Дыра в авторизации Gmail?


Утром ранним большинство из нас в обычные будние дни просыпаясь тянется к телефонам, планшетам, компьютерам проверять почту.
Однако, сегодня меня ждал интересный сюрприз. Стоило мне открыть почту, как на меня посыпались ссылки на регистрацию в Avito, потом подтверждение (!!!) адреса электронной почты, потом подтверждение номера чужого номера телефона.

Естественно, я постарался понять в чем проблема.
Начал вглядываться в технические заголовки.

Delivered-To: FamiliaImya@gmail.com
Received: by 10.25.21.21 with SMTP id l21csp1554459lfi;
Mon, 16 May 2016 21:58:28 -0700 (PDT)
X-Received: by 10.112.63.136 with SMTP id g8mr13129475lbs.135.1463461107635;
Mon, 16 May 2016 21:58:27 -0700 (PDT)
Return-Path: <noreply@avito.ru>
Received: from mx-se.avito.ru (mx-se.avito.ru. [185.89.15.253])
by mx.google.com with ESMTPS id ob1si867138lbb.101.2016.05.16.21.58.27
for <FamiliaImya@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 16 May 2016 21:58:27 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply@avito.ru designates 185.89.15.253 as permitted sender) client-ip=185.89.15.253;
Authentication-Results: mx.google.com;
dkim=pass header.i=@avito.ru;
spf=pass (google.com: domain of noreply@avito.ru designates 185.89.15.253 as permitted sender) smtp.mailfrom=noreply@avito.ru
Received: from [127.0.0.1] (app00.msk.avito.ru [10.9.5.99])
by mx-se.avito.ru (Postfix) with ESMTP id 5C29418A2022
for <FamiliaImya@gmail.com>; Tue, 17 May 2016 07:58:27 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.9.2 mx-se.avito.ru 5C29418A2022
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=avito.ru; s=mail;
t=1463461107; bh=nBh576p7n9Ol5UFb94wlgRlMIq2eDyR2ZV4JnjibGaw=;
h=Date:Subject:From:To;
b=XCCfrGn6+2K5pOSkc4rR1msFzVqRLS/C7dvYV2sr0OuGOCcBTEhUrhBT8eqrWS7bU
1HiVlKuyZk/p8I1QahPb1HfKVBCXd+IQGph2uN7O3bNtr0aGGPR01sQqEwBDmmlU/7
ThYzNfyg8gpEGfI4g9/8aLSzhxISDqpVc3AO7MWvbz4xE3ensibIMFrz+MdvFp65k5
TjN1HavhAFXPR5xkDvZ8ZIpBCOmkuDFvniP9u9o8LJxFRvlPy3uBqE0ckMxm8EqqLk
dIMnXRmwBVFWV2HYhWM+zS6/gockJYakQoqjZ2xqZE6cQR9jc9MFatI9pQiBcBUByC
gU4TaLTzHzkdg==
Message-ID: <c8c885d041b53180244ad266776402ad@swift.generated>
Date: Tue, 17 May 2016 07:58:27 +0300
Subject: =?utf-8?Q?=D0=9F=D0=BE=D0=B4=D1=82=D0=B2=D0=B5=D1=80=D0=B6?=
=?utf-8?Q?=D0=B4=D0=B5=D0=BD=D0=B8=D0=B5_=D0=BD=D0=BE?=
=?utf-8?Q?=D0=BC=D0=B5=D1=80=D0=B0_=D1=82=D0=B5=D0=BB?=
=?utf-8?Q?=D0=B5=D1=84=D0=BE=D0=BD=D0=B0?=
From: Avito <noreply@avito.ru>
To: =?utf-8?Q?=D0=90=D1=80=D1=81=D0=B5=D0=BD?= <FamiliaImya@gmail.com>
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)


Сразу бросился в глаза тот факт, что мой личный адрес электронной почты, которым пользуюсь уже давно, пишется как <Familia.Imya@gmail.com>!

Сперва, слепо поверив в непогрешимость «Корпорации добра», предположил, что настроена кем-то переадресация, чтобы подловить меня на последующих обманных письмах, вытянуть пароль. Однако, каково же было мое удивление, когда попробовав зайти с другого компьютера через Internet Explorer под логином FamiliaImya (без точки!!!) и с моим паролем, мне было предложено подтвердить свой аккаунт ввиду входа из нового/неизвестного браузера!

Отправил соответствующий feedback через форму обратной связи Google-у, но получил дежурный ответ, что мол мы не отвечаем никому, проверьте в нашей базе данных, давно должны быть подобные случаи описаны, мы ответит, если надо и как только посчитаем это возможным.

Дело нехитрое, если бы не…

Есть у нас еще пара рабочих адресов гмейл на случай необходимости восстановления доступа кое к каким сервисам. И да, эти адреса длиннее 8 символов. Так вот, зарегистрировал с утра аналогичный одному из этих адресов новый адрес, но с добавленной точкой на 11 месте. Подтвердил номер телефона. Привязал новый аккаунт к программе Google на айфоне…
И начались чудеса в решете — все письма на основной аккаунт дублируются на аккаунт с точкой.
Вход на разных браузерах с верными паролями проходит как надо, но как только пытаюсь восстановить пароль, то с обоих аккаунтов перебрасывается на аккаунт с точкой и через функцию восстановления пароля через приложение Google на телефоне обхожу верификацию через SMS и альтернативные адреса электронной почты, указанные при регистрации аккаунтов.

Думаю, что за ближайшие несколько часов устранят это недоразумение.

А пока прошу повторить эксперименты, если это повторяется, то «и на Солнце бывают пятна».

Получается повторить дублирование переписки на аккаунт с точкой перед @gmail.com?

Проголосовало 12 человек. Воздержалось 46 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

-->


К сожалению, не доступен сервер mySQL