Пришел сегодня утром работать, смотрю, коллега мой сидит грустный. Поинтересуюсь, думаю, причиной. Все оказалось весьма просто: на одном коллективном блоге, который он посещает (не буду говорить, где именно, но скажу, что блог этот на автомобильную тематику), угнали его аккаунт. Я бы просто зарегистрировал новый, но он начал говорить о том, что там вот столько-то постов, столько-то комментариев и вообще столько-столько всего. Решил ему помочь с восстановлением доступа, для чего мне требовалось узнать об аккаунте больше, чем просто логин и пароль, системой авторизации более не принимаемый. Когда я узнал больше, то удивился, честно говоря, что этот аккаунт беззаботно прожил три года.
А дело тут было в том, что зарегистрирован он был на электронный ящик на сайте mailforspam.com. Если кто не знает, то это такой сервис, на котором в почтовый ящик можно войти указав лишь логин, но работать при этом только со входящей почтой. Оказалось, что когда-то, когда моему коллеге понадобилось получить доступ к скрытой ссылке, он зарегистрировал такой бестолковый аккаунт. Но позже сайт ему понравился и он решил продолжить использование аккаунта. Вот только загвоздка: скрипт их блога не позволяет менять адрес электронной почты.
Ну а теперь перейдем к событиям прошлой недели. После долгого отсутствия на сайте, мой друг забыл пароль и воспользовался сервисом восстановления. Установил новый пароль, письмо-подтверждение изменения удалил из почты. Позже сайт перестал принимать новый пароль, а при попытке восстановить его еще раз, выдавал секретный вопрос, установленный угонщиком. Как же злоумышленник смог попасть в аккаунт, даже получив доступ к письму-подтверждению, если после перехода по ссылке, указанной в нем, помимо нового пароля требуется также и ответ на секретный вопрос? На самом деле все предельно просто. После успешной смены пароля, сайт отправил на мыло еще одно радостное письмо-уведомление, в котором сообщался логин к учетной записи и пароль в открытом виде. Злоумышленник зашел на сайт, используя эти данные, сменил пароль и секретный вопрос и ушел.
Восстановить аккаунт оказалось также достаточно просто. Я направил письмо в службу поддержки того сайта с описанием проблемы. Проблемой являлось также то, что с ящиков на mailforspam.com нельзя отправлять исходящую почту, да и вообще у меня сегодня этот сервис целый день не открывается, поэтому пришлось писать с другого ящика. В ответном письме мне задали кое-какие вопросы, ответить на которые сможет лишь владелец аккаунта. На эти вопросы ответил мой друган (поражаюсь, как можно запомнить дату регистрации, если нигде на сайте ее нет?) и через пару часиков получил автоматически сгенерированный пароль, при помощи которого вошел на сайт и изменил секретный вопрос. Для изменения адреса электронной почты нам также пришлось писать письмо в техподдержку, но это уже совсем другая история.
В итоге коллега счастлив, а я ― герой дня. А если серьезно, то из этого случая можно сделать следующие выводы:
1. Аккаунты, которыми пользуешься, никогда нельзя держать привязанными к сервисам типа mailforspam.com.
2. На сайте должна быть возможность изменения контактного email'а, пароля и серкетного вопроса без помощи админа.
3. Никогда и ни при каких условиях пароли к учетным записям не должны публиковаться. Ни в «личных кабинетах», ни во всяких там письмах-подтверждениях/уведомлениях.