Из сообщения в блоге одного из пользователей почтового сервиса Mail.Ru стало известно о следующем: если на стартовой странице сервиса ввести почтовый адрес одного из популярных конкурентов Mail.Ru (например, почты «Яндекса») и пароль доступа к ящику, Mail.Ru вместо того, чтобы отказать в доступе, обратится к чужому серверу, заберёт оттуда почту и покажет её на своём сайте. Это фишинговый приём, с помощью которого Mail.Ru получает логин и пароль пользователя для доступа к почтовым сервисам, принадлежащим другим компаниям.
Редакция убедилась в правильности сообщения. Использование чужих паролей даёт, заметим, техническую возможность доступа не только к чужой почте, они и к файловому хранилищу (например, «Яндекс.Диск») и даже к деньгам (кошелёк «Яндекс.Денег»).
Леонид Филатов, основатель хостинговой компании .masterhost, сервиса статистики Openstat и аналитического сервиса index.ru, директор департамента аналитических систем и статистики государственной поисковой системы «Спутник», так прокомментировал событие: «Безусловно, подобная ситуация имеет не только отрицательную технологическую, но и крайне негативную этическую составляющую. Компания Mail.Ru имеет обширный инструментарий по сбору персональных данных своих пользователей (коммуникационные сервисы, плагины к браузерам и т.д.) Совершенно недопустимо не только собирать эти данные без ведома пользователя, а тем более использовать их подобным образом! Думаю, что подобная ситуация, при ее подтверждении, может иметь совершенно четкие судебные перспективы».
«…Веб-версия «Почты@Mail.Ru» выступает в качестве почтового клиента и ведет себя ровно таким же образом, как, например, TheBat, Outlook, Thunderbird или любой настраиваемый пользователем сборщик почты — функция, которая есть у многих почтовых служб. Единственное отличие состоит в том, что у нас эта фича вынесена в форму ввода логина», — так реагирует на обнаружение «фичи» пресс-служба Mail.Ru. Ещё в Mail.Ru утверждают, будто «много рассказывали об этой фиче», и приводят в подтверждение ссылки на корпоративный блог, которые, однако, по состоянию на время написания заметки никуда не ведут (обновлено: позднее представитель Mail.ru указал правильные).
Ссылка на блог Mail.Ru на «Хабрахабре» работает. Но в записи речь идёт о другом, а именно об особенностях использования протокола OAuth 2.0, который предназначен для явно разрешённого пользователем доступа к его информационным ресурсам без ввода пароля. Так работает, например, авторизация по учётной записи Facebook на иных сервисах, таких, как сайты СМИ – вы можете оставлять комментарии к публикациям, зарегистрировавшись как участник социальной сети, при этом ваш пароль от Facebook сайт СМИ не получает.
Единственным популярным почтовым сервисом, который Mail.Ru не может взять фишинговым приёмом, оказался Gmail. Доступ приложений к почтовому ящику пользователя Gmail по паролю невозможен, т.к. Gmail в таких случаях обязательно требует авторизацию не по паролю, а по протоколу OAuth. «Увидев», что пароль «вводит» не пользователь, а сервер Mail.Ru, Gmail отказывает в доступе.
Ранее на фишинге попалось ни много, ни мало министерство культуры, презентовавшее имитацию системы доступа к сайту Национальной электронной библиотеки во время демонстрации главе правительства Дмитрию Медведеву. Тогда потенциально скомпрометированными оказались учётные записи Единой системы идентификации и аутентификации (ЕСИА), которая используется для доступа граждан к Единому порталу госуслуг. Это сошло ведомству с рук.
2 КОММЕНТАРИИ
комментарии закрыты.
блин, грамотеи бестолковые.
Даже на картинке видно, что всодите левые адреса.
Все у них нормально написано:
http://mailblog.mail.ru/vvp-ios-and/
уберите в адресах в конце мишуру, «эксперты»
Спасибо, Рустам, вы правы, за мэйлру гиперссылки надо проверять даже в комментариях пресс-службы