Yandex.Почта — «секретный вопрос» нам не помеха
Топик будет об одной небольшой уязвимости Яндекс.Почты, которая тем не менее сводит на нет все защитные функции «секретного вопроса».
В двух словах: зная пароль от аккаунта можно легко угнать его у пользователя банально удалив и перерегив заново.
И так — есть аккаунт на яндексе от коего был утащен пароль. Радостно потирая потные ручонки мы заходим в почту — настройки — изменить пароль. Готово, пароль изменен. Как продвинутые кулхацкеры мы там же рядом находим пункт, где можно удалить введенные хозяином адреса электронной почты для связи. Можно даже добавить свои при желании, нет проблем.
Так, вроде бы все, хозяину теперь предстоит или забыть про акк или попытаться восстановить его через техподдержку. На всякий случай все же попробуем ткнуть в пункт «вспомнить пароль» на главной странице. Опаньки!
Попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.
«Хех!» — сказали суровые сибирские лесорубы.
Не сдаемся сразу и еще немножко полазив в настройках находим один интересный пункт (для того чтобы мы его не пропустили Яндекс даже специально выделил его красным цветом).
Нажимаем на него. Достаточно только пароля. Удаление происходит моментально. Регистрируемся заново с тем же логином. Получилось, работает.
Попробовал сделать тоже самое на gmail.com — удаляется моментально, достаточно пароля, единственное отличие в том, что зарегиться под этим именем еще раз не удается.
- яндекс.почта
- уязвимость
Я забыла пароль и секретный вопрос на яндексе
Тел и доп мейл не оставляла. Можно ли его как-то открыть (взломать) ? Помогите.
Светлана Прохорова
✔Чтобы попробовать вспомнить ответ на контрольный вопрос, зайдите на страницу Редактирование контрольного вопроса/ответа . Чтобы сменить контрольный вопрос, нужно ввести правильный ответ на текущий вопрос в поле Прежний ответ. Если вы уверены, что ответ правильный, но видите сообщение об ошибке, попробуйте разные варианты написания и форматы даты, смените раскладку клавиатуры.
►Если правильно ввести ответ совсем не получается, перейдите по ссылке в сообщении об ошибке. На открывшейся странице нужно будет заполнить специальную форму для обращения в службу поддержки.
Если вы забыли пароль для входа на Яндекс, попробуйте восстановить его самостоятельно. Для этого перейдите на страницу восстановления доступа.
Если вы привязали к аккаунту номер телефона или адрес электронной почты, вы сможете получить код подтверждения на телефон или в письме. Для этого привязанный адрес или номер сначала нужно ввести (номер телефона следует указывать полностью, начиная с кода страны). Если вы видите сообщение о том, что email или номер неправильный, проверьте, не опечатались ли вы при вводе. Если корректно введенный номер все-таки не подходит, постарайтесь вспомнить, какие еще адреса или номера вы могли привязать к аккаунту.
Если вы не привязывали к учетной записи ни номер телефона, ни email, вам нужно будет ответить на контрольный вопрос. Ввести правильный ответ с первого раза может не получиться — попробуйте другие варианты написания и раскладку клавиатуры.
Светлана Чеботарева
В техподдержку яндекса обратись!
Просто чудо из чудес, об этом знает целый лес. Яндекc.ID
Много лет я пользуюсь сервисами Яндекса и до сих пор меня все относительно устраивало: почта, станция, облако, kinopoisk.hd, новый сезон смешариков. В общем, все было хорошо до появления Яндекс.ID. Протухла у меня однажды сессия в браузере и понеслась.
Ввожу я, значит, правильный логин и пароль, а меня просят ввести.
Ответ на контрольный вопрос, контрольный, его, вопрос.
Откуда? Кому такое могло прийти в голову?
- почему нельзя выслать СМС на номер телефона, который вы меня обязали привязать?
- кто, вообще, помнит ответы на свои контрольные вопросы?
- покажите мне пальцем сервис, который просит ввести контрольный вопрос при логине
- куда смотрели инженеры QA, когда это выпускали?
Что делать? Давайте попробуем обратится в поддержку?

Это просто гениально и находится на недостижимом уровне. Поддержки нет, её просто нет. Что бы ты не выбрал, тебя просто еще раз попросят прочитать документацию. Представляю, как это придумали — а давайте мы забьем на пользователей, они все равно тупые, и просто скинем им ссылку на документацию как поддержку.
Ладно, доступ как-то надо восстанавливать, нахожу планшет с рабочей сессией, пытаюсь изменить контрольный вопрос. И?

Меня опять просят ввести этот контрольный вопрос, просто нет слов.
Что делать дальше? Попытаемся настроить 2FA с QR кодом. Читаем следующее:

Ага, забывать PIN код тоже нельзя, а то больше никогда не войдешь в свой аккаунт. Знаем мы, как потом тебе поддержка поможет.

И о чудо, наконец-таки после этого я вошел в аккаунт. По 2FA. Азбука. Б. Безопасность, которая называется 2FA. Двухфакторная аутентификация. А я вхожу в аккаунт по одному QR-коду. Одному.
Что же дальше. Все закончилось? Нет, я лег спать и ночью в 4 часа утра Алиса мне начала орать на ухо — вы вышли из аккаунта, привяжите станцию повторно. Это было последней каплей.
У меня еще есть 3 аккаунта, в которые я уже не смогу войти таким образом. Это петиция и от лица всех пострадавших я требую выполнения следующих условий (если бы была форма обратной связи, я бы написал туда, но её, увы, нет):
- спрашивать контрольный вопрос при логине, только если это разрешено ранее в настройках
- разрешить нормально менять контрольный вопрос без указания предыдущего ответа (пусть даже через СМС на телефон)
- сделать галочку — спрашивать пароль при 2FA. Это называется безопасность
- сделать галочку — запретить восстановление пароля по привязанному телефону. Восстановление пароля по телефону — это не безопасность. Любой бомж придет в салон связи, даст взятку и получит доступ к телефону и любой почте.
- Информационная безопасность
- IT-компании
Контрольный вопрос и ответ для защиты почтового ящика
Чтобы защитить свой пароль от восстановления злоумышленниками, задайте в своем профиле контрольный вопрос и ответ на него. Вопрос, ответ на который знаете только вы, не даст посторонним украсть доступ к вашей почте.
Как задать контрольный вопрос и ответ на него
Во время регистрации в Рамблер/почте вы сможете добавить контрольный вопрос и ответ на него. Выберите вопрос из готовых или придумайте свой — для этого в выпадающем меня нажмите Свой вопрос.


Контрольный вопрос и ответ на него можно в любой момент изменить в вашем профиле.
Как изменить контрольный вопрос и ответ на него
Для смены контрольного вопроса и ответа на него войдите в свой профиль. Для удобства рекомендуем использовать компьютер или ноутбук.
В меню слева перейдите в раздел Пароль и безопасность профиля. Затем справа нажмите Изменить контрольный вопрос.

Вы увидите контрольный вопрос вашего профиля. Если вопрос был выбран из списка, в выпадающем меню он будет помечен серым цветом.

Для изменения контрольного вопроса выберите его из списка или придумайте свой, выбрав пункт Свой вопрос. Если вы хотите только изменить ответ к старому вопросу, то выбирать вопрос не нужно.
После того, вы указали контрольный вопрос и ввели ответ на него, нажмите Сохранить.
Как выбрать надежный ответ к контрольному вопросу
- При выборе контрольного вопроса из списка старайтесь придумать ответ, который будете знать только вы. Например, если на вопрос «Какой ваш любимой поэт?» вы ответите «Пушкин», то злоумышленники без труда подберут ответ, даже не зная вас лично.
- Надежнее всего придумать свой контрольный вопрос, ответ на который будете знать только вы.
- Не указывайте одни и те же контрольные вопросы и ответы на разных ресурсах.
- Если вы захотите восстановить пароль через контрольный вопрос, ответ должен будет полностью совпадать с заданным вплоть до регистра букв. Например, если вы задали ответ «Пушкин», а при восстановлении пароля на контрольный вопрос ответили «пушкин» (с маленькой буквы) или «Пушкин » (с пробелом в конце), то ответ не будет принят.

Если у вас возникли трудности при изменении контрольного вопроса, напишите нам. Мы обязательно вам поможем.
Если вас интересует безопасность вашей переписки, рекомендуем узнать, как лучше защитить свой почтовый ящик.
