![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Взломы почты
Dec. 24th, 2015 09:41 amСёдни такой утром проверить почту -- чик, пароль не подходит. АХТУНГ!
Срочно бросился проверить доступ к жежешечке там, линкедину -- на месте. Первая мысль -- взломали почту, но не успели профит поиметь. Но как? Малвари у меня нет и в обозримом прошлом не было, перебором это годами колбаситься нужно из-за локаутов. Уязвимость в сервисах провайдера? Больше никак. Бросился переводить всё и вся на другую почту -- задолбался я это делать. Через пять минут обнаружил, что к другой почте можно сбросить пароль, зная первую почту. Хочу убрать -- не даёт. Объяснение: если вы потеряете доступ к своему аккаунту, то через этот аккаунт сможете его восстановить. Вот как раз этого мне и не надо.
Ведь это же корень зла современных взломов, что всё завязано на почту и везде есть сервисы восстановления пароля. Если бы не этот геморр -- никаких проблем бы у меня не было, к почте восстановил бы пароль через обладание паролем на домен, в конце концов просто забил бы на этот почтовик и перенаправил домен на другой.
Ещё что обнаружилось, если вашу почту сломали, а вы начали лихорадочно переводить ещё доступные сервисы на другую почту -- все сервисы услужливо проинформируют взломщика, что вы мечетесь. Соответственно, если вы хотя бы какой-то период почты храните на сервере не выкачивая, он легко посмотрит какими сервисами вы пользуетесь и пойдёт на них сбрасывать пароли с другого конца от вас, так что закончите в серединке фифти-фифти, половина сервисов вам, а половина ему. Социализм, взять и поделить, вот это вот всё, по карле-марле. Скажем, жежешечку, хрен с вами, оставите себе, а фейсбучек ему, ну и т.д.
Через пару часов обнаружилось -- это вонючий говнопровайдер сломал свою почту и такая проблема у многих юзеров. Ну и подляна. При этом на страничке аптайма (я проверял) у них всё в порядке, никаких даунтаймов. И это отсутствие даунтаймов потом пойдёт в годовые отчёты, представляемые в гартнер и шарехолдерам, типа аптайм 99.99%. У гугла такая же фигня, кстати, если мелкий даунтайм (например, касается только России) -- в отчётах потом ни слова.
Вся эта проблема существует только из-за идиотов, которые постоянно забывают свои пароли и воняют в техподдержку. А не забывай, мудак. Я бы предпочёл, чтобы было как в почившем лавабит (спасибо местной гэбне, вот мудаки же) -- забыл пароль и досвидос, без вариантов. Но везде не так -- ещё и предложат "секьюрити фразы" про то, как звали мою собаку и на какой улице я жил, что в современных условиях не является недобываемой информацией. Я поэтому туда всегда пишу "имя собаки" типа "ЫВАЖЩО№;КЗ(ГА"№Щ)В№*(Г"№ВОЦЩК№(*Г"К№Щ". Но вот отказаться от, прости господи, "фичи" по восстановлению пароля через почту этого щас почти нигде нельзя.
И это -- плохо. Не знаю как с этим вот бороться. Предложения -- в камменты, типа, если реальный взлом -- вот что делать реально в такой ситуации?
PS Ну я не спрашиваю про банальности типа двухфакторной аутентификации. Я спрашиваю про обеспечение взаимной независимости сервисов от слабого звена -- почты. Почту уводят и с двухфакторной, кто не в курсе. Здравый смысл и информационная гигиена помогают больше, двухфакторная не панацея.
Срочно бросился проверить доступ к жежешечке там, линкедину -- на месте. Первая мысль -- взломали почту, но не успели профит поиметь. Но как? Малвари у меня нет и в обозримом прошлом не было, перебором это годами колбаситься нужно из-за локаутов. Уязвимость в сервисах провайдера? Больше никак. Бросился переводить всё и вся на другую почту -- задолбался я это делать. Через пять минут обнаружил, что к другой почте можно сбросить пароль, зная первую почту. Хочу убрать -- не даёт. Объяснение: если вы потеряете доступ к своему аккаунту, то через этот аккаунт сможете его восстановить. Вот как раз этого мне и не надо.
Ведь это же корень зла современных взломов, что всё завязано на почту и везде есть сервисы восстановления пароля. Если бы не этот геморр -- никаких проблем бы у меня не было, к почте восстановил бы пароль через обладание паролем на домен, в конце концов просто забил бы на этот почтовик и перенаправил домен на другой.
Ещё что обнаружилось, если вашу почту сломали, а вы начали лихорадочно переводить ещё доступные сервисы на другую почту -- все сервисы услужливо проинформируют взломщика, что вы мечетесь. Соответственно, если вы хотя бы какой-то период почты храните на сервере не выкачивая, он легко посмотрит какими сервисами вы пользуетесь и пойдёт на них сбрасывать пароли с другого конца от вас, так что закончите в серединке фифти-фифти, половина сервисов вам, а половина ему. Социализм, взять и поделить, вот это вот всё, по карле-марле. Скажем, жежешечку, хрен с вами, оставите себе, а фейсбучек ему, ну и т.д.
Через пару часов обнаружилось -- это вонючий говнопровайдер сломал свою почту и такая проблема у многих юзеров. Ну и подляна. При этом на страничке аптайма (я проверял) у них всё в порядке, никаких даунтаймов. И это отсутствие даунтаймов потом пойдёт в годовые отчёты, представляемые в гартнер и шарехолдерам, типа аптайм 99.99%. У гугла такая же фигня, кстати, если мелкий даунтайм (например, касается только России) -- в отчётах потом ни слова.
Вся эта проблема существует только из-за идиотов, которые постоянно забывают свои пароли и воняют в техподдержку. А не забывай, мудак. Я бы предпочёл, чтобы было как в почившем лавабит (спасибо местной гэбне, вот мудаки же) -- забыл пароль и досвидос, без вариантов. Но везде не так -- ещё и предложат "секьюрити фразы" про то, как звали мою собаку и на какой улице я жил, что в современных условиях не является недобываемой информацией. Я поэтому туда всегда пишу "имя собаки" типа "ЫВАЖЩО№;КЗ(ГА"№Щ)В№*(Г"№ВОЦЩК№(*Г"К№Щ". Но вот отказаться от, прости господи, "фичи" по восстановлению пароля через почту этого щас почти нигде нельзя.
И это -- плохо. Не знаю как с этим вот бороться. Предложения -- в камменты, типа, если реальный взлом -- вот что делать реально в такой ситуации?
PS Ну я не спрашиваю про банальности типа двухфакторной аутентификации. Я спрашиваю про обеспечение взаимной независимости сервисов от слабого звена -- почты. Почту уводят и с двухфакторной, кто не в курсе. Здравый смысл и информационная гигиена помогают больше, двухфакторная не панацея.
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}