История одного «взлома» или Как Yahoo отдал мне логин и пароль от чужой почты

image

Забыв свой Yahoo ID, я решил восстановить его, используя SMS-идентификацию. И вот уже за 2 минуты я получил полный доступ к почтовому ящику. Правда, к совершенно чужому, мне не принадлежавшему.

Началось всё с того, что мне понадобилась Yahoo-почта для того, чтобы скачать фотографии из отпуска, которые подруга залила на Flickr. Скрепя зубами пришлось регистрировать новый ящик: указал нужные данные, в том числе и мобильный номер телефона. И не было бы этой статьи на Хабре, если бы не моя девичья память: за минуту после регистрации я забыл её адрес.

Дабы не регистрировать новый меил, решил восстановить доступ к новосозданому. Как и подозревалось, сервис предложил мне сделать это, указав номер мобильного телефона. Но вписав номер украинского оператора life:), которым я пользуюсь вот уже 8 лет, я с удивлением обнаружил, что он привязан к совершенно другому ящику, который я точно не регистрировал. Еще не полностью осознав, что происходит, я подтвердил введённые данные и стал дожидаться SMS, которое поступило на мой номер без замедления. И вот, на руках у меня полный Yahoo ID чужого ящика.

image

Азарт и интерес взял верх над порядочностью, поэтому я решил идти до конца. Имея на руках полный Yahoo ID и доступ к мобильному номеру (который по информации Yahoo принадлежит владельцу ящика), я без труда восстановил пароль. Таким образом, за 3 минуты Yahoo выдал мне логин и пароль от электронного ящика, который мне не принадлежит.

Код подтверждения
image

Проанализировав содержимое, я пришел к выводу, что он давно не используется и не представляет ценности для своего владельца. Поэтому смею предположить, что не нанёс существенного вреда человеку, «угнав» его ящик.

Содержимое ящика
image

Открытым остаётся вопрос о том, как такое могло произойти. Я никогда ранее не имел дела с почтовым сервисом Yahoo, но смею предположить, что указывая мобильный номер при регистрации, сервис не просит подтвердить, действительно ли вы являетесь его владельцем при помощи SMS-кода.

P.S: в заголовке слово «взлом» не просто так указано в кавычках. Вышеописанное — это, скорее, техническая неувязка, чем уязвимость, которую можно использовать. Я не претендую на славу «хакера» и вообще далёк от темы ИТ. Но поражает тот факт, что такой сервис как Yahoo не требует верификации указанного при регистрации номера. И, исходя из вышеописанного, разрешает регистрацию нескольких ящиков на 1 номер
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 17

    +17
    Суть взлома в том что ящик привязан к номеру и через него можно восстановить пароль?
      0
      Суть «взлома» в том, что телефон/номер может быть утерян/украден. И одного номера не должно быть достаточно, для «взлома». Нужно еще хоть секретный вопрос спросить.
      –5
      Поэтому и написал, что это «взлом». Никакой это не хак, скорее техническая неувязка. Ящик привязан к моему номеру. А почта мне не пренадлежит.
        +3
        Используйте кнопку ответить, так правильно. Теперь по поводу вашей статьи, скорее всего ваш номер лайфа раньше использовался другим челочеком. Потом он его выкинул (не использовал более 3х лет), и лайф, по условиям договора аннулировал его карточку и перевыпустил новую карту с его номером, которую купили вы. Дальше понятно?
          0
          Спасибо за совет.

          Я тоже так думал, пока не открыл содержимое ящика. По всей видимости, регистрировал его иностранец (исходя из указанного имени и фамилии, данных Твиттер-аккаунта и т.д.). Поэтому вариант, что он тоже пользовался «лайфом» отпадает. К тому же, я приобрел карточку в 2008 году, а лайф пришел на украинский рынок только в 2007.
        +4
        Такая уязвимость есть на всех сервисах, которые привязаны к мобильному и полноценно доверяют ему.
          –1
          А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).

          Я вот купил симку у Мегафона — и на меня попёр спам от коллекторов и банков о возмещении кредитов взятых в трех-четырёх различных банках. )))
            –1
            А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).


            Да. Владелец — иностранец, судя по содержимому почты. А номер мой от украинского оператора. Возможно, он просто ввёл рейдомные числа при регистрации — это самая правдоподобная версия.
              0
              Неужели Yahoo не верифицирует введенный номер, вот это можно попробовать и дополнить статью.
                –2
                Не верифицирует и более того, разрешает регистрировать по несколько ящиков на 1 номер. Как по-другому обяснить то, что мне разрешили регистрацию мейла на номер, который уже ранее использовался при регистрации.
                  +1
                  А с чего вдруг ему запрещать регистрировать несколько ящиков на 1 номер? Одного почтового ящика хватит всем, а больше ни ни?
              +5
              P.S. Слышал, раньше был такой финт с захватом старых (5-6-7 значных) ICQ-номеров — искались учетки, где указаны адреса почтовых ящиков бесплатных почтовых систем (mail.ru yahoo.com и т.д.), удаляемых через какое-то время из-за отсутствия активности. Проверялись — и если ящик был удалён, регистрировался новый (на этот адрес). Потом запрос забытого пароля и вуаля, запись ICQ в руках захватчика.
                0
                Лет 10 (а может уже и больше, во блин время то летит) у меня так появился красивый 7 значный номер с 4 одинаковыми цифрами. Школьники-кулхацкеры беспределили :)
                  0
                  У меня так шестизначных штук 10 появилось в своё время. Раздарил все.
                  0
                  У ICQ была одна проблема, даже если ты меняешь почтовый ящик на другой, письмо с восстановлением пароля приходит на тот, который использовася при регистрации.
                    0
                    Не, у ICQ была не одна проблема :)
                +2
                [grammar nazi]
                >Скрепя зубами
                укрепив сердце
                или
                со скрипом зубов
                [/grammar nazi]

                Only users with full accounts can post comments. Log in, please.