Главная » Хабрахабр » Яндекс блокирует аккаунты, к которым не привязан номер телефона

Яндекс блокирует аккаунты, к которым не привязан номер телефона

Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.

А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО… В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом».

Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Небольшой разбор ситуации под катом.
Почтовый ящик я создал в 14 июня этого года. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.

При регистрации можно не указывать номер мобильного телефона

Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. То есть считается нереальным, что мне нужна первая и единственная симка?

Правда нужно указать контрольный вопрос, придумать на него ответ. Ладно, раз можно не указывать номер телефона, то не будем его указывать. Хорошо, так и сделал. И ввести капчу.

Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.

Потом поток писем иссяк. Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Последнее письмо было 14 июля. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик.

Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Думаю — ну ок, нужно читать.

После ввода логина и пароля я получил уведомление: И тут меня ждал сюрприз.

Аккаунт взломали? Вот это да! Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму: Подобрали 20-и символьный пароль, а потом его НЕ поменяли?

Я же при регистрации указал «у меня нет телефона»! Так, постойте! Ну и как же его вводить, если у меня его нет? А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. Ну или допустим есть, но не мобильный, а стационарный?

Да и еще не вводя номер телефона. Ладно, до дыр читаю Help на тему, как восстановить учетку. А я их помню (вернее помнит KeePass). Там в основном ответы вроде «не помню логин», «не помню пароль».

Например, нужно ввести дату рождения. Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. Которую я конечно не заполнял.

Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. А если не указать — форма не отправляется.

Первый раз что-то пошло не так В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер.


Но второй раз все получилось и я попал в почту.

Нашел, что его можно отвязать от аккаунта. Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. А номер этот через некоторое время выдадут другому человеку. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете.

И конечно же не нашел никаких вирусов. Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT).

Или «угнали» cookie. Предположим, подобрали пароль. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)

Посмотрим логи входов:

7 августа — мой вход после восстановления доступа. 14 июня мой последний вход. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. В промежутке между этими датами никто в аккаунт не входил. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан). Никаких писем в почте, кроме тех, что я отправлял, тоже нет.

Посмотрим логи активности в аккаунте (читать снизу вверх):

А вот тут интересно

  • Истории действий ранее 15 июля нет, хотя история входов — есть
  • 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)
  • А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксировалась
  • Отдельно доставило про «восстановление через: undefined»

3 пользовательского соглашения и заблокировал мне доступ к учетной записи, начав выпрашивать номер телефона
Из чего я сделал вывод, что Яндекс воспользовался пунктом 2.

3. 2. 2. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса. 2 Соглашения.

Блокировка произошла ровно через месяц после регистрации (регистрация 14 июня, блокировка ночью 15 июля), наверняка автоматическая.
Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.

Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса». Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя».

Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.

Не первый раз такая проблема и я еще легко отделался — Очередная подлянка от Яндекс-почты UPD: чукча не читатель, чукча писатель.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Зачем программисту стажировка на кухне — разговор с «Додо пиццей» про гембу, .NET и открытость

Бизнес компании оплетен сетью технологичных сервисов, о своей истории они написали книгу, стек технологий и архитектура системы расписаны прямо на сайте, в паре кликов от главной страницы. Про «Додо пиццу» уже известно много. Даже самые неприятные факапы они спокойно и ...

[Перевод] Профилирование кода с LLVM

Проклятие недетерминизма Моя первая попытка написать проход LLVM — люблю эти сегфолты Под словом «детерминированный» я подразумеваю, что один и тот же код будет выполняться за одно и то же количество единиц времени. Недавно я столкнулся с интересной задачей — ...