Possível BUG na Alteração de E-mail

[Jakson 0]

Acredito veemente ter encontrado uma falha de segurança GRAVE no aplicativo Evernote.

 

Vou tentar ser o mais claro possível na explicação que os técnicos possam analisar e averiguar essa falha.

 

Os emails descritos na explicação são para somente entendimento da sequência de alterações.

 

Situação: Em 2015 criei a conta no Evernote utilizando o e-mail: 1@teste.com. Um determinado período se passou e eu comprei a versão plus, logo depois da realização da compra, eu alterei o e-mail para: 2@teste.com. Feito isso, notei mesmo até os dias atuais (27.04.2018) que ao compartilhar alguns cadernos, os mesmos apareciam na nota como: CRIADA POR 1 e compartilhada com mais x pessoas.

Pois bem, nesse momento, vi indícios que de alguma forma ainda havia algum resquício de ligação com o e-mail antigo. O problema veio logo em seguida, quando um colega do escritório esqueceu sua senha e colocou o meu antigo e-mail para recuperação (1@teste.com) somente para fins de logar na conta. Feito isso o e-mail foi redefinido para 3@teste.com e aí veio a surpresa. Ao logar com esse e-mail e a senha pessoal escolhida por ele, automaticamente ele começou a sincronizar todos os cadernos pessoais do 2@teste.com. 

 

RESUMO:

1. Criação da conta: 1@teste.com;
2. Redefinição após compra da conta plus: 2@teste.com;
3. Cadernos compartilhados apresentam na parte superior: CRIADA POR 1 e compartilhada com mais "x" pessoas;
4. Colega esquece senha de (3@teste.com e coloca meu antigo e-mail para redefinir: 1@teste.com;
5. Ele consegue o acesso e redefine o e-mail para: 4@teste.com;
6. Ao logar esse login 4@teste.com e com a senha pessoal dele, todos os cadernos de 2@teste.com começaram a sincronizar na conta 4@teste.com;

 

Por favor, peço gentilmente que analisem essa situação com cautela e levem a sério. 

Pois podemos ter encontrado uma falha de segurança GRAVE.

Todos os meus cadernos e anotações pessoais foram expostas!

[DTLow 5,736]

You're posting in a user discussion forum.  You can contact Evernote support at

• All accounts       Twitter @evernotehelps  
• Paid Accounts    Contact Evernote Support 

>>Colleague forget password (3@teste.com;) and put my old email to reset: 1@teste.com;
He can access and resets the e-mail to: 4@teste.com;

If I forget my password, I can't just use a random email address.  I have to use my email address to receive reset instructions.

Of course, if I share those instructions with anyone, they will have access to reset my account.

[Jakson 0]

Acredito que você não tenha entendido minha explicação.

Vamos por partes, para que antes que você responda com tanta certeza você entenda sobre o que estamos falando.

Estou falando sobre redefinição de e-mails. Se eu redefinir o e-mail "A" para o e-mail "B", o e-mail "A" deve estar completamente desvinculado da conta. Concorda?

[gazumped 11,656]

Hi.  This public forum is -mainly- supported by other users like @DTLow and myself.  Posts are read by Evernote developers,  but we have no link into other support or security channels.  The developers rarely comment on ongoing issues.  As above,  Support are available on https://www.evernote.com/SupportLogin.action if you're a subscriber,  Twitter - https://twitter.com/evernotehelps if that doesn't work,  or you're not a subscriber.  

[Jakson 0]

Obrigado por responder. Mas você concorda?

Se eu redefinir o e-mail "A" para o e-mail "B", o e-mail "A" deve estar completamente desvinculado da conta. Certo?

[DTLow 5,736]

8 hours ago, Jakson said:

Let's break it down so that before you respond with such certainty you understand what we're talking about.

I'm talking about redefining emails. If I reset the "A" email to the "B" email, the "A" email must be completely unlinked from the account. Do you agree?

I'm not sure what "completely unlinked" covers but my expectation is

1.  Login is switched to the new email id.
2.  Email from Evernote will be addressed to the new email id.

[Jakson 0]

Acredito que o certo seria, ao redefinir o e-mail de login, o e-mail antigo não faz mais parte da conta, portanto deve perder qualquer vínculo.

Por esse motivo acredito que seja um bug.

Por isso a palavra "redefinir" não é "acrescentar, "incluir",etc...é para remover totalmente o antigo e colocar o novo. Só que isso de fato não ocorre.

Você concorda comigo que o e-mail antigo não está sendo desvinculado da conta?

[Arthur Ramos Schaefer 14]

On 4/29/2018 at 8:19 AM, Jakson said:

Acredito que o certo seria, ao redefinir o e-mail de login, o e-mail antigo não faz mais parte da conta, portanto deve perder qualquer vínculo.

Por esse motivo acredito que seja um bug.

Por isso a palavra "redefinir" não é "acrescentar, "incluir",etc...é para remover totalmente o antigo e colocar o novo. Só que isso de fato não ocorre.

Você concorda comigo que o e-mail antigo não está sendo desvinculado da conta?

Jackson, 

Uma vez linkado o e-mail B, você pode simplesmente excluir o e-mail A alterando o e-mail padrão para o B e excluindo o A.

Não é um bug, é para tu não perderes o acesso a conta. 

 

Once you link the B address, you can simply delete the A email address changing the default account and deleting the one you don't want anymore. 

It's not a bug, just a feature for you to don't lose access to your account. 

[Arthur Ramos Schaefer 14]

Mas se ainda assim acreditas que se trata de um bug, tens de abrir ticket com o suporte mesmo. 

But if you still believe it's a bug, you must create a support ticket. 

[Jakson 0]

Obrigado! Fiz mais alguns testes e de fato não é um BUG. Obrigado pelo auxílio! Abraço!