Yandex 360 или как потерять все письма

Неочевидная ошибка которая может стоить всех писем администратору домена

Решил поделиться своей ситуацией, возникшей при использовании сервиса Яндекс360.
Не претендую на какую-то научность моей статьи, если эту заметку можно так назвать.
Но всё же, я пользуюсь сервисом уже много лет (ещё когда этот сервис назывался Почта для домена, а потом Yandex Connect). А пару дней назад возникла очень интересная ситуация, в результате которой почтовый ящик администратора домена был полностью очищен.

Хотел бы просто поделиться ей с вами, коллеги, возможно - это вам будет полезно и, возможно, сможет обезопасить ваши данные.

Вводные данные:

1. Есть организация с ID 4131 (Создана аккаунтом с адресом address@ya.ru). Привязан домен. Владельцем является аккаунт admin@DOMAIN.RU (владелец был изменён).

2. Есть вторая организация с ID 2651102 (Создана также аккаунтом с адресом address@ya.ru).
   Долгое время не был привязан домен и не использовалась. Владельцем также являлся аккаунт admin@DOMAIN.RU (владелец был изменён).

3. Аккаунт admin@DOMAIN.RU используется очень длительное время, примерно с 2017 года, содержит на момент начала настройки второй организации несколько тысяч писем, возможно, десятков тысяч за столько-то лет.

Мой алгоритм действий и начало "веселья"

1. Я выполнил переход во вторую организацию, выполнил привязку домена (DOMAIN2.RU) и перешёл к созданию пользователей (убедившись, что домен настроен). Увидел экран, где мне было предложено создать пользователей (так как их там не было).

   Стоит отметить, что теперь бесплатно допустимо создать не более 3х пользователей в Яндекс 360, если кто-то пропустил эту информацию.

2. Создаю нового пользователя с адресом ADMIN@DOMAIN2.RU, думаю окей. Разрешено 3 пользователя, мне должно хватить. Я использую сервис для личных целей, а также для нужд официально зарегистрированной на территории РФ некоммерческой организации.
   Но, уже тут вдруг началось что-то странное, наблюдаю, что в организации уже существуют 2 пользователя (ADMIN@DOMAIN2.RU - созданный мной, admin@DOMAIN.RU@DOMAIN2.RU). Один из них создан мной, второго я не создавал.

Ну ладно, подумал я, из-за того, что владельцем является аккаунт admin@DOMAIN.RU. Этот пользователь создаётся сервисом автоматически с целью администрирования (логично? Мне показалось, что - да!).

3. Выполнил вход в учётку admin@DOMAIN2.RU, проверил, что всё в порядке и решил, что права владельца можно спокойно передать на эту УЗ, и удалить не нужную для второй организации учётку вида ADMIN@DOMAIN.RU@DOMAIN2.RU. (Мне показалось это абсолютно логичным).

   Ведь учётные записи в разных организациях между собой не связаны?
   Во второй организации постфикс учётной записи @DOMAIN2.RU - значит всё должно пройти нормально, НО не в случае с сервисом Яндекса.

3. Я в настройках организации успешно передал владение организацией от УЗ - admin@DOMAIN.RU на УЗ - ADMIN@DOMAIN2.RU.

4. В пользователях, перед тем как начать удаление ненужного пользователя, переименовал профиль для проверки на "admin DOMAIN2.RU" (изначально имя было ROMAN CHUTCHEV). Зашёл в УЗ admin@DOMAIN.RU и проверил, что имя в профиле не изменилось - PASSED.

5. Перешёл вновь в УЗ - ADMIN@DOMAIN2.RU во вторую организацию (у него в управлении только она и есть). И нажал кнопку удалить на пользователе ADMIN@DOMAIN.RU@DOMAIN2.RU.

6. Спустя несколько секунд увидел сообщение "something went wrong" внизу страницы сайта. Окей. Значит подумал я, удалить администратора нельзя, наверное нужно забрать права администратора. Увидел, что права администратора уже убрались во второй организации, и статус у аккаунта стал "Blocked". Бесполезно значит думаю, вернулся к самим делам.

7. Спустя примерно сутки мне потребовалось проверить почтовый ящик и найти там определённое письмо. Какого же было моё удивление, когда зайдя на почту я увидел, что у меня в ящике "50 новых писем", нет ни одной папки, нет контактов, нет буквально ничего. Нет даже баллов Яндекса Плюса, хотя казалось бы - это отдельный сервис. Предположив, что я выполнил вход в неправильный ящик или "глюк" сервиса - выполнил вход в УЗ через режим инкогнито в браузере и обнаружил ту же картину.

Дальнейшие мои шаги:

Я составил запрос в службу поддержки Яндекс 360. Обращение зарегистрировано за номером 23042103481886586. Дополнил его всей необходимой информацией, надеюсь, что команда Яндекса решит каким-то образом этот вопрос.

Заключение

Коллеги, целью этой заметки не является как либо опорочить репутацию Яндекс и/или их сервисов, но считаю важным и необходимым поделится этой информацией с широкими массами пользователей.

Ведь получается, что таким образом - это как минимум ошибка в системе безопасности Яндекс 360, позволяющая администратору другой организации очистить почтовый ящик администратора другой организации, которые хоть и изначально были связаны каким-то образом через Яндекс 360, но - это разные организации. Надеюсь это понимают все, кто читают это.

Моё личное мнение, что Яндекс действительно молодцы, что предоставляют такой сервис пользователям. Когда он был бесплатным - это конечно тоже не то, что можно было ожидать от сервиса, но - это было бы ещё простительно (ведь сервис бесплатный), но сейчас когда Яндекс отключает бесплатное использование своего сервиса и необходимо принять решение о переходе на платный тариф, лично я считаю неприемлемым.

Возникновение такой ошибки может свидетельствовать о том, что сервис проверен не достаточно (простыми словами "сырой"), но при этом идёт агрессивная политика монетизации. "Яндекс - почта для домена" хоть и была менее функциональна, но работала много лет стабильно, таких проблем не возникало.

Это моё личное мнение, если кто-то не согласен, добро пожаловать в комментарии.
Спасибо всем, кто до читал до конца, обновления будут также публиковаться тут.