Pull to refresh

Yandex.Почта — «секретный вопрос» нам не помеха

Reading time1 min
Views19K
Топик будет об одной небольшой уязвимости Яндекс.Почты, которая тем не менее сводит на нет все защитные функции «секретного вопроса».

В двух словах: зная пароль от аккаунта можно легко угнать его у пользователя банально удалив и перерегив заново.

И так — есть аккаунт на яндексе от коего был утащен пароль. Радостно потирая потные ручонки мы заходим в почту — настройки — изменить пароль. Готово, пароль изменен. Как продвинутые кулхацкеры мы там же рядом находим пункт, где можно удалить введенные хозяином адреса электронной почты для связи. Можно даже добавить свои при желании, нет проблем.
Так, вроде бы все, хозяину теперь предстоит или забыть про акк или попытаться восстановить его через техподдержку. На всякий случай все же попробуем ткнуть в пункт «вспомнить пароль» на главной странице. Опаньки!

image
Попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.
«Хех!» — сказали суровые сибирские лесорубы.
Не сдаемся сразу и еще немножко полазив в настройках находим один интересный пункт (для того чтобы мы его не пропустили Яндекс даже специально выделил его красным цветом).
image
Нажимаем на него. Достаточно только пароля. Удаление происходит моментально. Регистрируемся заново с тем же логином. Получилось, работает.
Попробовал сделать тоже самое на gmail.com — удаляется моментально, достаточно пароля, единственное отличие в том, что зарегиться под этим именем еще раз не удается.
Tags:
Hubs:
Total votes 33: ↑17 and ↓16+1
Comments17

Articles