Сегодня обнаружил интересную, и весьма неоднозначную с точки зрения безопасности фичу на mail.ru. Одним кликом, с подачи сервиса, я получил доступ к почте другого пользователя. Если интересно, то прошу читать дальше.
Исходные данные и конфигурация
На компьютере создано несколько учётных записей. Установлен Mail.Ru Агент: моя версия 5.10, второй юзер — 6-ая. Под моей учётной записью сохранён пароль, у второго пользователя — нет. Как правило вход выполнен одновременно обоими пользователями, друг друга мы видим онлайн.
Баг или фича?
Сегодня, зайдя в веб-интерфейс почты по уведомлению агента о новых письмах, обнаружил в правом верхнем углу предложение добавить другие почтовые ящики. И там адрес второго пользователя. Любопытства ради кликнул, и voil? — без пароля или подтверждения, я попал в почту другого пользователя.
Баг это или фича? Вопрос спорный. Второй пользователь почему-то не получил предложения читать мою почту, и что самое интересное, никакого уведомления о том, что его почта просматривается под другим логином, тоже. Такие дела.
