Яндекс блокирует аккаунты, к которым не привязан номер телефона

в 16:13, , рубрики: big data, информационная безопасность, обман пользователей, сбор данных, Управление сообществом, яндекс, Яндекс.Почта

Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.

В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО…

Небольшой разбор ситуации под катом.

Почтовый ящик я создал, так как надо было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.

При регистрации можно не указывать номер мобильного телефона

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 1

Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?

Ладно, раз можно не указывать номер телефона, то не будем его указывать. Правда нужно указать контрольный вопрос, придумать на него ответ. И ввести капчу. Хорошо, так и сделал.

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 2

Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.

Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Потом поток писем иссяк. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик. Последнее письмо было 14 июля.

Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю — ну ок, нужно читать.

И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление:

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 3

Вот это да! Аккаунт взломали? Подобрали 20-и символьный пароль, а потом его НЕ поменяли? Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму:

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 4

Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. Ну и как же его вводить, если у меня его нет? Ну или допустим есть, но не мобильный, а стационарный?

Ладно, до дыр читаю Help на тему, как восстановить учетку. Да и еще не вводя номер телефона. Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню (вернее помнит KeePass).

Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Например, нужно ввести дату рождения. Которую я конечно не заполнял.
Яндекс блокирует аккаунты, к которым не привязан номер телефона - 5
Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется.

В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 6
Но второй раз все получилось и я попал в почту.

Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. Нашел, что его можно отвязать от аккаунта. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете. А номер этот через некоторое время выдадут другому человеку.

Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И конечно же не нашел никаких вирусов.

Предположим, подобрали пароль. Или «угнали» cookie. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)

Посмотрим логи входов:

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 7

14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан).

Посмотрим логи активности в аккаунте:

Яндекс блокирует аккаунты, к которым не привязан номер телефона - 8

А вот тут интересно

  • Истории действий ранее 15 июля нет, хотя история входов — есть
  • 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)
  • А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксировалась
  • Отдельно доставило про «восстановление через: undefined»

Из чего я сделал вывод, что Яндекс воспользовался пунктом 2.3 пользовательского соглашения и заблокировал мне доступ к учетной записи, начав выпрашивать номер телефона

2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.

Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.

Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».

Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.

UPD: чукча не читатель, чукча писатель. Не первый раз такая проблема и я еще легко отделался — Очередная подлянка от Яндекс-почты

Автор: trublast

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js