Когда думал, что тебя взломали, а оказалось, что взломал ты сам
Или как я получил доступ к чужому аккаунту на AliExpress
AliExpress - возможно отличный сайт, но я никогда с него не заказывал. Тем не менее, открыв сегодня почту, я обнаружил у себя 18 писем с примерным содержанием "Чувак, твой заказ №.... отправлен (оплачен/подтвержден итд.)"
Время писем примерно одинаковое - поздняя ночь. Читать, что ты где-то что-то оплатил, а ты знаешь, что этого не было, такое себе чувство. Включается параноик, начинаешь вспоминать, какие левые сайты ты посещал, где мог оставить свои данные и вообще, какого черта происходит. Естественно бежим в мобильный банк - там все красиво, ничего не списано. Ок. Уже легче, начинаем анализировать.
Возвращаюсь в почту, единственная кликабельная ссылка - номер заказа. Но чтобы увидеть заказ, нужно ввести логин и пароль. Ввожу свою почту, AliExpress ожидаемо говорит, что такого пользователя не существует.
Думаю еще пару секунд и вижу, что в получателе письма в Gmail мой адрес, вот только точки не хватает. Вместо (пусть будет) [email protected] получатель [email protected].
Возвращаюсь на AliExpress, ввожу неправильный адрес (без точки), нажимаю сменить пароль и вуаля: сайт пишет, что отправит мне на указанную почту код для восстановления пароля.
Получаю код, ввожу на сайте, задаю новый пароль и захожу в свой (не очень) личный кабинет. Тут все 18 заказов, ФИО человека, который действительно это все заказал, его личный телефон, адрес доставки итд.
Пытался написать в службу поддержки, но как во всех приличных компаниях нужно пройти по пятидесяти ссылкам, чтобы нарваться на бота Еву, которая на твой запрос отвечает списком из часто задаваемых вопросов.
Почему изучать чужой список предпочтений это может быть кому-то смешно, но не очень? Сами подумайте, устал писать.
P.S. Да, я знаю, Gmail говорит, что письма, отправленные на [email protected] могут быть получены и russia.1984. Тут дело в другом - почему гигант AliExpress не контролит такие ситуации.
Комментарий недоступен
Тут чтото не то, и дело тут не в точке, гмейл не дал бы зарегать два таких ящика, походу али просто не требует подтверждать почту при регистрации, а адрес с точкой на который по ошибке зарегали профиль ты мог посмотреть в исходниках письма и не гадать
Вы хабрахабром ошиблись
Главный вопрос — а что это за пользователь такой, у которого с тобой одна на двоих почта? Не мог же он её такой зарегистрировать после тебя, Google по идее не даст.
Судя по личному кабинету на Али, это человек, чьи имя и фамилия совпадает с моим ящиком. То есть мой условный адрес vadimdildo, а его в реальности зовут Вадим Дилдо и его адрес аналогичен моему за исключением точки
Адрес с точкой и без неё - это один и тот же адрес.
я знаю. у человека, видимо, действительно нет gmail почты, иначе google бы не дал ему зарегистрироваться. почему он выдумал этот адрес - ну черт его знает, просто указал свое имя и фамилию и добавил gmail в конце. это его дело.
вопрос в том, что aliexpress не верифицирует адреса, а при отправке кода верификации для сброса пароля, просто отсылает код на тот адрес, который написал ему я.
Комментарий недоступен
Ну или так
Комментарий недоступен
Можно им сюда сообщить: https://hackerone.com/alibaba или https://security.alibaba.com/en/
Тут, помимо того, что ответят с куда большей вероятностью - еще и bug bounty есть.
Для gmail.com адреса с точками и без точек - это одно и тоже?!
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Отправь себе с другого ящика, чтобы окончательно проверить. Я вот отправил себе с точкой - почувствовал волшебство. Хотя и раньше знал, что такой же адрес с точками (и наоборот) зарегать нельзя.
Комментарий недоступен
Ууууу. Вы мне прямо открыли мир))
Это ведь представляете сколько систем в мире, которые не учитывают такую особенность гмайла? И соотвтственно сколько уязвимостей.
Да что говорить, раз у алиэкспресса даже такой косяк...
Комментарий недоступен
Да, вы правы. Уязвимость была бы, если бы наоборот было. Однако все равно в формах регистрации на сайтах было бы не плохо делать специальный валидатор для gmail.com что бы даже не пытаться регать нового пользователя на тотже адрес.
С другой стороны, Лайфхак - удобно иметь несколько учеток на одном сайте, привязанных к одному ящикк.
Комментарий недоступен
не надо делать никаких таких валидаторов. сколько раз меня эта функция от гмайл выручала. когда хотел еще один аккаунт зарегать
Да. Можно для разных типов сайтов вводить свой адрес с точками в разных местах.
Типа на разных типах сайтов регистрируешься через адрес с точкой в определённом месте и потом по фильтру можно раскладывать письма, пришедшие на «разные» адреса в разные папки
Комментарий недоступен
Таких надо пиздить грязными носками
тогда гугл дает следующую возможночть.
Если у тебя ящик типа
[email protected]
То можно использовать адреса
[email protected]
[email protected]
[email protected]
[email protected]
Да.
Комментарий недоступен
Пользуясь случаем, хочу спросить. Мне некоторое время назад приходил спам с адресов типа @aliexpress.com @samsung.com и т.п. Т.е. обычный блядский спам, но адреса ведь корпоративные. Как такое возможно?
Комментарий недоступен
Комментарий недоступен
Мне тоже такие письма часто проходили. Списал на фишинг.