Обращение к поддержке @support.mail с просьбой помочь с отключением двухфакторной аутентификации в почте mail.ru.
8 июня я поменял пароль на своей почте mail.ru, после чего меня выкинуло из аккаунта везде кроме ПК (что естественно). Когда я попытался войти, у меня запросили код из смс на номер, который был отключен и доступа к нему нет, а про двухфакторку я забыл, поэтому и не отключил заранее.
1/2
После обращения в тех. поддержку через почту, мне предложили восстановить доступ. Мне отправили ссылку на сброс пароля на резервную почту (то есть я подтвердил факт владения аккаунтом и свою личность). После восстановления пароля, я не смог зайти в аккаунт, т.к. 2FA всё ещё была подключена.
Спустя сутки я ответил на письмо с ссылкой для восстановления пароля и мне пришёл ответ, что "заявки обрабатываются в порядке очереди, мы делаем всё возможное, чтобы обработать запрос как можно скорее". Я отправил ещё 2 ответа 20 и 22 июня с напоминанием о проблеме, но ответа так и не получил. Поэтому я обратился к сообществу mail.ru во вконтакте (исп. новый аккаунт ВК, т.к. старый я удалил). Мне пришёл ответ, что моя заявка была отклонена и они не могут отключить 2FA, хотя на почте мне заявили, что мой запрос в процессе обработки (про отказ ничего не было).
1/2
В итоге, пароль был изменён по ссылке на резервную почту, доступ к проблемной почте полностью утерян, а тех. поддержка теперь не отвечает на мои запросы.
Прошу поддержу @support.mail, помочь решить проблему и в ручную отключить двухфакторную аутентификацию. Номер заявки из ответа ВК: 22850424S0519150301345861. Номер заявки из ответа на почте: 22090425S0604090921144110. Номер заявки на сброс пароля 22531007S0040241269926364. (я не знаю почему везде разный номер заявки, если я писал ответы в рамках одного диалога)
Примечание
Проживаю за границами РФ, поэтому 2 номера, привязанные к почте не российские. Также нет аккаунта на Госуслугах. Осталась симка с номером, подключенным для 2FA, но номер отключён.
Со мной периодически связываются люди и делятся своим опытом того как их обманули телефонные мошенники. Ситуация примерно одинаковая во всех случаях, но появилось пара НО 😂
Ситуация 1
На самом деле таких ситуаций сразу три: В первом случае мошенник по неосторожности скинул жертве свой реальный номер телефона.
Ну, собственно, как оказалось уровень умственного развития мошенников оставляет желать лучшего 😂
Во втором случае жертва смогла самостоятельно узнать номер мошенника (человек попросил не раскрывать способ) В третьем случае жертвой оказался представитель мессенджера в котором все это дело разворачивалось 😂 Пока эти ситуации висят, жертвы запуганы мошенниками и опасаются подать заявление в полицию. Давайте поддержим пострадавших! Возможно они все же соберутся и накатают заявление. Кстати, они читают мои посты и коментарии под ними.
Ситуация 2
Ко мне обратится дальний родственник с просьбой помочь. Как-то так получилось, что он всех учил как защитить свой аккаунт госуслуг от мошенников (и меня в том числе), а тут оказалось что сам своими руками скинул им пароль 🤦
Ну а что тут сделаешь? Кое-как пострадавший сменил пароль от аккаунта. У человека был установлен запрет на получения кредитов и этого всего. В итоге отделался только легким испугом. И вроде бы мошенник отступил и все на этом.
Но тут не все так прозрачно как могло бы показаться, особенно для меня после того как набил шишек на разработке своей системы авторизации и завершении сеансов. У меня начал дергаться глаз от флешбеков того что в этой системе может пойти не так:
Заваривайте чаек, берите закуски, сейчас будет небольшое расследование на человеческом (непрограммистком) языке :)
На самом деле в теме безопасности (хоть какой-то) мне пришлось начать разбираться с момента работы над собственным сервисом для общения. Будучи зарегистрированным на форуме с настоящими профессиональными разработчиками смог довольно плотно с ними пообщаться. В какой-то момент приступил к разработке собственной системы авторизации, обмена токенами, завершения работы приложения, почитал статеек. Собственно так понял на своей шкуре как весь этот механизм работает и реализовал его надежно у себя.
О токенах
У токенов есть и достоинства и недостатки. Ох, придется заняться нудятиной и рассказывать обывателю что и как работает 😅 Но без этого, к сожалению, для ЛЛ могу заключить так: в госуслугах существует проблема в безопасности, дальше можете не читать.
JWT-токен (JSON Web Token) — это способ передачи информации между двумя сторонами. В случае авторизации пользователя в сервисе, сервер передает пользователю файл в котором, улосвно, написано: можно доверять что это Иванов Иван Иванович до 03.06.2026, до 18:00, подпись сервера. Ключевым моментом здесь является подпись сервера. Только сервер может подписать документ.
Наглядно это можно представить так: я - сервер, Иван - пользователь. Вы подходите ко мне с паспортом. Я выполняю роль нотариуса, по паспорту смотрю что вы - это вы, составляю бумажку и и ставлю свою подпись и дату до которой считать документ действительным. С этого момента любой человек, который предоставит эту бумажку будет распознан мной как Иван. Если документ устарел, то придется показать паспорт повторно (ввести пароль). Чтобы постоянно не вводить пароль придумали следующую штуку: при демонстрации паспорта я выписываю сразу 2 бумажки: - 1 бумажка удостоверяет что вы - это вы и срок ее действия 1 час - 2 бумажка удостоверяет что вы - это вы и срок ее действия 7 дней
Вторую бумажку можно использовать для обновления первой бумажки. То есть Иван может подойти ко мне и сказать: у меня просрочилась первая бумажка, но у меня есть вторая и мне нужно получить две новые бумажки (первую и вторую) с продленным сроком действия.
В приложениях эти действия делаются сами собой и пользователь их не замечает. Это избавляет пользователя от многократного периодического ввода пароля.
Проблемы токенов
У этого подхода есть плюсы и минусы. Заострим внимание на проблемах и на их решениях. Очевидный минус - вор похитил бумажку или сделал ее копию. Теперь сервер не знает что бумажка похищена и будет считать мошенника Иваном до момента пока срок действия бумажки не пройдет. Как решается? Разработчики решают эту проблему по-разному:
- кто-то говорит: "хорошо, все равно через условные 5 мин срок действия бумажки пройдет, что программа может успеть сделать за 5 мин?"
- кто-то вводит механизм версионирования. Это значит, что помимо срока действия документа на бумажку записывается версия документа. И если версия ниже, чем версия на сервере, то документ считается недействительным.
Как это работает: 1) Иван получил бумажку с сроком действия, версия 1 и подписью сервера; 2) Вор украл \ скопировал бумажку Ивана; 3) Иван узнал о компроментации, вышел из приложения и снова в него зашел. После этого сервер выдал Ивану бумажку с новым сроком работы и уже версией 2; 4) Вор обратился к серверу, сервер проверил дату, но заметил, что документ устарел и не принял его; Вор остался "за бортом".
Это один из самых простых способов завершения работы и ограничения доступа.
Изучаем сервис Госуслуги
Приглашаю внимательно посмотреть как будет вести себя сервис когда пользователь сменил пароль.
Рассматривать ситуацию когда пользователь вышел из приложения на одном из своих устройств - бессмысленно т.к. в этом случае претензий к сервису нет.
Проводим эксперимент. Каждый может провести его самостоятельно. Для этого потребуется 2 телефона с доступом в интернет и сервис госуслуги (+ номер к которому привязан аккаунт).
Просто заходим в свой аккаунт с двух телефонов: - телефон 1 пусть принадлежит мошеннику (для ясности подчеркну, вы передали ему код из СМС, он смог с его помощью залогиниться) - телефон 2 пусть принадлежит владельцу
Данная ситуация имитирует момент кражи JWT-токена.
Теперь вы осознали факт кражи и решили что-то с этим делать. Что вы будете делать, какие ваши действия? Допустим в полицию вы позвонили (как и в моем случае), что дальше?
Смена пароля? Смените пароль на Госуслугах через телефон 2. После успешной смены пароля попробуйте использовать телефон 1 (телефон мошенника). Как видим, мошенник как был в аккаунте, так и продолжает в нем быть, смена пароля не помогла.
Собственно этот момент меня и смутил в данном сервисе. Пошел дальше, закрыл приложение на телефоне мошенника, открыл его через 15 минут зашел в приложение с помощью четырехзначного пароля:
И все зашлось без всяких проблем. Это все, что нужно знать про то, как можно "грамотно" реализовать двухфакторную аутентификацию 😂
Ребят, россиян 120 млн человек, почему я сталкиваюсь с подобными проблемами? Отмечу, это не первая проблема, которая была зщамечена мной в данном сервисе. Какие-то проблемы (которые подсвечивал сервису) они правили, какие-то - нет. По мере развития своих профнавыков кидаю в сервис репорты. И этот случай скинул:
1/7
Госуслуги могут замять мое обращение и ответить что все "соответствует ТЗ и проблем у нас нет". Собственно так они и отвечают, когда не хотят ничего менять. И будут в какой-то мере правы так как если вы разбираетесь в тонкостях работы системы авторизации, то вы наверняка знаете что можно завершить сессию вора в каком-то разделе госуслуг. Вот только попробуйте найти куда они спрятали этот раздел. И кто у нас разбирается в этих тонкостях? Рядовой пользователь не знает тонкостей, не имеет представления чем авторизация отличается от аутентификации, а на мой вопрос про "вышел из сессий?" спросил "что это такое и с чем едят?":
Надеюсь пост был полезен и вы узнали немного больше о безопасности. А Госуслуги, надеюсь, сделают что-то с ответственным за безопасность сервиса. Например, кинут его "в костер" 😂
-- По вечерам разрабатываю сервис для общения. Кому интересен сервис для общения, можете подписаться куда-нибудь на меня, попробуете его в числе первых. Постепенно буду продолжать делиться успехами разработки.
Вижу в поиске и телеграм-каналах кучу предложений: «Перенесём всю переписку в Телеграм Макс через бота. Быстро. Безопасно».
Спойлер: официального бота «из Telegram в Max» не существует. А боты, которые обещают «миграцию аккаунта», чаще всего хотят украсть ваш логин и пароль.
🔍 Коротко о главном
✅ Как работает Telegram: зашли с нового устройства под своим номером → вся история подтянулась сама. Секретные чаты — исключение, они не синхронизируются.
❌ Что не может сделать бот: клонировать сессию, перенести историю в сторонний клиент, «активировать премиум» или «сделать бэкап» без вашего участия.
⚠️ Типичная схема развода:
1. Бот просит номер телефона 2. Присылает «проверочный код» (на самом деле — код входа в ваш аккаунт) 3. Вы вводите код → злоумышленник получает полный доступ к переписке, контактам, привязанным картам
По данным отчётов Group-IB и Kaspersky, более 30% фишинговых ботов маскируются именно под «сервисы переноса» и «резервного копирования».
🛡 Как на самом деле сохранить данные (легально)
Всё просто:
1. Открываем официальный Telegram (десктоп удобнее) 2. `Настройки → Дополнительно → Экспорт данных` 3. Выбираем: сообщения, фото, видео, контакты 4. Скачиваем архив в HTML 5. Храним где удобно — при смене устройства история подтянется сама
⚠️ Секретные чаты и удалённые сообщения экспорт не захватит — это фича, а не баг.
Для тех, кому нужен именно кросспостинг или автоматизированный перенос без скачиваний (перенос постов из ТГ в макс):
есть узкоспециализированные инструменты вроде МаХSmart — они решают конкретную задачу публикации контента, а не «миграции аккаунта», и работают через официальный API без запроса кодов входа.
🧭 Чек-лист, если очень хочется «попробовать сторонний сервис»
🔸 Никогда не вводите код авторизации в ботах и на сайтах
🔸 Проверяйте: открыт ли код на GitHub, есть ли аудит, когда последнее обновление
🔸 Избегайте оплат «за гарантию переноса» — это красный флаг
🔸 Включите двухфакторную аутентификацию и привяжите резервный email
Если бот пишет «перенесём без входа в аккаунт» — это технически невозможно. Если просит «отключить 2FA для миграции» — бегите.
А вы сталкивались с такими «сервисами»? Делитесь в комментариях — предупредим других. И да, берегите свои коды, как зеницу ока 🔐
Последнее время я стал замечать что мне больше не приходит код по смс, который мне необходимо вбивать на сайте, если я что-то оплачиваю в интернете. Даже суммы в районе 10 000р, списываются только по данным карты. В банке мне сказали что эту функцию должен поддерживать интернет магазин, а мне как будто думается что не интернет магазин это должен решать. Кто-нибудь ещё такое замечал или это чисто мой глюк?
Добрый день. Одноразовыми кодами для входа пользовался до Макса. В приложении входит автоматом а вот на сайт нет, не сохраняет браузер сессию и всегда заново приходиться вводить. Все бы ничего но вот где то около НГ пытался зайти и "код не правильный". Думал глюк и со временем пройдет. Сегодня опять попытался и тоже самое. Ладно, подумал что Яндекс ключ заглючил, (поменял вход в госуслуги с ключа на смс), удалил аккаунт в ключе, пытаюсь добавить новый и... Хрен там было.
Получается все, остался этот Максим? Или это я лох чилийский один такой? В инете смотрел и не нашел кого то с такой проблемой.
Давно установлен вход по одноразовому паролю из приложения на телефоне - можно поставить любое приложение для 2fa, какое нравится Google/MS authentification, Яндекс ключ...
В общем,вчера,падая от невыносимой тяжести бытия на кровать я краешком уплывающего сознания зацепил такую мысль - а что если сделать двухфакторную уникальную аутентификацию с помощью говна,роботов и утки? Идея такова - чтобы зайти в мессенджер МАХ специально обученный робот берёт у вас из жопы мазок,с помощью спектрографа анализирует ДНК ваше и ваших бактерий,затем (если это Вы) он машет издалека утке и дует в её сторону феном на гавно чтоб она его учуяла.У утки,как всем известно,невероятно развито обоняние - настолько что утки чуют запах сала за три сотни километров,и уж тем более ещё дальше они чуют гавно.Утка (не просто утка,а специальная,с детства приученная именно к вашему гавну и отличающая его от сотен других говен) бежит,переваливаясь к роботу - и тут ИИ через камеры анализирует движение утки,сокращение мыщц,её энтузиазм и этим понимает спешит ли она действительно к вашему гавну или это мошенники которые каким-то образом обманули робота.В действительности ещё не существует способов обойти эту двухфакторную робото-биологическую аутентификацию,поэтому она на данный момент предоставляет почти 100% защиту
