Вчера я получил от Parallels письмо следующего содержания:
Вроде все понятно. Произошла компрометация большого числа почтовых учетных записей Яндекса, Mail.ru и Gmail. Некоторые компании, у которых пользователи регистрировались с указанием e-mail с указанных почтовых сервисов, решили побеспокоиться о своих клиентах и, кто-то просто предупредил о необходимости сменить пароль, кто-то решил сработать на опережение и заблокировал учетные записи, так сказать "во избежание".
И вот тут начинается самое интересно. Ни одной моей учетной записи скомпрометировано не было, но я все-таки получил сообщение о блокировке. Яндекс утверждает, что утечка произошла не у них, а путем фишинга и снифинга паролей у пользователей в течение длительного времени. Кто-то считает, что дело не чисто и есть некоторые сомнения в невиновности Яндекса. Я не буду сейчас вникать в это. Я хочу вернуться к теме, которую я поднимал в прошлом году - про слишком избыточную привязку к e-mail, как средству идентификации пользователя.
Что сделал Parallels, решив побеспокоиться обо мне? Заблокировал учетку и попросил доказать, что я - это я. И вот дальше самое интересное. Я захожу по ссылке на сайт Parallels, где меня просят указать мой... якобы "скомпрометированный" e-mail. Зачем? Вот какой в этом потаенный смысл? Если мой почтовый ящик не скомпрометирован, то мне достаточно было бы прислать напоминание о необходимости более внимательно относиться к своей безопасности или попросить привязать мою учетную запись не только к e-mail, но и к номеру мобильного телефона или использовать другой механизм (тот же Google Authenticator ).
Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг :-(
Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.
Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.
Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.
ЗЫ. Единственное, что меня смущает во всей этой истории - позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки...