1528 читателей, 254 поста
Администрация
Модераторы
Разговоры о Яндексе и яндексоидах.
Как увели мои деньги с кошелька Яндекса. Часть 1
Буквально вчера у меня со счета в Яндекс.Деньгах сняли все деньги что там имелись, а именно 9500 ру. Очень досадно, очень обидно, хочется плакать. Как увели мои пароли — вопрос для меня интересный до сих пор — пользуюсь антивирусом, пароли храню только в зашифрованном виде. Усиленной авторизации у меня не было (каюсь, каюсь, виноват).
Деньги ушли 3-мя платежами в WebMoney через Робокассу. Звонок в Робокассу ничего не дал — они сказали что деньги переведены на счет (какой именно не выдают) и ничем помочь не могут. Сказали обратиться в тех.поддержку Яндекс.Деньги и Webmoney. По их запросам они предоставят все сведения если потребуется. Обратился в службу тех.поддержки обоих компаний. Яндекс ответил, но как!.. Об этом чуть ниже.
Первое что мне бросилось в глаза — на главной странице Яндекс.Денег отсутсвуют эти 3 перевода:
Захожу в историю переводов и вижу когда ушли деньги и в каком объеме:
Так-с. Интересно. Иду в историю заходов в кошелек и вижу такую картину:
Это убило меня мгновенно. Сначала истерика от потери денег, затем истерика о том, как такое могло произойти. Вариантов было 3:
а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Тех.поддержке Яндекса был задан вопрос про IP-адрес:
Я: Прочитайте, пожалуйста, внимательно. В истории заходов фигурирует ip-адрес 127.0.0.1 — это внутренний адрес внутри вашей компании. К письму прилагаю скриншот и прошу объяснить, как можно зайти на Яндекс.Деньги с этого ip-адреса и сделать перевод. Заранее спасибо за ответ.
Яндекс: IP-адрес 127.0.0.1 — это собственный адрес Вашего компьютера.
Ну вообще ребята молодцы! Такого ответа я от них не ожидал!
Разве трудно сделать проверку на IP-адрес, с которого производится вход в кошелек и исключить сервисные IP-адреса?! Почему до сих пор не ввели 2-ую авторизацию по одноразовому паролю, которых приходит на номер мобильного телефона каждый раз, когда пытаешься зайти в аккаунт?!
А что ты думаешь по этому поводу, %username%?
P.S. Мой первый пост на хабре, поэтому прошу сильно не пиннать…
P.P.S. Я пока никого ни в чем не обвиняю!
UPD. Перенес в блог яндекса
UPD 2. Ответ от Яндекса по поводу IP-адреса 127.0.0.1 в истории заходов в кошелек:
UPD 3. Часть 2.1 этой истории доступна для прочтения тут: Как увели мои деньги с кошелька Яндекса. Часть 2.1. Беготня
Деньги ушли 3-мя платежами в WebMoney через Робокассу. Звонок в Робокассу ничего не дал — они сказали что деньги переведены на счет (какой именно не выдают) и ничем помочь не могут. Сказали обратиться в тех.поддержку Яндекс.Деньги и Webmoney. По их запросам они предоставят все сведения если потребуется. Обратился в службу тех.поддержки обоих компаний. Яндекс ответил, но как!.. Об этом чуть ниже.
Первое что мне бросилось в глаза — на главной странице Яндекс.Денег отсутсвуют эти 3 перевода:
Захожу в историю переводов и вижу когда ушли деньги и в каком объеме:
Так-с. Интересно. Иду в историю заходов в кошелек и вижу такую картину:
Это убило меня мгновенно. Сначала истерика от потери денег, затем истерика о том, как такое могло произойти. Вариантов было 3:
а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Тех.поддержке Яндекса был задан вопрос про IP-адрес:
Я: Прочитайте, пожалуйста, внимательно. В истории заходов фигурирует ip-адрес 127.0.0.1 — это внутренний адрес внутри вашей компании. К письму прилагаю скриншот и прошу объяснить, как можно зайти на Яндекс.Деньги с этого ip-адреса и сделать перевод. Заранее спасибо за ответ.
Яндекс: IP-адрес 127.0.0.1 — это собственный адрес Вашего компьютера.
Ну вообще ребята молодцы! Такого ответа я от них не ожидал!
Разве трудно сделать проверку на IP-адрес, с которого производится вход в кошелек и исключить сервисные IP-адреса?! Почему до сих пор не ввели 2-ую авторизацию по одноразовому паролю, которых приходит на номер мобильного телефона каждый раз, когда пытаешься зайти в аккаунт?!
А что ты думаешь по этому поводу, %username%?
P.S. Мой первый пост на хабре, поэтому прошу сильно не пиннать…
P.P.S. Я пока никого ни в чем не обвиняю!
UPD. Перенес в блог яндекса
UPD 2. Ответ от Яндекса по поводу IP-адреса 127.0.0.1 в истории заходов в кошелек:
Обратите, пожалуйста, внимание на указанную на нашем сайте информацию:
https://money.yandex.ru/doc.xml?id=522713#qu22
информация в разделе «История заходов» может быть неполной.
В данном случае заход с айпи злоумышленника в Вашей истории заходов отображён некорректно. При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес. Однако у нас хранится информация обо всех айпи-адресах, с которых совершаются платежи (разумеется, в случае с прокси это будет адрес прокси). По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер также хранит информацию о том, с каких адресов были заходы на него, и получить эту информацию также сможет милиция.
В самом первом нашем письме мы рекомендовали Вам обратиться в милицию и дали достаточно подробную инструкцию, как это сделать. Пожалуйста, воспользуйтесь этой инструкцией. По запросу правоохранительных органов мы сообщим абсолютно всю информацию, которая есть в нашем распоряжении.
UPD 3. Часть 2.1 этой истории доступна для прочтения тут: Как увели мои деньги с кошелька Яндекса. Часть 2.1. Беготня
комментарии (509)
;-)
Думаю надо написать заявление в МВД Управление К. Они вздрючат Яндекс и найдут эту крысу.
Я хоть и понимаю. что там коррумпировано все, но написать заявление стоит. А дальше можно дойти и выше если потребуется.
У меня логин-пароль (для пароля вирт.клавиатура)+одноразовый пароль для входа, высылаемый на мобильник. Вроде достаточно безопасно.
Единственное с чем сталкивался — посеял карточку, дозвонился практически мгновенно, объяснил девушке задачу и тот нюанс что звоню с мобильника из другой страны, все решилось очень мило.
У них там свои порядки и за нераскрытые дела их тоже дрючат. Поэтому не важно вернут деньги или нет, заяву надо писать обязательно и сумма тут совершенно ни при чем.
> К сожалению, на практике «отдел К» не занимается расследование дел о
> хищении до 15000-20000 рублей
Вот эти легенды кстати распространяются самими же сотрудниками ведомств. А все потому, что никому лишних висяков не надо. Оптимальный вариант — убедить человека, что ничего не вернут и обращаться бессмысленно. Не заявления — нет проблем.
> По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер
> также хранит информацию о том, с каких адресов были заходы на него, и
> получить эту информацию также сможет милиция.
И это очень правильный совет. Я не говорю, что деньги вам вернут на следующий день — это вряд ли. Но писать надо обязательно.
К тому же есть такие реальные данные, что по одному эпизоду вычислить человека сложно, но по серии — уже гораздо реальнее. Я это говорю как человек, имеющий некоторое отношение к платежным системам «изнутри». Есть злоумышленник, один раз своровал, два раза своровал, на третий сделал глупость и уехал в места не столько отдаленные.
Резумируя, по-первых не расстраивайтесь и не паникуйте, к тому же сумма не смертельная. Во-вторых пишите заявление.
Да и потом, когда этот дамоклов меч (МВД) начнет висеть над Яндексом — они сами начнут шевелится и найдут решение.
Клиент доверил свои деньги Яндексу и если Яндекс ломанули с внешки или это внутри завелась крыса — почему клиент должен страдать от этого?
в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
так что, либо это дело рук сотрудников Яндекса,
либо Яндекс не может обеспечить сохранность кошелька.
ну и хранить денежные пароли на компе — последнее дело,
это почти тоже самое, что на своей банковской карточке ницарапать пинкод.
таки вещи надо: либо хранить в уме, либо уж записывать на мобильный в крайнем случай:
например:
Балтийский Миша (Миша для отвлечения, банк Балтийский) 534-4596 (пин 4596)
Альф Спиридонович (АльфаБанк ) 912-305-1786 (пин 1786)
Я вот храню пароли на компе, в файле, который зашифрован под мастер пароль. Перебор пароля невозможен, т.к. файл будет заблокирован.
Хранить в уме ВСЕ пароли я не могу, записывать на мобильный не пробовал еще. )
Конечно, так мы светим логины, но они-то и так у нас есть, если мы обворовываем эту цель. В общем — я считаю, что это одна из самых удачных реализаций защиты от брутфорса пароля на телефоне.
> в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
Согласен, эти даные дополняют друг друга, но никак не взаимоисключают.
Реальный ip должен сохранятся в любом случае, остальное — по возможности.
Впрочем, в отношении яндекса сложно чему-то удивляться.
Юзерам из одной офисной сетки под одной проксей приятнее видеть «свои» айпи, чем всем одинаковую проксю, вот примерно из этого и исходили, когда брали forwarded_for для показа.
Но сказали ведь — данные хранятся, по запросу могут сообщить. Собственно, на это можно было и закончить обсуждение и ждать результатов, я думаю.
Допустим хакнули с внешки, неужели Яндекс не признается в этом и не возвратит деньги клиенту, ведь это ошибка Яндекса в разработке платежной системы? На ошибках учатся, но не за счет клиентов.
Но Яндексу не выгодно признаваться в том, что кто-то внутри компании это сделал, ибо тогда получается что внутри они могут творить, что хотят. И пароль пользователя окрыт или вовсе не нужен, данные не шифруются и т.д. и т.п.
Уверен что спишут все на ошибку системы и возвратят деньги. Либо всю жизнь будут искать выдуманного хакера, который через китайскую проксю ломанул Яндекс и не будут возвращать ничего.
Вывод пока только один: перевести деньги в другую платежную систему от греха подальше.
курочка по зернышку — весь двор в «шоколаде».
там рубчик, там соточку, и вот уже на квартиру «наколядовал». клиентов-то много
Добавлять на каждую пользовательскую небольшую сумму, которая не будет доходить до получателя.
Если есть «крыса в конторе», то… Я про то, что комиссионые могут сниматься чуть больше, чем положенно, а доходить до службы будут уже такие как надо суммы(читай «не завышенные»), а на некотором счете будет появляться разница.
Или, например, суммы могут округляться,
и без транзакции «округление» может появляться на чужом счете — в итоге вроде все сходится, а деньги утекают…
Вспомнимаю случай, когда в центре поддержки клиентов «Билайн», где я тогда работал, одна сотрудница, будучи идиоткой, активировала на свой номер телефона 5-долларовую карту (да, тогда были доллары), номер которой она восстановила по звонку клиента, который стер пару цифр (видимо, стирая код карты маникюрной пилкой).
а тема интересная…
Однако в данном случае получается, что вы с вашего ip выполнили только одну операцию, что странно.
для начала — ru.wikipedia.org/wiki/Localhost ;)
Я слабо допускаю возможность спуфинга, потому что там еще нужно платежный пароль вводить, поэтому как минимум одну страницу при переводе должны были открыть с действующего адреса. А с какого именно — должно быть легко отследить по id транзакции.
судя по их ответу
1) Просто кто-то поставил Линукс/Фрю и для скорости на ней же поставил кэширующий прокси. Браузеру, соответственно, прописал локалхост как прокси. В итоге в X-Forwarded-For будет тот же локалхост
2) Локалка с приватными адресами, на гейте тот же прокси. В X-Forwarded-For будет приватный адрес, например 10.1.1.1 — легче станет?
Другой вопрос, что, обнаружив в X-Forwarded-For немаршрутизируемый адрес, в статистике можно было показывать адрес этого самого прокси… Возможно, даже с пометкой какой-нибудь.
и не нужно мне читать лекции о http и заголовках, я прекрасно знаю что это такое.
Посоветуйте человеку что дальше делать, видно же что вопрос многих интересует.
т.к. ip 127.0.0.1 в качестве подозреваемых сам яндекс можно указать )
Я бы наверное поступил примерно так:
1 составить бы письмо с описанием того что случилось и как ответил сотрудник (указать его ФИО, и email по которому общались). Указать свои ФИО, тел, логин…
2 Найти максимально возможное количество email-ов которые имеют отношение к яндексу (не только ЯДа саппорт)
3 Отправляем письмо на все ящики.
4 Звонить и по возможности общаться не только с поддержкой, но и с людьми которые имеют непосредственное отношение к ЯД.
я тоже один раз лоханулся, сумма была больше
жалею что не довел дело до конца, был занят…
начните с милиции, пока не прошло много времени, а то и там придумают как отмазаться… а-ля по сроку давности не возможен прием заявления и тп…
и… желаю вам, если не вернуть деньги(в общем-то не малые!), то наказать, а главное исправить это гнилое звено в цепи. Во благо других. Это благородно.
Хотя по моему недолгому опыту работы в отделе поддержки пользователей данной компании — вопросы связанные с ЯД разбирались в первую очередь специально обученными людьми и в связке с руководителем отдела и разработчиками направления.
А так как вам — ответить мог либо полный идиот либо новичек (который странно как попал на ответственные тикеты) либо это глюк.
Попробуйте обратиться еще раз (ответом на это письмо — тикет поднимется из глубин) и акцентируйте внимание на последующем обращении к руководству.
А ну и телефонные звонки никто не отменял
Не бог весь что конечно, всех нюансов не успел познать, но насколько помню — спорные аспекты решались с руководителем (тогда был Александр) и через jira
Вы меня простите, но техподдержка Яндекс.Денег всегда была отдельной и не подчинялась Александру. Видимо, Вы за месяц немного не сориентировались :)
Я лишь к тому — что любые спорные вопросы (к которым по моему мнению относится и вопрос ТС по поводу суммы, что не маленькая) решались в режиме коллегии с начальником. Лично никогда не взял на себя ответственность будучи в столь скромной должности столь тупо отвечать на поступивший тикет своевольно.
Вообще-то сотрудники по тикету всю работу провели правильно (там двое работали). И только на один вопрос ответили неверно. Если бы деньги можно было поймать — они были бы пойманы, но в данном случае, увы, помочь ничем нельзя. Про локалхост мы с ним поговорим.
Какое дело конечному пользователю до того, какие внутренние организационные проблемы у фирмы, услугами которой он пользуется? Его должно это волновать вообще? :)
Ну и лучиков справедливости тебе.
Они ведь тут есть.
Так пускай прокомментируют
Ведь так не бывает.
Если нашли способ хакнуть один акаунт, то на одном они не остановятся.
Тут вариантов несколько:
1) взломали один из серверов Яндекса, через которые и выполнили вход в кошелек
2) поделали айпи под локалхост
3)…
Ну и конечно в техподдержке уже совсем полный бред сказали, что это ваш айпи. :)
ping eblan.us
и посмотрите результат.
nslookup eblan.us
и посмотрите результат.
(Windows 7)
Причем тут ping yandex.ru?
sh-3.2# host eblan.us
eblan.us A 127.0.0.1
В TCP протоколе таких вещей быть не может!
А именно — про подделку айпи!
Я тут что — пинг показывал?
и сделайте выводы.
Мне странно, что у нас народ не может сделать два шага: послать пинг и додуматься посмотреть запись в ДНС.
Или это надо разжевывать?
Да и вообще речь шла просто об одном из возможных способов подделки айпи локалхоста, то, что как заявили выше «невозможно». Как видим — возможно.
Нужно было видно сразу в ДНС отправлять народ, раз желания нет к пониманию почему в пинге eblan.us локальный айпи.
Спасибо за информацию, посмотрю.
Ну чтож. Значит на выходных собираем соседей, их зеленых собак и идем курить негигантские папоротники на широких просторах нашей необъятной мезозой-родины…
Давайте, наконец, будем правильно употреблять вероятность и не писать математически безграмотно. Имхо, для ITшника это стыд и срам.
никакого волшебства.
Запишу в словарик… блин, как называется словарик Grammar Nazi?
Это в TCP/IP сеансе на уровне протокола «нельзя» подделать IP-адрес.
А вот в БД записать неправильно можно. И попроавить в БД тоже можно.
Грамотные админы обычно фильтруют пакеты с локальными адресами, приходящие с внешних интерфейсов. Вряд ли в Яндексе такие глупые ошибки допускают.
Очень даже часто так бывает, что и самых, казалось бы, крупных компаниях получаются оплошности и небрежности.
Честно говоря, после баги с SVN как-то мало верится, что крупные компании не допускают глупых ошибок (конкретно про яндекс не могу сказать, так, мнение в общем).
В любом случае сервер/хост ответит на такой пакет на loop back интерфейс и ответ во вне не попадет (провести эксперимент не сложно).
Я лично не представляю как это сделать технически (то есть, добиться того, чтобы хост сичтал меня как 127… и при этом получить ответ), не имея доступа к внутренним ресурсам сети.
Уверен, в данном случае не было никакой мистики, просто все хотят кушать.
В этом случае глупость ситуации только в том, что в пользователю возможно отображают как раз это самое поле, которому нельзя доверять.
В любом случае необходимы пояснения, откуда берется значение для поля, и какой был реальный ip снимавшего деньги.
Речь же о деньгах идет, а не о детских шалостях.
Просто автор сначала скачал себе на локалхост всю систему яндек-денег, потом локально сделал перевод, а потом закачал ее обратно.
Что нужно проверить файл %SystemRoot%\system32\drivers\etc\hosts
(где %SystemRoot% — папка Windows)
погуглите на всякий случай и проверьте, а вдруг правда троян.
Так оно с большей вероятностью попадётся на глаза их руководства.
После получения отделом техподдержки сеанса жёсткого анального секса от руководства, утраченные средства к вам волшебным образом вернутся.
У меня так заиграли порядка 10 тыр при выводе средств толи на две недели, толи на месяц. Техподдержка сперва кормила байками, потом стала игнорировать письма. Нашёл e-mail отделов рекламы и маркетинга, отписал туда. В течение пары-тройки часов средства были на счёте СБ РФ.
если злоумышленник может подменить IP адрес на любой, то толку от хранения списка этих адресов нет…
Нужно лишь правильно задавать вопросы поддержке.
Если вы обратились в поддержку с вопросом «А что это тут за айпи?» и не сообщили о факте пропажи денег, то откуда им знать что вы их лишились? Техотдел — тоже люди, делайте на это скидку и излагайте свои мысли максимально доходчиво, прежде чем воевать с мельницами.
PS — имею отношение к яндексу только как пользователь их сервисов.
А уж потом решать вопросы с яндексом. Почему и из-за чего ушли деньги с вашего кошелька.
Уверен, что если бы это был хакер, он бы вскрыл не только ваш кошелек. И тогда бы яндекс уже задергался. Если это единичный случай, скорее всего вы где-то профукали пароль. Банальная логика подсказывает такое стечение обстоятельств.
По поводу пароля: пароль от платежной системы не менялся (спокойно вошел по старому), а пароль от аккаунта был изменен. Аккаунт вообще был удален. Написал в суппорт — блокировку удаления аккаунта сняли. Пароль от аккаунта восстановил по номеру телефона
Your IP address is 78.138.0.1
City: Ibadan
Country: Nigeria
Continent: Africa
www.ipligence.com/geolocation
Яндекс.Деньги имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.
Яндекс.Поиск имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.
даже магаз автоматический одно время был, можно было купить привязанные пп акки от 5 до 20$ за штуку.
так что не всё так радужно как кажется
В любом случае статистика говорит о том что западней от нас электронными платежами занимается практически исключительно ПП. Я не фанат ПП, но нахожу его более удобным и «экономически обоснованным» решением. Единственное что лично мне мешает работать с ним удобно — Приват банк.
Меня вообще удивляет какой талант у разработчиков WebMoney… так сложно и запутанно реализовать простую по сути систему! Если бы с этой системой не работали большинство сайтов, то вряд ли бы я ей пользовался… Одна только привязка к IP/оборудованию чего стоит! Задолбали, реально!
В заявлении указываете, что деньги сперли неизвестные Вам сотрудники компании ООО Яндекс, что подтверждается адресом, откуда заходили на сервер (так и пишите, что по Вашим данным IP 127.0.0.1. принадлежит компании Яндекс), Ваш пароль также имеется только у Вас и в компании Яндекс, больше никому Вы его не сообщали. Пишете также, что сумма для Вас значительна.
Тогда начнут крутиться колеса.
PS Деньги свои скорее всего вы все равно назад не получите.
На ЯД перевод в течении 10-15 минут, так что смысла там деньги держать не вижу.
Если Яндекс ничего не ответит, рекомендую обратиться к помощи юристов.
Я просто говорю, что банк несет за ваши деньги гораздо больше ответственности, чем всякие непонятные ЯД и WM.
мистика какая-то
интересно, на кого из нас Отдел «К» выйдет первым?
p.s. своих не закладывать! это не по понятиям! ))
Возможно, еще успеете приостановить отправку товара(если там реальный товар) «до выяснения».
А может не Яндекс повинен в краже, а Робокасса?
Они, как я понял, выступают посредником между плательщиком и магазином. Вы, де юро, являетесь плательщиком, так как это Ваш кошелек. Вы же должны контролировать в какой магазин направились Ваши деньги, когда они туда поступят, вся ли сумма и т.д…
В Истории операций появился раздел «Заходы». Что это такое и зачем он нужен?
История заходов — это информация о том, когда и с каких IP-адресов вы заходили на сайт Яндекс.Денег под своим логином и паролем. Если что-то в этом списке кажется вам подозрительным (например, системой зафиксирован заход в тот день, когда вы не посещали наш сайт, или один из IP-адресов явно принадлежит не вам), примите меры предосторожности или обратитесь в нашу службу поддержки. Обратите внимание: информация в разделе «История заходов» может быть неполной. Если вы не видите в списке ничего необычного, но обнаружили какие-то другие признаки несанкционированного доступа к своему счету, — обязательно свяжитесь со службой поддержки.
Как так получается, человек сделал платеж, а ему отказываются сообщить подробности о получателе?
Яндекс или ВМ проверят что он точно владелец, тогда можно будет выдать инфу.
именно так мне и ответили
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает
2) я ими никогда не пользовался, пользовался другими обменниками
3) пойду писать заявление
А удалить уже не получится… (
Примите мои извинения.
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает(чем больше людей будет заинтересованно исправить данную ситуацию, касается яндекса, робокассы и магазинов, — быстрее все решиться)
Если вы обратили внимание, в лог файле сервера Apache, IP адрес, запросов приходящие через Nginx, прописываются как локальные, 127.0.0.1, то есть Apache видит адрес проксирующего сервера а не реальные адреса клиентов. Для того что-бы это исправить, необходимо установить специальный модуль
конечно же, у яндекса стоит апач за нгинкс и конечно же волшебным образом 127.0.0.1 появился только у 1 обращения.
web-sniffer.net/?url=money.yandex.ru&submit=Submit&http=1.1&gzip=yes&type=GET&uak=0
download.yandex.ru/company/experience/rit2008/sirotkin.pdf
как-то не очень репрезентативно сервис глючит…
127.0.0.1 нет
но дальше ещё интереснее, в феврале всплыл внутренний IP 10.215.*.*, не знаю откуда.
Подозреваю что это был заход через megafon+gprs через браузер opera mini. В это случае, там должен был стоять адрес сервером opera, возможно яндекс игнорирует эти подсети адресов специально.
Злоумышленникам очень удобно… это какой гемор искать в опере хвосты, чтобы потом узнать с какого реально адреса был запрос (а потом возможно еще и у мобильного оператора искать кто же это был на самом деле)
Эти ip не интересные все равно — там или рабочие (где сетка большая а ip на всех один) или динамические корбиновские )
Сам пользуюсь, и всем доволен. Да, не все сайты поддерживают платежи картами, но их количество все меньше и меньше, плюс ЯД вполне можно использовать и просто для транзита.
Деньги-то он, может, и вернет, а вот будет ли и дальше держать суммы больше 100 рублей в ЯД — это у него стоит поинтересоваться.
Вообще-то для хранения денег система никогда не была предназначена.
А одноразовыми паролями начать пользоваться не хотите?
здорово. правда.
Если я правильно понимаю, то ВМ позиционируется как средство ведения бизнеса (паранойя прилагается), а ЯД — как средство простых онлайн-платежей (простых, чтобы избежать лишней возни там, где она не оправдана). Ну и уровень паранойи соответствующий. Просто не надо держать большие суммы в кошельке подолгу (причем в ВМ лучше тоже).
А вобще нужно быть осторожным, чтоб еще вас не обвинили во взломе сервера ЯД
Но самое неприятное здесь — это техподдержка Яндекса, которая должна помогать и «вселять надежду на спасение», но вместо этого тупо считает вас круглым идиотом (судя по письму). Вот это самое отвратительное.
Пробуйте разные предложенные здесь методы, начиная, естественно, с попытки достучаться до людей, которые стоят над техподдержкой. Очень интересно будет узнать, чем история закончится (надеюсь, успешно возвращенными средствами).
а поводу тех.поддержки — да, очень хорошо они «вселяют надежду на спасение» :)
методы — дождаться реакции от яндекса и сходить к юристам (как уже посоветовали) и заверить все скриншоты. дальше, если реакции от яндекса нет — заявление в милицию и разбирательства…
18.02.2008 19:20 192.168.1.183
это клиентский адрес машины в впн-туннеле. Затрудняюсь понять как его узнал ЯД.
Одно время, пока я принудительно не запретил, squid у меня отдавал HTTP_X_FORWARDED_FOR во всех запросах. И тогда HTTP_X_FORWARDED_FOR как раз и был 192.168.1.183.
Так что система определения адресов у ЯД, по всей видимости, вначале смотрит этот заголовок (HTTP_X_FORWARDED_FOR) и если он пустой берет REMOTE_ADDR.
Установил squid на локальной машине, и ходил в интернет через squid.
Так половина сервисов, который показывают IP, показывали 127.0.0.1 как главный (cmyip.com яркий пример)
1. Деньги Яндекс вам вернуть может, но результат будет зависеть не от Яндекса, их истратили (переводом на обменник) и они уже не в Яндексе.
2. Идете в милицию по месту жительства и подаете заявление на имя начальника отделения, берете талон КУСП и рекомендуете принимающему заявление обратиться в бюро специальных технических мероприятий (да, они могут этого не знать).
3. Ждете ответа от Яндекса: либо будет ответ с инструкцией как вернуть деньги, либо с более развернутой инструкцией про поход в милицию.
4. Еще раз, Яндекс делает все что возможно, чтобы вернуть деньги и делает это по таким запросам с самым высоким приоритетом, когла леньги ушли с вашего кошелька, все зависит уже не от Яндекса.
5. Если Яндекс отправит вас в милицию, то это единственный вариант что-то вернуть, можете не переспрашивать.
6. Перейдите на усиленную авторизацию наконец или заведите Интернет.Кошелек.
Если есть вопросы — в личку. Инсайда не ждите.
т.е. если кража денег — проблема обеспечения безопасности ЯД, то они не при чём? т.е. они не несут рисков по хранению чужих денег?
бред чистой воды.
Это равносильно предъявлять BMW, что они не защищают машину от кражи, если у вас стащили ключи.
Если есть сомнения, МИЛИЦИЯ и еще раз она.
Но можете не сомневаться — таким в компании заниматься не будет никто, УКРФ никто не отменял, а дебилов в Яндекс не берут, знаю.
с чего вы решили, что пароль, который на сервер пришёл в открытом виде, не был сворован именно на сервере?
Тогда как Вы прокомментируете это?
Суть в том, что любые подвижки в сторону «расследования» могут быть или по инициативе сервиса, или по принуждению в результате получения претензии, которая обычно означает дальнейшее движение в сторону суда.
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Тут уж явно б-вариант правдоподобнее.
Притвориться стодвадцатьсемьдваноляпервым нельзя, а значит проблемы у Яндекса при записи/после записи. Метафорой: нельзя родителям сказать, что ты — класный руководитель Марья Ивановна, зато в дневнике можно подписаться от ее имени.
я думаю какой то глюк случайный, или крякеры мимо проходили
Пару дней назад у меня украли емейл на яндексе.
Я не могу восстановить пароль ни по мобильному телефону, ни через секретный вопрос — везде пишет неправильно.
Обратился в яндекс, мне сказали на странице: заполнить все данные. Я заполнил все очень-очень подробно, даже айпишники указал, год создания почты, отсканил им паспорт…
Кстати, в Яндекс паспорте данного емейла у меня были указаны все мои данные и ФИО и все остальное.
В ответ мне пришло от них письмо, что нужно ехать к ним в офис с паспортом и писать заявление. В общем все очень долго и геморно… а в это время злоумышленники уже получают доступ к почти десятку выделенным машинам, к хостигу всех моих сайтов, вэбмани, скайп, icq и так далее.
=(
эх… завтра поеду туда.
По моему сугубо личному мнению, такая «параноидальность» даёт возможность судить о защищённости системы вообще.
Проще говоря, пройдя огонь, воду и медные трубы, уверенности в задищённости становится больше. Яндексу боюсь доверять по этой причине, как и бесплатной почте, например.
пароль увели — возможно, но я сам стараюсь обезопасить себя — использую антивирус, не лажу по незнакомым сайтам. пароль к аккаунту сменили, а платежный пароль — нет. зачем пароль менять после взлома + удалять аккаунт (была попытка удалить аккаунт, но спасибо Яндексу — он его заблокировал, но не удалил)?!
только так help.yandex.ru/passport/?id=922044
лично у меня уже история заходов не открывается.
2. И вы продолжаете пользоваться этими фантиками?
При оплате кредиткой (хоть онлайн, хоть оффлайн) платёж отзывается на раз-два, да даже обычный банковский перевод отозвать можно, хотя и сложно. И уж во всяком случае будешь знать, кому ушли твои денежки.
Обратите, пожалуйста, внимание на указанную на нашем сайте информацию:
https://money.yandex.ru/doc.xml?id=522713#qu22
информация в разделе «История заходов» может быть неполной.
В данном случае заход с айпи злоумышленника в Вашей истории заходов отображён некорректно. При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес. Однако у нас хранится информация обо всех айпи-адресах, с которых совершаются платежи (разумеется, в случае с прокси это будет адрес прокси). По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер также хранит информацию о том, с каких адресов были заходы на него, и получить эту информацию также сможет милиция.
В самом первом нашем письме мы рекомендовали Вам обратиться в милицию и дали достаточно подробную инструкцию, как это сделать. Пожалуйста, воспользуйтесь этой инструкцией. По запросу правоохранительных органов мы сообщим абсолютно всю информацию, которая есть в нашем распоряжении.
Злоумышленники обычно настолько не заморачиваются. А пользователи крайне редко пользуются историей заходов. Но раз уж она есть — то неплохо бы ей быть более адекватной, с этим я совершенно согласна.
Предлагаю вынести последние 5 записей из истории заходов на главную страницу на видное место. Ну, и IP реальные писать.
зачем скрипту, который определяет IP, вообще куда-то «ходить»? что такое «скрипт был перенаправлен»?
скрипт просто прочитал X-Forwarded-For и никуда отправлен не был. он просто взял эту информацию и записал в хранилище.
буду писать заявление в милицию
Так же хотелось бы функцию по отправке смс (+ настройку доступа ip), если на аккаунт зашли с другого ip, пусть она будет платная, это не страшно.
Я всегда пользовался Яндексом и буду продолжать пользоваться, для меня это самый удобный сервис и хочется сделать его немного лучше.
Вариант с смс тоже теоретически возможен, но в данный момент реализована другая версия одноразовых паролей. Вы предлагаете каждый раз присылать смс, мы предлагаем использовать карту с кодами.
www.rb.ru/news/society/2009/04/30/160002.html
Где можно будет разрешить заход только со своей сети например, а изменить это, можно будет только с помощью sms кода.
буду разбираться…
Суппорт Яндекса помог в течении нескольких часов, хотя злобный троянщик удалил все под чистую.
А с восстановлением пароля по sms и с усиленной авторизацией, я уже не волнуюсь.
А проверки возвращаемого значения — не для джедаев, да?
No comments… =\
передайте тому, кто просил передать :-)
Почему не можете предоставить клиенту информацию об IP, с которого подразумевается ОН ЖЕ произвел транзакцию. Я понимаю что это мало что даст, но ответ имхо на «отвяжись»
либо вы в ментовку нашу не обращались никогда (это вряд ли), либо обращались и слишком хорошо знаете, что шансы на успех в данном деле равны нулю.
любой нормальный банк начал бы заниматься данным вопросом и без вмешательства милиции: им важна их репутация. а вам на репутацию похуй.
и получите вы то, что заслужили: спрос на ваш сервис будет расти в среде сетевых мошенников и падать в среде пользователей электронных денег.
лично я говорю вам до свидания.
А вообще, в статье есть и положительный момент — если кто-то, например, пишет трояны для воровства яндекс-кошельков, он может спать спокойно :)
вопрос к топикстартеру: ты ни какие подозрительные или новые программы последнее время не запускал?
ничего из софта не скачивал?
XSS маловероятно
пароли могли увести только с твоего компа
И кстати, самые новые вирусы обычно антивирами непалятся, по крайнйе мере первые дни.
Вчера провел проверку компьютера 2-мя антивирусами (тот который стоял уже год + Dr.Web Free) — ничего найдено не было.
Все остальное остается под вопросом. Если брутить платежный пароль, то, насколько я помню, при 3-х неудачных попытках происходит блокировка счета…
Ну а приватные криптеры закриптуют так, что ни 1 антивирус не увидит.
То есть счет, который отказывается сообщить Робокасса — это номер кошелька/кошельков Webmoney куда в конечном итоге попали деньги?
нужног официальное расследование
они будут обязаны выдать все данные, которые у них существуют.
да они ушли на кошелек в системе WebMoney и они отказываются назвать номер WMID куда ушли мои деньги
n.b. только не робокасса, а roboxchange (сейчас только увидел разницу… одни роботы, блин)… приношу свои извинения робокассе…
Написали из PayPal, типа давай деньги назад — проигнорировал.
Через день уже написал клиент, PayPal ему компенсировал всю сумму из своего кармана.
Больше я от них ничего не слышал.
Почему Яндекс так не умеет, че сложно чтоли? Где сервис? Где забота о клиенте?
Сам был жертвой интернет-мошенников, в далеком 2005 году, сумма была копеечная, но принципиальная — 500 руб. Пользовался Я.Д. Когда понял, что стал жертвой мошенников, позвонил в саппорт Я.Д. Вежливый и учтивый молодой человек, приятным голосом, посоветовал обратиться в милицию, по месту жительства моего. Пошел к матерым операм. Рассказала про Я.Д. Они у меня спрашивают: «Ну ты его знаешь? Где он живет?» Я очень удивленно интересуюсь: «А кого я знаю?» Они: «Ну его, как ты там назвал… Яндекс. В каком районе живет»
Вот вам и милиция. Конечно, можно сделать скидку, что был 2005 год, но… Не стоит. А затем мне русским и обычным языком объяснили, как будет проходить процесс возврата моих 500 руб. Заявление примут, начнут работать, счет заморозят, буду выяснять, искать. А это может затянуться, затем будет суд (если найдут кого судить), и тогда может я и получу свои деньги. Конечно я заявлений писать не стал, просто плюнул и забыл, но стал бдительнее. А этот урок жизни мне обошелся в 500 руб.
FYI в squid за это отвечает «header_access X-Forwarded-For deny all»
А что в Яндекс только идиотов берут?