Открытка компании: Mail.ru собрал с пользователей «чайников» логины-пароли для конкурирующих почтовиков?

В «Наноблоге» описан красивый интерфейсно-маркетинговый приём из арсенала веб-сайта Mail.ru. Оказывается, в поля ввода логина-пароля на сайте Mail.ru можно ввести данные от любой почтовой службы, необязательно Mail.ru. Сайт возьмёт введённые данные и попробует обратиться с ними к почте на «правильном домене». Если авторизация будет успешна Mail.ru покажет содержимое «чужого» почтового ящика (например ящика в домене yandex.ru или rambler.ru) на собственном сайте, со своим рекламным обвесом.

Пример из «Наноблога», Mail.ru прозрачно авторизовал пользователя на почте в чужом домене:

blog.yurganov.com

Автор «Наноблога» пишет:

  • Пользователь вводит в Mail.ru свою почту в другой почтовой системе (yandex.ru, rambler.ru, или любая другая, поддерживаемая Mail.ru)
  • Mail.ru понимает, что это явно не аккаунт его сервиса, но сообщение об ошибке не выдает.
  • Mail.ru проверяет почтовые MX-записи домена, и если узнает запись, то проверяет подходит ли пароль
  • Если пароль подошел, то Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем, используя логин и пароль от настоящего почтового сервиса пользователя.
  • Mail.ru авторизует пользователя, и он видит свои письма, ничего плохого не подозревая.

Собственно в этом ничего плохого и нет, по мнению ряда почтовых провайдеров и самого Mail.ru. Функционал нравится и упомянутому в посте «Наноблога» рядовому пользователю. Весьма очевидно, что настроить сбор почты с «внешних ящиков» традиционным методом подобный пользователь «чайник» не смог бы, но Mail.ru понял, как помочь человеку и помог. В описываемом случае пользователь был зарегистрирован на Яндекс.Почте, но «никогда» не видел интерфейсов этого сервиса и входил в Яндекс.Почту исключительно через сайт Mail.ru.

Исключение из правил составляет почта Google — она не отдаёт себя для показа на Mail.ru по вышеописанному сценарию.

Комментарий представителя компании

  • Контекст комментария

    Денис Аникин Mail.Ru

    > Что возвращает нас на шаг назад.

    Мы находимся на высококонкурентном рынке. Если будем вредить, то быстро растеряем аудиторию. Нам это, банально, не выгодно. Что касается описываемой в этом чатике ситуации, то это просто наш недосмотр — не правильно уведомили пользователя о фиче, исправимся. Можно, конечно, любые недосмотры трактовать как намеренный вред, но тогда см. выше — растеряем аудиторию. Действия, приводящие потенциально к потери аудитории, только сумасшедший будет проводить намеренно.

Лучшие комментарии

Добавить 38 комментариев

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Ну если к тебе на улице подходит Иван Иваныч и говорит: «Хочу Lada Kalina, вот миллион рублей», то можно же ему помочь — сам-то человек не справляется.

  • Ответить
    Андрей Сумин Mail.Ru Group

    Гугл дает себя показывать по вышеописанному сценарию. Мы намеренно используем Oauth авторизацию как более безопасную. Сверх того, мы активно пропагандируем этот способ авторизации для IMAP https://corp.mail.ru/en/press/releases/9372/ и рассказываем как это реализовано у нас http://habrahabr.ru/company/mailru/blog/264049/

  • Ответить

    Функция появилась 8 июля 2013.

    Mail.ru заработает на клиентах Gmail и почты «Яндекса» — Известия

    Интересно, что Mail.ru Group и «Известия» описывали веб-клиент новой почты Mail.ru, а не способ в него попасть после ввода пароля-логина от чужой почтовой службы. Способ отличный, и показывает, в частности, силу бренда Mail.ru. В свою очередь Facebook-реакция «продвинутой» аудитории показывает её определённую зашоренность. Для продвинутых пользователей вводить логин-пароль другой почты в Mail.ru — противоестественно. Мол — интернет так не работает. А он работает именно так. То что мы видим, условно говоря, называется «хороший фишинг».

    P. S. «Хороший фишинг» — хороший термин. Его вполне можно использовать при проектировании, как один из гипотетических поведенческих паттернов.

  • Ответить

    Немного на отвлечённую тему о «силе бренда mail.ru». В 2000 году на странице восстановления забытого пароля mail.ru выдавала правильный пароль в hidden-реквизите формы. Кто-то ещё помнит это?

  • Ответить

    Опа! Заснули :)

    Пресс-релиз не имеет смыла в контексте обсуждаемого сценария авторизации. 2 года назад на картинке предложено явно вводить пароль от Яндекса. В пресс-релизе нет ничего о запрограммированной реакции сайта Mail.ru на введённый в него пароль от чужих почтовых служб. Смысл интефейсной находки Mail.ru в том что сайт молча отработает введённый в него пароль от «чужих» почтовых служб. А вовсе не в том, что почтовики, видите ли, способны собирать почту с других почтовых провайдеров.

  • Ответить

    В случае двухфакторной аутентификации все работает следующим образом.

    Если это пользователь Яндекса, то у него авторизация на главной странице Mail.Ru (как и сборщик, кстати) не работает с его обычным паролем, но работает с его «длинным» паролем для приложений.

    Если это пользователь GMail, то все будет работать и с его обычным паролем, потому что тут вступает на сцену магия OAuth и вся авторизация происходит на стороне GMail.

  • Ответить

    ЦИТАТА: В описываемом случае пользователь был зарегистрирован на Яндекс.Почте, но «никогда» не видел интерфейсов этого сервиса и входил в Яндекс.Почту исключительно через сайт Mail.ru.

    Не могу понять это. Как он тогда зарегистрировался, если никогда не видел интерфейсов этого сервиса?

  • Ответить

    Хорошим фишингом станет, если после первой такой авторизации пользователю большими буквами о свершившемся факте сообщат и успокоят что это хорошо и т. п.
    Если это происходит незаметно — то я считаю это как минимум непорядочно по отношению к сервисам, у которых тырят пользователей.

  • Ответить

    Нет в Рунете погромного духа :(
    Если «другой» сервис видит, что Mail.ru забирает ящик в количестве — надо немедленно программировать и в письма автоматом вставлять собственные учебные (идеально), издевательские (похуже), или рекламные (ещё хуже) сообщения.

  • Ответить

    Как моя тёщя. Я ей зарегестрирую блабла@yandex.ru, а потом слышу как она передаёт свой почтовый адрес (читая с бумаги): «блабла вот эта штука, круглая как «А» со спиралью яндекс ру». Почта у неё есть, но именно на Яндекс.Почте она пока не была никогда (лет 7 уже).

  • Ответить

    > Наверное, тем же, чем и сборщики внутри сервисов GMail/Yandex или
    > почтовые клиенты Outlook/Thunderbird/TheBat отличаются от фишинга.

    Наверное, нет. Создатели почтовых клиентов не получают паролей пользователей, а сборщики почты прямо просят пользователей авторизировать их деятельность.
    А здесь все построено на том, что пользователь не понимает, что происходит — как и положено фишинговому сайту.

  • Ответить

    Crio, вы гоните. Сами на этот интерфейс смотрели? https://e.mail.ru/login В левом верхнем углу большие буквы mail.ru. Пользователь, который не поймёт, что это мейл.ру, и в посковике гугла свой пароль вбить может, и чёрт знает где. А тут он только благодарен будет — ему соломку подстелили. И кто-то из опытных пользователей будет благодарен — где ты ещё найдёшь вебморду к куче почтовых ящиков разных провайдеров одновременно в одном окне?

    mail.ru, вы ведь не настраиваете незаметно переадресацию почты, правда? как честные почтовые клиенты ходите через IMAP? После фразы «Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем» как-то сцыкотно лезть проверять на своей почте.

  • Ответить

    Тю. Я так на яндекс-почту облако оформил, когда ещё терабайты давали.

    PS: в в чём великий смысл зваться наноблогом, а не блогом Алексея Юрганова? Нано-тематики, нано-размеров вроде не видно, разве что нано-дизайн?

  • Ответить

    > Пользователь, который не поймёт, что это мейл.ру, и в посковике гугла свой пароль вбить может, и чёрт знает где

    Конечно, может. Но Гугл при этом не скажет «иди сюда мой сладенький», правда? А кто скажет — тот и фишер.

    > И кто-то из опытных пользователей будет благодарен — где ты ещё
    > найдёшь вебморду к куче почтовых ящиков разных провайдеров
    > одновременно в одном окне?

    Да где угодно — и Гугл, и Яндекс это умеют, и прочие почтовики наверняка тоже. Они только не додумались до такого прозрачного интерфейса для подключения этой услуги — надо лезть в настройки и явно заявлять о своем желании собирать сюда почту с других доменов.

    Собственно, в этом весь вопрос — в крупном и легко читаемом объявлении типа: «вы находитесь на сервисе Мэйл ру и пытаетесь получить доступ к почте на другом домене. Хотите мы настроим для вас сбор почты с этого домена сюда и будем вашим почтовым клиентом? Да/нет»

    Отсутствие такого объявления превращает потенциально полезный для пользователя сервис в фишинг — то, что сервис не спрашивает у пользователя явного разрешения на такие действия, явный показатель отсутствия морали. А что, в таком случае, остановит его от дальнейшей эксплуатации пароля/логина/почты?

  • Ответить
    -P

    Я работал в одном из упомянутых выше и в комментах сервисе. Эта фича внутри называется «сборщик» и сделали ее как раз чтобы пользователи ходили в привычный интерфейс. Особенно те, кто пользуется несколькими ящиками. У меня может быть личная почта на Мейле, а бизнес-почту я поселю в почте для доменов Яндекса. Вместо того чтобы скакать между разными вкладками, я настрою сборщик так, чтобы письма из разных ящиков у меня были в одном интерфейсе — будь это яндекс, мейл или гугл. Это реально удобно.

    По сути эти сценарии ничем не отличаются от использования почтового клиента, который, кстати, тоже брендирован.

    Безусловно, присутствие пользователя в окружении сервиса это важно для бизнеса, но никакого «ОБОЖЕМОЙ!!!» в этом нет.

    Теперь что касается паролей — я, в бытность моей работы в одном из сервисов, своими глазами наблюдал, что между сервисами идет постоянный диалог на эту тему и этот диалог направлен как раз на защиту личных данных пользователей. Аутентификация через OAuth это как раз один из способов обезопасить учетки пользователей, но, к сожалению, в силу специфики протокола, реализовать его в окружении сервиса так, чтобы не поломать сам сервис, не так просто, как кажется. Кроме этого есть еще способы, но также не без своих особенностей. Опять же в этом направлении постоянно велась работа и внимание уделялось очень пристальное.

    Поэтому если подводить черту — ничего плохого в сборщиках нет и правда паника на пустом месте.

  • Ответить

    > > Дмитрий, все често, никаких переадресаций, ходим по IMAP.

    > Единожды солгавший, кто тебе поверит? (с)

    Не надо мне верить, надо просто проверить. Для этого достаточно сходить в настройки Яндекса и посмотреть, не появились ли там переадресации.

  • Ответить

    Надо теперь запилить сайт только с красивой формой логина, которая будет тыкаться вашим OAuth везде где можно, прямо по списку. Сами то уже забыли, где регистрировались.

    А ещё можно парсить почтовый ящик пользователя и извлекать, где он регается — тоже на связку весить.

  • Ответить

    > Давайте подождем.

    Вы меня, кажется, подозреваете в идолопоклонстве перед гуглом. Это зря. Я, конечно, использую его для сбора почты (со всех ящиков кроме одного, где никак не могут обзавестись SSL сертификатом, а Гуглу без сертификата западло), но вполне допускаю, что Гугл может запилить что-нибудь подобное. Хотя пока не запилил.

    Надо сказать, аналогичные возможности существуют довольно широко. Например, если вы делаете браузер, можно при установке, не спрашивая пользователя, стянуть все настройки/закладки/пароли с уже существующего и воткнуть себя в качестве браузера по умолчанию. Но так же никто не делает, правда? Ой…

  • Ответить

    > Безусловно, присутствие пользователя в окружении сервиса это важно для
    > бизнеса, но никакого «ОБОЖЕМОЙ!!!» в этом нет.

    Ну да, и именно потому, что это совершенно неважно, такой сервис реализован во всех без исключения веб-почтах.

    > Поэтому если подводить черту — ничего плохого в сборщиках нет и правда
    > паника на пустом месте.

    В сборщиках — конечно нет, а в сервисах, которые пытаются пролезть без мыла — более чем.

  • Ответить

    > Не надо мне верить, надо просто проверить.

    Да, спасибо, этот конкретный пункт действительно легко проверить. А вот в то, что вы (как и любой другой сервис почты) не используете свои возможности доступа к чужой почте себе на пользу пользователю во вред — в это надо верить.
    Что возвращает нас на шаг назад.

  • Ответить

    > Что возвращает нас на шаг назад.

    Мы находимся на высококонкурентном рынке. Если будем вредить, то быстро растеряем аудиторию. Нам это, банально, не выгодно. Что касается описываемой в этом чатике ситуации, то это просто наш недосмотр — не правильно уведомили пользователя о фиче, исправимся. Можно, конечно, любые недосмотры трактовать как намеренный вред, но тогда см. выше — растеряем аудиторию. Действия, приводящие потенциально к потери аудитории, только сумасшедший будет проводить намеренно.