ある「ハック」の物語、またはYahooが他の誰かのメールからユーザー名とパスワードをどのように与えたか

画像



Yahoo IDを忘れてしまったので、SMS認証を使用して復元することにしました。 そして今、2分でメールボックスにフルアクセスできました。 確かに、私に属していなかった見知らぬ人に。



それはすべて、友人がFlickrにアップロードした休日の写真をダウンロードするためにYahooメールが必要だったという事実から始まりました。 歯を食いしばって、彼は新しい箱を登録しなければなりませんでした。彼は自分の携帯電話番号を含む必要なデータを示しました。 そして、私の女の子らしい記憶がなければ、この記事はHabrにはありません。登録してから1分後、私は彼女の住所を忘れました。



新しいメールを登録しないために、新しく作成したメールへのアクセスを復元することにしました。 疑わしいように、サービスは携帯電話番号を入力することでこれを行うことを提案しました。 しかし、私が8年間使用しているウクライナのオペレータライフの数を入力しました:)、それが完全に異なるメールボックスに関連付けられていることを知って驚いていました。 それでも何が起こっているのかを完全に理解していないので、入力したデータを確認し、スローダウンせずに自分の番号に到着するSMSを待ち始めました。 そして今、私の手には、他人の箱の完全なYahoo IDがあります。



画像



興奮と関心が良識よりも勝っていたので、私は最後まで行くことにしました。 完全なYahoo IDと携帯番号(Yahooによると、ボックスの所有者に属している)へのアクセス権を手にした私は、簡単にパスワードを復元しました。 したがって、3分で、Yahooは私に属していないメールアカウントからログインとパスワードをくれました。



検証コード
画像



コンテンツを分析した後、私はそれが長い間使用されておらず、その所有者にとって価値がないという結論に達しました。 したがって、私は彼の箱を「盗まれた」ことによって人に大きな損害を与えなかったと思います。



箱の内容
画像



問題は、これがどのように発生した可能性があるかです。 私はこれまでYahooメールサービスを扱ったことがありませんが、登録中に携帯電話番号を指定するときに、SMSコードを使用して実際に携帯電話番号を所有しているかどうかの確認を求めません。



PS:タイトルでは、単語「ハッキング」は引用符で示されているだけではありません。 上記は、悪用される可能性がある脆弱性よりも技術的な問題です。 私は「ハッカー」のふりをせず、一般的にITの話題からは程遠い。 しかし、Yahooなどのサービスでは、登録時に指定された番号の確認が必要ないことは驚くべきことです。 そして、上記に基づいて、複数のメールボックスを1つの番号に登録できます



All Articles