Забыв свой Yahoo ID, я решил восстановить его, используя SMS-идентификацию. И вот уже за 2 минуты я получил полный доступ к почтовому ящику. Правда, к совершенно чужому, мне не принадлежавшему.
Началось всё с того, что мне понадобилась Yahoo-почта для того, чтобы скачать фотографии из отпуска, которые подруга залила на Flickr. Скрепя зубами пришлось регистрировать новый ящик: указал нужные данные, в том числе и мобильный номер телефона. И не было бы этой статьи на Хабре, если бы не моя девичья память: за минуту после регистрации я забыл её адрес.
Дабы не регистрировать новый меил, решил восстановить доступ к новосозданому. Как и подозревалось, сервис предложил мне сделать это, указав номер мобильного телефона. Но вписав номер украинского оператора life:), которым я пользуюсь вот уже 8 лет, я с удивлением обнаружил, что он привязан к совершенно другому ящику, который я точно не регистрировал. Еще не полностью осознав, что происходит, я подтвердил введённые данные и стал дожидаться SMS, которое поступило на мой номер без замедления. И вот, на руках у меня полный Yahoo ID чужого ящика.
Азарт и интерес взял верх над порядочностью, поэтому я решил идти до конца. Имея на руках полный Yahoo ID и доступ к мобильному номеру (который по информации Yahoo принадлежит владельцу ящика), я без труда восстановил пароль. Таким образом, за 3 минуты Yahoo выдал мне логин и пароль от электронного ящика, который мне не принадлежит.
Код подтверждения
Проанализировав содержимое, я пришел к выводу, что он давно не используется и не представляет ценности для своего владельца. Поэтому смею предположить, что не нанёс существенного вреда человеку, «угнав» его ящик.
Содержимое ящика
Открытым остаётся вопрос о том, как такое могло произойти. Я никогда ранее не имел дела с почтовым сервисом Yahoo, но смею предположить, что указывая мобильный номер при регистрации, сервис не просит подтвердить, действительно ли вы являетесь его владельцем при помощи SMS-кода.
P.S: в заголовке слово «взлом» не просто так указано в кавычках. Вышеописанное — это, скорее, техническая неувязка, чем уязвимость, которую можно использовать. Я не претендую на славу «хакера» и вообще далёк от темы ИТ. Но поражает тот факт, что такой сервис как Yahoo не требует верификации указанного при регистрации номера. И, исходя из вышеописанного, разрешает регистрацию нескольких ящиков на 1 номер