Valaki hozzáadta az Ön címét biztonsági e-mail-címként

Security-all

Az <emailcimem>@gmail.com e-mail címemre nemrég kaptam egy "Valaki hozzáadta az Ön címét biztonsági e-mail-címként" tárgyú levelet.

A levél tartalma:

Valaki biztonsági e-mail-címként adta meg a következőt: <emailcimem>@gmail.com

---

A(z) <emailcimem>560@gmail.com biztonsági e-mail-címként szeretné használni az Ön e-mail-címét.

Ha nem ismeri fel ezt a fiókot, akkor e-mail-címét valószínűleg tévedésből adták hozzá. Lehetősége van arra, hogy e-mail-címét eltávolítsa a fiókból.

E-mail-cím leválasztása

 

Az email a no-reply@accounts.google.com címről érkezett; megnézve a forrását, szerintem tényleg erről a címről jött a levél.

(A levélben lévő linkre nem kattintottam rá.)

 

Elgondolkodtam: Tehát valaki hozzáadhatja az emailcímemet anélkül, hogy előtte a Google / Gmail küldene az emailcímemre valamilyen visszaigazoló kódot? Ezért teszteltem egy Gmail-es címmel a folyamatot.

  1. Beléptem a valamilyencim@gmail.com Gmail fiókba.
  2. Már volt biztonsági emailcím beállítva, ezért a https://support.google.com/accounts/answer/183723 oldalon lévő Biztonsági e-mail-cím módosítása leírást követve megadtam a <emailcimem>@gmail.com e-mail-címemet biztonsági e-mail-címnek.
  3. Ezt követően a Gmail azonnal kérte, hogy adjam meg az <emailcimem>@gmail.com e-mail-címre küldött biztonsági kódot.

Szóval a Biztonsági e-mail-cím hozzáadásakor / módosításakor küld biztonsági kódot a Google / Gmail (a biztonsági kódot meg is kaptam az <emailcimem>@gmail.com e-mail-címere). A biztonsági kódot tartalmazó levél viszont eltért a fenti levéltől:

Igazolja biztonsági e-mail-címét
---
A Google kérelmet kapott arra, hogy a(z) <emailcimem>@gmail.com e-mail-címet használja biztonsági e-mail-címként a(z) valamilyencim@gmail.com Google-fiókhoz.

Ezzel a kóddal befejezheti a biztonsági e-mail-cím beállítását:
123456

A kód 24 óra múlva lejár.

Ha nem ismeri fel a(z) valamilyencim@gmail.com e-mail-címet, nyugodtan figyelmen kívül hagyhatja ezt az e-mailt.

De nemcsak a levél tartalma tér el a korábbi levéltől, hanem a küldője is, ugyanis ez a levél a noreply@google.com címről érkezett.

 

  • Ha az első levél valid, akkor kérlek segítsetek megérteni, hogy miért tér el a tartalma attól, amit a saját teszt során kaptam.
  • Meg tudom valahol nézni, hogy az emailcímem milyen Google / Gmail fiókokhoz van hozzárendelve biztonsági e-mail-címként?
  • Egy fiktív E-mail-cím leválasztása linkre kattintva úgy tűnik, mintha az oldal tényleg hozzáadott biztonsági e-mail-címeket távolítana el.
  • 1103 megtekintés

( zrubi v | 2025. 04. 02., sze – 00:44 )

A levél eredeti és teljes feljéve nélkül mi itt maximum csak találgathatunk...

 

Én modjuk biztosan megkérdezném a google support-ot, ők csak tudják, hogy ők küldték-e ;)

zrubi.hu

A levél nyers forrásából kitörölve a személyes adataimat (emailcím), akár közzé is tehetném azt, de 99%, hogy tényleg a Google / Gmail küldte a levelet.

Google supportot nem tervezem megkeresni ezzel a problémával, mert szerintem fölösleges köröket futnék; mivel egyre nagyobb a valószínűsége, hogy valós levél, ezért az lenne a javaslatuk, hogy kattintsak a linkre.

( Gollam | 2025. 04. 02., sze – 07:59 )

Az eredeti felállás és a teszted között azért van különbség. Az egyik egy cím hozzáadásáról szól, a másik pedig egy módosításról. 

Első körben ugyanazt tesztelném, de nekem is gyanús.

Igazad van, ez is okozhatja azt, hogy a két levél tartalma eltér. De egy teszt kedvéért most nem szeretnék létrehozni egy újabb Gmailes címet (olyanom meg nincs, amiben nincs beállítva biztonsági e-mail cím).

És ma kb. 15:30-kor megérkezett az ellenőrző kód is, és az újabb levél tartalma (feladó, stb.) megegyezett azzal, amit én is kaptam a tesztem során.

De furcsa, hogy előbb jött egy "tájékoztató" e-mail a címem hozzáadásáról, és csak ma jött a megerősítő kód. De az is lehet, hogy az "elkövető" ma kattintott rá a "Megerősítés kód kérése" gombra.

( zeller | 2025. 04. 02., sze – 09:45 )

Tehát valakinek a fiókjához a biztonsági (másodlagos) e-mail címként a te címed lett felvéve. Ezt simán ledobhatod a levélben szereplő linkkel (egy ideig), egyébként meg ha az idegen kér egy visszaállítást, akkor az  hozzád fog beesni.

Én elgépelt e-mail címre tippelek első körben... (Van néhány domainem, amikre beesnek elírásból származó levelek, sajnos az e-mail az már ilyen...)

Ezt kulturhelyen úgy szokás kivédeni, hogy erősítsd meg 5 percen belül, h. a backup emailcím valóban az-e amelyiket az elsődleges account szeretné h. tényleg az legyen a backup. Pl. rá kell kattintani a levélben a linkre a MEGERŐSÍTÉSHEZ! Nem pedig úgy, hogy automatikusan beállítódik a félregépelt email cím, mint backup email cím, mindennemű ellenőrzés nélkül azonnal, és a KIIKTATÁSához kell a linkre kattintani.

Extrém esetben egy vadidegenhez jut a recovery lehetősége, és ki tud veled cseszni innentől kezdve bármikor, elég csak egy mozdulat az "elfelejtettem a jelszavamat, kűggyél már egy passwd reset linket a recovery címemre" játék elindításához.

Az első bekezdésben írtakkal teljes mértékben egyetértek - így kellene működnie.

A második bekezdést így akartad írni?

Extrém esetben egy vadidegenhez jut a recovery lehetősége, és ki TUDSZ VELE cseszni innentől kezdve bármikor, elég csak egy mozdulat az "elfelejtettem a jelszavamat, kűggyél már egy passwd reset linket a recovery címemre" játék elindításához.

Ezt gondolom én is; csak átfutott az agyamon az a gondolat, hogy ilyen esetben fordított módon nem tud-e visszaélni ezzel a módszerrel, és én járnék pórul.

Ha jól gondolom: ha még valahogy véglegesítené is az emailcímem hozzáadását a saját fiókához (biztonsági e-mail címkét), azzal csak ő járhatna rosszul, mert én vehetném át a fiókja felett a hozzáférést!?

( Sanya v | 2025. 04. 02., sze – 19:04 )

Az egyik ismertebb webshopból akartam rendelni cuccot, de kiírta, hogy az emailcím már regisztrálva van.

Na, kérek egy jelszóemlékeztetőt akkor: megjött, megváltoztattam, beléptem. (Vezetéknevem)né akármilyen akárki. Nem ismerem. Letörlöm a fiókot, regeltem újat.

 

valószínűleg elírta az emailcímet, beregisztrálta, de a megerősítő levél meg csak nem jött meg neki.

Igazad van, az ilyen rendszer nem megfelelő.

Sajnos azonban még a bankok, és telkó cég rendszere sem így működik. Nem akarom leírni a bankok és a telkó cég nevét, de három banktól (hitelintézettől) is kaptam (egyiktől még most is kapom) e-maileket, hírleveleket, bizonyos esetekben csatolmányokat (de legalább jelszóval védve). Jeleztem a bankoknak, volt amelyik "majdhogynem fenyegető" emailt küldött, és mind a mai napig nem törölte az e-mail címemet.

Telkó cégnél személyesen intézkedtem, mert alapvetően az előfizetőjük vagyok, de egy másik azonos nevű személyhez rögzítették be az e-mail címem pont nélküli változatát :-). Bementem azonosítottam magamat, jeleztem a problémát, küldött egy levelet az érintett emailcímre és nagyokat csodálkozott, hogy pont nélküli címre küldte és mégis megkaptam :-) Ezek után felhívta telefonon az azonos nevű ügyfelüket akitől nagy nehezen kiderítette, hogy mi az e-mail címe, és ezek után az én címemet törölte.

MVM Next új online ügyintézés oldalával jártam hasonlóan. Hol be tudok lépni, hol nem. Általában azt írja, hogy ezzel az email címmel már van regisztrált felhasználó. Nem regisztráláskor, hanem sima belépéskor írja. Persze, én vagyok az a regisztrált felhasználó, de nem enged be. Vagy a capchával szórakoztat, ami meg sem jelenik, de számon kéri rajtam, hogy nem játszottam vele. De még ha sikerül is belépni, bármit akarok csinálni, ismeretlen hibával megáll. A régi felület működött, de ugye haladni kell.

Bővítettem 25A-ről 32A-re, ehhez plombát kellett bontani. Kijött a villanyszerelő a megbeszélt időpontban, hívja a céget bediktálja a szuper titkos azonosítóját és jelzi hogy a plomba le, tudjanak róla. A cég válasza, ilyen nevű ügyfél nincs náluk. Cím? Igen, a cím létezik, de az ügyfél neve nem egyezik. Mondom hogy a költözéskor személyesen mentem be az eladóval hozzájuk és ott rögzítették minden adatom. Nem, én nem létezem. Akkor visszautalják az eddigi befizetéseimet? Mint kiderült nincs humorérzékük. Egyáltalán.

3 hétbe telt mire kiderítettem hogy az előfizetőhöz édesanyám nevét írták be, az előfizető anyja nevéhez meg az enyémet... Az Árpád igazán gyakori női név lehet. Még másfél hét volt kijavíttatni velük a hibát.

Két egymás melletti zártkerti telek. Az áramszolgáltatónál az egyik a helyrajzi szám darabolásával "készült" csak náluk létező címen, a másik egy teljesen máshol lévő településrészen található "címen" nyilvántartva. Bementem, hogy rendbe kéne tenni: címigazolást az önkormányzattól, vagy hiteles tulajdoni lapot vigyek be, és akkor talán majd valamikor méltóztatnak átírni...

> az előfizetőhöz édesanyám nevét írták be, az előfizető anyja nevéhez meg az enyémet...

nekem ezt a felcserelosdit az elso munkahelyem jatszotta el, csak bankszamlaszamokkal. a fizetesem a magannyugdijpenztarnak utaltak... (fun fact hogy 3 honap utan vettem csak eszre)

Én hasonlóan jártam Netflix-el. Valaki a Netflix-en berögzítette az emailcímemet. Majd a balfék két napig próbálkozott az én e-mail címem megerősítésével és nem vette észre, hogy rossz címet vitt fel.

Amikor már meguntam kértem egy jelszó emlékeztetőt, megváltoztattam a jelszót, beléptem (emlékeim szerint talán bankszámla szám is ott volt, de volt telefonszám is), rendes voltam hívószám rejtéssel felvívtam, megadtam neki az új jelszót és kértem, hogy változtassa meg az emailcímet, mert ha nem, akkor törlöm a fiókot. Megértette, megköszönte, megváltoztatta az e-mail címet.

Ebben az a legrosszabb, hogy a Netflix kiküldött egy már létező Netflix fiókhoz egy jelszó emlékeztetőt egy olyan emailcímre, ami nem volt megerősítve!!! Ez szerintem egy ekkora rendszer / cég esetén egy óriási biztonsági probléma.