Фейковые авторизации в Яндекс ID?

Вечером 21 октября приложение Яндекс GO прислало тревожный пуш. По тапу сообщалось, что некто авторизовался в моём Яндекс ID из Киева.

Взломали? Звучит неприятно, учитывая тот факто, что у меня настроена двухфакторая авторизация по номеру телефона и уникальный сгенерированный пароль из 25 символов. Перевыпуск или клонирование сим-карты?

Поглядел все активные сессии и историю заходов — ничего аномального нет, там только я. Подрубил двухфакторку с одноразовым паролем от фирменного приложения Яндекс.Ключ, разлогинился из всех устройств и на всякий случай проверил сессии в других сервисах типа Facebook и Telegram. Там тоже всё чисто.

После чего попытался снова авторизоваться в Яндекс GO уже с помощью Яндекс.Ключа, но сервис выдавал невнятную ошибку именно при попытке зайти в GO. В другие сервисы компании авторизовывало корректно. Написал в техподдержку и стал ожидать.

Мне довольно быстро ответила первая линия саппорта:

После чего агент поддержки пропал почти на 2 дня:

На вопрос о том была ли инородная авторизация и стоит ли опасаться за приватные данные ответили так:

В ситуации разбираются уже 3 дня, но за время ожидания ещё трое знакомых столкнулись с точно такой же проблемой — пуш о чужеродной авторизации в их аккаунты, которой якобы не было. По четырём кейсам судить о масштабах проблемы не получится, но уже очевидно, что случай не единичный.

Яндекс, пожалуйста, живи и постарайся больше не авторизовывать в наши аккаунты рандомных людей.