8:00
23/5/2016

Otrzymaliśmy ciekawą wiadomość od jednego z czytelników:

kupiłem nowy tablet (Lenovo, Android Lolipop) i po rozpakowaniu odpaliłem konfigurację startową. Zapytany o konto wybrałem konto pod własną domeną zarejestrowane jako konto google. To konto syna, prawie nówka sztuka, wszystkie ustawienia domyślne. Po nieudanej próbie wpisania hasła google zaproponował mi alternatywną metodę logowania: zapytał o miasto z którego najczęściej się loguję. Podałem i o zgrozo zostałem zalogowany.
Wprawdzie nie mogę zmienić ustawień konta, ale mam dostęp do poczty = mogę zmienić dane do logowania zasadniczo dowolnego serwisu w jakim użyty był ten adres. Jedyny ślad po logowaniu to wiadomość email z informacja o logowaniu z nowego urządzenia

Czy komuś z Was również udało się tak zalogować na swoje (czyjeś? :>) konto podczas kojarzenia nowego sprzętu z kontem Google? Miejmy nadzieję, że takie ułatwienie dostępne jest tylko podczas korzystania z konkretnego, mocno związanego z danym kontem adresu IP.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

38 komentarzy

Dodaj komentarz
  1. Tak , Miałem tak samo – myślałem że to jest jakiś błąd – że moje stare opcje z przed formatowania tabletu zostały – a teraz jednak tak jest :O :O

  2. No to ładnie, sposób google na zaprzestanie reagowania na prośby o udostępnienie danych dla organów i różnych instytucji?
    Kurcze, dostęp do lokalizacji, aplikacji na urządzeniach mobilnych, dokumentów google, danych z kalendarza, plików na dysku google i najgorsze do danych dostępowych do innych serwisów internetowych? A samo google jakoś na to zareagowało?
    Pisaliście do nich w tej sprawie?

  3. Zdarzylo mi sie przy konfigurowaniu nowego konta gmail pod nowy telefon na andku. Po skonfigurowaniu nie zapisalem hasla i jak trzeba bylo go uzyc po ok tygodniu to pojawil sie problem. Z poziomu telefonu, gmail zaproponowal odzyskac dostep do konta metoda podobna do wyzej wyminionej – mialem podac date, w ktorych konto zostalo utworzone. Podalem i odzyskalem pelna kontrole nad kontem.

  4. To wina raczej w zabezpieczenie typu: pytanie/ odpowiedź.

  5. Jakieś 2 tyg, temu dostałem maila od google, z informacją o tym iż ktoś się zalogował na moje konto pocztowe z IPada, którego nie posiadam. Hasło zmieniane co kwartał. Nie ma możliwości by ktoś je znał. Cóż, może ktoś potwierdzi podobne zalogowania?

  6. Sprawdziłem również na własnej domenie podpiętej pod pocztę google, ale z innej lokalizacji, jedynie co uzyskałem po kilku próbach, to zablokowałem konto testowe ;)

  7. Tak, zdarzyło mi się to na Nexusie 5 po 3 krotnym błędnym podaniu hasła. Po podaniu miasta całe szczęście stanęło na dwuetapowej weryfikacji, choć jest to przerażające…

    • Może w przypadku tabletu z artykułu również miała miejsce dwuetapowa weryfikacja ale android sam odczytał sms’a z kodem i zalogował się bez udziału użytkownika.

    • @DarkV dobre spostrzeżenie. @niebezpiecznik możecie zapytać czy w tablecie była karta SIM?

  8. Napotkałem na podobną sytuację jednak dotyczyła sytuacji w której na dane konto logowałem się w różnych kolalizacjach. W pewnej chwili pojawił się zamiast formularz logowania, prośba o podanie miasta z którego ostatnio się logowałem. Po dwukrotnym błędnym mieście, wpisałem trzecie i dostałem się do poczty. To była jedna jedyna sytuacja mimo, że mam kilka kont Google.

  9. o kurde… ale na 99% stoją za tym algorytmy korelujące wcześniejsze lokacje logowań i stąd tak propozycja, bo jeśli jest inaczej to… malutki research, report i BUG BOUNTY!!!

  10. U mnie przypadek był podobny. Prosiło mnie jednak o miesiąc założenia konta googlowego oraz mniej-więcej datę ostatniego logowania.

  11. Też ostatnio dostałem taką propozycję, wyglądało to jednak trochę inaczej.
    Na wszystkie swoje maile (z jednym wyjątkiem) loguję się z tego samego komputera. Mam osobnego maila do Allegro. Dziewczyna nie posiadająca konta na ww. serwisie chciała o jakąś aukcję zapytać sprzedającego, więc zalogowałem się na Allegro na jej laptopie i chciałem od razu dać jej tymczasowy dostęp bezpośrednio do maila. Przy logowaniu podałem poprawny login/hasło, jednak Google poprosiło o weryfikację nr telefonu “bo nieznana lokalizacja” i nie pozwoliło na pominięcie tego kroku.
    Spróbowałem się zalogować na swoim komputerze, podałem login i hasło i voila – zamiast prośby o nr telefonu rzeczony ekran z prośbą podania miasta, z którego najczęściej się loguję. Po wpisaniu go dostęp do maila na obu komputerach był już możliwy.

  12. Tak po zdobieniu konta, po udzieleniu odpowiedzi na kilka pytań, wcale nie trzeba mieć nowego urządzenia.

  13. Również nexus 5, ale ja wpisałem dobre hasło za pierwszym razem do konta długo nieużywanego i miasto podawałem jakby dodatkowe potwierdzenie. Nie było tam 2 etapowej ustawionej.

  14. Nie trzeba nexusa wystarczy w przegladarce wpisac ze sie nie pamieta a pote np jest glupie pytanie o miasto albo kiedy mniej wiecej zalozylismy konto i jakie haslo mniej wiecej pamietasz ze bylo i sie loguje ;) od razu napisze ze nawet mozecie wpisac qwerty i tez was wpusci jak nie za 1 razem to za 2 gim sprawdzane na nowym i starym koncie…masakra

    • No tak masakra jak wiele ludzi nie ma nawet pojęcia co robi. Nie, tak to nie działa. Jeśli nie podasz miasta + daty urodzenia + daty założenia konta + jeszcze czegoś (wszystko musi być poprawne co do dnia) to nawet znając hasło nie zalogujesz się do swojego konta z innego IP. Pozdrawiam wszystkich, którzy tak jak ja stracili dostęp do swoich kont po wyjeździe za granicę.

  15. Stworzyłem nowego użytkownika na Moto G2 (Android 6), próbowałem się zalogować na swoje drugie konto Google. Podałem kilka razy złe hasło i nic się nie wydarzyło, nie mogłem się zalogować, o nic nie pytało.

    • Może konto trzeba mieć jakiś dłuższy czas, żeby Google uwiarygodniło dany sprzęt ?

    • @Janek
      To drugie konto mam od około czterech lat.

  16. Ja podczas logowania się na swoje konto Google (z komputera na którym zwykle się loguje)
    także miałem taką opcje. a najgorsze jest to ze przecież miasto w którym mieszkamy nie jest przecież poufną informacją

  17. Myślę że to jest związane z tym:

    http://techcrunch.com/2015/12/22/google-begins-testing-password-free-logins/

  18. Najprawdopodobniej android wykrył, że połączył się ze znaną wcześniej siecią wi-fi. Potwierdził posiadacza prostym pytaniem i uznał, że użytkownik po prostu kupił sobie nowy sprzęt.

    • No ekstra. Czyli w takim razie jeżeli będę chciał zrobić komuś pełen wjazd, ale z racji świetnie zabezpieczonych kont- będę miał problem… Powinienem mu się włamać do wifi. Bardzo mnie pocieszyłeś xD

  19. Zakładam, że google weryfikuje coś więcej niż nazwę miasta tylko niejawnie, np. identyfikator sieci w której jesteś zalogowany.

  20. Zakładam, że to Project Abacus: http://www.engadget.com/2016/01/15/googles-creepy-plan-to-kill-the-password/

  21. Tam poczta czy aplikacje to nic podgląd na wyszukiwane frazy to jest coś :D.

  22. A to nie jest przypadkiem tak, że Google pyta o miasto przy parowaniu Androida z kontem Google, ale po podaniu PRAWIDŁOWEGO hasła? Tak było u mnie, jak nie miałem haseł SMS.

  23. Mi się zdarzyło zrobić coś w pewnym sensie odwrotnego – zablokować dostęp do własnego, konta, założonego przez przeglądarkę tora. Po rejestracji konto przez miesiąc leżało nieużywane, po czym przy próbie zalogowania (prawidłowym hasłem) gmail uparcie prosił o podanie miasta, z którego zazwyczaj się loguję.

  24. Tzw. ‘login challenge’ jest opisany na stronach google apps administrator help
    https://support.google.com/a/answer/6002699?hl=en#challenge

  25. Zarządzam kontem Gmailowym ojca i logując się również przez tablet otrzymałem prośbę o wpisanie miasta z którego najczęściej się loguje, ale nastąpiło to DOPIERO PO wpisaniu prawidłowego hasła do konta. Czyli: wpisanie loginu –> wpisanie hasła –> wpisanie miasta

  26. Czego google może użyć do uwierzytelnienia użytkownika:
    1) SSID WIFI
    2) Hasła sieci wifi
    3) lokalizacji
    4) wiedzy o zamiarze kupna tableta/laptopa – ot choćby wyszukiwarka, mail

    Skoro zaś użytkownik ma w nosie własne bezpieczeństwo (2FA), to dlaczego pomimo znajomości hasła (patrz pkt 2), wymaga od google jakiejś szczególnej ochrony jego danych. Nie ma się co dziwić – dzisiaj takie działanie to norma, a jak ktoś jeszcze tego nie pojął, informuję – żyjemy w XXI wieku :)

  27. Z domowego internetu (stałe IP) poszło bez problemu. Na tym samym telefonie po zrobieniu wipe przy korzystaniu z miejskiego hot-spota już nie było takiej możliwości.

  28. Tjaaa… Z poziomu komputera jest to jeszcze łatwiejsze. Wystarczy wpisać niewłaściwe hasło i “ostatnio pamiętane hasło” po czym podać przybliżoną datę rejestracji i jeśli włączona jest dwu etapowa weryfikacja “użyj innej metody” i podać obojętnie jaki e-mail. Link do resetu hasła przyjdzie na ten drugi mail :O

  29. A po kiego macie konta w tej inwigilacyjnej korporacji? Już FB Wam nie wystarcza?

  30. A są jakieś nie inwigilacyjne?

  31. Może moje! :D

Odpowiadasz na komentarz Mieszko

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.