Пару часов назад стал счастливым обладателем данной новости:
Есть предположение, что как-то связано с новостью Хакеры атаковали российскую платформу по управлению рассылками «Раппорто» похоже, что оно ошибочное. Речь вроде шла о взломе именно 12 ноября, а меня взломали 6 октября. Меня смутило, что сообщение от «Яндекс» и эта новость пришли в одни день.
Про сам взлом:
6 октября (воскресенье) утром я обнаружил, что ночью пришло SMS от «Яндекс» с текстом «xxx-yyy — код для входа в Яндекс». Также от приложения «Яндекс Почта» остался пуш с приблизительным сообщением «Уведомление о смене пароля». Утро сразу не задалось.
Пароль от почты был изменён, но удалось восстановить доступ по SMS. В привязанных устройствах числилась сессия через «Яндекс браузер», которым я никогда не пользовался. Чищу все привязанные устройства, меняю пароль, пытаюсь достать как можно больше информации.
На странице «Активность» Яндекса отображалась информация, что ночью был вход и смена пароля
Страница «Журнал учёта посещений» была интереснее. Письмо о смене пароля переместили в «Удалённые» и очистили эту папку. Для меня до сих пор остаётся загадкой что за остальные 21 письмо, которое были удалены, так как у меня там должно было быть пусто. Других сообщений согласно «Журналу» не приходило (в ситуации разобрался, дело в отписках от рассылок, подробнее описал в UPD2).
В этот же день (6 октября) я написал в техподдержку Яндекса о том, что меня взломали через SMS, хотя я его не вводил. 7-8 октября была переписка, где я их уверял, что никаких ПО удалённого доступа у меня не стоит. 9 октября утром меня разлогинило на всех устройствах, а техподдержка подтвердила, что это сделали они. Кажется, они что-то заподозрили!
Дальше техподдержка целый месяц отвечала, что они разбираются, а вот сегодня пришло сообщение в начале поста.
На этом всё, а мне остаётся лишь гадать почему взломали меня, и что в итоге свистнули с моей почты. Всем добра и безопасных сервисов!
UPD1. Рекомендация от Яндекса, что делать дальше (там в том числе указано про TOTP, про который много говорили в комментариях):
Настройте двухфакторную аутентификацию, чтобы входить в аккаунт с паролем в связке с одноразовым паролем из Яндекс Ключа.
Запретите восстановление доступа к аккаунту по номеру мобильного телефона, если вы используете смс в качестве второго способа защиты. Сделать это можно в настройках Яндекс ID на вкладке «Способы восстановления» в разделе «Безопасность», после чего доступ получится восстановить только с дополнительной проверкой через службу поддержки.
Не храните в чатах, заметках или в других местах чувствительные данные, которые могут представлять для злоумышленников особенный интерес — например, логины, пароли или ключи от корпоративных VPN-сертификатов.
Поменяйте ваши данные для авторизации в других сервисах, которые вы могли хранить в своём аккаунте.
Следите за предупреждениями от команды безопасности Яндекса. Мы всегда отправляем письмо при попытке войти в аккаунт с нового устройства или из необычного места. Так вы успеете принять меры в случае реальной опасности: выйти из аккаунта на всех устройствах, сменить пароль и связаться со службой поддержки.
UPD2. Понял, что за 21 лишнее удалённое письмо. Похоже, что если нажать «Отписаться» от рассылки в UI Яндекса, то он просто сразу начинает пересылать письма в папку «Удалённые». При этом в «Журнале» получение этих писем никак не отображается.
ссылка на оригинал статьи https://habr.com/ru/articles/858058/
Добавить комментарий