•  

    #google #gmail #security #sztucznainteligencja #heheszki #humorinformatykow

    tl;dr na końcu.

    Miałem konto na Gmailu założone kilkanaście lat temu, załóżmy, że konto-główne@gmail.com.
    Kilka lat temu założyłem konto na Gmailu, załóżmy, że: konto-dodatkowe@gmail.com.

    Na konto-główne skonfigurowałem, żeby pobierało mi emaile z konto-dodatkowe. Wszystko działało, z konto-dodatkowe praktycznie nie korzystałem, ale miałem podpięte na wszelki wypadek.

    Kilka dni temu przychodzi mi alert na konto-główne, że ktoś próbował zalogować się na konto-dodatkowe (i to poprawnym hasłem, a nie że tylko jakieś nieprawidłowe próby). Ale Google zablokowało to zalogowanie. Lokalizacja Stany Zjednoczone i "nieznane urządzenie".

    Myślę sobie, pewnie na konto-dodatkowe miałem za słabe hasło i ktoś się włamał. Bo jakbym miał jakiegoś keyloggera, to inne bardziej używane i publiczne konta też by ucierpiały. Cały w strachu loguję się na konto-dodatkowe (oczywiście dodatkowa weryfikacja, telefon, kod weryfikacyjny, pytania). Udało się, zmieniłem hasło, posprawdzałem ustawienia czy wszystko ok.

    Na konto-główne dostaję powiadomienie, że nie można pobrać wiadomości z konto-dodatkowe. No logiczne, bo przecież zmieniłem hasło. Wpisuję to nowe, ale też nie działa. No też logiczne, bo jak przed chwilą wymagało dodatkowej weryfikacji (bo było włamanie), to teraz też samym hasłem nie przejdzie. Nie miałem więcej na to czasu, zostawiłem temat na kilka dni.

    Ale w głowie dalej myśl jak ktoś włamał mi się na to konto. Jak tam się udało (nawet jak było słabe hasło), to co z innymi ważniejszymi kontami?

    Minęło kilka dni.

    Teraz sobie myślę, że nie daruję i chcę skonfigurować to podpięcie konta. Wpisuje jeszcze raz na konto-główne nowe hasło do kont-dodatkowe. I znowu nie działa. Myślę, sobie, że pewnie włączyła się weryfikacja dwuetapowa. Patrzę w ustawienia konto-dodatkowe i jednak nie (tylko pomocniczy telefon jest podany, ale bez włączonego U2F). Ale czytam w internecie, że jak chcemy zalogować się w jakiejś aplikacji, to trzeba wygenerować specjalne "hasło do aplikacji" (żeby pominąć sprawdzanie numerem telefonu nieznane urządzenia). Już nie chciało mi się w to bawić, więc zostawiłem.

    Ale na konto-główne przyszło powiadomienie, że przed chwilą znowu ktoś próbował się zalogować (poprawnym hasłem) i znowu zablokowali. Co jest?! Przecież takie mocne hasło, nigdzie nie mogło wyciec (a jakbym miał keyloggera, to czemu tylko to konto?). Kto ma moje hasło?! Patrzę, znowu lokalizacja Stany Zjednoczone.

    I wtedy mnie olśniło. Google ma moje hasło. Sam je mu podałem. Jak wpisuję na konto-główne, to podaję poprawne hasło do konto-dodatkowe i wtedy Google blokuje próbę zalogowania. Sprawdzam IP tego "nieznanego urządzenia" i to jest serwer Google xDDD

    Odetchnąłem z ulgą.

    Po prostu Google wprowadziło blokowanie nieznanych urządzeń. To znaczy mieli to wcześniej, ale teraz pewnie zmienili czułość lub jakiś inny algorytm sztucznej inteligencji i serwer Google też wpadł pod blokadę.

    W sumie to dobrze, bo przecież ktoś mógł też tak wpisywać moje hasło i by się zalogował. Czyli byłoby obejście jakby ktoś ukradł hasło, to z innego Gmaila mógłby się zalogować bez weryfikacji, bo automatycznie serwer Google byłby przepuszczany.

    Czyli wychodzi na to, że do tej pory ta luka istniała!

    Wszystko się dobrze skończyło. Ale jak po kilku latach przychodzi mi taki alert bezpieczeństwa, to podnosi ciśnienie. Mogliby to jakoś ogarnąć, żeby było bardziej przyjazne użytkownikom. A nie że zwykły user musi analizować co Google miało na myśli.

    pokaż spoiler Wszystko jest ok, nikt mi się nie włamał, ale Google blokuje samo siebie.

    źródło: i.imgur.com

    •  

      Google ma moje hasło. Sam je mu podałem

      @mk321: Ale chyba w plaintext go nie trzymają? Więc skąd wiedzą że poprawne?

      Wszystko jest ok, nikt mi się nie włamał, ale Google blokuje samo siebie.

      #2jednostkowe0integracyjnych ( ͡° ͜ʖ ͡°)

      +: mk321
    •  

      @mk321: wydaje mi sie ze zle to robisz. tez mam 2 konta i ustawialem to juz lata temu ale o ile d pamietam to ustawialem na koncie dodatkowym zeby przesylal wszystkie maile na konto glowne - push (a u ciebie jst odwrotnie - konto glowne zaciaga z dodatkowego)

      +: mk321
    •  

      @AdireQ: po stronie konto-dodatkowe w plain text nie ma. Wystarczy, że sprawdzają hash i jak się zgadza, to wiedzą, że poprawne (ale logowanie blokują jak urządzenie się nie zgadza).

      Ale po stronie konto-główne, to hasło do konto-dodatkowe musi być w plain text, bo jak inaczej miałoby się zalogować i pobrać pocztę? Nawet jakby coś wymyślili, to przecież to musiałoby działać ze wszystkimi usługodawcami poczty, więc jest niemożliwe.

      +: AdireQ
    •  

      @martinlubpl: o, to nawet nie wiedziałem, że tak się da.

      Miałem jeszcze inne konto, załóżmy, że konto-alias@gmail.com. Podpiąłem je na kont-główne w ten sposób, bo chciałem też z konto-główne wysyłać wiadomości jako konto-alias bez logowania się na to konto. Dlatego kolejne konto też tak podpiąłem (tak, wiem że "pobieraj pocztę" i "wyślij jako" to są dwie różne opcje). Nawet nie pomyślałem, że da się inaczej.

      Gdzie to w Gmailu ustawić? Nie ma tym jakiś problemów? Przecież każdy mógłby tak ustawić i mi zaspamować skrzynkę. Jakoś tan adres mogę zmapować czy po prostu te emaile widać jako "przekazane dalej"?

    •  

      @mk321: ok sprawdzilem. na dodatkowym mam w settings : tab Forwarding and POP/IMAP , pierwszy dzial Forwarding: Forward a copy of incoming mail to xxx@gmail.com and delete gmail's copy. I pewnie jakos musialem zatwierdzic to potem na koncie glownym

      +: mk321

Gorące dyskusje ostatnie 12h