Jump to content
Jakson

Possível BUG na Alteração de E-mail

Recommended Posts

Acredito veemente ter encontrado uma falha de segurança GRAVE no aplicativo Evernote.
 
Vou tentar ser o mais claro possível na explicação que os técnicos possam analisar e averiguar essa falha.
 
Os emails descritos na explicação são para somente entendimento da sequência de alterações.
 
Situação: Em 2015 criei a conta no Evernote utilizando o e-mail: 1@teste.com. Um determinado período se passou e eu comprei a versão plus, logo depois da realização da compra, eu alterei o e-mail para: 2@teste.com. Feito isso, notei mesmo até os dias atuais (27.04.2018) que ao compartilhar alguns cadernos, os mesmos apareciam na nota como: CRIADA POR 1 e compartilhada com mais x pessoas.
Pois bem, nesse momento, vi indícios que de alguma forma ainda havia algum resquício de ligação com o e-mail antigo. O problema veio logo em seguida, quando um colega do escritório esqueceu sua senha e colocou o meu antigo e-mail para recuperação (1@teste.com) somente para fins de logar na conta. Feito isso o e-mail foi redefinido para 3@teste.com e aí veio a surpresa. Ao logar com esse e-mail e a senha pessoal escolhida por ele, automaticamente ele começou a sincronizar todos os cadernos pessoais do 2@teste.com
 
RESUMO:
  1. Criação da conta: 1@teste.com;
  2. Redefinição após compra da conta plus: 2@teste.com;
  3. Cadernos compartilhados apresentam na parte superior: CRIADA POR 1 e compartilhada com mais "x" pessoas;
  4. Colega esquece senha de (3@teste.com;) e coloca meu antigo e-mail para redefinir: 1@teste.com;
  5. Ele consegue o acesso e redefine o e-mail para: 4@teste.com;
  6. Ao logar esse login 4@teste.com e com a senha pessoal dele, todos os cadernos de 2@teste.com começaram a sincronizar na conta 4@teste.com;
 
Por favor, peço gentilmente que analisem essa situação com cautela e levem a sério. 
Pois podemos ter encontrado uma falha de segurança GRAVE.
Todos os meus cadernos e anotações pessoais foram expostas!

Share this post


Link to post

You're posting in a user discussion forum.  You can contact Evernote support at

>>Colleague forget password (3@teste.com;) and put my old email to reset: 1@teste.com;
He can access and resets the e-mail to: 4@teste.com;

If I forget my password, I can't just use a random email address.  I have to use my email address to receive reset instructions.

Of course, if I share those instructions with anyone, they will have access to reset my account.

  • Like 1

Share this post


Link to post

Acredito que você não tenha entendido minha explicação.

Vamos por partes, para que antes que você responda com tanta certeza você entenda sobre o que estamos falando.

Estou falando sobre redefinição de e-mails. Se eu redefinir o e-mail "A" para o e-mail "B", o e-mail "A" deve estar completamente desvinculado da conta. Concorda?

Share this post


Link to post

Hi.  This public forum is -mainly- supported by other users like @DTLow and myself.  Posts are read by Evernote developers,  but we have no link into other support or security channels.  The developers rarely comment on ongoing issues.  As above,  Support are available on https://www.evernote.com/SupportLogin.action if you're a subscriber,  Twitter - https://twitter.com/evernotehelps if that doesn't work,  or you're not a subscriber.  

  • Like 1

Share this post


Link to post

Obrigado por responder. Mas você concorda?

Se eu redefinir o e-mail "A" para o e-mail "B", o e-mail "A" deve estar completamente desvinculado da conta. Certo?

Share this post


Link to post
8 hours ago, Jakson said:

Let's break it down so that before you respond with such certainty you understand what we're talking about.

I'm talking about redefining emails. If I reset the "A" email to the "B" email, the "A" email must be completely unlinked from the account. Do you agree?

I'm not sure what "completely unlinked" covers but my expectation is

  1.  Login is switched to the new email id.
  2.  Email from Evernote will be addressed to the new email id.
  • Like 1

Share this post


Link to post

Acredito que o certo seria, ao redefinir o e-mail de login, o e-mail antigo não faz mais parte da conta, portanto deve perder qualquer vínculo.

Por esse motivo acredito que seja um bug.

Por isso a palavra "redefinir" não é "acrescentar, "incluir",etc...é para remover totalmente o antigo e colocar o novo. Só que isso de fato não ocorre.

Você concorda comigo que o e-mail antigo não está sendo desvinculado da conta?

Share this post


Link to post
On 4/29/2018 at 8:19 AM, Jakson said:

Acredito que o certo seria, ao redefinir o e-mail de login, o e-mail antigo não faz mais parte da conta, portanto deve perder qualquer vínculo.

Por esse motivo acredito que seja um bug.

Por isso a palavra "redefinir" não é "acrescentar, "incluir",etc...é para remover totalmente o antigo e colocar o novo. Só que isso de fato não ocorre.

Você concorda comigo que o e-mail antigo não está sendo desvinculado da conta?

Jackson, 

Uma vez linkado o e-mail B, você pode simplesmente excluir o e-mail A alterando o e-mail padrão para o B e excluindo o A.

Não é um bug, é para tu não perderes o acesso a conta. 

 

Once you link the B address, you can simply delete the A email address changing the default account and deleting the one you don't want anymore. 

It's not a bug, just a feature for you to don't lose access to your account. 

  • Like 1

Share this post


Link to post

Mas se ainda assim acreditas que se trata de um bug, tens de abrir ticket com o suporte mesmo. 

But if you still believe it's a bug, you must create a support ticket. 

  • Like 1

Share this post


Link to post

Obrigado! Fiz mais alguns testes e de fato não é um BUG. Obrigado pelo auxílio! Abraço!

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...