Забыв свой Yahoo ID, я решил восстановить его, используя SMS-идентификацию. И вот уже за 2 минуты я получил полный доступ к почтовому ящику. Правда, к совершенно чужому, мне не принадлежавшему.
Началось всё с того, что мне понадобилась Yahoo-почта для того, чтобы скачать фотографии из отпуска, которые подруга залила на Flickr. Скрепя зубами пришлось регистрировать новый ящик: указал нужные данные, в том числе и мобильный номер телефона. И не было бы этой статьи на Хабре, если бы не моя девичья память: за минуту после регистрации я забыл её адрес.
Дабы не регистрировать новый меил, решил восстановить доступ к новосозданому. Как и подозревалось, сервис предложил мне сделать это, указав номер мобильного телефона. Но вписав номер украинского оператора life:), которым я пользуюсь вот уже 8 лет, я с удивлением обнаружил, что он привязан к совершенно другому ящику, который я точно не регистрировал. Еще не полностью осознав, что происходит, я подтвердил введённые данные и стал дожидаться SMS, которое поступило на мой номер без замедления. И вот, на руках у меня полный Yahoo ID чужого ящика.
Азарт и интерес взял верх над порядочностью, поэтому я решил идти до конца. Имея на руках полный Yahoo ID и доступ к мобильному номеру (который по информации Yahoo принадлежит владельцу ящика), я без труда восстановил пароль. Таким образом, за 3 минуты Yahoo выдал мне логин и пароль от электронного ящика, который мне не принадлежит.
Проанализировав содержимое, я пришел к выводу, что он давно не используется и не представляет ценности для своего владельца. Поэтому смею предположить, что не нанёс существенного вреда человеку, «угнав» его ящик.
Открытым остаётся вопрос о том, как такое могло произойти. Я никогда ранее не имел дела с почтовым сервисом Yahoo, но смею предположить, что указывая мобильный номер при регистрации, сервис не просит подтвердить, действительно ли вы являетесь его владельцем при помощи SMS-кода.
P.S: в заголовке слово «взлом» не просто так указано в кавычках. Вышеописанное — это, скорее, техническая неувязка, чем уязвимость, которую можно использовать. Я не претендую на славу «хакера» и вообще далёк от темы ИТ. Но поражает тот факт, что такой сервис как Yahoo не требует верификации указанного при регистрации номера. И, исходя из вышеописанного, разрешает регистрацию нескольких ящиков на 1 номер
Комментарии (17)
n1smo
01.10.2015 11:43-5Поэтому и написал, что это «взлом». Никакой это не хак, скорее техническая неувязка. Ящик привязан к моему номеру. А почта мне не пренадлежит.
kindacute
01.10.2015 11:58+3Используйте кнопку ответить, так правильно. Теперь по поводу вашей статьи, скорее всего ваш номер лайфа раньше использовался другим челочеком. Потом он его выкинул (не использовал более 3х лет), и лайф, по условиям договора аннулировал его карточку и перевыпустил новую карту с его номером, которую купили вы. Дальше понятно?
n1smo
01.10.2015 12:03Спасибо за совет.
Я тоже так думал, пока не открыл содержимое ящика. По всей видимости, регистрировал его иностранец (исходя из указанного имени и фамилии, данных Твиттер-аккаунта и т.д.). Поэтому вариант, что он тоже пользовался «лайфом» отпадает. К тому же, я приобрел карточку в 2008 году, а лайф пришел на украинский рынок только в 2007.
xforce
01.10.2015 11:43+4Такая уязвимость есть на всех сервисах, которые привязаны к мобильному и полноценно доверяют ему.
Diatlo
01.10.2015 11:47-1А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).
Я вот купил симку у Мегафона — и на меня попёр спам от коллекторов и банков о возмещении кредитов взятых в трех-четырёх различных банках. )))n1smo
01.10.2015 11:52-1А в этом чужом ящике указан Ваш номер? Если да — то это либо опечатка владельца чужого ящика, либо он владел этим номером до Вас (на 8 лет и более раньше) =))).
Да. Владелец — иностранец, судя по содержимому почты. А номер мой от украинского оператора. Возможно, он просто ввёл рейдомные числа при регистрации — это самая правдоподобная версия.kindacute
01.10.2015 11:59Неужели Yahoo не верифицирует введенный номер, вот это можно попробовать и дополнить статью.
n1smo
01.10.2015 12:04-2Не верифицирует и более того, разрешает регистрировать по несколько ящиков на 1 номер. Как по-другому обяснить то, что мне разрешили регистрацию мейла на номер, который уже ранее использовался при регистрации.
Mel
01.10.2015 13:46+1А с чего вдруг ему запрещать регистрировать несколько ящиков на 1 номер? Одного почтового ящика хватит всем, а больше ни ни?
Diatlo
01.10.2015 11:53+5P.S. Слышал, раньше был такой финт с захватом старых (5-6-7 значных) ICQ-номеров — искались учетки, где указаны адреса почтовых ящиков бесплатных почтовых систем (mail.ru yahoo.com и т.д.), удаляемых через какое-то время из-за отсутствия активности. Проверялись — и если ящик был удалён, регистрировался новый (на этот адрес). Потом запрос забытого пароля и вуаля, запись ICQ в руках захватчика.
YuriSerpinsky
01.10.2015 15:20У ICQ была одна проблема, даже если ты меняешь почтовый ящик на другой, письмо с восстановлением пароля приходит на тот, который использовася при регистрации.
EndUser
02.10.2015 00:05+2[grammar nazi]
>Скрепя зубами
укрепив сердце
или
со скрипом зубов
[/grammar nazi]
AlexandrDP
Суть взлома в том что ящик привязан к номеру и через него можно восстановить пароль?
Snowly
Суть «взлома» в том, что телефон/номер может быть утерян/украден. И одного номера не должно быть достаточно, для «взлома». Нужно еще хоть секретный вопрос спросить.