Яндекс блокирует аккаунты, к которым не привязан номер телефона

отметили
60
человек
в архиве

Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.

В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО…

Небольшой разбор ситуации под катом.

Почтовый ящик я создал в 14 июня этого года. Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.

При регистрации можно не указывать номер мобильного телефона

источник: habrastorage.org

Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?

Ладно, раз можно не указывать номер телефона, то не будем его указывать. Правда нужно указать контрольный вопрос, придумать на него ответ. И ввести капчу. Хорошо, так и сделал.

источник: habrastorage.org

Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.

Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Потом поток писем иссяк. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик. Последнее письмо было 14 июля.

Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю — ну ок, нужно читать.

И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление:

источник: habrastorage.org

Вот это да! Аккаунт взломали? Подобрали 20-и символьный пароль, а потом его НЕ поменяли? Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму:

источник: habrastorage.org

Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. И как же его вводить, если у меня его нет? Или есть, но не мобильный, а стационарный?

Ладно, до дыр читаю Help на тему, как восстановить учетку. Да и еще не вводя номер телефона. Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню (вернее помнит KeePass).

Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Например, нужно ввести дату рождения. Которую я конечно не заполнял.
источник: habrastorage.org
Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется.

В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так

источник: habrastorage.org
Но второй раз все получилось и я попал в почту.

Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. Нашел, что его можно отвязать от аккаунта. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете. А номер этот через некоторое время выдадут другому человеку.

Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И конечно же не нашел никаких вирусов.

Предположим, подобрали пароль. Или «угнали» cookie. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)

Посмотрим логи входов:

источник: habrastorage.org

14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан).

Посмотрим логи активности в аккаунте (читать снизу вверх):

источник: habrastorage.org

А вот тут интересно

Истории действий ранее 15 июля нет, хотя история входов — есть15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксироваласьОтдельно доставило про «восстановление через: undefined»



Из чего я сделал вывод, что Яндекс воспользовался пунктом 2.3 пользовательского соглашения и заблокировал мне доступ к учетной записи, начав выпрашивать номер телефона

2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.


Блокировка произошла ровно через месяц после регистрации (регистрация 14 июня, блокировка ночью 15 июля), наверняка автоматическая.
Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.

Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».

Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.

Добавил ramstor ramstor 8 Августа
проблема (1)
Комментарии участников:
Имя_Фамилия
+4
Имя_Фамилия, 8 Августа , url

хз. не стал читать  все.  Но  обычно можно указать  дополнительный почтовый  ящик. на который можно  восстанавливать  все данные доступа. 

djamix
+2
djamix, 8 Августа , url

Кошелек ЯДа привязан, а там нужны полные данные.

 

 

***

Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.

***

Это уже шиза.

comander
+6
comander, 8 Августа , url

ну вот тут я соглашусь с автором. мобильный привязан договором к паспорту. то есть везде где сервис полагается на нномер телефона — пользователь деанонимизируется для большого брата.

не то чтобы конкретно яндексу присралось знать ваш номер паспорта, но общая тенденция ровно такая

Имя_Фамилия
0
Имя_Фамилия, 8 Августа , url

так вроде и  Fb  не прочь  номер  телефончика  запросить.  Вконтактик  тоже — мягко но настойчиво предлагает. 

comander
+1
comander, 8 Августа , url

Фейсбук не знаю а контакт со старта вел политику против анонимов и ботов. За юзерпик с левой картинкой бан выписывали. Так что все в открытую

Имя_Фамилия
+1
Имя_Фамилия, 8 Августа , url

согласен  про  ваш  комент  с  двойной  верификацией.  Так то  даже ее  иногда  обходят  и  ломают.  А  у Яндекса-кошелек. И  то  что у одного др  польователя  бомбит, не значит  что Яндекс  должен отказаться от  безопасности  финансов  др  пользователей.  А совсем  не от  того что  будет  Яша стучать  большому брату. Ибо  если   кто надо попросит — в рамках  закона  все равно все предоставят. 

зы. Кстати  я  еще  в эру до привязки   к телефону тышу др  в  Яндекс  кошельке потерял.  Забыл  пароль. Востановить  не смог.  Не через там  секретные вопросы и  т.п. 

extrimko
-2
extrimko, 8 Августа , url

Фигня всё это, это просто борьба с ботоводами.

Но бараны из яндекса не учли, что у ботоводов сотни симок...

comander
0
comander, 8 Августа , url

статья белки-истерички

весь этот гемморой объясняется простыми вещами

— аджайл

— 20/80

— стандартные методы двухфакторной авторизации

 

я предлагаю автору еще написать разгромную статью про то что он неможет пользоваться онлайн банком если не хочет сообщать свой номер банку. успех гарантирован

X86
-3
X86, 8 Августа , url

Лично я вообще все жду, когда у яндекса появится двухфакторная авторизация с привязкой к телефону. Чтобы каждое новое устройство привязывать при помощи СМС- так надежней.

lxson
0
lxson, 9 Августа , url

Старая тема, яндекс это говна кусок, блокирует мыло если заходишь с ай пи другого города. Это так «заботятся» о многочисленной популяции безмозглых пользователей

istinspring
0
istinspring, 9 Августа , url

это ты говна кусок и пиздобол. захожу из разных стран не то что городов нихуя не блокируют.

lxson
0
lxson, 9 Августа , url

ты особо безмозглый ты у яндекса на особом счету

istinspring
0
istinspring, 9 Августа , url

я думаю ты просто херню какую-то брякнул. 

istinspring
0
istinspring, 9 Августа , url

обоссаный хабр. а инстаграм банит просто за то что у тебя мало яндекс и чо. а на некоторых сервисах ты хуй зарегаешься без телефона и так же забанят.

Osoduz
0
Osoduz [новый участник], 15 Августа , url

В принципе, это не проблема. Привязал телефон и нет проблемы. 



Войдите или станьте участником, чтобы комментировать