перестаю удивляться людям, которые точно знают как НЕ НАДО, а вот как НАДО они так-же точно не знают.
З.Ы. Причем здесь Путин? Пернул мозгом?
Не перестаю удивляться людям, которые точно знают как НЕ НАДО, а вот как НАДО они так-же точно не знают.
З.Ы. Причем здесь Путин? Пернул мозгом?
outlook.com
Вот вы смеётесь, а у меня для айфона и мака ящик на icloud, для винды на outlook, а рабочий gmail пересылает на оба этих ящика. Удобно в том плане, что если вдруг кто-то шлёт файлы под софт работающий только под винду, говорю виндовый адрес, что-то быстро прочитать или можно под маком сделать – на icloud. Ну и плюс 2 ящика на russia.ru и yandex'е для всяких регистраций и прочего спама. И это при том, что я почтой уже давно и не пользуюсь, не пристало современному человеку этот анахронизм держать..))…
Жаль пофиксили, уже давно хочу восстановить когда-то забытый пароль от мейла, может письма какие интересные туда нападали.
напиши логин в личку
я думаю врядли писма есть так как после примерно 6 месяцев неиспользования ящик блокируется и всё с него удаляется
я думаю врядли писма есть так как после примерно 6 месяцев неиспользования ящик блокируется и всё с него удаляется
регишься вконтакте на ящик мейл.ру, потом его удаляют, потом кто-то регистрирует такой же и восстанавливает пароль от контактика на этот ящик, это как-то года полтора назад удалось сделать.
На рубеже веков таким образом многие становились обладателями 6-ти знаковых ICQ: регали просрочившуюся почту hotmail и тп, на которую был зарегистрирова uin, и использовали восстановление пароля на почту. В какой-то момент показ email, на который зарегистрирован uin убрали.
mail.ru к этому не относится с 2010 или 2011 года
ящики больше не анрегаются а блокируются и зная пароль(или ответ на секретный вопрос через который можно изменить пароль) можно их восстановить
если кому интересно могу дать запрос по которому можно найти в базе мыл именно локнутые
ящики больше не анрегаются а блокируются и зная пароль(или ответ на секретный вопрос через который можно изменить пароль) можно их восстановить
если кому интересно могу дать запрос по которому можно найти в базе мыл именно локнутые
да да да)) были програмки по регистрации UIN пачками а уж какой из них золотой сам смотришь))
Все-таки я не понял, в чем конкретно уязвимость была?
Автор явно забыл про УК РФ…
очередной PR-щик фигов…
очередной PR-щик фигов…
А вы забыли про tor/vpn/proxy
Я вас умоляю, какие tor/vpn/proxy, если автор на хабре заявляет: «На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам»? Тем более использование перечисленных технологий не освобождает от ответственности.
Утомили всякие смутные личности пытающиеся по PR-иться за счёт попыток втоптать в грязь mail.ru. Лучше бы о чём-то полезном написали.
Утомили всякие смутные личности пытающиеся по PR-иться за счёт попыток втоптать в грязь mail.ru. Лучше бы о чём-то полезном написали.
Я вообще не понимаю смысла «секретного вопроса». Я принципиально не отвечаю на него правду, а что я там соврал, а главное, какой секретный вопрос я выбрал — никогда при восстановлении пароля вспомнить не могу.
А есть вообще бесплатные сервисы типа securemail с шифрованием? Типа написал письмо, зашифровал, отправил, а ключ шифра передал получателю иным способом?
Поскольку политика мэйл.ру достаточно четко соответсвует понятию корпорация зла, не могу отказать себе в удовольствие позлорадствовать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в почте mail.ru, позволяющая сменить пароль на любом ящике без секретного вопроса