В ходе встречи с одним из давних клиентов, речь зашла о почтовом аккаунте и о том, что некоторые письма теряются. У него используется Яндекс.Почта для домена вида name@domain.com (но суть не в ней — это может быть любая почта).

Я попросил его открыть почтовый ящик, чтобы проверить папку спам. Он, не моргнув глазом, заходит на сайт Mail.ru и начинает набирать свой логин и пароль. На моё указание на неверный сайт, отвечает, что всегда проверял почту именно на Mail.ru. Заподозрив неладное, на всякий случай показал ему интерфейс Яндекс.Почты, на что получил ответ, что этот сайт он видит впервые и совершенно точно всегда пользовался Mail.ru, куда он вернулся, для того, чтобы закончить ввод логина и пароля.

Да, именно так он и набирал свою почту!

Каково было мое удивление, когда после нажатия кнопки входа, действительно загрузились все его письма!

Перебрав быстренько в голове возможные варианты, решил проверить.

Ситуация выглядит следующим образом:

1. Пользователь вводит в Mail.ru свою почту в другой почтовой системе (yandex.ru, rambler.ru, или любая другая, поддерживаемая Mail.ru)
2. Mail.ru понимает, что это явно не аккаунт его сервиса, но сообщение об ошибке не выдает.
3. Mail.ru проверяет почтовые MX-записи домена, и если узнает запись, то проверяет подходит ли пароль
4. Если пароль подошел, то Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем, используя логин и пароль от настоящего почтового сервиса пользователя.
5. Mail.ru авторизует пользователя, и он видит свои письма, ничего плохого не подозревая.

 

 

1. После того, как пользователь нажал кнопку Выход, Mail.ru заботливо подставляет домен его почтового сервиса в качестве допустимого.

И все! Mail.ru получил нового клиента на блюдечке, со всей перепиской, папками, настройками и т. п. (возможно, не только это, а в случае, например, с Яндексом — со всеми фотографиями, Яндекс.Диском, Деньгами, и еще кучей всего)

Конечно же, про данный функционал практически нигде не сказано. Только если кликнуть на кнопку Войти, не указывая никаких данных, или указав неверные, Mail.ru покажет следующую картину:

Выводы

1. Действия Mail.ru выглядят неэтично по отношению к участникам рынка.
2. Действия Mail.ru, на мой взгляд, подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации»
   Поправка: Мнение автора блога по этому вопросу может не являтся достоверным в силу не большой юридической грамотности
3. Mail.ru хранит пароль таких пользователей в открытом виде, так как необходимо постоянно проверять почту на оригинальном почтовом сервисе.
4. Пользователи, использующие такую схему (в основном, конечно, люди, далекие от компьютерных технологий), подвергают свой аккаунт риску.
5. Другие почтовые сервисы практически ничего с этим сделать не могут, так как с их стороны это выглядит как будто человек сам настроил сборщик почты.
6. Google — единственный, кто решил, кто решил проблему, запретив приложениям авторизовываться по паролю, а только с использованием OAuth. О чем Mail.ru и говорит:
   Опровержение: Гугл дает себя показывать по вышеописанному сценарию. Mail.ru намеренно используют Oauth авторизацию как более безопасную. Сверх того, Mail.ru пропагандируют этот способ авторизации для IMAP https://corp.mail.ru/en/press/releases/9372/ и рассказывают, как это реализовано http://habrahabr.ru/company/mailru/blog/264049/

Вы можете проверить это на своем почтовом ящике, однако крайне не советую использовать для этого ваш старый аккаунт — заведите новый.

Ну и не забудьте после этого помыть руки, а также сменить пароль.

http://blog.yurganov.com/all/neetichny-mail-ru/