Многие (хабро)люди рискуют «профукать все полимеры», используя сервисы Яндекса для сбора корреспондеции или фильтрации спама с других почтовых ящиков. Вопрос встал особенно остро, когда с недавних пор в Я.Онлайне появилась опция слежения за несколькими почтовыми аккаунтами. Если злоумышленники выкрадут\подберут ключи к Вашей учетке, то у них в руках тут же окажутся вторичные явки\пароли. Как ребята из Яндекса могли допустить такой промах, я ума не приложу. Кстати, ситуация актуальна уже несколько лет. Ниже приводится иллюстрация уязвимости.

Топик подготовлен jeditobe, опубликован мной, так как у автора не хватает кармы. Это первый его пост.

1.Заходим в Яндекс.Почту, далее жмем по ссылкам «настройки» и «вид почты».

2.Выбираем «классический» интерфейс.


3.Жмем по ссылкам «настройки» и «сбор почты»

4.Подаем на страницу со списком всех ящиков, которые мониторит сборщик.

5.Выбираем любую из заинтересовавших записей, кликнув на соответствующую ссылку — откроется всплывающее окно с настройками.


6. Заглядываем в исходный код содержимого всплывающего окна и среди немногочисленных срок находим несколько весьма интересных.

Яндекс использует для этих страниц протокол http://, что позволяет перехватить в сетевом трафике логины и пароли.

UPD Перенесено в блог Информационная безопасность
UPD2 Ответ сотрудника Яндекса