Однако, сегодня меня ждал интересный сюрприз. Стоило мне открыть почту, как на меня посыпались ссылки на регистрацию в Avito, потом подтверждение (!!!) адреса электронной почты, потом подтверждение номера чужого номера телефона.
Естественно, я постарался понять в чем проблема.
Начал вглядываться в технические заголовки.
Delivered-To: FamiliaImya@gmail.com
Received: by 10.25.21.21 with SMTP id l21csp1554459lfi;
Mon, 16 May 2016 21:58:28 -0700 (PDT)
X-Received: by 10.112.63.136 with SMTP id g8mr13129475lbs.135.1463461107635;
Mon, 16 May 2016 21:58:27 -0700 (PDT)
Return-Path: <noreply@avito.ru>
Received: from mx-se.avito.ru (mx-se.avito.ru. [185.89.15.253])
by mx.google.com with ESMTPS id ob1si867138lbb.101.2016.05.16.21.58.27
for <FamiliaImya@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 16 May 2016 21:58:27 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply@avito.ru designates 185.89.15.253 as permitted sender) client-ip=185.89.15.253;
Authentication-Results: mx.google.com;
dkim=pass header.i=@avito.ru;
spf=pass (google.com: domain of noreply@avito.ru designates 185.89.15.253 as permitted sender) smtp.mailfrom=noreply@avito.ru
Received: from [127.0.0.1] (app00.msk.avito.ru [10.9.5.99])
by mx-se.avito.ru (Postfix) with ESMTP id 5C29418A2022
for <FamiliaImya@gmail.com>; Tue, 17 May 2016 07:58:27 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.9.2 mx-se.avito.ru 5C29418A2022
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=avito.ru; s=mail;
t=1463461107; bh=nBh576p7n9Ol5UFb94wlgRlMIq2eDyR2ZV4JnjibGaw=;
h=Date:Subject:From:To;
b=XCCfrGn6+2K5pOSkc4rR1msFzVqRLS/C7dvYV2sr0OuGOCcBTEhUrhBT8eqrWS7bU
1HiVlKuyZk/p8I1QahPb1HfKVBCXd+IQGph2uN7O3bNtr0aGGPR01sQqEwBDmmlU/7
ThYzNfyg8gpEGfI4g9/8aLSzhxISDqpVc3AO7MWvbz4xE3ensibIMFrz+MdvFp65k5
TjN1HavhAFXPR5xkDvZ8ZIpBCOmkuDFvniP9u9o8LJxFRvlPy3uBqE0ckMxm8EqqLk
dIMnXRmwBVFWV2HYhWM+zS6/gockJYakQoqjZ2xqZE6cQR9jc9MFatI9pQiBcBUByC
gU4TaLTzHzkdg==
Message-ID: <c8c885d041b53180244ad266776402ad@swift.generated>
Date: Tue, 17 May 2016 07:58:27 +0300
Subject: =?utf-8?Q?=D0=9F=D0=BE=D0=B4=D1=82=D0=B2=D0=B5=D1=80=D0=B6?=
=?utf-8?Q?=D0=B4=D0=B5=D0=BD=D0=B8=D0=B5_=D0=BD=D0=BE?=
=?utf-8?Q?=D0=BC=D0=B5=D1=80=D0=B0_=D1=82=D0=B5=D0=BB?=
=?utf-8?Q?=D0=B5=D1=84=D0=BE=D0=BD=D0=B0?=
From: Avito <noreply@avito.ru>
To: =?utf-8?Q?=D0=90=D1=80=D1=81=D0=B5=D0=BD?= <FamiliaImya@gmail.com>
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
Сразу бросился в глаза тот факт, что мой личный адрес электронной почты, которым пользуюсь уже давно, пишется как <Familia.Imya@gmail.com>!
Сперва, слепо поверив в непогрешимость «Корпорации добра», предположил, что настроена кем-то переадресация, чтобы подловить меня на последующих обманных письмах, вытянуть пароль. Однако, каково же было мое удивление, когда попробовав зайти с другого компьютера через Internet Explorer под логином FamiliaImya (без точки!!!) и с моим паролем, мне было предложено подтвердить свой аккаунт ввиду входа из нового/неизвестного браузера!
Отправил соответствующий feedback через форму обратной связи Google-у, но получил дежурный ответ, что мол мы не отвечаем никому, проверьте в нашей базе данных, давно должны быть подобные случаи описаны, мы ответит, если надо и как только посчитаем это возможным.
Дело нехитрое, если бы не…
Есть у нас еще пара рабочих адресов гмейл на случай необходимости восстановления доступа кое к каким сервисам. И да, эти адреса длиннее 8 символов. Так вот, зарегистрировал с утра аналогичный одному из этих адресов новый адрес, но с добавленной точкой на 11 месте. Подтвердил номер телефона. Привязал новый аккаунт к программе Google на айфоне…
И начались чудеса в решете — все письма на основной аккаунт дублируются на аккаунт с точкой.
Вход на разных браузерах с верными паролями проходит как надо, но как только пытаюсь восстановить пароль, то с обоих аккаунтов перебрасывается на аккаунт с точкой и через функцию восстановления пароля через приложение Google на телефоне обхожу верификацию через SMS и альтернативные адреса электронной почты, указанные при регистрации аккаунтов.
Думаю, что за ближайшие несколько часов устранят это недоразумение.
А пока прошу повторить эксперименты, если это повторяется, то «и на Солнце бывают пятна».
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (17)
maxp
17.05.2016 09:21Точку в юзернейме gmail игнорирует с незапамятных времен.
dartraiden
17.05.2016 09:36+2Как и <мойлогин+something@gmail.com> = <мойлогин@gmail.com> (а то вдруг кто-то не знал). Удобно на разных форумах и сайтах: указываешь при регистрации почту в формате <твойлогин+имяфорума@gmail.com> и по приходящему спаму сразу видно, с каких ресурсов утекли данные (и можно фильтр настроить, чтобы резать всю почту, на этот префикс поступающую).
Volk_J
17.05.2016 09:28+1При регистрации пишет: «Обратите внимание: невозможно создать новое имя пользователя, добавив ТОЧКИ к уже существующему или поменяв строчные буквы на заглавные. Попробуйте ещё раз.»
imhuman
17.05.2016 09:28Я не совсем понял, как кто-то вместо вас смог подтвердить адрес на авито?
arsmagic
17.05.2016 09:29Вот с этих «непоняток» и началась вся история моего утреннего расследования, приведшая к написанию этого самого поста.
arsmagic
17.05.2016 09:32Смотрите выше — этим утром у меня получилось, возможно важно ставить точку после 8-9 знака.
amphasis
17.05.2016 09:40Хотите сказать, что у вас есть два зарегистрированных аккаунта, отличающихся только «точкой»?
Пытаюсь провернуть что-то подобное, но в независимости от позиции точки получаю: «Имя уже занято. Обратите внимание: невозможно создать новое имя пользователя, добавив точки к уже существующему или поменяв строчные буквы на заглавные. Попробуйте ещё раз.»arsmagic
17.05.2016 09:42Не у меня! Факт — мой тезка из Новочеркасска с адресом без точки и я, с адресом с точкой! Телефоны есть :)
Тоже самое с утра получилось и при регистрации для одного из корпоративных резервных адресов тех.поддержки.
Lordick
17.05.2016 09:36А еще в адресах после знака "+" все игнорируется. И так, скорее всего, тоже получится зарегистрировать дубль.
MaximChistov
https://toster.ru/q/21081
https://toster.ru/q/16368
Это один и тот же аккаунт. Никакого дублирования нет.
arsmagic
Да, согласен. Но мне важнее подчеркнуть тот факт, что проблема у Гугла не устранена. Я повторил эксперимент с авторизацией, обнаружил, как можно для фактически для любого аккаунта сделать отвод переписки. Тут важны детали — это серьезная проблема с безопасностью и тайной частной переписки. Любой адрес можно таким способом увести.
MaximChistov
ну попробуйте «зарегистрировать» адрес с точкой на другой номер телефона, если получится — значит можно говорить об уязвимости
arsmagic
Уже :) И сам пробовал — получилось, а еще с утра и письма подтверждения регистрации на Авито моему тезке из Новочеркасска — потому и написал тут уверенно.
MaximChistov
если вам приходит чужая почта, всегда есть шанс что ее адрес случайно ввели неправильно.
arsmagic
Согласен… или настроена переадресация. Потому и опубликовал исходный заголовок сообщения, может кто-то объяснит мне разницу, укажет на ошибку или заблуждение.