n1smo Oct 1 2015 at 11:34

История одного «взлома» или Как Yahoo отдал мне логин и пароль от чужой почты

2 min

18K

Information Security*

From sandbox

-14

Comments 17

AlexandrDP Oct 1 2015 at 11:40

Суть взлома в том что ящик привязан к номеру и через него можно восстановить пароль?

Snowly Oct 2 2015 at 18:58

Суть «взлома» в том, что телефон/номер может быть утерян/украден. И одного номера не должно быть достаточно, для «взлома». Нужно еще хоть секретный вопрос спросить.

n1smo Oct 1 2015 at 11:43

Поэтому и написал, что это «взлом». Никакой это не хак, скорее техническая неувязка. Ящик привязан к моему номеру. А почта мне не пренадлежит.

kindacute Oct 1 2015 at 11:58

Используйте кнопку ответить, так правильно. Теперь по поводу вашей статьи, скорее всего ваш номер лайфа раньше использовался другим челочеком. Потом он его выкинул (не использовал более 3х лет), и лайф, по условиям договора аннулировал его карточку и перевыпустил новую карту с его номером, которую купили вы. Дальше понятно?

n1smo Oct 1 2015 at 12:03

Спасибо за совет.

Я тоже так думал, пока не открыл содержимое ящика. По всей видимости, регистрировал его иностранец (исходя из указанного имени и фамилии, данных Твиттер-аккаунта и т.д.). Поэтому вариант, что он тоже пользовался «лайфом» отпадает. К тому же, я приобрел карточку в 2008 году, а лайф пришел на украинский рынок только в 2007.

xforce Oct 1 2015 at 11:43

Такая уязвимость есть на всех сервисах, которые привязаны к мобильному и полноценно доверяют ему.

Diatlo Oct 1 2015 at 11:47

А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).

Я вот купил симку у Мегафона — и на меня попёр спам от коллекторов и банков о возмещении кредитов взятых в трех-четырёх различных банках. )))

n1smo Oct 1 2015 at 11:52

А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).

Да. Владелец — иностранец, судя по содержимому почты. А номер мой от украинского оператора. Возможно, он просто ввёл рейдомные числа при регистрации — это самая правдоподобная версия.

kindacute Oct 1 2015 at 11:59

Неужели Yahoo не верифицирует введенный номер, вот это можно попробовать и дополнить статью.

n1smo Oct 1 2015 at 12:04

Не верифицирует и более того, разрешает регистрировать по несколько ящиков на 1 номер. Как по-другому обяснить то, что мне разрешили регистрацию мейла на номер, который уже ранее использовался при регистрации.

Mel Oct 1 2015 at 13:46

А с чего вдруг ему запрещать регистрировать несколько ящиков на 1 номер? Одного почтового ящика хватит всем, а больше ни ни?

Diatlo Oct 1 2015 at 11:53

P.S. Слышал, раньше был такой финт с захватом старых (5-6-7 значных) ICQ-номеров — искались учетки, где указаны адреса почтовых ящиков бесплатных почтовых систем (mail.ru yahoo.com и т.д.), удаляемых через какое-то время из-за отсутствия активности. Проверялись — и если ящик был удалён, регистрировался новый (на этот адрес). Потом запрос забытого пароля и вуаля, запись ICQ в руках захватчика.

Mel Oct 1 2015 at 13:47

Лет 10 (а может уже и больше, во блин время то летит) у меня так появился красивый 7 значный номер с 4 одинаковыми цифрами. Школьники-кулхацкеры беспределили :)

Jesting Oct 2 2015 at 11:18

У меня так шестизначных штук 10 появилось в своё время. Раздарил все.

YuriSerpinsky Oct 1 2015 at 15:20

У ICQ была одна проблема, даже если ты меняешь почтовый ящик на другой, письмо с восстановлением пароля приходит на тот, который использовася при регистрации.

dixoNich Oct 1 2015 at 20:11

Не, у ICQ была не одна проблема :)

EndUser Oct 2 2015 at 00:05

[grammar nazi]
>Скрепя зубами
укрепив сердце
или
со скрипом зубов
[/grammar nazi]