Яндекс блокирует аккаунты, к которым не привязан номер телефона
Время на прочтение
5 мин
Количество просмотров 172K
Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.
В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО…
Небольшой разбор ситуации под катом.
Почтовый ящик я создал в 14 июня этого года. Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.
При регистрации можно не указывать номер мобильного телефона
Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?
Ладно, раз можно не указывать номер телефона, то не будем его указывать. Правда нужно указать контрольный вопрос, придумать на него ответ. И ввести капчу. Хорошо, так и сделал.
Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.
Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Потом поток писем иссяк. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик. Последнее письмо было 14 июля.
Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю — ну ок, нужно читать.
И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление:
Вот это да! Аккаунт взломали? Подобрали пароль из 20 символов, а потом его НЕ поменяли? Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму:
Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. И как же его вводить, если у меня его нет? Или есть, но не мобильный, а стационарный?
Ладно, до дыр читаю Help на тему, как восстановить учетку. Да и еще не вводя номер телефона. Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню (вернее помнит KeePass).
Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Например, нужно ввести дату рождения. Которую я конечно не заполнял.
Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется.
В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так
Но второй раз все получилось и я попал в почту.
Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. Нашел, что его можно отвязать от аккаунта. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете. А номер этот через некоторое время выдадут другому человеку.
Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И конечно же не нашел никаких вирусов.
Предположим, подобрали пароль. Или «угнали» cookie. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)
Посмотрим логи входов:
14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан).
Посмотрим логи активности в аккаунте (читать снизу вверх):
А вот тут интересно
- Истории действий ранее 15 июля нет, хотя история входов — есть
- 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)
- А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксировалась
- Отдельно доставило про «восстановление через: undefined»
Из чего я сделал вывод, что Яндекс воспользовался пунктом 2.3 пользовательского соглашения и заблокировал мне доступ к учетной записи, начав выпрашивать номер телефона
2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.
Блокировка произошла ровно через месяц после регистрации (регистрация 14 июня, блокировка ночью 15 июля), наверняка автоматическая.
Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.
Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».
Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.
UPD: чукча не читатель, чукча писатель. Не первый раз такая проблема и я еще легко отделался — Очередная подлянка от Яндекс-почты
UPD2: ответ сотрудника Яндекса:
Конечно же, для использования Яндекс.Почты не требуется номер телефона в обязательном порядке. Многие наши пользователи используют Почту годами без привязанного номера и не сталкиваются с запросами дополнительной информации.
В вашем случае, скорее всего, сработала наша антифрод-система. Она работает уже не первый год и создана специально для выявления новых аккаунтов, из которых формируются спам- и фрод-фермы.
Система анализирует более ста различных факторов. Наличие привязанного телефона – один из них, но не решающий. Поэтому и потребовалась дополнительная идентификация аккаунта.
UPD3: Вспомнил, что у меня есть аккаунт на Яндексе без привязанного номера, зарегистрированный еще в 2011г и которым очень редко пользуются. Последний вход был наверное в конце 2017г. Зашел сейчас в него и получил такой баннер
Привяжите номер телефона
Правда [пока еще] есть возможность отказаться от ввода номера. Так что про возможность «использовать Почту годами без привязанного номера» наверное правда, но только для старых пользователей. Из комментариев очевидно, что практически все (а может и вообще все) новые аккаунты блокируются и требуется ввод номера телефона.
На сайте с 29.08.2009
Offline
92
5257
Захожу в Директ, и мне транслируется сообщение, якобы меня взломали и нужно восстановить учетную запись.
Все шаги прошел, затем яндекс просит привязать мобильный номер к аккаунту. Без привязки номера зайти в аккаунт не получится, не смотря на то, что все регистрационные данные я указал при восстановлении.
Делаю вывод, что яндекс под предлогом взлома выманивает номера пользователей.
А вы что вы думаете?
На сайте с 11.08.2006
Offline
123
#1
Новая мода, везде сейчас привязываются мобильники. Люди более склонны менять адрес почты чем номер телефона.
P.S. А потом вам звонят бойкие на язык девицы и рассказывают, что все, прям все серьезные люди обязательно: а) играют на бирже, причем передавая в доверительное управление суммы от 5000 тыс. баксов б) берут кредиты, обязательно с кредитной картой и т.д и т.п. А если вы не подписываетесь под эти дела, то вы не хотите зарабатывать и вообще неудачник ))
2
Только враги говорят друг другу правду. Друзья и возлюбленные, запутавшись в паутине взаимного долга, врут бесконечно… (с) Стивен Кинг «Dark Tower» Купи онлайн дешевле. Скидки, купоны и кэшбэк. ( http://got.by/46m8jj )
На сайте с 31.08.2008
Offline
145
#2
Gb-seo:
А вы что вы думаете?
Юрий, возможно, что действительно взломали.
Куча мыл на яндексе, никогда не просили привязать номер.
Единственный раз — недавно позвонил сын, сказал, что пришлось вводить номер телефона, чтобы восстановить доступ к его старому мылу. Зашёл к нему в аккаунт, посмотрел: в почте в отправленных какие-то спам письма, в списке истории входов чужие айпи. Но он то раздолбай, у него все пароли типа ghbdtn и gfhjkm.
Большой брат следит за тобой.
На сайте с 18.08.2007
Offline
272
#3
Затем же, зачем и симки по паспортам, затем же зачем и фри вайфай по СМСкам, затем же зачем заблокировали рутрекер и кучу других сайтов, затем же, зачем операторы должны хранить петабайты мусора, а Дуров расшифровывать переписку … для создания видимости борьбы с терроризмом, а, по факту, борьбы с чем-то (кем-то) совсем иным.
P.S. Ну и, возможно, для более качественного таргетирования рекламы. (но это второстепенно)
1
Лучший способ понять что-то самому — объяснить это другому.
На сайте с 28.06.2012
Offline
233
#4
1. чтобы ограничить кол-во регистрируемых ящиков, а то скоро логинов не останется для регистрации нормальных.
2. чтобы тебя вычислить быстрее и ата-та сделать.
На сайте с 03.11.2008
Offline
1600
#5
Gb-seo:
Делаю вывод, что яндекс под предлогом взлома выманивает номера пользователей.
А гуглы и прочие фейсбуки под каким предлогом?
Gb-seo:
А вы что вы думаете?
Я думаю, что мания требовать и раздавать телефоны — большое зло.
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
На сайте с 10.11.2006
Offline
600
#6
На сайте с 12.09.2009
Offline
661
#7
Уважаемый Gb-seo, а чего тему про Яндекс в Курилке основали? 😕
Наше дело правое — не мешать левому!
E1
На сайте с 09.05.2017
Offline
71
#8
Gb-seo:
Захожу в Директ, и мне транслируется сообщение, якобы меня взломали и нужно восстановить учетную запись.
Все шаги прошел, затем яндекс просит привязать мобильный номер к аккаунту. Без привязки номера зайти в аккаунт не получится, не смотря на то, что все регистрационные данные я указал при восстановлении.
Делаю вывод, что яндекс под предлогом взлома выманивает номера пользователей.
А вы что вы думаете?
Не только яндекс но и мыло -майл тоже . Думаю это какая то операция наших спец служб
Кто мне ставит «-» можете запаять свою злость в целлофан и убрать ее на Колымский курок))
Про Курок нагуглите)
На сайте с 29.08.2009
Offline
92
#9
Согласен на счет «колпака».
Видимо владельцам Яндекса поставили такие условия, что без согласия на сотрудничество, в России им вести бизнес не дадут. Вот и продались.
Что удивляет, в технической поддержке высокомерным тоном заевляет оператор «вы можете считать как угодно». Не ужели элементарные вещи так нежелают воспринимать массы?
На сайте с 12.06.2017
Offline
45
#10
Gb-seo:
Согласен на счет «колпака».
Видимо владельцам Яндекса поставили такие условия, что без согласия на сотрудничество, в России им вести бизнес не дадут. Вот и продались.
Что удивляет, в технической поддержке высокомерным тоном заевляет оператор «вы можете считать как угодно». Не ужели элементарные вещи так нежелают воспринимать массы?
Какой колпак? Какие условия? Эта порочная практика идет с запада, где на крупных сервисах без подтверждения телефона ты дальше главной страницы не уйдешь. Гугл\Яху\Steam\Facebook — везде требуется подтверждение по телефону.
1
Пользователь Habr описал случай блокировки доступа к своей почте на Яндексе. Он сообщил, что Яндекс заблокировал ящик из-за того, что он не указал при регистрации свой номер телефона.
Яндекс Почта
«Я, наверное, как те самые мыши, которые плакали, кололись, но продолжали жрать кактус. Который раз пытаюсь патриотично пользоваться сервисами Яндекса. И который раз это выходит мне боком», — пишет пользователь trublast.
«Почтовый ящик я создал 14 июня этого года. Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде», — сообщил он.
В форме регистрации на сервисе Яндекса номер мобильного телефона указывать не обязательно. Однако, как выяснилось позже, это может выйти боком.
«Вообще, я считаю, это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?» — пишет пользователь.
Если номер телефона можно не указывать, то придется выбрать контрольный вопрос и придумать на него ответ. Затем ввести капчу. Пароль пользователь генерировал в KeePass из 20 символов буквоцифр.
В начале все было хорошо. Письма приходили исправно. Потом поток писем неожиданно закончился. Тогда пользователь настроил уведомление о новых поступающих письмах на личный почтовый ящик. Последнее письмо было 14 июля.
«Сегодня, 7 августа, в личный ящик приходит уведомление. «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю, ну ок, нужно читать. И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление о подозрении взлома аккаунта», — пишет пользователь.
Восстановление доступа к почте только по номеру телефона
В уведомлении была просьба проверить компьютер на наличие вирусов. А потом, сюрприз! Необходимо ответить на контрольный вопрос, придумать новой пароль и запросить код подтверждения по SMS. Возникает вопрос: как это сделать, если номер телефона можно было не указывать при регистрации?
«Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. И как же его вводить, если у меня его нет? Или есть, но не мобильный, а стационарный?» — удивился мужчина.
В разделе «Помощь» не указанно, как восстановить доступ без ввода номера телефона.
«Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню», — сообщает пользователь.
Также Яндекс предлагает восстановить доступ, заполнив форму анкеты. Проблема в том, что в ней нужно указать дату рождения, но разве тот, кто не указывает номер телефона, будет заполнять дату рождения?
«Если указать дату неверно, я пробовал такой вариант, сообщается, что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется», — сообщает автор.
Яндекс водит по кругу и вынуждает вводить номер телефона
«В итоге, я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так. Но второй раз все получилось и я попал в почту», — пишет пользователь.
Что интересно, введенный автором номер телефона Яндекс автоматически привязал к аккаунту без каких-либо подтверждений. Однако оказывается, потом телефон все же можно отвязать от аккаунта. Но и тут есть подвох: чтобы отвязать номер, нужно ввести пароль от аккаунта и код из SMS, который придет на тот самый отвязываемый номер. Получается, что, если аккаунт реально взломали и злоумышленники привязали к нему свой номер, вы сами его не отвяжете. Также если к Яндекс ящику привязана SIM-карта, к которой у вас уже нет доступа, то и этот номер вы не отвяжете. Причем этот номер через некоторое время оператор выдаст другому человеку.
«Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И не нашел никаких вирусов», — сообщил автор.
Если предположить, что злоумышленники подобрали пароль или украли cookie. В этом случае должны остаться логи входов с другого адреса. Или, как минимум, какая-то активность в аккаунте, например, письма-спам.
«14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан)», — заявляет пользователь.
Пользователь также заметил:
«Истории действий ранее 15 июля нет, хотя история входов — есть. 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации: например, нет IP, с которого совершена операция.
А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах». И информация о моем браузере, ОС и IP-адресе зафиксировалась. Отдельно доставило про «восстановление через: undefined».
Из вышесказанного можно сделать вывод, что Яндекс воспользовался пунктом 2.3 пользовательского соглашения. Он заблокировал пользователю доступ к его учетной записи и начал выпрашивать номер телефона.
Пользовательское соглашение
2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения.
В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.
Поскольку блокировка ящика произошла ровно через месяц после регистрации, то наверняка она автоматическая.
«Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным», — считает автор.
Важный момент, при регистрации просят ввести «Фамилию и Имя». А после, в пользовательском соглашении, Яндекс ссылается на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». То есть «Фамилия и Имя» никогда не позволяют однозначно идентифицировать пользователя. И поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».
Представитель Яндекса прокомментировал ситуацию с номером телефона
«Конечно же, для использования Яндекс.Почты не требуется номер телефона в обязательном порядке. Многие наши пользователи используют Почту годами без привязанного номера и не сталкиваются с запросами дополнительной информации».
На запрос объяснения ситуации пользователя trublast в Яндексе ответили следующее:
«В вашем случае, скорее всего, сработала наша антифрод-система. Она работает уже не первый год и создана специально для выявления новых аккаунтов, из которых формируются спам- и фрод-фермы. Система анализирует более ста различных факторов. Наличие привязанного телефона — один из них, но не решающий. Поэтому и потребовалась дополнительная идентификация аккаунта».
Действительно, у пользователей еще есть возможность отказаться от ввода номера. Поэтому заявления Яндекса, что «использовать Почту годами без привязанного номера», скорее всего, правда. Однако — только для старых пользователей. На практике все новые аккаунты блокируются системой Яндекса. А для разблокировки требуется ввод номера телефона.
Фото: Youtube.
Как обойти запрос СМС от Яндекса
Как обойти запрос СМС от Яндекса
Спустя долговременного поиска уязвимостей мы нашли способ как входить в аккаунты Яндекс без СМС. 🌸
Для начала скачиваем приложение — Яндекс.Браузер (именно там мы и будем использовать уязвимость.
Заходим в него, и нажимаем на три точки которые находятся слева от поля ввода.
Видим много очень кнопок, из которых нам нужна кнопка «Войти в Яндекс», нажимаем ее и видим это (см.скриншот)
И самое главное что нужно сделать — ЗАКРЫТЬ ЭТО ОКНО С АККАУНТАМИ.
Так как если мы войдем через это меню, оно будет требовать СМС код.
Это веб версия сайта которая нам и нужна. Нажимаем на кнопку «Войти в другой аккаунт» ну или примерно такую кнопку.
Обязательно посмотрите что после закрытия меню с аккаунтами и нажатия кнопки «Войти в другой аккаунт» вы находитесь на веб-странице (см. на скриншоте внизу URL-ссылка).
Как должно быть после входа в аккаунт.Мы ввели логин,пароль, и о чудо — смс не запросило!
Дальше входим в любое приложение куда хотите, и у вас в меню выбора аккаунтов будет тот аккаунт в который вы входили (см.скриншот)
Тестил способ на проблемных аккаунтах ( в которые покупатели не могли войти через инкогнито ) итог = 5/5 аккаунтов вошло.
Единственные подводные камни:
- Может запросить номер телефона ввести (который идет вместе с логом после покупки товара в нашем боте)
- Полная блокировка аккаунта Яндекс (после авторизации напишет по типу «Хакеры взломали ваш аккаунт»)