Пошукова оптимізація

Яндекс блокує акаунти, до яких не прив’язаний номер телефону

Я напевно як ті миші, які «плакали, кололися, але продовжували жерти кактус». Вкотре намагаюся патріотично користуватися сервісами Яндекса — і вкотре це виходить мені боком.

В цей раз заблокувала доступ до пошти під приводом «підозри на злом». А в реальності — тому що при реєстрації не вказав номер телефону, що взагалі-то не забороняється, але як завжди є АЛЕ…

Невеликий розбір ситуації під катом.

Поштова скринька я створив у 14 червня цього року. Потрібно було зібрати номери телефонів від жителів нашого багатоквартирного будинку для того, щоб внести їх в шлагбаум з GSM-управлінням. Ящик я вирішив створити на Яндексі і повісив оголошення з E-mail у під’їзді.

При реєстрації можна не вказувати номер мобільного телефону

Взагалі я вважаю це правильно, що можна не вказувати номер телефону при реєстрації пошти. Найбільше веселить, що при підключенні до оператора мобільного зв’язку зараз теж просять номер мобільного телефону. Тобто вважається нереальним, що мені потрібна перша і єдина сімка?

Гаразд, раз можна не вказувати номер телефону, то не будемо його наводити. Правда потрібно вказати контрольний питання, придумати на нього відповідь. І ввести капчу. Добре, так і зробив.

Пароль як завжди генерував у KeePass близько 20 символів буквоцифр.

Спочатку все було нормально, люди прислали листи з номерами, я вніс їх в базу. Потім потік листів вичерпався. Щоб не прогавити» нові листи я налаштував повідомлення про новому листі на особистий поштову скриньку. Останній лист було 14 липня.

Сьогодні, 7 серпня, в особистий ящик приходить повідомлення «Вам лист на xxxx@ya.ru. Прочитати: ya.cc/ZZZZ / Яндекс.Пошта». Думаю — ну ок, треба читати.

І тут на мене чекав сюрприз. Після введення логіна і пароля я отримав повідомлення:

Ось це так! Акаунт зламали? Підібрали 20-і символьний пароль, а потім його НЕ змінили? Добре, вводжу відповідь на контрольне запитання і отримую таку форму:

Так, стривайте! Я ж при реєстрації вказав «у мене немає телефону»! А тепер мені пропонують ввести його, причому просунутися далі не можна ніяк. Ну і як же його вводити, якщо у мене його немає? Ну або припустимо є, але не мобільний, а стаціонарний?

Гаразд, до дірок читаю Help на тему, як відновити учетку. Та й ще не вводячи номер телефону. Там в основному відповіді на кшталт «не пам’ятаю логін», «не пам’ятаю пароль». А я їх пам’ятаю (вірніше пам’ятає KeePass).

Є варіант відновити доступ заповнивши анкету, але там все ще смішніше. Наприклад, потрібно ввести дату народження. Яку я звичайно не заповнював.

Чомусь в Яндексі впевнені, що якщо я не вказав дату реєстрації (а це можливо), то я заповню її пізніше. Якщо вказати дату невірно (я пробував такий варіант) повідомляється, що дані введені невірно і відновлення доступу неможливо. А якщо не вказати — форма не подається.

У підсумку я трохи втомився від цієї нахабства Яндекса з канючення телефону, і ввів свій номер. Перший раз щось пішло не так


Але другий раз все вийшло і я потрапив в пошту.

Введений мною номер автоматично «прив’язався» до аккаунту, хоча я цього не просив. Знайшов, що його можна від’єднати від аккаунта. І тут знову сюрприз: для того, щоб відв’язати номер, потрібно ввести пароль від аккаунта і код з СМС, який прийде на отвязываемый номер. Тобто якщо аккаунт дійсно зловмисники зламали і прив’язали свій номер — ви самі його не отвяжете. Ну або якщо до поштової скриньки прив’язаний телефон, до якого у вас тепер немає доступу (припустимо, ви розірвали договір з стільниковим оператором) — то теж його не отвяжете. А цей номер через деякий час видадуть іншій людині.

Так як я не виключав випадку, що «мій акаунт зламали або у мене віруси», то я звичайно ж просканував комп’ютер одним з рекомендованих антивірусів (вибір припав на KVRT). І звичайно ж не знайшов ніяких вірусів.

Припустимо, підібрали пароль. Або «викрали» cookie. Тоді повинні залишитися логи входів з іншої адреси, ну або хоча б якась активність в записі (ймовірно, надіслані листи)

Подивимося логи входів:

14 червня мій останній вхід. 7 серпня — мій вхід після відновлення доступу. У проміжку між цими датами ніхто в акаунт не входив. Та й взагалі ніхто не входив в акаунт з адреси, відмінного від мого домашнього IP. Ніяких листів у пошті, крім тих, що я відправляв, теж немає. Файлів на Я. Диску немає, Я. Гроші не активував (гаманець не створено).

Подивимося логи активності в записі (читати знизу вгору):

А ось тут цікаво

  • Історії дій раніше 15 липня немає, хоча історія входів — є
  • 15 липня проведений «вихід на всіх пристроях». Причому робив це не я. І в логах не відображено детальної інформації (наприклад, немає IP з якого зроблена операція)
  • А ось 7 серпня для перевірки я самостійно зробив «вихід на всіх пристроях» та інформація про моєму браузері, ОС і IP-адресі зафіксувалася
  • Окремо доставило про «відновлення через: undefined»

З чого я зробив висновок, що Яндекс скористався пунктом 2.3 угоди і заблокував мені доступ до облікового запису, почавши випрошувати номер телефону
2.3. Яндекс залишає за собою право в будь-який момент вимагати від Користувача підтвердження даних, зазначених при реєстрації, і запитати у зв’язку з цим підтвердні документи (зокрема — документи, що посвідчують особу), неподання яких, на розсуд Яндекса, може бути прирівняне до надання недостовірної інформації та спричинити наслідки, передбачені п. 2.2 Угоди. У разі якщо дані, зазначені в поданих ним документах, не відповідають даним, вказаним при реєстрації, а також у випадку, коли дані, вказані при реєстрації, не дозволяють ідентифікувати користувача, Яндекс має право відмовити Користувачеві доступ до облікового запису та використанні сервісів Яндекса.
Блокування сталася рівно через місяць після реєстрації (реєстрація 14 червня, блокування вночі 15 липня), напевно автоматична.
Все б нічого, але навіщо вводити користувачів в оману про «спроби злому»? І давати можливість зареєструватись без номера телефону, якщо він так необхідний для ідентифікації? Прямо так і писали: телефон потрібен для того, щоб прив’язати ваші пости на форумах, де ви реєструвалися з використанням e-mail, до вашого телефону. А далі, через оператора мобільного зв’язку, до ваших паспортними даними.

Цікаво відзначити, що при реєстрації просять «Прізвище та Ім’я», а в угоді посилаються потім на випадки «коли дані, вказані при реєстрації, не дозволяють ідентифікувати користувача». Можна сказати, що Прізвище та Ім’я ніколи не дозволяють однозначно ідентифікувати користувача, і тому «Яндекс має право відмовити Користувачеві доступ до облікового запису та використанні сервісів Яндекса».

Так само цікавою видалася ситуація з автоматичною прив’язкою непідтвердженого раніше номера телефону до аккаунту і неможливості його згодом відв’язати.

UPD: чукча не читач, чукча письменник. Не перший раз така проблема і я ще легко відбувся — Чергова підлянка від Яндекс-пошта

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close