Яндекс блокирует аккаунты, к которым не привязан номер телефона
Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком.
В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при регистрации не указал номер телефона, что вообще-то не возбраняется, но как всегда есть НО…
Небольшой разбор ситуации под катом.
Почтовый ящик я создал в 14 июня этого года. Нужно было собрать номера телефонов от жителей нашего многоквартирного дома для того, чтобы внести их в шлагбаум с GSM-управлением. Ящик я решил создать на Яндексе и повесил объявление с E-mail в подъезде.
При регистрации можно не указывать номер мобильного телефона
Вообще я считаю это правильно, что можно не указывать номер телефона при регистрации почты. Больше всего веселит, что при подключении у оператора мобильной связи сейчас тоже просят номер мобильного телефона. То есть считается нереальным, что мне нужна первая и единственная симка?
Ладно, раз можно не указывать номер телефона, то не будем его указывать. Правда нужно указать контрольный вопрос, придумать на него ответ. И ввести капчу. Хорошо, так и сделал.
Пароль как всегда генерировал в KeePass около 20 символов буквоцифр.
Первое время все было нормально, люди прислали письма с номерами, я внес их в базу. Потом поток писем иссяк. Чтобы «не проворонить» новые письма я настроил уведомление о новом письме на личный почтовый ящик. Последнее письмо было 14 июля.
Сегодня, 7 августа, в личный ящик приходит уведомление «Вам письмо на xxxx@ya.ru. Прочитать: ya.cc/ZZZZ / Яндекс.Почта». Думаю — ну ок, нужно читать.
И тут меня ждал сюрприз. После ввода логина и пароля я получил уведомление:
Вот это да! Аккаунт взломали? Подобрали пароль из 20 символов, а потом его НЕ поменяли? Хорошо, ввожу ответ на контрольный вопрос и получаю такую вот форму:
Так, постойте! Я же при регистрации указал «у меня нет телефона»! А теперь мне предлагают его ввести, причем далее нельзя продвинуться никак. И как же его вводить, если у меня его нет? Или есть, но не мобильный, а стационарный?
Ладно, до дыр читаю Help на тему, как восстановить учетку. Да и еще не вводя номер телефона. Там в основном ответы вроде «не помню логин», «не помню пароль». А я их помню (вернее помнит KeePass).
Есть вариант восстановить доступ заполнив анкету, но там все еще смешнее. Например, нужно ввести дату рождения. Которую я конечно не заполнял.
Почему-то в Яндексе уверены, что если я не заполнил дату при регистрации (а это возможно), то я заполню ее позже. Если указать дату неверно (я пробовал такой вариант) сообщается что данные введены неверно и восстановление доступа невозможно. А если не указать — форма не отправляется.
В итоге я немного устал от этой наглости Яндекса с выклянчиванием телефона, и ввел свой номер. Первый раз что-то пошло не так
Но второй раз все получилось и я попал в почту.
Введенный мной номер автоматически «привязался» к аккаунту, хотя я этого не просил. Нашел, что его можно отвязать от аккаунта. И тут снова сюрприз: для того, чтобы отвязать номер, нужно ввести пароль от аккаунта и код из СМС, который придет на отвязываемый номер. То есть если аккаунт действительно взломали злоумышленники и привязали свой номер — вы сами его не отвяжете. Ну или если к почтовому ящику привязан телефон, к которому у вас теперь нет доступа (допустим, вы расторгли договор с сотовым оператором) — то тоже его не отвяжете. А номер этот через некоторое время выдадут другому человеку.
Так как я не исключал случая, что «мой аккаунт взломали или у меня вирусы», то я конечно же просканировал компьютер одним из рекомендуемых антивирусов (выбор пал на KVRT). И конечно же не нашел никаких вирусов.
Предположим, подобрали пароль. Или «угнали» cookie. Тогда должны остаться логи входов с другого адреса, ну или хотя бы какая-то активность в аккаунте (вероятно, отправленные письма)
Посмотрим логи входов:
14 июня мой последний вход. 7 августа — мой вход после восстановления доступа. В промежутке между этими датами никто в аккаунт не входил. Да и вообще никто не входил в аккаунт с адреса, отличного от моего домашнего IP. Никаких писем в почте, кроме тех, что я отправлял, тоже нет. Файлов на Я.Диске нет, Я.Деньги не активировал (кошелек не создан).
Посмотрим логи активности в аккаунте (читать снизу вверх):
А вот тут интересно
- Истории действий ранее 15 июля нет, хотя история входов — есть
- 15 июля произведен «выход на всех устройствах». Причем делал это не я. И в логах не отображено детальной информации (например, нет IP с которого совершена операция)
- А вот 7 августа для проверки я самостоятельно сделал «выход на всех устройствах» и информация о моем браузере, ОС и IP-адресе зафиксировалась
- Отдельно доставило про «восстановление через: undefined»
2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности — документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.
Блокировка произошла ровно через месяц после регистрации (регистрация 14 июня, блокировка ночью 15 июля), наверняка автоматическая.
Все бы ничего, но зачем вводить пользователей в заблуждение про «попытки взлома»? И давать возможность зарегистрироваться без номера телефона, если он так необходим для идентификации? Прямо так и писали бы: телефон нужен для того, чтобы привязать ваши посты на форумах, где вы регистрировались с использованием e-mail, к вашему телефону. А далее, через оператора мобильной связи, к вашим паспортным данным.
Интересно отметить, что при регистрации просят «Фамилию и Имя», а в соглашении ссылаются потом на случаи «когда данные, указанные при регистрации, не позволяют идентифицировать пользователя». Можно сказать, что Фамилия и Имя никогда не позволяют однозначно идентифицировать пользователя, и поэтому «Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса».
Так же интересной показалась ситуация с автоматической привязкой неподтвержденного ранее номера телефона к аккаунту и невозможности его впоследствии отвязать.
UPD: чукча не читатель, чукча писатель. Не первый раз такая проблема и я еще легко отделался — Очередная подлянка от Яндекс-почты
UPD2: ответ сотрудника Яндекса:
Конечно же, для использования Яндекс.Почты не требуется номер телефона в обязательном порядке. Многие наши пользователи используют Почту годами без привязанного номера и не сталкиваются с запросами дополнительной информации.
В вашем случае, скорее всего, сработала наша антифрод-система. Она работает уже не первый год и создана специально для выявления новых аккаунтов, из которых формируются спам- и фрод-фермы.
Система анализирует более ста различных факторов. Наличие привязанного телефона – один из них, но не решающий. Поэтому и потребовалась дополнительная идентификация аккаунта.
UPD3: Вспомнил, что у меня есть аккаунт на Яндексе без привязанного номера, зарегистрированный еще в 2011г и которым очень редко пользуются. Последний вход был наверное в конце 2017г. Зашел сейчас в него и получил такой баннер
Привяжите номер телефона
Правда [пока еще] есть возможность отказаться от ввода номера. Так что про возможность «использовать Почту годами без привязанного номера» наверное правда, но только для старых пользователей. Из комментариев очевидно, что практически все (а может и вообще все) новые аккаунты блокируются и требуется ввод номера телефона.
- сбор данных
- яндекс
- яндекс.почта
- обман пользователей
- Информационная безопасность
- Управление сообществом
- IT-компании
Почему ограничен доступ к моей почте яндекс
В кабинете eLama такой возможности пока нет. Но вы можете выдать ограниченный доступ к аккаунту в самой рекламной системе
В Яндекс Директе есть два вида доступа в аккаунт:
- прямой — доступ владельца, в котором нет ограничений;
- представитель — доступ, в котором можно настроить ограничения, то есть формально гостевой доступ.
Представителем может стать аккаунт Яндекса, у которого еще не было доступа в Яндекс Директ.
Как выдать доступ представителя
Войдите в аккаунт Яндекс Директа и откройте раздел «Мои кампании». В меню слева в разделе Информация перейдите во вкладку «Ваши представители»:
Выберите пункт «Представители» и нажмите «Добавить» :
Откроется список действующих представителей. Чтобы добавить нового, нажмите «Назначить нового представителя»:
Заполните логин и персональные данные представителя. Представителем можно назначить аккаунт без доступа к рекламным сервисам Яндекса. Если такого аккаунта нет, на этом же шаге можно зарегистрировать логин для нового представителя:
Как закрыть доступ к аккаунту Директа
Бывают ситуации, когда нужно закрыть прямой доступ в аккаунт: например, если агентству важно, чтобы его клиент мог только смотреть статистику, а не менять настройки рекламных кампаний, или если доступ к аккаунту получил посторонний.
Если у вас есть представительский аккаунт
В списке логинов найдите аккаунт, которому хотите закрыть доступ, и нажмите «Редактировать»:
Уберите отметки и сохраните изменения:
Если у вас нет представительского аккаунта
Служба Заботы может зарегистрировать для вас аккаунт представителя или временно закрыть право редактировать аккаунт под прямым доступом.
Если выберите второй вариант, напишите на milo@elama.ru, чтобы снова получить доступ к редактированию кампаний.
Как перенести почту на Gmail, если доступ к Яндекс или mail.ru ограничен?
Возможно ваш интернет провайдер уже ограничивает доступ к санкционным сайтам. Чтобы не испытывать подобных проблем с доступом к почте, рекомендуем перенести ее на другой почтовик, например, Gmail. О том, как это сделать, мы детально рассказали в статье «Как быстро и просто переместить почту Яндекс или Mail.ru на Gmail»
Многие поставщики интернета уже ограничили доступ к российским ресурсам, попавшим под санкции вследствие указа Президента. Некоторые владельцы почтовых ящиков остались без доступа к своей почте, контактам, календарям. Многие пользователи успели мигрировать на другие ресурсы такие как: Gmail.com, Ukr.net, Outlook.com, Bigmir.net, I.ua. Если вы не оказались в числе тех, кто успел перевезти почту – мы расскажем, как это сделать сейчас.
В данной статье описан вынужденный процесс обхода ограничений. Крайне не рекомендуем пользоваться ним на постоянной основе и продолжать обходить блокировки санкционных сайтов. Ранее мы уже советовали пользователям и клиентам уйти от пользования российскими почтовыми сервисами, с той поры наше мнение о российских почтовиках не изменилось.
Как выбрать подходящий способ?
Способов обхода ограничений есть несколько: от плагинов браузера до приложений, требующих права администратора системы.
- турборежим браузера Opera «Opera Turbo». Страницы, которые вы посещаете, проходят через один из серверов компании Opera.
- Расширение для браузера. Chrome Экономия трафика, Tunnerbear. Chrome и Firefox Аnonymox. Chrome, Firefox и Opera Frigate.
- TOR. При использовании этого браузера ваш запрос к сайту и ответ от него проходят извилистым и сложным путём через цепочку прокси-серверов.
- С помощью веб-сервиса ProxFree. Этот сайт открывает заблокированные ресурсы через прокси-сервер и требуют всего лишь скопировать ссылку, например, https://yandex.ua/
Наиболее простым, быстрым и удобным способом является установка расширения для браузера.
Процесс установки расширения
Рассмотрим на примере установки расширения Аnonymox для браузера Firefox. Для начала откройте браузер и перейдите по ссылке http://www.anonymox.net/en.
Нажмите «Download Add-on». Браузер попросит у вас разрешение на загрузку нового программного обеспечения. Нажимите «Разрешить».
После загрузки расширения, браузер попросит разрешение на установку:
Снова нажмите «Разрешить». После успешной установки откроется страница благодарности от разработчиков.
Теперь вы можете временно обойти ограничение доступа к своему «санкционному ящику», чтобы выполнить перенос почты на другой почтовый сервис, например, Gmail.
Очередная подлянка от Яндекс-почты
Читая хабр, заметил, что с Яндексом и его сервисами в последнее время происходит много нехорошего. То тут наглючат, то сервисы выпилят. Народ плюется.
Столкнулся на днях с еще одной подлянкой от Яндекса.
Есть у меня старый ящик на яндекс-почте. Ежедневно автоматически много раз в день батом проверяю там почту, что пришло — сразу забираю с удалением с сервера. Ящик почти нигде не светился.
Внезапно, на днях, бат собщает, что POP протокол заблокирован. Лезу в веб-интерфейс. Там мне сообщают, что у них есть подозрение, что мой аккаунт взломали и теперь они его заблокировали.
Для разблокировки просят денег информацию.
У них там есть форма восстановления. Хотят имя и фамилию, дату рождения, сотовый номер и в конце фото моего лица на фоне разворота моего же паспорта! Сразу захотелось спросить у них — а линейкой ничего померить не надо?
И самое интересное, что кто же помнит на какие учетные записи я этот ящик тогда регил? А форма автоматически проверяет, пишет о несовпадении и тупик. И обратной связи нет.
Насилу нашел форму обратной связи где-то в дебрях, написал им так и так. Те включили дурака, давайте мол фото, чтобы понять что вы это вы. Я им написал, что могу доказать, что я владелец. Посмотрите, писем в ящике нет, а сам при этом сообщил о датах, темах и адресатах полученных и отправленных писем с этого аккаунта аж с 2010 года. Доступ к логам только они имеют. Если злоумышленник сейчас взломал мой аккаунт, то откуда бы он узнал о таких письмах, если их нет в ящике? Даже в одном письме увидел имя и фамилию, на которые регил ящик. Все отписал. Морозятся.
Написал им, что я не нуждаюсь в их назойливой «заботе» и «защите от взлома» и попросил ее отключить, что мол сам разберусь как нибудь, без них. Под мою ответственность. Морозятся.
Могли бы просто отключать возможность отправки-получения писем, если так боятся спама и т.п. А не рубить полностью доступ к почте.
1. Очевидно, что для работы яндекс-почты им не нужны не только мой номер телефона, но и прочие персональные данные. Я, как и многие, не желаю указывать им ничего, что могло бы меня деанонимизировать. Почта и без их нововведений успешно работала десятилениями.
2. Исходя из п.1 очень вероятно, что это развод от яндекса с целью заполучить персональные данные и с тем, в случае чего, определить конкретное физлицо.
3. Подход яндекса довольно подлый. Вот хорошо, что всю почту я забираю батом и она у меня есть локально. Ну и сервисов на этот ящик не зарегистрировано. Иначе было бы все плачевнее. Тот же твиттер, через неделю после регистрации честно предупредил, что если не введу телефон — заблокируется. Яндекс же просто молча нагадил.
4. Учитывая такие тенденции яндекса пользователям стоит задуматься. Либо они отдают всю реальную персональную информацию о себе дяде яндексу, либо подумать о сваливании с яндекса, как с неблагонадежной платформы. Чтобы потом не было с яндексом проблем. А также подумать о благонадежности ваших аккаунтов в других их сервисах.
Хотелось бы услышать в отзывах попадал ли кто еще на такую ерунду? Может у них такой механизм запущен и не спеша работает, с целью постепенно деанонимизировать пользователей? Ведь факты к подозрению на взлом я проверить не могу.