Пару часов назад стал счастливым обладателем данной новости:
Есть предположение, что как-то связано с новостью Хакеры атаковали российскую платформу по управлению рассылками «Раппорто» похоже, что оно ошибочное. Речь вроде шла о взломе именно 12 ноября, а меня взломали 6 октября. Меня смутило, что сообщение от "Яндекс" и эта новость пришли в одни день.
Про сам взлом:
6 октября (воскресенье) утром я обнаружил, что ночью пришло SMS от "Яндекс" с текстом "xxx-yyy - код для входа в Яндекс". Также от приложения "Яндекс Почта" остался пуш с приблизительным сообщением "Уведомление о смене пароля". Утро сразу не задалось.
Пароль от почты был изменён, но удалось восстановить доступ по SMS. В привязанных устройствах числилась сессия через "Яндекс браузер", которым я никогда не пользовался. Чищу все привязанные устройства, меняю пароль, пытаюсь достать как можно больше информации.
На странице "Активность" Яндекса отображалась информация, что ночью был вход и смена пароля
Страница "Журнал учёта посещений" была интереснее. Письмо о смене пароля переместили в "Удалённые" и очистили эту папку. Для меня до сих пор остаётся загадкой что за остальные 21 письмо, которое были удалены, так как у меня там должно было быть пусто. Других сообщений согласно "Журналу" не приходило (в ситуации разобрался, дело в отписках от рассылок, подробнее описал в UPD2).
В этот же день (6 октября) я написал в техподдержку Яндекса о том, что меня взломали через SMS, хотя я его не вводил. 7-8 октября была переписка, где я их уверял, что никаких ПО удалённого доступа у меня не стоит. 9 октября утром меня разлогинило на всех устройствах, а техподдержка подтвердила, что это сделали они. Кажется, они что-то заподозрили!
Дальше техподдержка целый месяц отвечала, что они разбираются, а вот сегодня пришло сообщение в начале поста.
На этом всё, а мне остаётся лишь гадать почему взломали меня, и что в итоге свистнули с моей почты. Всем добра и безопасных сервисов!
UPD1. Рекомендация от Яндекса, что делать дальше (там в том числе указано про TOTP, про который много говорили в комментариях):
Настройте двухфакторную аутентификацию, чтобы входить в аккаунт с паролем в связке с одноразовым паролем из Яндекс Ключа.
Запретите восстановление доступа к аккаунту по номеру мобильного телефона, если вы используете смс в качестве второго способа защиты. Сделать это можно в настройках Яндекс ID на вкладке «Способы восстановления» в разделе «Безопасность», после чего доступ получится восстановить только с дополнительной проверкой через службу поддержки.
Не храните в чатах, заметках или в других местах чувствительные данные, которые могут представлять для злоумышленников особенный интерес — например, логины, пароли или ключи от корпоративных VPN-сертификатов.
Поменяйте ваши данные для авторизации в других сервисах, которые вы могли хранить в своём аккаунте.
Следите за предупреждениями от команды безопасности Яндекса. Мы всегда отправляем письмо при попытке войти в аккаунт с нового устройства или из необычного места. Так вы успеете принять меры в случае реальной опасности: выйти из аккаунта на всех устройствах, сменить пароль и связаться со службой поддержки.
UPD2. Понял, что за 21 лишнее удалённое письмо. Похоже, что если нажать "Отписаться" от рассылки в UI Яндекса, то он просто сразу начинает пересылать письма в папку "Удалённые". При этом в "Журнале" получение этих писем никак не отображается.