Die Geschichte von einem "Hack" oder wie Yahoo mir den Benutzernamen und das Passwort von einer anderen Mail gegeben hat

Bild

Nachdem ich meine Yahoo-ID vergessen hatte, entschied ich mich, sie mithilfe der SMS-Authentifizierung wiederherzustellen. Und jetzt in 2 Minuten habe ich vollen Zugriff auf die Mailbox. Gewiss, einem Fremden, der mir nicht gehört hat.

Alles begann damit, dass ich Yahoo-Mail benötigte, um Urlaubsfotos herunterzuladen, die mein Freund auf Flickr hochgeladen hatte. Er biss die Zähne zusammen und musste eine neue Box registrieren. Er gab die erforderlichen Daten an, einschließlich seiner Handynummer. Und diesen Artikel über Habr gäbe es nicht, wenn ich mich nicht mädchenhaft erinnere: eine Minute nach der Registrierung habe ich ihre Adresse vergessen.

Um keine neue Mail zu registrieren, habe ich mich entschlossen, den Zugriff auf die neu erstellte Mail wiederherzustellen. Wie vermutet, schlug der Dienst vor, dies durch Eingabe einer Mobiltelefonnummer zu tun. Aber nachdem ich die Nummer des ukrainischen Betreibers life :) eingegeben hatte, den ich seit 8 Jahren verwende, war ich überrascht festzustellen, dass es an eine ganz andere Mailbox gebunden ist, die ich definitiv nicht registriert habe. Ich verstand immer noch nicht genau, was geschah, bestätigte die eingegebenen Daten und wartete auf die SMS, die bei meiner Nummer ankam, ohne mich zu verlangsamen. Und jetzt habe ich die vollständige Yahoo-ID einer anderen Box in der Hand.

Bild

Aufregung und Interesse herrschten über Anstand, und so beschloss ich, den ganzen Weg zu gehen. Mit meiner vollständigen Yahoo-ID und dem Zugriff auf eine Mobiltelefonnummer (die laut Yahoo dem Besitzer der Box gehört) konnte ich das Passwort problemlos wiederherstellen. So gab mir Yahoo innerhalb von drei Minuten einen Benutzernamen und ein Passwort von einem E-Mail-Konto, das mir nicht gehört.

Bestätigungscode
Bild

Nach der Analyse des Inhalts bin ich zu dem Schluss gekommen, dass er seit langer Zeit nicht mehr verwendet wird und für seinen Besitzer keinen Wert hat. Daher wage ich anzunehmen, dass ich einer Person keinen nennenswerten Schaden zugefügt habe, indem ich ihre Schachtel "gestohlen" habe.

Packungsinhalt
Bild

Es bleibt die Frage, wie dies hätte geschehen können. Ich habe mich noch nie mit dem Yahoo-Mail-Dienst befasst, aber ich wage vorzuschlagen, dass Sie beim Angeben einer Mobiltelefonnummer bei der Registrierung nicht aufgefordert werden, mithilfe eines SMS-Codes zu bestätigen, ob Sie ihn wirklich besitzen.

PS: Im Titel wird das Wort "Hacking" nicht nur in Anführungszeichen gesetzt. Das oben Genannte ist eher ein technisches Problem als eine Schwachstelle, die ausgenutzt werden kann. Ich gebe nicht vor, ein "Hacker" zu sein und bin generell weit vom Thema IT entfernt. Auffällig ist jedoch, dass für einen Dienst wie Yahoo keine Überprüfung der bei der Registrierung angegebenen Nummer erforderlich ist. Und, basierend auf den oben genannten, ermöglicht die Registrierung mehrerer Mailboxen zu 1 Nummer

Jetzt auch beliebt: