September 9th, 2014

Corvax

яндекс vs майлру

И ещё два слова о.

Про аналогичный слив майлрушных паролей все слышали? Читать здесь (там написано про "4.5 млн паролей", они тоже врут, там 4.5 миллиона адресов, паролей всего около 800000, я скачал и посчитал), проверяться - http://isleaked.com/.

Хочу отметить, что:
- меня в этой базе нет, хотя адрес на майлру я использую на бОльшем количестве компьютеров (если тырили кейлоггерами или троянами, майлру стырили бы с бОльшей вероятностью).
- майлру сегодня, как и яндекс вчера, заблокировало мой аккаунт (на всякий случай, вероятно - в базе меня нет, но я вчера менял пароль, "это подозрительно"). Для разблокировки - не ограничились смс на номер, а прогнали через многофакторную авторизацию (формочка типа "расскажите о себе"). Мне это нравится больше, чем только телефон (телефон тоже достаточно надёжно, но - вдруг с телефоном что-то случится? Я, например, удалил аккаунт на fb, потому что этот самый fb регулярно блокировал мне аккаунт, а разблокировать по телефону не мог, ибо смс не проходили).
- майлру активней уведомляет пользователя об изменениях в аккаунте. Майлру при смене пароля прислал смс, яндекс - нет.
- в начале года от майл.ру было письмо счастья с настоятельным пожеланием перейти на POP3s ("иначе через ~месяц обычный POP3 удавим и останетесь без почты"). POP3 не удавили, но на POP3s я перешёл. От яндекса таких писем не было - кто изначально "сидел на ПОПе ровно", мотивации перехода на "безопасную ПОПу" не имел.

UPD: а, нет. Не всё в порядке в датском королевстве. Через многофакторную авторизацию меня прогнали, и доступ через POP3s вернули сразу, поэтому я решил, что всё ок. На самом деле - через веб-морду не пускают, а главное - письма с моего адреса не принимаются:
<***@****.ru>: host mxs.mail.ru[217.69.139.150] said: 550 Message was not
accepted -- invalid mailbox. Local mailbox ***@****.ru is unavailable:
message sending for this account is disabled:
http://help.mail.ru/mail-help/postmaster/error (in reply to end of DATA
command)

При этом в их "форме обратной связи" собственно форму обратной связи мне за полчаса найти не удалось, и - чисто по приколу - ссылка "помощь" на help.mail.ru ведёт на страницу "How to avoid problems when sending bulk email" (хау ту сенд спэм, ин инглиш, йеа!)

Так что я на какое-то время "ограничен в использовании" основного е-мейла.

Выводов не будет.

Интересно, каким образом стырили мой пароль на яндекс (и какое-то время назад - мой пароль на вконтакт). Вирусов/троянов за собой не замечал (хотя насколько надёжен MS SE не знаю), яндекс, допустим, могли увести сниффером с незащищённого POP3 (хотя я в это не очень верю), но вконтакт-то пароль в открытом виде вроде не передаёт...
Непонятно.
Haruhi-kun

майлру

Ну вот, прошло всего несколько часов с того момента как майлру стребовал с меня подтверждение того что я это я кодом через смс, и потребовал заполнить формочку со всякими вопросами, и майлру заблокировал ящик уже наглухо - полчаса назад я мог хотя бы читать почту, теперь не могу и этого. Пароль не менялся (в смысле, это не захват ящика, а именно блокировка) - если ввести неправильный, выдаётся "неправильный пароль", если правильный - "ящик заблокирован".

В той формочке для разблокировки обещали "рассмотреть запрос до 12 сентября". Учитывая, что непонятно что вообще было причиной блокировки, и что подтверждение кодом через смс прошло успешно - нормальный такой уровень паранойи у майлру, гугель обзавидуется. И скорость тоже ничего так - "почта России" имеет себе достойного электронного преемника (разве при подтверждении кодом через смс разблокировка не роботом должна делаться, её надо "рассматривать" человеком?)

Кстати, на фоне этого идея о создании какого-нибудь «государственного учреждения "электронная почта России"», с паспортом и офисом в главпочтамте, выглядит не такой уж и бредовой. Поскольку когда всё работает - то какая разница, как оно устроено, а вот в случае всяких там стыренных паролей и захваченных ящиков - будет 100% способ восстановления ящика: придти с паспортом, написать заявление, собственно вот и всё.

UPD: о, прислали на яндекс ссылку на смену пароля. Пароль сменился - теперь меня пускает через веб, но не пускает через POP3s. Лапочки какие - я ж вчера пароль менял, что им, каждый день теперь пароль менять?..