Читая хабр, заметил, что с Яндексом и его сервисами в последнее время происходит много нехорошего. То тут наглючат, то сервисы выпилят. Народ плюется.
Столкнулся на днях с еще одной подлянкой от Яндекса.
Есть у меня старый ящик на яндекс-почте. Ежедневно автоматически много раз в день батом проверяю там почту, что пришло — сразу забираю с удалением с сервера. Ящик почти нигде не светился.
Внезапно, на днях, бат собщает, что POP протокол заблокирован. Лезу в веб-интерфейс. Там мне сообщают, что у них есть подозрение, что мой аккаунт взломали и теперь они его заблокировали.
Для разблокировки просят
У них там есть форма восстановления. Хотят имя и фамилию, дату рождения, сотовый номер и в конце фото моего лица на фоне разворота моего же паспорта! Сразу захотелось спросить у них — а линейкой ничего померить не надо?
И самое интересное, что кто же помнит на какие учетные записи я этот ящик тогда регил? А форма автоматически проверяет, пишет о несовпадении и тупик. И обратной связи нет.
Насилу нашел форму обратной связи где-то в дебрях, написал им так и так. Те включили дурака, давайте мол фото, чтобы понять что вы это вы. Я им написал, что могу доказать, что я владелец. Посмотрите, писем в ящике нет, а сам при этом сообщил о датах, темах и адресатах полученных и отправленных писем с этого аккаунта аж с 2010 года. Доступ к логам только они имеют. Если злоумышленник сейчас взломал мой аккаунт, то откуда бы он узнал о таких письмах, если их нет в ящике? Даже в одном письме увидел имя и фамилию, на которые регил ящик. Все отписал. Морозятся.
Написал им, что я не нуждаюсь в их назойливой «заботе» и «защите от взлома» и попросил ее отключить, что мол сам разберусь как нибудь, без них. Под мою ответственность. Морозятся.
Могли бы просто отключать возможность отправки-получения писем, если так боятся спама и т.п. А не рубить полностью доступ к почте.
В общем, выводы:
1. Очевидно, что для работы яндекс-почты им не нужны не только мой номер телефона, но и прочие персональные данные. Я, как и многие, не желаю указывать им ничего, что могло бы меня деанонимизировать. Почта и без их нововведений успешно работала десятилениями.
2. Исходя из п.1 очень вероятно, что это развод от яндекса с целью заполучить персональные данные и с тем, в случае чего, определить конкретное физлицо.
3. Подход яндекса довольно подлый. Вот хорошо, что всю почту я забираю батом и она у меня есть локально. Ну и сервисов на этот ящик не зарегистрировано. Иначе было бы все плачевнее. Тот же твиттер, через неделю после регистрации честно предупредил, что если не введу телефон — заблокируется. Яндекс же просто молча нагадил.
4. Учитывая такие тенденции яндекса пользователям стоит задуматься. Либо они отдают всю реальную персональную информацию о себе
Хотелось бы услышать в отзывах попадал ли кто еще на такую ерунду? Может у них такой механизм запущен и не спеша работает, с целью постепенно деанонимизировать пользователей? Ведь факты к подозрению на взлом я проверить не могу.
Комментарии (141)
Jogger
15.04.2016 14:39+7Эх, когда же я перестану лениться и подниму свой мейл-сервер, чтобы не бояться, что завтра один из ящиков перестанет работать… Хотя, тогда я буду беспокоиться что домен разделегируют(
berezuev
15.04.2016 17:44-8А вы серьезно на столько в себе уверены, что считаете свой мейл-сервер более надежным, нежели Яндекс?
KorDen32
15.04.2016 19:39+1… или что какой-нибудь Gmail опять придумает кучу требований для непопадания писем в спам и срочно придется выделять время для допиливания сервера…
a0fs
16.04.2016 23:44+1Можно начать с малого. Загнать все ящики в один домен и подключить его к Яндексу. А когда станет плохо, домен перевезти полностью со всеми ящиками.
Да и внутри подключённого домена Яндекс, вроде, ещё не сильно зверствует.
Gorily
15.04.2016 14:49+4Палка о двух концах: конечно важно быть дружелюбным к пользователю, но также нужно не ослаблять безопасность. Особенно сложно это сделать в автоматическом режиме и с миллионом пользователей. Аналогичная ситуация у Google, где заблокированные автоматическими алгоритмами не имею никаких шансов на разблокировку (и с удовольствием решили бы этот вопрос с помощью паспорта).
Всё как всегда: когда у вас угоняют аккаунт, предоставив второстепенные данные, полученные с помощью социальной инженерии — вы лютуете, если вам восстановили доступ по тем же данным — вы восхищены дружелюбностью сервиса.
insector
15.04.2016 15:03А какие еще я им должен дать данные? Имя и фамилия вымышленные, секретный вопрос и дату рождения я не указывал. Дату регистрации за давностью не помню.
Нашел старые письма, информации о которых у злоумышленника точно быть не может. Причем, эту информацию яндексята готовы принять. Но, естественно, этого им оказалось недостаточно.
Нечистоплотная игра в оди ворота.
Seven-ov
15.04.2016 15:32«Имя и фамилия вымышленные, секретный вопрос и дату рождения я не указывал. Дату регистрации за давностью не помню.» — Не пойму сути претензии к Яндексу, тем более, что никакого договора вы не заключали и по сути Яндекс вам ни чем не обязан.
Вы нерадивый пользователь и это в первую очередь ваша проблема. Вы пользуетесь чужим сервисом задаром и без принуждения, будьте любезны выполнять правила.
Лично мне импонирует, что почтовый сервис пытается деанонимировать своих пользователей, всегда можно подать заявление и найти негодяя, который начнет безобразничать (рассылка вирусов, угроз и т.п.).
Urvin
15.04.2016 16:07+3Белее того, в соглашении Яндекс-почты указано, что пользователь обязуется предоставить достоверные данные.
Velite
15.04.2016 14:56Попал в такую же ситуацию, причём для восстановления просят или ответить на контрольный вопрос или заполнить такую же «анкету восстановления». Контрольный вопрос я точно не указывал, да и если бы указал, то точно не своё прозвище в школе :) В любом случае, все возможные ответы не подходили. Анкету заполнять, естественно, не стал, зарегистрировал новый ящик. В старом ящике писем было относительно немного, поэтому невелика потеря, но был привязан акк в стиме и ещё эта же почта светилась у доменного регистратора для одного сайта — срочно всё переделал на гугловый ящик. Других потерь, вроде бы, нет.
Firsto
15.04.2016 15:03С почтой только один раз был неприятный случай, да и то не с Яндексом.
Mail.Ru год назад удалил мой старый ящик после трёх лет неактивности. Не пользовался им давно, оставлял как резервный, требовался крайне редко.
imhuman
15.04.2016 15:06+1>И самое интересное, что кто же помнит на какие учетные записи я этот ящик тогда регил?
Ну вот получается, что нужно либо ответственно относиться к регистрации, либо быть готовым доказать, что вы-это вы. Иначе яндекс, да и любой другой сервис не сможет гарантировать восстановление доступа истинному владельцу. А если его восстановят на злоумышленника по причине низкой проверке, то придется по судам бегать… Кому оно надо?
ScoutUa
15.04.2016 15:08+3Поражают методы, которые используют всяческие сервисы, чтобы собрать побольше инфы о каждом пользователе
Одни устраивают «акции щедрости» раздавая плюшки, но при этом надо подтвердить свою личность слепком задницы номером телефона, другие тупо лочат пока не предоставишь автобиографию за всю жизнь…
JTG
15.04.2016 17:07+8Тут вот недавно человек рассказывал, как откопал труп забытой лет 5 назад аськи, залогинился а ему «Возможно, злоумышленникам удалось получить доступ к вашему аккаунту. Пожалуйста, перейдите по ссылке для разблокировки». Ну а по ссылке, как водится, предлагают привязать номер телефона. Типа мнимый злоумышленник не умеет пользоваться телефоном? На Airbnb ещё подленькая система — регистрируешься «за минуту», подтверждаешь email, находишь жильё, оплачиваешь бронь и как только деньги заблокировались, тебе говорят, мол, мы передадим вашу заявку, но для подтверждения профиля загрузите вот сюда фото паспорта/водительского удостоверения, а на следующей страничке помашите лицом в веб-камеру («Благодаря видео-профилю вы можете заявить о себе всему сообществу Airbnb и произвести незабываемое первое впечатление!», вот счастье-то).
ScoutUa
18.04.2016 13:30Да, и таких масса. Я когда регался в пейполе (это было при царе горошке :) ) думал что там сложности, а там еще вполне норм было, при том что все таки платежная система, а не какой то очередной «супер-сервис барахолка»
igruh
15.04.2016 15:09+8Выдержка из правил публикации:
«Плохая публикация:
Является жалобой на что-либо»
На мой взгляд, данный пост ничего более не содержит.insector
15.04.2016 15:17+2Ваш взгляд ошибочен.
Тут жалуйся-не жалуйся — уже ничего не сделаешь.
Я отдавал себе отчет, что заминусуют. Это хабр :)
Но желание предупредить пользователей от влипания в подобную ситуацию оказалось выше.
Если кого-то убережет — уже хорошо.igruh
15.04.2016 15:42Ваш взгляд ошибочен.Докажите. Не можете? Тогда Вы заблуждаетесь на счёт своей безошибочности.
Я отдавал себе отчет, что заминусуют. Это хабр :) Не нравятся правила и мнение пользователей ресурса? Зачем тогда постить тут?
vvmk
15.04.2016 15:10Аналогичная ситуация, но года 3 назад. Почта вынималась из яндекс-ящика гугло-аккаунтом.
dmitry_dvm
15.04.2016 15:14+6>Посмотрите, писем в ящике нет
Письма в ящике есть, потому что яндех игнорирует POP-команду DELE и ничего не удаляет, а только делает вид для POP-а, что всё удалено.
У яндекса только гонора много, а качество сервисов давно уже сомнительное.insector
15.04.2016 15:23Да, заметил игнорирование в некоторых ящиках. Но в моем случае там было пусто. Заходил через веб год назад.
Zzzuhell
15.04.2016 15:20+3Аналогичная ситуация с Mail.ru
Заблокировали доступ по подозрению во взломе моего ящика.
Регистрировал давно, однако контрольный вопрос помню. Отвечаю верно, но дальше начинают спрашивать подробности вроде последнего отправленного с/на ящик письма, которых я не знаю.
Внимание, вопрос. Что, секретного вопроса недостаточно? И если таки недостаточно, то почему меня не начали назойливо доставать с просьбой добавить данных ДО того, как заблокировать ящик?
hungry_ewok
15.04.2016 15:22+1Майлру — та же фигня.
Регистрировал временный ящик для того чтобы скриптик кидал туда сообщения и в один прекрасный момент ящик заблокировался и потребовал телефон для разблокировки.
wOvAN
15.04.2016 15:24-1А ещё Яндекс деньги вымогают персональные данные якобы для совершения некой операции, а когда ты предоставляешь требуемые данные оказывается что их недостаточно для совершения операции и нужно ещё больше данных.
При этом удалить уже введенные данные НЕВОЗМОЖНО, вернее возможно, но не тем способом которым ты их ввел, нужно куда то, писать какие то заявления!!!
Могу привести переписку с саппортом ЯДа, но думаю не требуется.
В итоге: чем больше сталкиваешься с сервисами Яндекса, тем больше хочется с них свалить.Avitale
15.04.2016 15:34Яндекс.Деньги напрягают еще тем, что нельзя так просто взять и удалить свой кошелек. У них там есть совершенно бредовая политика, при которой с кошельков, не используемых какое-то время (2 года вроде), ежемесячно снимается 270 рублей. Удалить можно только полностью весь аккаунт (в т.ч. почту, фотки, диск и прочие сервисы, которые висят на этом же аккаунте и могут использоваться), а если хочешь удалить только кошелек, вынужден обращаться в техподдержку, где они будут допытываться, почему вы хотите уйти. И это при том, что в договоре прописано, что вы имеете право расторгнуть договор на оказание услуг без объяснения причин.
BeyondBright
15.04.2016 16:06Безотносительно моего мнения о Яндексе, цитирую ответ их техподдержки (довольно старый, 2014 год, может, что-то поменялось)
1. Вы можете создать новый логин почты (и даже открыть новый счёт под этим логином). За открытие счета и его обслуживание мы не взимаем комиссию, так что старый счет Вас никак не побеспокоит.
2. Вы можете удалить аккаунт (сделать это можно тут: https://passport.yandex.ru/passport?mode=passport ). Счёт в этом случае продолжит существовать. Если Вы когда-либо решите восстановить аккаунт, счёт останется на нём в неизменном виде. До этого момента никто не сможет зайти на Ваш аккаунт, однако возможность зачислить деньги по номеру счёта, например, через терминал, останется.
3. Вы можете закрыть счет, подав нам заявление. Его нужно будет подать лично в офисе или прислать нам заказным письмом с подписью, заверенной у нотариуса. В этом случае счёт нельзя будет использовать для проведения каких-либо операций, однако при нём останется вся его история, которую можно будет просмотреть в любой момент. Новый счёт на этом аккаунте открыть будет нельзя.
Если Вы всё же хотите закрыть счёт, сообщите нам об этом в ответном письме, и мы пришлём Вам бланк заявления и правила его оформления и подачи.Avitale
15.04.2016 16:20+2Простите, у меня нет цензурных слов. То есть для того, чтобы открыть счет, достаточно просто заполнить несколько полей и зажать кнопку «сохранить», а чтобы закрыть — приезжать к ним лично либо высылать заказное письмо с подписью, заверенной нотариусом(!). И все потому, что несколько лет назад мне 1 раз потребовалось заплатить за интернет-заказ в магазине, принимавшем только Яндекс.Деньги…
dartraiden
15.04.2016 16:28У многих такая практика, когда дело связано с деньгами. Вот, скажем, учётная запись в сервисе battle.net, принадлежащем Blizzard. Зарегистрироваться вы там можете хоть на имя «Конь Впальто», но чтобы удалить учётку, вам сначала придётся отправить им скан своих документов, чтобы вписать в учётную запись своё настоящее имя, а затем отправить письменное заявление об удалении учетки + копии идентифицирующих вас документов во Францию, поскольку в России у них представительства нет.
BeyondBright
15.04.2016 18:23Совершенно верно. Я в ровно такой ситуации. Думаю попробовать еще раз, может, скажут что-то новое. Особенно учитывая, что я не являюсь гражданином РФ, куда мне ехать, каким нотариусом что заверять?
tendium
15.04.2016 21:44+1Ну, например, можно заверить документ в российском консульстве. Также вы можете заверить документ у нотариуса, действующего в вашей стране, но там есть нюансы, которые могут вас навести на мысль, что проще в российском консульстве.
GaricT
15.04.2016 15:25Аналогичная ситуация, заблокировали ящик — кто то усиленно брутфорсил пароль через pop протокол. Закрыли ящик после того как среди адресов всплыла Мексика. Восстановил за пару кликов, т.к. был привязан телефон.
bO_oblik
15.04.2016 15:40+1Я тоже думал что Яндекс норм контора, пока не столкнулся с Яндекс.Кассой. Регистрируешься такой, вводишь настройки. Тебя подтверждают через пол месяца. А настройки ты даже посмотреть не можешь, и поменять не можешь и вообще забыл уже что вводил. Надо писать в саппорт который отвечает 3 дня. Что-бы оплату включить нужно еще сначала все тесты пройти, все бы хорошо — но они все не работают :(
По-итогу поняли что невозможно эту парашу вообще подключить.
Это коммерческий продукт. Не бесплатная почта.imhuman
15.04.2016 15:50-2Я нормально подключил, техподдержка да, медленная, соглашусь. Но работает стабильно, процент ниже других. «Забыл, что вводил»… Тогда с любым сервисом проблемы будут)))
imhuman
15.04.2016 15:54-1А насчет того, что продукт коммерческий, да это так, но вы не платите абонентской платы, а лишь процент от удачных транзакций, так что криво работающим он бы не выжил, не в их интересе криво работать
aliencash
16.04.2016 23:43Ну если не умеешь пользоваться, то и молотком можно пальцы отшибить.
При регистрации в кассе у вам выдают клиентский номер. Его надо указывать в квадратных скобках в теме письма, при обращении в саппорт. + у вас есть менеджер, который занимается вашим магазином, у него есть телефон, правда московский, но если что-то срочное то можно и позвонить.bO_oblik
17.04.2016 09:42+2Отвечаю для всех сразу. Так как мой лимит 1 сообщение в день.
Да я знаю как пользоваться саппортом и как он работает. Я первый раз вижу систему, в которой нельзя ничего настраивать и даже посмотреть свои настройки. (привык к роскоши походу)
Я до этого подключил около 5 платежных систем, решили и кассу подключить до кучи, подключение нормальной системы 15-60 минут времени, Яндекс.кассу не удалось подключить за 2 недели. Вот почему — я все настроил все по докам, но в рабочий режим нельзя перейти без хотя-бы одного тестового платежа, который не удалось отправить в течении 2 дней 3 различными способами из-за каких-то сбоев в Яндекс.
После чего было решено слать Яндекс.кассу нахуй.
Neuronix
15.04.2016 16:14+1Яндекс лично для меня потихоньку превращается в корпорацию зла. Одно вступление в качестве партнера в их РСЯ — это та еще эпопея. Вот правила, сайт не попадает ни под одно, но модератор банит. Комментариев Яндекс не дает, обсуждать не дает, на прямой вопрос — какое правило нарушено — морозятся и тыкают с список правил. При этом всём на сайте АдСенс крутится с самого старта и приносит неплохие бабки. Политика для меня абсолютно не ясная…
dartraiden
15.04.2016 16:22+1Это вам просто везёт пока. Если вас забанят в АдСенс, вы узнаете, что Гугл точно так же не раскрывает, какое именно правило нарушено.
Neuronix
15.04.2016 16:28+1Слышал про такое, но у меня левого трафика нет, кликов тоже, правил не нарушаю, что и показывает низкий процент перерасчета кликов в начале месяца. Так что надеюсь с гуглом и дальше сотрудничать. А вот Яндекс показался мне эдакой манерной бабой — типа к нам не каждый попадёт. Может у модератора ПМС был при рассмотрении заявки, а следующие я думаю её уже особо и не рассматривают.
Но самое неприятно тут даже не это (АдСенс по отзывам один хрен дает больше дохода), а то, что Яндекс не дает комментариев по нарушениям. Гугл то понятно почему. Если забанили — значит за что-то. Если сказать за что, в следующий раз злоумышленник может это уже обойти. А вот Яндекс даже просто не дает вступить в их программу. Это нонсенс.dartraiden
15.04.2016 16:31Если забанили — значит за что-то.
Читал я много историй, в том числе и тут, и на хабре. Порой даже непонятно, за что забанили. Роботы тоже могут ошибки делать, в любой программе есть ошибки.Neuronix
15.04.2016 16:34Я думаю, что владелец сам не всегда может знать всё. К примеру — залили конкуренты левый трафик на сайт, закликали до смерти. А гугл это видит и не знает, владелец это пытается на… колоть или еще кто. Ну и банит от греха подальше — рекламодателям ведь что в первом варианте, что во втором — нести расходы.
Epoiiika
15.04.2016 16:32+6Похожим образом яндекс мне заблокировал 230р на яндекс деньгах, типа давай персональные данные и все в таком же духе. Причем это при попытке кинуть себе 100р на телефон. В итоге попереписовавшись с поддержкой забил на свои деньги и больше ЯД не использую и всем советую это делать, пусть мои убытки =)) будут перекрыты в сто тыщь раз их убытками ))
Neuronix
15.04.2016 16:35+6А я пытался вот так вот оплатить авиабилеты. Ничего рядом не было — ну и решил кинуть через Яндекс.Деньги. Закинул около 10к, вбил данные компании, а мне говорят — пройдемте-ка, гражданин, на верификацию. Вот так вот я не смог вовремя улететь. Спасибо, Яндекс.
dartraiden
15.04.2016 16:43А у нас (в России) закон же вышел. Теперь без идентификации одномоментно находящаяся в кошельке сумма и месячный оборот ограничены какими-то там суммами.
Меня QIWI задолбали этим. Сначала вылезали уведомления, что лимиты такие-то, пока я не введу свои паспортные данные. Можно, конечно, было бы ввести чужие (найти в Сети скан паспорта на каком-нибудь rghost, куда сами владельцы их и выкладывают, это раз плюнуть). Но мне эти лимиты не мешали, чего напрягаться. Свои данные, естественно, я не собираюсь давать до тех пор, пока можно их не давать. Затем окошко для ввода данных стало вылезать после каждого платежа. И, наконец, в один прекрасный день, мой счёт стал «подтверждённым». Уж не знаю, как они там выкрутились и какие данные ввели, потому что я точно ничего им не давал :)ScoutUa
15.04.2016 16:49>потому что я точно ничего им не давал :)
Это Вы так думаете :) </ваганыч мод офф>
«Дружественные» им сервисы не могли поделиться? На основе совпадения имейла, данных, etc?dartraiden
15.04.2016 16:52Вот уж не знаю. Полагаю, что за передачу паспортных данных другому юр. лицу у нас могут и вздрючить. Персональные данные, все дела.
Разве что от ОПСОСа получили (кошелек привязан к номеру телефона). Но тогда круто, симку мне вообще левый человек покупал.Neuronix
15.04.2016 16:57Ой, я вас умаляю) Для меня когда-то оказалось новостью, что при оплате через терминал Новоплат своего телефона, я, оказывается, дал согласие на продажу своего номера в рабство :) Вполне себе легальная система сбора номеров и персональных данных для дальнейшей продажи.
ScoutUa
15.04.2016 17:01Может и оператор поделился. На счет передачи — в первых образцах договоров (когда только начали появляться вопросы о личных данных) были тексты по типу не только «согласие на передачу и обработку данных», а еще и «вася пупкин и co» имеют право на передачу данных третьим лицам". Таким образом всякие коллекторы получали данные
tundrawolf_kiba
15.04.2016 16:55> Уж не знаю, как они там выкрутились и какие данные ввели
> найти в Сети скан паспорта на каком-нибудь rghost, куда сами владельцы их и выкладывают, это раз плюнуть
Вам не кажется что в вашем комментарии уже содержится ответ на вопрос? :-)dartraiden
15.04.2016 16:58Да просто если подумать, а зачем им это? Закон ведь не требует паспортные данные любого пользователя сервиса. Закон лишь устанавливает лимиты. Без идентификации — чуток, чтоб террористов и оппозицию безнаказанно не финансировали. Если клиент в лимиты укладывается, то и бог бы с ним. Для чего сервису-то самому себе проблемы создавать, какие-то левые паспорта к клиентам привязывать?
nikolaynnov
18.04.2016 15:54-1Попробую намекнуть: не давая сделать платеж на 100 рублей сберу похрену на государство и финансирование оппозиции, а занимаются они только сбором этих самых данных, скорее всего для последующей продажи. Только бизнес.
Vjatcheslav3345
16.04.2016 12:42Веяние времени:): раньше говаривали «Пройдёмте с нами гражданин!» — а теперь — «Пройдемте с нами, гражданин, на верификацию!».
sweetbrick
15.04.2016 16:55Всегда удивляюсь вопросам типа «как решить проблему ...?» и очень редко (если только на тостере) " (типа) как избежать последующих проблем с ...?"
Stalker_RED
19.04.2016 00:26Так ведь интуитивно понятно — чтобы избежать повторных проблем с %servicename% достаточно уйти на другой сервис.
И только когда выясняется, что у каждого аналогичного сервиса свои тараканы, тогда и появляются вопросы «как избежать».sweetbrick
19.04.2016 01:20Я в свое время потратил время на выбор почтового сервиса и остановился на gmx.com.
Не жалею и претензий не имею. Один из ящиков был делетирован) сервисом после годового бездействия, что и следовало ожидать, ссзб.
Реги и акки с него восстановил через их второй резервный ящик.
Для некоторых контактов пользую ghostmail.com.
caveeagle
15.04.2016 17:50+1Да никто эти ящики не взламывает, это такая фишка Яндекса, чтобы выполнить требования росс.властей. У всех пользоватеелй затребовали идентифицирующую информацию, если её нет в системе (например, если ты не вводил её в той же я-деньги). Чтобы не было скандала и отттока пользователей — прикрылись тем. что якобы ящики взламывают, и это защита от пользователя.
У меня так было со всеми яндексовскими ящиками. Чтобы не быть голословным — пусть в комментах отпишется хоть один человек, который продолжает пользоваться я-почтой, но при этом ни разу не вводил свой номер телефона =)zhigalin
15.04.2016 18:31Я не вводил 4 года, месяц назад нужно было получать смс с напоминаниями, ввёл.
Проблем не было.
Kornet
15.04.2016 19:18Продолжаю пользоваться, ни разу не вводил. Напоминания с предложением ввести номер периодически всплывают. Просто игнорирую.
MTyrz
15.04.2016 21:43Сто лет не пользуюсь, но сейчас зашел без проблем. Полторы тысячи какого-то спама, номер телефона никто не требовал.
joedm
16.04.2016 00:38+2Аккаунту около 15 лет, иногда просят привязать телефон, не обращаю внимания. Почтой пользуюсь редко. Потребуют привязать телефон — перестану пользоваться совсем.
nikolaynnov
18.04.2016 15:57Всё ещё проще. Даже не говорят, что кто-то что-то взламывает, просто говорят что у вас подозрительная покапка на 500 в подключенном к нашей системе магазине. Давайте сканы паспорта. Телефон подключен, им этого мало.
Alexeyslav
15.04.2016 18:47Ох уж эта почта.
имею один почтовый ящик от провайдера. Вроде бы замечаельный сервис, но… с китайских сайтов почта приходит 1 раз из 10, из-за этого пароль от EBay, когда они его сбросили восстановил только через недели две.
засада ещё хуже произошла с GearBest, как-то зарегили меня там автоматом с первой покупкой и по всей видимости пароль сгенерированный должен был прийти на почту… но естественно не пришел и понял я это не сразу.
Восстановление пароля там происходит через код подтверждения который приходит на почту, и приходит он через 2-3 часа как запросишь и потом естественно высылается новый пароль на почту… при том что реально доходит только одно письмо из 10 должно очень
сильно повезти чтобы прошли 2 письма подряд.
Причем, знакомый который там работает админом говорит что на почтовом сервисе фаервол практически отключен, ограничений нет и антиспам-фильтра тоже нет. Загадка прям.
EndUser
15.04.2016 19:46+1Коллеги, это не разовый случай.
Пролетали аналогичные и у ВКонтактега, и у Мылрушечки: сотовый, паспорт и т.п.
Просто тенденция к государственному поголовному деанону.Mad__Max
17.04.2016 01:34+1+
Уже сталкивался с таким вымогательством перс. данных и мобильного телефона от мэил.ру и вконтакта. Так же под соусом якобы защиты меня от взлома (потом специально логи посмотрел — никаких левых входов или даже попыток входа с незнакомых ip не было).
С яндексом не сталкивался, но вероятно только потому что сам добровольно когда-то им данные передал, когда нужно было я-деньгами довольно крупную сумму использовать и пришлось верифицироваться после того как принятыми законами навводили лимитов и кучу ограничений для не проверенных.
GamePad64
15.04.2016 21:34+1Как альтернативу, могли бы прикрутить авторизацию через ЕСИА (у них там вроде есть API). Тогда данные Яндексу передавать бы не пришлось.
stalinets
16.04.2016 12:22+1Тоже выдавили у меня номер мобильника (прикрыв возможность пользоваться кодовыми таблицами для подтверждения платежей в яндекс.деньгами) и паспортные данные, правда, акаунт не блокировали.
Яндекс мне нравится, но за такие финты — потихоньку перехожу на почту на protonmail.chdartraiden
16.04.2016 20:08ProtonMail хорош всем, кроме отсутствия возможности проверять почту через десктопные почтовые клиенты…
stalinets
16.04.2016 20:19Мобильный клиент под андроид вроде уже почти допилили, насчёт других платформ и десктопного не знаю.
dartraiden
16.04.2016 20:40Я в курсе, спасибо. Под iOS тоже есть. Но у меня мобильная ОС — Maemo, а почту я проверяю с десктопа по IMAP.
tree
18.04.2016 18:10А в чем профит? Ну то есть они же шифруют письма во первых только между собственными аккаунтами, а во вторых в любой момент можно подменить код на клиенте. То есть это обычный средний email хостинг, или я ошибаюсь?
stalinets
18.04.2016 22:17Их философия предполагает анонимность и защиту тайны переписки. По их философии скан паспорта они точно не потребуют.
iChaos
16.04.2016 23:45+1Спасибо что предупредили – тоже есть один ящик от Яндекса, теперь буду отвязывать сервисы, и переходить на более лояльную почту.
bonifaci
17.04.2016 16:53Расскажите, на какую?
iChaos
17.04.2016 17:12https://ru.wikipedia.org/wiki/ProtonMail
bonifaci
17.04.2016 17:251. Странно сравнивать бесплатные сервисы почты с платными.
2. Если вы забыли пароль и дополнительный email (помните только логин), восстановить доступ невозможно.
3. При условии, что вы знаете дополнительный email, указанный в настройках аккаунта, вы можете легко узнать логин, а пара логин+email даёт вам возможность в одно действие угнать аккаунт. Да, вы не получите доступ к содержимому ящика, потому что оно зашифровано ключом, который известен только владельцу ящика и не хранится на сервере, но система даёт возможность тут же установить новый крипто-пароль, обнулив содержимое ящика.
Итого, имея на руках список произвольных email-ов, просто идём и проверяем наличие на этом сервисе логинов с этими email’ами и тут же в два счёта угоняем нашедшиеся.
Щщикаарная лояльность и защита содержимого почтового ящика.
PS: почта без imap?)iChaos
17.04.2016 18:55+11) ProtonMail таки бесплатен, хотя и с ограничениями.
2) Не имею привычки указывать дополнительный mail (не люблю чтобы используемые сервисы слишком много знали) и забывать пароли. Юзаю менеджер паролей.
3) Если указан дополнительный email, то для того чтобы угнать аккаунт необходимо иметь доступ к этому дополнительному ящику. В противном случае угнать аккаунт не получится. Кстати с точки зрения безопасности дополнительный e-mail это еще один вектор атаки: если он не указан, то атакующему необходимо знать пароль от аккаунта, если указан, то атакующему надо либо знать пароль, либо иметь доступ к дополнительному ящику. Ещё одна причина не указывать запасной e-mail.
4) Мне нужен ящик для долговременной привязки сервисов. Если сервис нужен на 5 минут, то использую «почту на 5 минут». Яндекс, до того как начал требовать ‹s›анальное зондирование‹/s› привязку к телефону и паспорту (а ключ от квартиры где деньги лежат ему не нужен?!), меня полностью устраивал, жаль что приходится менять…
5) Относительно IMAP: я предпочитаю POP3, а IMAP отключаю. Но учитывая цели использования, можно обойтись и веб-версией. Для приватного общения же, существуют куда более удобные сервисы, нежели почта с претензией на end-to-end шифрование (так как используется шифрование в браузере, то клиент загружается каждый раз с сервера, поэтому возможна избирательная runtime-подмена клиента на версию с бэкдором)…bonifaci
18.04.2016 15:01> хотя и с ограничениями
https://yadi.sk/i/_EFf25BEr674X
500 МБ доступного места и ограниченная поддержка. Прекрасный сервис в 2016 году.
Это как-то слабо сочетается с требованием «Мне нужен ящик для долговременной привязки сервисов»
> Не имею привычки забывать пароли
Все в этом уверены, но забывают или ошибаются. И Упс.
Pongo
18.04.2016 15:47Мне нужен ящик для долговременной привязки сервисов
Тогда вам стоит зайти в ProtonMail Terms & Conditions и увидеть там:Although it is not the current practice now, we reserve the right to suspend or delete accounts that are inactive for over three months.
В качестве альтернативы могу предложить https://tutanota.com/ru, которые заявляют, что не будут удалять неактивные акки.
Vilgelm
17.04.2016 20:48+1С Яндекс.Деньгами была забавная ситуация: надо было срочно выпустить виртуальную карту, а у моего банка что-то заглючило и сервис был недоступен. Вспомнил про Яндекс, пошел туда. Я там полностью идентифицирован еще с незапамятных времен, но при выпуске карте потребовали ввести код подразделения. Ввожу, принимает, пытаюсь выпустить карту, опять требует ввести. Пробую другой браузер — тоже самое. Другой компьютер с другой ОС — аналогично. Плюнул, купил карту в другом месте, но решил написать им в саппорт с описанием проблемы, т.к. она явно на их стороне. Написал что делал по шагам, на каких браузерах и ОС пробовал. Через пару дней получил ответ:
Пробовали ли Вы открыть счет через другой браузер? Например, через Яндекс.Браузер, Internet Explorer, Mozilla Firefox, Chrome.
Повторите, пожалуйста, операцию, делая последовательные скриншоты на каждой странице.
Если проблема не решилась, пришлите, пожалуйста, нам скриншоты на анализ.
Для нас очень важно, чтобы Вы прислали нам полные адреса каждой страницы всего процесса из адресной строки и информацию о версиях Вашего браузера и операционной системы.
Скопировать данную информацию можно на странице: http://internet.yandex.ru/
Делать кучу скриншотов с полными адресами и прочим у меня не было времени и я как-то забыл об этом.
Сейчас вот попробовал еще раз, после ввода кода из SMS выдает вот такое:
С прошлого раза прошел почти год.
Kain_Haart
18.04.2016 13:19+6Напишите им, что у вас есть подозрения, что яндекс взломали и теперь злоумышленник пытается получить ваши паспортные данные. Пусть сотрудник техподдержки пришлет свое фото на фоне своего паспорта и трудового договора чтобы доказать что это действительно техподдержка яндекса :))
ffs
18.04.2016 13:53Заводил яндекс из Крыма до событий 2014 года (т.е. привязка была еще на украинский мобильный номер). Висел он у меня чисто как почтовый ящик и пару раз для перекидывания пары рублей на стим. При переходе Крыма вместе со сменой номера на новый во всех сервисах поменял номер, в т.ч. на яндексе. Потребовалось срочно оплатить что-то, уже не помню что, кинул с карты на счет 350р, но вот при попытке оплаты смс мне упорно не приходило. Как выяснилось, у кошелька отдельная привязка к номеру и он сохранил мой старый украинский номер, который уже естественно не обслуживается.
Чтобы восстановить попросили скан паспорта заверенный нотариусом выслать обычной почтой куда-то там, я всё понял и забил. Подозреваю что разорившись на нотариуса и отправив таки скан всё равно получил бы требование посетить офис, так что всё равно не важно уже. Теперь пользуюсь q*** и w*******.
astono0
18.04.2016 14:09+1Мне яндекс отключил пересылку писем на мой основной ящик из-за того, что им что-то показалось подозрительным.
При чем яндекс мне об этом сообщил только тогда, когда я создал тикет о том, что письма не пересылаются.
Тоже требуют сканы документов с фоткой.
На моей практике только яндекс таким страдает.
Раньше это был неплохой набор сервисов, но последние годы они испортили все, что могли. Наиболее грущу за словарями. Аналога до сих пор не нашел.
Единственное полезное, что у них для меня осталось — это яндекс маркет.
RainyWill
18.04.2016 14:28-3Вполне стандартные меры восстановления доступа на сегодняшний день, честно не понимаю гневного поста автора. Во всех социальных сетях сейчас именно так и вряд ли будет меняться. Свои данные нужно сохранять, если не хотите в последействии их восстанавливать
saboteur_kiev
18.04.2016 15:53-1«Очевидно, что для работы яндекс-почты им не нужны не только мой номер телефона, но и прочие персональные данные. Я, как и многие, не желаю указывать им ничего, что могло бы меня деанонимизировать. Почта и без их нововведений успешно работала десятилениями.»
Проблема в том, что яндекс, как и множество других типа ukr.net, mail.ru да и gmail, никогда не позиционировали себя как анонимные почтовые сервисы. Поэтому совершенно естетственно, что они устанавливают свои правила.
Для анонимной почты заведите себе почтовый ящик на своем домене или у своего провайдера, затем периодически регайте себе почтовые ящики на всяких 5minute email и форвардите на свой личный, который будете забирать theBatом.
P.S. Стараюсь не хранить в облаке никаких писем, которые имеют отношение к моим финансовым реквизитам, но для множества ресурсов, внятный gmail, в котором есть ваше фото, гораздо полезнее, чем анонимный емайл непонятно-кого
quakin
18.04.2016 21:35+1Я точно таким же образом «потерял» доступ к аккаунту яндекса, которым пользовался более 10 лет.
При регистрации аккаунта в далёком прошлом я не указывал личные данные, после — не обновлял их.
Однажды просто не смог зайти («мы думаем что вас взломали, поэтому свяжитесь с суппортом»).
Долго искал форму связи. Те что находил — не работали. Потом как-то связался, но…
Присылал им фото с паспортом, описывал подробности использования аккаунта, но ответ один:
«При регистрации логина *** не было указано никаких данных, позволяющих идентифицировать Вас как владельца аккаунта — ни Ваших ФИО, ни даты рождения, ни обратного адреса Вашего указано не было. Поэтому нам не на что опереться, чтобы установить Вашу причастность к этому логину.» Мои знания о содержимом почты никто не рассматривал.
Таким образом, если яндекс-аккаунт анонимен — доступ к нему может пропасть в любой момент.
И скорее всего это даже прописано в правилах использования сервиса, но кто же их читает...:)
Sergi0
19.04.2016 18:18больше всего нравится то, что ни один из написавших, с каким трудом удалось выяснить способ связи с саппортом, так и не написал, что же это за способ.
всё правильно, пользователи Яндекса должны страдать!
DrPass
> Написал им, что я не нуждаюсь в их назойливой «заботе» и «защите от взлома» и попросил ее отключить, что мол сам разберусь как нибудь,
> без них. Под мою ответственность. Морозятся.
А кто-то, у кого оператор почты вот по таким убедительным просьбам от мошенника передал мошеннику доступ к его эккаунту, сейчас читает это и вздыхает.
insector
Вы считаете знание атрибутов писем шестилетней давности, которых уже 6 лет нет в ящике — неубедительной причиной?
Yane
Возможно, злоумышленник отправил письмо 6 лет назад, а теперь использует это.
insector
Вы серьезно?
Gorily
Думаю, дело не в убедительности ваших аргументов, а в походе к вашему вопросу.
Вы пишите, что забираете и удаляете письма с сервера. Как же специалист Яндекса может проверить достоверность ваших данных, если письмо было удалено шесть лет назад? Или вы искренне верите, что они бережно хранят все ваши удалённые письма? Или у них хранятся логи всех действий с вашим аккаунтом?
Кроме того, я сомневаюсь (и надеюсь), что доступ к конфиденциальным данным имеет рядовой сотрудник поддержки.
Есть стандартная процедура, они её соблюдают. Хотите сохранить конфиденциальность? Ну, это ваш бзик, у них стандарты.
Alexsandr_SE
Все же паспорт это сильно. Я так забыл пароль на яндекс деньги. Тоже хотели паспорт и прочее, хотя там же есть привязка и к ящику почтовому. Явно идет сбор персональных данных. Причем весьма давно. Махнул рукой на восстановление пароля.
icoz
Не путайте! Яндекс.деньги — это финансы. И по законодательству там не должно быть анонимности, иначе как финансирование террористов отслеживать?
Alexsandr_SE
т.е. завести данные можно (дам есть нужные данные), пользоваться деньгами можно, а когда забыл пароль, то вдруг паспорт подавай. привязки к почте, телефону и т.п. не хватает. Да еще и с нотариусом помнится дело иметь, а еще лучше как было написано приехать, ага в другую страну ехать. Не зря в магазинах сейчас намного меньше ЯД принимают.
восстановить пинкод от банковской карточки можно куда быстрее и легче за 5-10 минут.
bonifaci
> Не зря в магазинах сейчас намного меньше ЯД принимают.
Покажите статистику, пожалуйста :)
Alexsandr_SE
А её кто ведет кроме Яндекса? В цифрах только последний скажет.
immaculate
Я не против, но как-то тоже потерял пароль к Яндекс.Деньгам. Сколько времени и нервов пришлось потратить, прежде чем я его восстановил. На тот момент я жил где-то в 50 км от офиса Яндекс. Сначала долго и упорно пытался восстановить без поездки в офис, всех деталей не помню, но было муторно и не получилось.
Приезжаю в офис с паспортом, ксероксом паспорта и всем чем еще можно. Заполняю какие-то бумаги, спрашиваю девушку: «Этого точно достаточно, чтобы восстановить доступ к кошельку без повторных визитов, а то мне очень неудобно до вас добираться?». Девушка отвечает: «Да, конечно». Жду неделю, приходит какое-то уведомление, что мои данные обработаны, но в кошелек войти не могу. Пишу в поддержку, отвечают, что чего-то не хватает, и надо еще раз приехать в офис. Это значит потерять еще один день на подмосковные и московские пробки! Как я был зол… А главное, все данные у них были, девушка забыла заставить меня заполнить еще одну форму. Хуже чем у советских бюрократов, ей-богу.
nitro80
Вам хотя бы доехать можно. У меня как-то увели я.кошелек. На майские праздники. Написал в тп, ответили ближе к нг, что ничего сделать нельзя (как-то так, забыл немного, много времени назад было). Вот так.
nikolaynnov
Вы что-то путаете. Законом есть обязанность для идентификации, если сумма перевода от 15000. При этом недавно пробегала новость что этот лимит хотят поднять до 55000 рублей.
Вот свою расскажу. Был аккаунт в Яндекс.Деньгах. Была всего 1 покупка на 10000 рублей в подключенном к ихней системе магазине. Потом как-то решил автору понравившейся книги 100 рублей сбросить на его Кошелёк. И тут обнаруживается, что аккаунт заблокирован, а для разблокировки нужно получить статус Идентифицированного. Я в ТП честно написал, что мне этот статус у них не нужен (он позволяет до 250000 переводы делать), дайте мне возможность делать переводы на ср@ные 100 рублей. В итоге так к ничему и не пришли, ТП тупо требует сканы паспорта,
пароли к фейсбуку и слепки ключей от квартиры.Так что Сбер тоже в теме, что надо под любыми предлогами собирать приватные данные, и что лучший способ для это — блокировать доступ к услугам и потом уже шантажом требовать нужное.
Alexey2005
А я вот умудрился забыть логин от Яндекс.Денег.
То есть логин, введённый при регистрации, помнил. Но они потом сделали реструктуризацию — единый аккаунт для всего: на основе информации из ЯД сами создали почтовый ящик, сами преобразовали мой ЯД-логин в почтовый адрес и привязали всё к этому ящику.
Я об этом ни сном ни духом, а потом переустановил ОС, и… вдруг выяснилось, что нужно кроме пароля ввести адрес почтового ящика(!) единого аккаунта, а мне-то его откуда знать, если я его не создавал? Ох и пришлось тогда помучиться…
DrPass
Неубедительной, само собой разумеется.
Во-первых, что касается самого факта «знания атрибутов» — злоумышленник при желании может наотправлять в атакуемый ящик что угодно с кучи других почтовых ящиков, и будет прекрасно знать атрибуты всех этих писем.
Во-вторых, с чем, по-вашему, оператор техподдержки будет сравнивать указанные вами атрибуты, если этих писем у него в ящике нет, и доступа к логам сервера нет тем более (ибо должность не подразумевает)? Причём, как вы говорите, уже шесть лет. Писать заявку на серверных инженеров: «Эй, ребята, найдите кассету в кладовке с бэкапом базы за 2010 год», поднимите на резервном сервере, и пробейте там вот такие данные, мне надо авторизовать одного клиента? И парни самоотверженно потратят несколько часов рабочего времени, чтобы удовлетворить каприз клиента бесплатного ящика, который отказался воспользоваться штатной процедурой?
Вы же поймите, это обычное массовое обслуживание. Есть разработанный ими стандарт по идентификации клиента, он делался «по большинству», и Яндексу намного проще потерять одного клиента бесплатного ящика, чем тратить сотню долларов рабочего времени, чтобы подстроиться под него индивидуально.
tartarelin
на самом деле не очень, мошенник мог получить удалённый доступ к вашему компьютеру и скопировать всю почту или даже просто носитель с почтой мог быть украден
AvengerBoxer
У меня самый простой вопрос к Вам: яндекс простите фотографию присланную будет в паспортном столе по месту прописки сравнивать или может, участкового вышлет с проверкой?
Нет, перефразирую — каким чёртом отправка персональных данных (паспорта!) может помочь идентифицировать личность регистранта какому-то яндексу?
Gorily
Думаю, они проверят валидность паспорта на сайте ФМС, сравнят фото с человеком на фотографии. Если на первый взгляд всё сходится — level up! с вами работаю индивидуально, решая проблему. Не думаю, что это конец — возможно, придётся приехать в Яндекс для написания заявления, что-то заверить у нотариуса и т.п.
По сути — они снимают с себя дальнейшую ответственность, в случае разборок они уже будут пострадавшей стороной. Все вопросы — вот к этому парню с фотографии.
nerudo
На сайте ФМС можно посмотреть паспортную фотку любого гражданина?
Gorily
Нет, там только корректность данных. Ты когда им фото отправляешь, то на нём должен быть ты и паспорт: https://yastatic.net/doccenter/images/help-ru/passport/freeze/LSRFScmjWk0ZfJf4o_6vct_RA3c.png. Так и сравнивают.
AvengerBoxer
Во первых — они запрос куда будут делать, если я по счастливой случайности гражданин не РФ а скажем Уругвая?
Во вторых — укажите мне пожалуйста ссылочку, по которой можно получить паспортные данные зная только номер\серию или наоборот. Есть подозрение что такое невозможно по очевидным причинам.
Gorily
Если вы гражданин гордого Уругвая, то как нибудь с вами индивидуально решат вопрос, давайте не всё в одну кучу.
Паспортные данные не нужно получать, их можно проверять, вот тут: http://services.fms.gov.ru.
AvengerBoxer
Нет, там проверить валидность паспорта гражданина РФ невозможно.
Если вы имеете ввиду «Соответствие документа и адреса регистрации», то для этой проверки яндекс просит недостаточно данных
Gorily
Там можно проверить по базе недействительных. По сути, это просроченные или утерянные. Вторые особенно интересны, поскольку они ещё вполне могут быть действительны по сроку действия.
Эти действия вообще не обязательны, как там работает СБ — их дело. Важно то, что они отсеивают таким образом большинство левых запросов.
AvengerBoxer
К чему я все эти вопросы задавал? Подводил Вас к осознанию трёх вещей:
1) яндекс врёт когда говорит, что может идентифицировать\проверить вашу личность по фотографии с паспортом
2) злоумышленник может сфотографироваться с фейковым документом, серия\номер которого не совпадает с недействительными из базы (кто это вообще будет проверять? там целый отдел для этого держат?) и получить доступ
3) злоумышленник не сможет проделать это для сотен тысяч аккаунтов, но раз в недельку, да ещё если в другом ракурсе снят -прокатит
Верить чужим СБ, владеющим перепиской, а теперь ещё и фото с паспортными данными — последнее дело.
Gorily
У них есть стандартная процедура, они ей следуют. Им нужно фото человека с документом, чтобы отсеять совсем левые заявки на восстановление. Затем они могут проверять-перепроверять данные, в том числе попросив написать заявление, которое должен заверить нотариус или попросив приехать к ним. И всеми этими действиями, повторюсь, они просто снимают с себя ответственность, и в случае чего будут являться пострадавшей от действий мошенников стороной. Это обычная практика для любых фирм, работающих с персональными или финансовыми данными.
Мне ещё нравится «чужим СБ». Зарегистрировать бесплатную почту — нормально. Сделать это на откровенно фейковые данные, в нарушении соглашения — нормально. Использовать её для переписки с осознанием того, что СБ может получить к ней доступ — нормально. Требовать потом на основании каких то своих аргументов вернуть доступ — тоже нормально, я гражданин, имею право! Но верить СБ компании, которой вы доверили свою переписку и данные? «Последнее дело».
nikolaynnov
Согласен у них есть стандартная процедура для собирания персональных данных. Здесь идёт разговор не о том, что кто обращается в ТП а там для того, чтобы оказать поддержку запрашивают эти данные. Здесь идёт разговор о том, что без всякой причины блокируется доступ к сервисам, ТОЛЬКО для того, чтобы им помимо собственно данных (ФИО) выдали данные (типа скана паспорта) которые им никак не нужны для работы сервиса (почты, денег и т.д). Как будут храниться и обрабатываться эти данные — большой вопрос. Скорее всего будут тупо продаваться. Главное, чтобы потом не оказалось пару ипотек по такому скану оформлено. А вообще, если уж им реально нужно идентифицировать пользователя для работы с ТП, то можно с разными ЕСИА интегрироваться, запрашивать сканы паспортов явно лишнее даже для этого. Главное, чтобы тогда при регистрации сразу было написано: при утрате пароля нужно будет авторизоваться в ЕСИА, тогда те кто там не зарегистрирован, сразу выберут нормальный сервис.
SunnyA
На сайте нет даже банального https.
1) Станете ли Вы вводить туда свои паспортные данные?
2) как Вы отнесетесь к тому, что третьи лица без Вашего ведома будут вводить туда Ваши паспортные данные?
bonifaci
Что даст номер и серия паспорта без каких-либо дополнительных данных?
SunnyA
Там предлагают ввести не только данные паспорта, но и данные прописки в привязке к номеру и серии паспорта. А это уже немало.
Перехвативший будет знать, что по такому-то адресу проживает человек с такими-то (всеми!) данными паспорта. Б-р-р.
bonifaci
Здрасьте. А откуда кто узнает адрес вашей регистрации?
Напомню картиночку яндексового сапорта https://yastatic.net/doccenter/images/help-ru/passport/freeze/LSRFScmjWk0ZfJf4o_6vct_RA3c.png
Ra-Jah
А согласие на обработку персональных данных они тоже получают сканом?
bonifaci
Давайте вы сперва будете проверять самостоятельно, а потом вопросiки задавать, а то неудобненько тыкать носом https://yadi.sk/i/2i3LM_r8r65ea
Ra-Jah
Относительно галочек поставленных с неподтвержденного аккаунта без личной подписи.
http://inforsec.ru/normative-base/ur-security/92-pdn-4
Как-то так.
bonifaci
Даже по вашей ссылке не написано, что «не Аллах». Зато написано следующее:
> «Положения законодательства не ограничивают возможность получения согласия субъекта персональных данных исключительно в письменной форме. При этом в законе чётко не прописано, в какой форме (кроме письменной) физическое лицо может дать свое согласие на обработку. Вопрос о возможности выражения согласия на сайте при заполнении заявки не урегулирован нормативными актами и официальными разъяснениями контролирующих органов.»
На всякий случай напишу, что у Яндекса есть штат юристов, который заботится о проверке таких вот тонкостей.
Ra-Jah
«Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.»
Совершенно четко прописано — в соответствии с федеральным законом электронной подписью. Я специально указал ссылку, а не только выдержки закона, потому что справедливости ради таки стоило уточнить, что суд может вынести необычное решение. Однако в законе это довольно четко прописано, либо рука, либо ЭЦП. Представьте ситуацию, я заполучил ваши данные, ФИО номер сотового и что-то еще, выложил в доступ третьим лицам и поставил галочку. М?
Коме всего прочего, здесь много людей, в том числе юристов из Яндекса, хотелось бы услышать их мнение. Я же знаю, они читают этот топик.
Michael_SL
не знаю как насчет Уругвая, но сервисами Яндекса пользуются граждане Украины, Беларуси и прочих менее экзотических государств. где проверить обычный паспорт гражданина Украины онлайн не знаю, думаю что у яндекса тоже будут с этим проблемы :)
unlor
Да там и проверять особо не нужно.
Во-первых, они могут просто «привязать» паспортные данные к аккаунту и отдать доступ «вам». В случае возникновения проблем все вопросы к владельцу паспорта (проверить на «утерянность » ведь можно?)
Во-вторых, если в аккаунте указан Ivan Ivanov а в паспорте Петр Сидоров — тут уж ССЗБ. При регистрации просили указывать реальные данные
xamdeath
Была подобная проблема. В тостере подсказали адрес, по которому смог связаться с живыми людьми. Аккаунт в итоге вернули.
borec1
>А кто-то, у кого оператор почты вот по таким убедительным просьбам от мошенника передал мошеннику доступ к его эккаунту, сейчас читает это и вздыхает.
А может быть пользователь будет решать, насколько нужна ему защита и нужна ли вообще? Попросит — будет авторизация по телефону. Или лог входов за последнюю неделю. Не попросит — будет сам виноват, если что. И тогда будет вздыхать. Сам. По своей воле.
А пострадавшей стороной Яндекс будет в любом случае и это не зависит от наличия или отсутствия у него паспорта пользователя. Наверняка в соглашении, которое все «подписывают» при регистрации, написано, что в случае чего Яндекс не при делах.
Так что это просто сбор данных. Но не такой мягкий, как был лет 5-7 назад проведен Гуглом — «пришлите нам свой номер телефона — это повысит безопасность вашей почты», а тупой: «не пришлете телефон (и паспорт) — прощайтесь с почтой».
nikolaynnov
Вот иногда жалко, что нельзя сразу +10 поставить к комментарию.