ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Господа!
В данное время еще актуален способ восстановления пароля способом при котором заполняют анкету (имя, фамилия, примерный пароль и ответ на секретный вопрос, дату регистрации) ?
И кто эти запросы проверяет? Бот или админ?

Однажды мне понадобилось взломать мыло на mail.ru. Перво-наперво, конечно, забил "мыло" во все формы на Яндексе, Рамблере, Гугле и т.п. Вышло много инфы: и тебе имя, и тебе интересы, и дата рождения, и даже гражданство (да-да, представьте себе!). Ну и что с этим делать? Итак, найти: пароль или ответ на секретный вопрос (последнее не удалось найти никак). Дано: всё остальное. Решение задачи: восстановление "забытого пароля" через особую форму на mail.ru .
Пошёл я за "восстановлением". Ввёл всё правильно: ФИО, дата рождения, место жительства, короче - всё, кроме "пароля как Вы его помните" и "ответа на секр.вопрос как Вы его помните" - там я написал всякую лабуду. По идее, суть этой мэйловской формы заключается в том, что если вдруг "забыл" и пароль, и ответ на вопрос, то пароль можно восстановить, если знаешь хотя бы, как тебя зовут
)). А я знал о владельце гораздо больше.
Отправил форму, и что же? Приходит сообщение: "данных, представленных Вами, недостаточно для восстановления пароля". При этом ВСЁ, кроме самого пароля и секретного вопроса, я указал 100% верно! Вопрос: зачем же тогда нужна эта форма? И решил поэкспериментировать.
Завёл себе "левый" ящик на mail.ru. Ввёл там регистрационные данные и решил "восстановить" забытый пароль через расширенную форму mail.ru . Зная, конечно, пароль и ответ на вопрос, предусмотрительно заполнил всю форму правильно, кроме пароля и ответа на вопрос. Через 3 часа приходит письмо: "данных недостаточно". Это меня очень взбесило, но я повторил свой запрос на "восстановление". И меня привлекло пояснение возле графы с паролем и ответом на вопрос: "напишите что помните, возможно просто не совпадает написание". Так-так, уже лучше!
При повторном запросе ввёл правильно свои рег. данные, а в графе "пароль" сделал следующее. У меня был истинный пароль hacker. А в форме для восстановления я указал частично совпадающее значение: HaCKoff. Два часа спустя - о чудо! приходит долгожданное письмо: Ваш запрос на восстановление пароля удовлетворён! Значит, делаем вывод: критерий для админов mail.ru при восстановлении пароля - наличие существенных совпадений в графах с паролем или ответом на вопрос с истинным паролем или ответом на вопрос.
Послал третий запрос на "восстановление" пароля. При этом указал заведомо неправильные рег. данные. Так и написал: Вася Пупкин, город Урюпинск, дата рождения - 1924 год (Тогда ещё Ленин жил
). А в поле "пароль" оставил HaCKoff, частично совпадающий с истинным паролем hacker. И что Вы думаете? Мне, несмотря на все неправильные рег. данные, введённые в форме, только по частичному совпадению "пароля как я его помню" с истинным паролем - только по этому критерию!- "восстановили" забытый пароль.
Эксперименты привели к следующим выводам. При "восстановлении" пароля к чужому мылу через расширенную форму на mail.ru админы не смотрят на совпадение регистрационных данных пользователя вообще, а только оценивают степень совпадения данных в полях "Пароль как помните" и "ответ на вопрос как помните" реальной информации, и если степень совпадения достаточно велика, они "восстанавливают" пароль. Вы спросите: а зачем тогда вводить ФИО, дату рождения в этой форме? Да незачем, никто на эти данные не смотрит!
Появляется другой вопрос: какая степень совпадения "пароля и ответа как помните" в мэйловской форме будет достаточной для "восстановления"? Ещё несколько запросов я послал, и у меня получилось, что если пароль примерно на 50% по символам совпадает, админы высылают новый пароль, а если меньше - облом! В общем, безрадостная, господа, ситуация! Спрашивается: зачем нужна форма для восстановления пароля на mail.ru, если по правильно введённым рег. данным пользователя(ФИО, дата рождения и т.п.) нельзя получить пароль? Значит, плёвое это дело!
В конечном итоге мне удалось взломать интересующее меня мыло с помощью способа №8, представленного в настоящем топике. Эти админы на mail.ru стали очень строгими, даже мыло взломать не дают!
)

Да кстати К не предоставляет паролей они только могут снять письма с ящика, и то это, с постановления суда, ну в основном оно у них есть )))а вот УСТМ ГУВД могут дать пас... ну для особо смелых можно сделать документы постановления суда (фейк) и командировочный лист и в представительство яндекса прийти ))))

Помогите вспомнить "имя"
имя владельца,логин не подходят