Как узнать все платежи в системе Яндекс.Деньги?



    Безопасен ли сервис «Яндекс.Деньги»?
    Да. Мы делаем всё, чтобы сервис был надежным и безопасным.

    Яндекс.Деньги

    Ответ на вопрос в заголовке под катом.


    1. Стать магазином.
    2. Получить доступ к статистике и установить самоподписной яндексовский сертификат.
    3. Зайти в статистику и выбрать «ВСЕ» в списке магазинов.
    4. PROFIT.



    Кроме данных на скриншоте доступны суммы, реквизиты платежа номера кошельков и телефонов ВСЕХ плательщиков ВСЕМ магазинам. На скриншоте — платежи за сегодняшние сутки. Яндекс.Деньги есть здесь? Может вы в паблике быстрее отвечаете, чем по почте или телефону?

    Важный UPD:
    Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013. Но воспользоваться ей не успели, так как доступ был оперативно закрыт — служба безопасности убедилась в отсутствии выгрузки данных. Предпринятые меры, ограничивающие выгрузку и исключающие в дальнейшем доступ к статистике с сертификатом, не имеющим корректного ограничения прав, разглашать не позволила служба безопасности, во избежание злоупотреблений.
    Информация получена специально для публикации в посте от сотрудника Яндекс.Денег grachevamari.
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 299
    • +46
      Яндекс есть здесь? Может вы в паблике быстрее отвечаете, чем по почте или телефону?

      Как же я с вами согласен! Обращаться в яндекс по электронной почте — себя не уважать.
      • +16
        К сожалению, проверено на своей шкуре за 4 года. Мы им деньги приносим, и вполне себе вменяемые — а зачастую решить какой-либо вопрос занимает даже не день, не два, а три. Месяца.
        • –10
          Я не защищаю Яндекс, но Яндекс.Деньги != Яндекс.
          Баг забавный, я с таким уже встерчался (п. «Вы под надёжной защитой»).
          П.С. Ситуация, описанная мной в том посте, никак не относится к Яндексу.
          • +1
            Яндекс.Деньги уже много лет как отделились от Paycash и являются полностью подразделением Яндекса если я ничего не путаю.
            • +1
              Последние сколько-ко там лет это отдельная компания принадлежащая по большой части сбербанку
              • +5
                Ждем Яндекс.Деньги.Очереди)
                • 0
                  Меньше года, в прошлом декабре. Но да, было дело, Сбербанк купил три четверти доли в уставном капитале Яндекс.Денег. Даже цену помню, за какие-то смешные 60 млн. долларов. Я, честно говоря, думал, что сумма сделки будет если не на порядок, то во всяком случае в разы больше.
                • 0
                  Не совсем так, тем более с учетом сделки со Сбербанком
              • +1
                Год назад имел несчастье написать резюме на сайте Яндекса. По информации там ответ должны были дать через неделю. Связывался с поддержкой — тишина мертвая. Месяца через два, когда был уже на новой работе, написали :)

                В принципе, ситуация не кажется удивительной, ситуация с e-mail'ами, транспортируемыми почтовыми улитками, типична для всего Яндекса. :)
              • +3
                Платон Щукин бывает не быстр :)
                • +3
                  Коллеги, вижу 14 лайков на этом комментарии, а можно прислать мне в личку номера тикетов, на которые слишком долгие ответы в Я.Деньгах? Спасибо.
                  • +8
                    Я могу перечислить всех сотрудников, к кому мы обращались по своим вопросом и у которых были очень долгие ответы. Но если вы работаете в ЯД и имеете соответствующие полномочия — вам не составит труда разобраться, по какому поводу наша компания к вам обращалась.
                    С мая (!!!) этого года ваши сотрудники не могли решить несколько наших вопросов, ссылаясь то на «другого сотрудника», то ни на что не ссылаясь, а просто игнорируя вопросы.

                    И, возможно, вас не затруднит объяснить:
                    1) что это было;
                    2) кто виноват, кто и как наказан;
                    3) как быть уверенным, что подобное не повторится;
                    4) когда восстановится доступ к сервису статистики.
                    Заранее спасибо.
                    • +6
                      Это не мои сотрудники, это мои коллеги. И совершенно очевидно, что если несколько подряд сотрудников не могут ответить быстро, то виноваты не конкретные сотрудники, а система в целом. Чтобы в этом разобраться, мне и нужны _в личку_ номера тикетов с задержкой. Тогда сможем исправить систему.

                      Спасибо.
                      • +4
                        1. Если вы прочитали пост, то, наверное, заметили, что я пишу о статистике «магазина» — в нашем случае, о системе биллинга нашей компании.
                        2. Если вы сотрудник ЯД то, наверное, в курсе, что мы пишем не в саппорт, а аккаунт-менеджерам по своим вопросам, а система тикетов у них не работает. Следовательно, я не могу сообщить номера тикетов.
                        3. По названию компании — несложно выяснить, кто наш менеджер по сопровождению, к кому мы обращались за последние месяцы — и на основании ответов делать выводы о компетентности этих сотрудников.
                        Пожалуйста.
                        • +3
                          2. Тогда это вообще мои сотрудники, однозначно.
                          3. Уже

                          Вообще, очень странно, что было несколько проблем при общении с аккаунтами, а праведная волна негодования до меня не дошла. Я всегда отвечаю на звонки своих любимых мерчантов, и реагирую оперативно на подобные проблемы.

                          По пункту 1 — коллеги ответят позже
                          • +3
                            А по кейсу «с мая» разберемся, очень любопытно. Отвечу.

                            P.S. Остальных коллег, кто лайкал статус, я в любом случае прошу дать мне номера тикетов в личном сообщении.
                            • +45
                              Вот это, кстати, интересный, и, к сожалению, очень частый случай. Я сейчас не про Яндекс, а про паттерн в целом.

                              1. Клиент устал бороться с техподдеркой.
                              2. Клиент выносит ситуацию в паблик.
                              3. Клиент встречает сотрудника, который обещает разобраться.
                              4. Сотрудник решает проблему клиента публично.
                              5. Все счастливы.

                              На самом деле, ни черта все не счастливы.

                              Мне кажется, что если ситуация дошла до того, что клиенты компании хотят выразить недовольство техподдержкой компании публично, то это говорит о том, что бизнес-процессы в компании идут так плохо, что одних «номеров тикетов в личку» недостаточно.

                              Я сейчас наглядно продемонстрирую, почему это так. Вот я читаю эту ветку комментариев, и думаю: «ага, значит, если мы подключим к магазину Яндекс.Деньги, то для решения любой проблемы нужно будет ждать 3 месяца, а потом искать на Хабре сотрудника компании, и писать ему номера тикетов в личку? Да ну её к чёрту, такую платёжную систему».

                              То есть, желание вмешаться лично и помочь в конкретной ситуации — похвально. Но паттерн сам по себе — отпугивающий.

                              Здесь нужно не просить номера, а написать длинную публичную историю, где про каждый кейс клиента будет расписано, кто был в нём виноват, почему такая ситуация вообще стала возможной и какие меры были приняты, чтобы такие кейсы не повторялись. Да, и «я хорошенько накажу виновных» — не считается. Наказание не гарантирует невозможность повторения ситуации. Клиент не жаждет мести, клиенту важно чтобы больше таких ситуаций не было.

                              Кстати, если уж вы можете лично помочь с Яндекс.Деньгами. На самом деле, я уже ваш клиент :) Недавно к нам обратился ваш менеджер с предложением сделать нашу «витрину» у вас. Но при этом он упорно отказывается понимать, что наша схема продажи не подпадает под типовые сценарии, и нужно искать какое-то хитрое решение (у нас нельзя просто «пополнить счёт» как в одноклассниках, или просто «оплатить карзину с товарами», как на озоне). При этом мы не против сделать «витрину», но донести до менеджера необходимость понять нашу схему работы и подстроиться под неё мы не можем. Кто виноват в том, что менеджер пытается продавать услугу, навязывая клиенту удобную вам (а не нам) схему работы? Какой номер тикета куда прислать? :)
                              • +1
                                По последнему абзацу — а вы в Москве? Можете приехать к нам для обсуждения этого вопроса? С нас чай и плюшки, а так же по возможности решение кейса. Если технически можно сделать внутреннюю витрину, то сделаем. Если приезжать не удобно, либо нет времени — напишите на d@yamoney.ru, договоримся о конф-колле.

                                По поводу самого комментария — полностью согласен во всем, кроме публичного описания кейсов с подробностями. На мой взгляд некорректно, а порой и незаконно, выносить фамилии сотрудников, историю переписки, конкретные вопросы из переписки. На самом деле достаточно того, что кто-то не ответил на письмо. Это сам по себе негативный кейс. И такого рода кейсы надо чинить, а потом на каком-нибудь ХайЛоаде в рамках секции оптимизации работы массового хелпдеска рассказывать об успешном перестроении бизнес-процессов.

                                По «паттерну» же позволю себе дополнить, что не зависит для решения вопроса — где конкретно было место инициации жалобы. Телефонный звонок, пост в твиттере, либо письмо аккаунт-менеджеру — подход в любом случае должен быть одинаковый, проблема локализована и устранена, а в случае, если одинаковых жалоб больше одной, срочно сделать аудит этих самых бизнес-процессов на предмет «поломки»
                                • +3
                                  Если фамилии публиковать некорректно — пусть будут инициалы. Да хоть sha2(ФИО :) Важна роль конкретного человека в неком сценарии, а вовсе не его паспортные данные.

                                  Публичность отличается от хелпдеска, потому что в хелпдеске мой тикет прочитает 1-5 человек, а на Хабре печальную историю прочитает 50-100 тысяч человек. Именно поэтому на публике недостаточно написать «мы решили конкретную проблему». Это будет воспринято как «нужно вытащить конкретную проблему на Хабр, чтобы ей занялись». А вот если сделать так, чтобы все эти 50 тысяч поняли, что если уж проблема выплыла в паблик, то компания перетряхнёт все свои процессы, но сделает так, чтобы эта проблема больше никогда не повторилась — тогда эти 50 тысяч — ваши будущие довольные клиенты :)

                                  PS: Питер :( И в ближайший месяц командировок в msk не предвидится. Так что конфколл. Напишу.
                                  • +1
                                    Совет правильный, спасибо.

                                    P.S. Можно приехать к нам в офис в Питер и по видео-связи соединиться с Москвой, будет о чем написать ;)
                              • 0
                                Ответите? Ждать три месяца, или как?
                          • +6
                            технически — ваш ключ неправильно обрабатывал фильтр «все магазины» — вместо всех магазинов, обслуживаемых на вашем договоре, отдавал более широкую выборку.
                            историю получения вашим ключом таких прав сейчас анализируем.
                            вы получите новый комплект реквизитов доступа — или мы решим вопрос сами без изменения настроек на вашей стороне. сейчас админы смотрят, что быстрее.
                            • +5
                              Интересно было бы узнать, как часто пользовательские ключи получают такие полномочия, сколько ещё подобных ключей по ошибке было выдано и что предприняли, что бы сие не повторилось :) Для определённых групп читателей на хабре такая статья будет много интереснее статей пиар-направленности…
                              • +1
                                Это была форс-мажорная ситуация, единственная в своем роде. Мы уже всё исправили, больше не повторится.
                                • 0
                                  Криптографическая коллизия?
                                  • 0
                                    Хотелось бы знать, какие меры приняты, чтобы утечка данных о всех платежах Я.Д приняты. Только вашему слову, извините, как-то не верится.
                                    • +2
                                      изменен сценарий генерации ключей — изменены участвующие роли и добавлено выполнение дополнительных проверок сгенеренного ключа.
                                      • 0
                                        Спасибо, звучит вполне убедительно.
                                        Передайте мою благодарность менеджеру, который выписывал ключ и разработчикам, допустившим подобный эпикфейл. Если менеджеру простительно, то разработчики явно заняты не своим делом.
                        • +1
                          А ты слышал про BugBounty?
                          • +10
                            Судя по описанию «уязвимости» это скорее фича O_0.
                            Никаких взломов. Просто выбери «все» в списке магазинов.
                            • +3
                              Это именно фича. Никаких специальных средств для «взлома» не применяется. Просто входишь в статистику и пожалуйста. Можешь, к примеру, слить все кошельки и телефоны, кто платил за Яндекс.Диск (оказывается, такие есть!) и продать конкурентам… Есть и более «вкусные» применения этой информации.
                              • +1
                                Фича может быть уязвимостью, так как есть риск, угроза, и некое действие, которое реализует данную угрозу через определенный функционал системы 8) Короче это Design Flaw…
                          • –15
                            Для несведущих, объясните пожалуйста чем ценна информация на скриншоте?
                            • +8
                              А если подумать? Доступна информация:
                              — магазин;
                              — товар;
                              — номер кошелька/телефона;
                              — сумма;
                              — статус платежа;
                              — дата платежа.
                              Представь себя маркетологом. Или кулхацкером.
                              • +4
                                Вообще я без сарказма спрашивал))
                                • +4
                                  А это и не сарказм, это юмор. Я не понимаю, как можно серьёзно отвечать на такой вопрос.
                                  Скриншот — это КДПВ, разумеется, если понимать вопрос буквально: «чем ценна информация на скриншоте?» — то ничем. Ценная информация, разумеется, обрезана. Обрезана нарочито заметно.
                                  Но, как мне кажется, если прочитать пост (он короткий), то ценность информации более чем очевидна любому хабраюзеру. Точнее, казалось, до вопроса хабраюзера Akuma.
                                • 0
                                  Когда у меня угнали все деньги с кошелька вместе с кошельком и я обратился в поддержку яндекса с информацией о злоумышленнике (номер кошелька, время угона и т.д.) мне отказали в просьбе получить информацию о лице для подачи заявления в полицию. А тут — пожалуйста для всех… Мда.
                                  • +1
                                    А вам не кажется, что полиция должна делать такой запрос, но не Вы?
                                    • –1
                                      Безусловно. Но в полиции без этих данных просто отказывают. Никто не хочет возбуждать дело по этому факту. Тут конечно проблемы в полиции, но я ожидал, что яндекс зная злоумышленника и имея мое заявление со всеми транзакциями как — то поможет.
                                      • 0
                                        Яндекс поможет полиции, когда полиция придёт к нему с запросом. Выдавать детали пользователю Яндекс.Деньги, разумеется, не уполномочены.
                                • +4
                                  На скриншоте — почти ничем, а вот если поскроллить, то можно плучить координаты людей, которые точно пользуются электронными деньгами и целенаправленно их спамить, уводить от конкурентов и т. п. Да и конкурентов анализировать.
                                  • +2
                                    Более существенный комментарий, спасибо.
                                  • 0
                                    Маркетингом ценна она, маркетингом.
                                  • +7
                                    А что, удобно.
                                    • +35
                                      Так вот откуда произошел слив данных о жертвователях РосПилу некоторое время назад. Интересно…
                                    • 0
                                      А видны только платежи в магазины, или переводы на другие кошельки тоже? А платежи по формам «пожертвований» видны?
                                      • 0
                                        Все долго просматривать, это надо сливать, собирать в одну таблицу и анализировать. Но навскидку, вот получатели подряд с одной случайной страницы (это не страница целиком), кое где указано назначение платежа в описании (конкретные товары или услуги), емейлы, телефоны, возможно, загадочные «Платежи» или «Услуги Яндекса» это и есть переводы:
                                        leongaming.com
                                        ТД Столото
                                        Услуги сотовой связи МегаФон
                                        Innova Systems
                                        МТС
                                        vkontakte.ru
                                        Ростелеком-Урал (сотовая связь)
                                        Столото
                                        За услуги Яндекса
                                        Платежи
                                        Steam Games (с названием игры, кстати, интересно-интересно...)
                                        ТД Столото
                                        TinyDeal
                                        leongaming.com
                                        Возврат средств на счет в Альфа-Банке
                                        МТС
                                        roboxchange.com
                                        МТС
                                        Доска объявлений Фарпост
                                        Доставка банковской карты Яндекс.Денег
                                        vkontakte.ru
                                        vkontakte.ru
                                        wf.mail.ru
                                        vkontakte.ru
                                        Tanks
                                        За услуги Яндекса
                                        За услуги Яндекса
                                        va-bank.com
                                        Платежи
                                        МГТС (оплата счета)
                                        Платежи
                                        Интеркасса
                                        Интеркасса
                                        Fastengine
                                        leongaming.com
                                        roboxchange.com
                                        Платежи
                                        Riot Games
                                        Innova Systems
                                        Вывод на карту Visa/MasterCard
                                        МТС
                                        Tele2
                                        Skype
                                        Innova Systems
                                        Вывод на карту Visa/MasterCard
                                        Доставка банковской карты Яндекс.Денег
                                        Услуги сотовой связи МегаФон
                                        Возврат средств на счет в Альфа-Банке
                                        Сотовая связь Билайн
                                        Платежи
                                        Платежи
                                        AVITO.ru
                                        Ростелеком-Урал (сотовая связь)
                                        • +1
                                          Было бы полезно посмотреть статистику куда люди больше всех денег тратят =) Можно даже посчитать кол-во идиотов на душу населения. Ух а мошенникам какое же раздолье =)
                                          • 0
                                            Можно написать скрипт, который «проходит» по страницам и собирает все данные. Скорее всего, такой скрипт уже есть (ну нельзя же не заметить подобное?!).
                                            И потом для анализа раздолье: сколько в день тратят пользователи Яндекс.Денег на интим товары, а сколько платят вконтактику… Причём, можно группировать не по получателям, а по номерам кошельков, сотовым телефонам. В общем резвись сколько хочешь. Именно поэтому подобное надо прекратить. Я лично никогда не платил (и теперь уж точно не буду!) через Яндекс.Деньги. Но вот что почти кто угодно может получить доступ с данным — кто и сколько платит нашей компании, мне как-то не нравится.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                          • +1
                                            А переводы фрилансерам? У них же часто номера кошельков в открытом доступе.
                                            А оплата за всякие, не совсем публичного характера, товары? Знаете номер кошелька шефа, смотрите, а он резиновую женщину купил, например.

                                            Вообще это абсолютно подсудное дело, Яндекс сейчас потенциально попал на сотни миллионов долларов.
                                            • +4
                                              Это нарушение права на неприкосновенность частной жизни и разглашение коммерческой тайны.
                                              • +2
                                                Так как это сейчас принадлежит и Сбербанку тоже, то им скорее всего ничего не будет, к сожалению:(
                                                Ну и плюс не стоит забывать что мы в России всё-таки живем… Ох был бы такой прокол в США, затаскали бы по судам.
                                                • +1
                                                  Немало зарубежных компаний принимают платежи через Яндекс.Деньги. А такие истории не проходят бесследно.
                                                  • –1
                                                    Почему бы не распространить эту информацию в зарубежных тематических СМИ, на reddit?
                                                    • 0
                                                      Я только за. Но моя задача решена — доступ к сервису они закрыли, и, видимо, разбираются.
                                                      • –2
                                                        Так, напишите, пожалуйста, с удовольствием вас поддержу. Нельзя о таком молчать.
                                                        • –2
                                                          Я готов составить текст, но я даже не зарегистрирован на том же reddit. Вы можете помочь с распространением?
                                            • –8
                                              с 1 апреля?
                                              • +7
                                                С добрым утром. Сегодня 17 сентября 2013 года.
                                                • +11
                                                  В мире с перепутанными датами мне хочется жить больше, чем в мире, в котором в яндекс.деньгах может быть такой баг.
                                              • +10
                                                Что то больше не охота Яндекс.Деньгами пользоваться. :(
                                                • +1
                                                  Интересно, после перехода ЯДа к Сбербанку технический персонал остался тот же, или там стали работать сотрудники банка?
                                                  • +1
                                                    У меня нет ответа на этот вопрос. Но работать стали хуже.
                                                  • +4
                                                    Мне кажется в посте все же не хватает надписи типа «Ошибка была отправлена в тех поддержку {{тогда то}}, прошло {{столько то}} дней но баг не был исправлен!»
                                                    • +6
                                                      1. Сообщение об ошибке мы отправили, пробовали даже звонить своему менеджеру. Но по личному опыту — сотрудникам Яндекс.Денег вечно некогда. В последний раз, добиваясь ответа от ЯД мы несколько раз звонили, несколько раз писали в несколько известных адресов три недели. В данном случае ситуация более чем критична.
                                                      2. Никаких публичных данных я не выставил, даже скрыл адрес сервиса.
                                                      3. Реакция, хоть и за пару часов, но последовала: сервис выдаёт 503-ю ошибку, в личку на хабре обратились со странным вопросом — спросили шопайди. Мне кажется, очевидно, что если в профиле есть название компании, то несложно узнать шопайди.
                                                      Цель — закрыть доступ к дырке — достигнута. Вопросы?
                                                    • +2
                                                      А тем временем сервис статистики «упал»:
                                                      • +7
                                                        предполагаю, что сервис положили до выяснения обстоятельств пока не слили всю инфу
                                                        • +1
                                                          Согласен полностью. Но на вопросы так же не отвечают и молчат.
                                                      • +8
                                                        Вот уж от кого не ожидал, так это от Яндекса…
                                                        • +1
                                                          А я воспринял это как логичное следствие безалаберного отношения.
                                                          • +3
                                                            У меня вопрос: мы изучили всю переписку — от момента получения Вами доступа до публикации поста на Хабре прошло примерно два часа. Мне очень стыдно, что мне приходится просить об этом, но не могли бы Вы назвать дату и имя менеджера, которому Вы писали вопросы или описание этой ситуации? Нужно же разобраться в механизмах взаимодействия.
                                                            Я правильно понимаю, что в службу поддержки Вы не писали, только Вашему личному менеджеру?
                                                        • +2
                                                          А что, служба безопасности ЯДов еще не расчехляла свои паяльники на топикстартера как на злобного хакера? :)
                                                          • +6
                                                            Ещё не почувствовал. Пока dimulka_9 меня учит в личке, что нехорошо позорить Я.Д на Хабре, нужно ему сразу звонить… Где они только таких понабрали.
                                                            • +3
                                                              Чем учить в личке лучше бы готовил статью с ответами на вопросы.
                                                              Полагаю не мне одному интересно увидеть ответы, а там и имидж свой поднимут небось.

                                                          • +6
                                                            Не пропарсили ещё статистику?) Даёшь инфографику народу! :)
                                                            • 0
                                                              О да, вот это было бы тонко. Вместо этой новости, или даже ещё круче – сначала инфографика и детальная выкладка, а потом объяснение происхождения данных.
                                                              • 0
                                                                смотрите на всех торрентах страны
                                                            • +2
                                                              Ожидаемое падение, Яндекс.Деньги никогда не блистали в моих глазах.
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                • –1
                                                                  Везде есть минусы, но не такие большие как у ЯДа(я не только про сегодняшний случай).
                                                                  Ну на вскидку paypal, bitcoin(нестабильный курс), в какой-то степени вебмани неплоха(хотя тараканов тоже хватает).
                                                                  • –1
                                                                    Ну вот у QIWI хорошее обслуживание. У Альфа-Банка.
                                                                    Яндекс.Деньги однажды добили тем, что со счёта Я.Д. на счёт Я.Д. платёж переводился несколько часов, я тогда сразу почтуроссии вспомнил.
                                                                    • 0
                                                                      У Киви хорошее? Почти два месяца нет ответа на вопрос почему их карта не работает в Украине. Робот ответил, номер присвоил и тишина.
                                                                • 0
                                                                  А ещё у них баг при выводе денег на карты — видите, у всех платежей дата проведения 1 января 1970-го (0 в timestamp)
                                                                  • +7
                                                                    Стало вдруг любопытно что же еще интересного скрыто. А при такой уплывшей в паблик «фиче» оно, возможно, есть.
                                                                    Также хотелось бы увидеть развернутый комментарий после того как все починится с пояснениями:
                                                                    — почему;
                                                                    — как давно;
                                                                    — что сделано для обеспечения безопасности проведенных в момент существования «фичи» транзакций;
                                                                    — как теперь будет функционировать сервис (новые фичи во благо и так далее);
                                                                    — будут ли оповещены клиенты сервиса о данном факте (мне кажется они должны об этом знать равно как и о предпринятых мерах).
                                                                    • +1
                                                                      У меня несколько недель ЯД не могли подтвердить аккаунт, после письменного заявления принесенного в офис. Просто потерялось у секретаря. Так что, позволю себе не удивиться новости.
                                                                      • 0
                                                                        Это называется «идентификация». Вы в результате разобрались?
                                                                        Обидно, когда смешиваются простые человеческие ошибки с техническими деталями, при этом разнесёнными на несколько лет. Вы писали в саппорт? Давайте я проверю тикет.
                                                                        • 0
                                                                          Да, конечно разобрался, так как была срочная необходимость в этом. Писать к счастью никуда не пришлось, спасибо.
                                                                      • 0
                                                                        Тем временем, PayPal пришел в Россию.
                                                                        habrahabr.ru/post/194052/
                                                                        • –2
                                                                          Это бэкенд для «нашистов».
                                                                          • +4
                                                                            Мне кажется, что в этаких случаях термин «бэкдор» более уместен, чем «бэкенд».
                                                                          • +9
                                                                            Видимо, вам случайно ключ предназначенный для других органов дали, ничего, бывает. А dimulka9 как всегда в своем репертуаре, в мастерхосте когда работал на 8 должностях, тоже на каждый факап писал «ай ай, да вы что, напишите мне, всех накажем, все починим». Прошли годы. Может дело не в бабине?
                                                                            • 0
                                                                              Где обещал исправить, везде исправлял. А в ошибках признаваться не стыдно.
                                                                              • +1
                                                                                Это все хорошо, конечно, но на ошибках еще обычно учатся.
                                                                              • +3
                                                                                Я тебе говорил место проклятое, а ты — руки кривые, руки кривые… (с)
                                                                              • +3
                                                                                Безопасен ли сервис «Яндекс.Деньги»?
                                                                                Да. Мы делаем всё, чтобы сервис был надежным и безопасным.
                                                                                © Яндекс.Деньги
                                                                                Очень безопасен. Особенно когда блочат аккаунт и просят подтвердить телефон который я регистрировал в системе 8 лет назад и разумеется номер уже изменил. Причем блокируют после пополнения кошелька. В итоге выясняется что для восстановления доступа нужно отправлять заполненный бланк заверенный нотариусам с копией паспорта. Безопасность просто зашкаливает.
                                                                                • 0
                                                                                  С вебманями была точно такая же ситуация.
                                                                                  В итоге пришлось взламывать свой собственный кошелек.
                                                                                  • +1
                                                                                    В итоге пришлось взламывать свой собственный кошелек.

                                                                                    В смысле, взламывать? И как, успешно? Можно немного подробнее? ;)
                                                                                    • 0
                                                                                      Успешно.
                                                                                      Я писал:
                                                                                      habrahabr.ru/post/179927/#comment_6248209
                                                                                      • 0
                                                                                        А да, знаю, помню этот баг. Это у маула тогда много денег увели. Ну не полгода спустя было закрыто, а как раз сразу после той громкой истории, т.е. через месяц-полтора. Да это собственно и не баг был, а так. Когда только ввели эту новую защиту, решать что именно ею закрывать доверили пользователям. Все включили себе подтверждение только переводов, оставив незащищенным доступ на страницу настроек безопасности. Где и доверенности выписывались. Хоть в принципе все у кого тогда увели бабло сами были виноваты, после того скандала, как видно вебмани уже решили, пусть лучше их и дальше упрекают в параноидальности, чем так позориться. И закрыли все всем сами принудительно. :)
                                                                                  • 0
                                                                                    вас попросили ввести код из смс? попробуйте еще раз, это уже вылечено.
                                                                                  • +32
                                                                                    dimulka_9, заявивший себя сотрудником Яндекс.Денег высказал мне в личке претензии, что я не позвонил ему лично (откуда, простите, я мог знать, что надо звонить лично ему?) Цитирую:

                                                                                    Что Вам мешает взять и позвонить на прямой номер Яндекс.Денег и спросить меня? Я вот уверен, что должны соединить без проблем. Согласен, это не будет так красиво, как написать пост на Хабре, но уверен, что намного эффективнее.

                                                                                    Я позвонил на прямой номер Яндекс.Денег, опубликованный на сайте: 8 800 555 80 99. Спросил Дмитрия Даниленко. Соединить ожидаемо отказались. Позвонил второй раз, и человек с явно нерусским акцентом и проблемами с дикцией, мило тыкал мне, заикался, но, после моих объяснений и пары минут ожидания продиктовал номер: +74957392325.
                                                                                    Милая девушка выслушала, попробовала соединить, но сказала, что, видимо Дмитрий ещё не подошёл, она не знает, со скольки у вас начинается рабочий день и когда вы появитесь в офисе.

                                                                                    Итого — я потратил 10 минут, сделал три звонка, за звонок в Москву заплатил из своего кармана — но проблему так и не решил. Вот поэтому, Дмитрий, пост на хабре эффективнее вашей службы поддержки. А вы — высказывая претензии в личке — действуете непрофессионально и грубо.

                                                                                    UPD: Странно, что он не высказал претензию, что я сам не устранил утечку данных о всех платежах Яндекс.Денег.
                                                                                    • +10
                                                                                      Я лично поговорила с Дмитрием, Дмитрий отдал мне все ключи от Хабра и попросил извиниться и объяснить, что он на самом деле не хотел эскалировать ситуацию и вызвать любую негативную реакцию.

                                                                                      Точно могу сказать, что прямо сейчас весь коммерческий отдел обсуждает, как сделать так, чтобы больше никогда вообще не вставал вопрос «Почему менеджеры не отвечают на письма?» и «Как дозвониться до любого в компании по любому телефону?». И я верю в то, что всё решится, и надеюсь, что Вы с нами остаётесь — и всё проверите.

                                                                                      От себя лично добавлю: я бы на месте Дмитрия тоже бы пошла в личные сообщения, потому что это быстрый способ, а задача была — быстро решить вопрос в первую очередь, а формулировать позицию — во вторую. Но теперь мы вроде договорились, что будем делать это одновременно и хорошо. Каждый — свою часть :)

                                                                                      Если у Вас остались данные о звонке (с какого номера Вы обращались в саппорт), мы отыщем человека в службе поддержки с проблемами дикции и нарушением личного пространства и устроим ему приём логопеда с учебником телефонного этикета. Тоже одновременный.
                                                                                      • –1
                                                                                        Рукоплещу стоя! Ей богу. Анна, Яндекс должен вам хорошую премию. :)
                                                                                        • +2
                                                                                          За болтовню в социальных сетях? Да мне в радость!
                                                                                          (Но скриншоты я тоже сделала.)
                                                                                          • 0
                                                                                            Болтовня в социальных сетях и репутация компании разные вещи, но все-таки они связаны ;)
                                                                                        • –2
                                                                                          Вот написано красиво, да.
                                                                                          Но почему сотрудники Яндекса вновь и вновь сваливают свои обязанности на клиентов — и при этом не умеют и не хотя думать?
                                                                                          1. Посмотрите время комментария, 9:20. Логично, что я звонил сразу до этого комментария (примерно в 9:05-9:15). Проверьте телефонные звонки, в которых спрашивают Дмитрия, вряд ли их много. Не сочтите за труд сами проверить работу вашего же саппорта.
                                                                                          У вас же, как сообщается, «записываются телефонные переговоры».

                                                                                          2. На месте Дмитрия grachevamari тоже написала в личку. Но при этом вела себя вежливо и адекватно, а не высказывала претензии и не хамила. А таких димулек9 нужно держать подальше от клиентов.

                                                                                          3. Хотелось бы знать, что и как нарешал ваш коммерческий отдел. А то выше в переписке Дмитрий понаобещал разораться и тишина. Яндекс.деньги.стайл.
                                                                                          • 0
                                                                                            Это Ваше право — не принимать извинения. Дмитрия я попросила здесь больше ничего не комментировать. Вопрос «что и как нарешал коммерческий отдел» мне не до конца понятен — если Вы уточните, какого именно Вы решения ждёте, я могу узнать.
                                                                                            • 0
                                                                                              Вы же специалист по соцсетям? Прочтите все комментарии Дмитрия. В одном из них он написал, цитирую:
                                                                                              А по кейсу «с мая» разберемся, очень любопытно. Отвечу.
                                                                                              Ответа так и нет. Пока мне по почте свалились только данные нового аккаунт менеджера и извинения Директора департамента электронной коммерции.
                                                                                              • 0
                                                                                                Я читала все комментарии Дмитрия и спросила, какой именно вопрос из обсуждаемых с ним Вас интересует. Извините, что потратила Ваше время на ответ.
                                                                                                Коммерческий отдел разбирается, Вам вернут деньги, если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе. У Вас ведь есть контакты нового аккаунт-менеджера — раз специалист по соцсетям не может Вам ответить, думаю, у этого человека точно будут ответы.
                                                                                                • 0
                                                                                                  > Я читала все комментарии Дмитрия...
                                                                                                  >Коммерческий отдел разбирается, Вам вернут деньги (???), если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе (???).

                                                                                                  Я же дал точную цитату слов Дмитрия: А по кейсу «с мая» разберемся, очень любопытно.

                                                                                                  Вы не читали комментарии Дмитрия. Ни о каком возврате денег, тем более в течение недели речь не шла. Вы не правильно поняли как саму проблему, так и ситуацию. Извините, если это выглядит переходом на личности, это не переход на личности.
                                                                                      • +5
                                                                                        Сегодня с утра проверил — сервис работает, как и должен, показывает только платежи нашей компании. Сертификат (ключ доступа) не перевыпускали. Спасибо grachevamari за адекватную реакцию. Было бы у вас поменьше dimulka_9-ек — глядишь, и таких проблем тоже не было бы.
                                                                                        • +6
                                                                                          вообще-то, насколько я помню, димулька в яде, вроде как, ком. директор. Так что сами подумайте, откуда гниет рыба. Ну и вы не общались с ним когда он работал в мастерхосте, это вообще легенда была :)
                                                                                          • +4
                                                                                            Вставьте в топик апдейт с его комментарием, чтобы люди не искали в обсуждении, чем всё закончилось.
                                                                                        • +3
                                                                                          Добрый день, меня зовут Аня, я тоже работаю в Яндекс.Деньгах. Я вижу, что Вы уже разобрались, но хочу отдельным комментарием просто описать ситуацию.

                                                                                          Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.

                                                                                          Каждый мерчант видит только свои платежи. И в течение последних недель, когда Вы получали свой ключ, каждый мерчант (кроме Вас) тоже видел только свои платежи — мы проверили всех.
                                                                                          Воспроизвести этот кейс больше никому не удастся. Никакой утечки данных не произошло. В любом случае, истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей». В готовом виде никакая база операций не хранится, и её «слив» исключён.

                                                                                          Отдельное спасибо за скорость реакции и обратной связи: насколько мы видим, между моментом, когда Вы получили ссылку, и Вашим постом на Хабре прошло около пары часов.

                                                                                          Если у Вас есть ещё вопросы о случившемся и механизмах работы — задавайте мне. Я спрошу у всех лично, или попрошу их прийти в комментарии, чтобы не работать испорченным телефоном.
                                                                                          • 0
                                                                                            В любом случае, истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей».


                                                                                            Я думаю, Роскомнадзор с вами не согласится.
                                                                                            • 0
                                                                                              Ну мы же посоветовались с юристами всё-таки :)
                                                                                              • 0
                                                                                                Личными нельзя, ну и что, ущерб от такой утечки для бизнеса может быть намного больше
                                                                                                • +1
                                                                                                  Хорошо, что она не произошла! :)
                                                                                                  • –1
                                                                                                    Поправка: это вы говорите, что она не произошла. Техническая возможность была (вы это не отрицаете) и проверить, что утечки не было мы не можем. Вдумайтесь, что произошло бы, если бы я простейшим скриптом слил данные о всех платежах и опубликовал?
                                                                                                    • 0
                                                                                                      Было бы расследование службы безопасности.
                                                                                                      И по итогам этого расследования я говорю, что утечки не было: есть логи. Если Вы не верите тому, что говорят сотрудники Яндекс.Денег, это другой момент. На это я повлиять публично никак не могу, к сожалению.
                                                                                            • +3
                                                                                              То есть, я правильно понимаю, что _теоретически_ вы легко можете сделать некий «ключ», который позволит просто просматривать все транзакции «извне» Я.Денег? Ооочень здорово :(
                                                                                              • 0
                                                                                                Давайте мы сначала с практическими вопросами разберёмся, а потом перейдём к теории. Нет, это так не работает.
                                                                                                Автор этого поста — не «извне» Яндекс.Денег, это сотрудник магазина, который подключился к системе и заключил договор, и подписал с Яндекс.Деньгами документы, оставив свои данные и пройдя утверждение службы безопасности. По его ключу он мог смотреть операции в своём магазине. В течение пары часов этот список немного расширился. Он это заметил, сказал нам, мы всё починили и закрыли, система пересмотрена, теоретически и практически никакие не свои транзакции владельцы никаких ключей просматривать больше не смогут.
                                                                                                • +1
                                                                                                  Тут претензии к этому:
                                                                                                  В течение пары часов этот список немного расширился.


                                                                                                  «Извне» означало что он не является сотрудником вашей организации.
                                                                                                  • 0
                                                                                                    Но тем не менее он подписал договор, в котором прописана его ответственность за разглашение данных пользователей, которые он получает.
                                                                                                    • 0
                                                                                                      Вы бы лучше объяснили, как так получилось, что «полномочия немного расширились».
                                                                                                      • 0
                                                                                                        Я вот тут написала развёрнутый комментарий, надеюсь, получилось объяснить!
                                                                                                      • –3
                                                                                                        Вот не надо врать! У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет. С юридической точки зрения я мог выкачать всё полностью — так как Яндекс.Деньги предоставили такую возможность. И мог использовать в своих целях. Мог? Мог.

                                                                                                        Мне категорически не нравится, что Яндекс.Деньги пытается сделать вид, что ничего страшного не произошло. А ваши заверения, что «не повторится» звучат, как минимум, неубедительно.
                                                                                                        • –1
                                                                                                          Вы не понимаете что не важно какие данные вам попали? Вам же сказали:
                                                                                                          в котором прописана его ответственность за разглашение данных пользователей, которые он получает.
                                                                                                          Не важно какие вам попали пользователи, важно что вы не можете разглашать инфу о этих пользователях.
                                                                                                          • 0
                                                                                                            Там не написано, что я не могу использовать эти данные с личных целях, верно? Мне для того и передают данные о плательщиках, чтобы я их обрабатывал. Верно? Это мне договор разрешает. Следовательно, я мог их «обработать» и даже без публикации в общем доступе. Попытка ЯД свести к тому, что никакой опасности утечка не представляла — не правда, представляла и ещё какую.
                                                                                                            Особенно милы бегания сотрудников ЯД за моими комментариями с минусами — и отсутствие конкретных ответов. Смех.
                                                                                                            • 0
                                                                                                              У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет.

                                                                                                              Там не написано, что я не могу использовать эти данные с личных целях, верно?

                                                                                                              Слушайте, ну Вы вот как то с одного на другое перескакиваете… Вроде говорили про неразглашение, теперь про использование. Да, в Вашем случае была ошибка с тем, что Вы можете посмотреть логи. Это плохо, но доступа к кошелькам Вы не имели. Возможность совершать транзакции от имени этих людей тоже. Вы увидели логи. Кроме Вас эти логи никто не видел. Безусловно данные могут нанести вред, если они попадут в руки мошенников. Хотя это будет не прямая угроза, а косвенная. Т.е. не снимут деньги с кошелька, а могут шантажировать, например, сомнительными покупками.

                                                                                                              Вам объяснили что проблема только с Вами. Но Вы продолжаете наезжать на ЯД, придумывая все новые и новые причины. Извините, но я не понимаю чем мотивированно данное поведение.
                                                                                                              • 0
                                                                                                                > Вам объяснили что проблема только с Вами.
                                                                                                                Неверно. Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я. А это не то же самое.
                                                                                                                Как видите, они убедили хотя бы вас одного, что ничего страшного не произошло. Не сочтите за труд, перечтите комментарии в обсуждении, где объясняется, как квалифицированный маркетолог может использовать данные о всех платежах через ЯД за неизвестный (но, видимо, большой) период времени.
                                                                                                                Шантаж — это придумали вы и это смешное использование такой ценной информации.
                                                                                                                Да, доступа к кошелькам нет. Но можно проанализировать, на какие услуги и какие пользователи тратят средства. Узнать, сколько получают и за какие услуги конкуренты. Если вы не понимаете, насколько это ценная и опасная информация — я пас объяснять. Я — понимаю. Потому и действовал жёстко и быстро для закрытия дыры.
                                                                                                                • 0
                                                                                                                  Да, наверняка информация важная, спорить сложно.

                                                                                                                  Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я.
                                                                                                                  Хм… Я понял иначе. Я понял что проблема именно с Вашим сертификатом. И, что бы проблема не повторилась, поменяли алгоритм генерации сертификата и Ваш сертификат. По логам видно, что такой возможности ни у кого больше не было, т.к. вы выполняли обычный запрос, с освоим сертификатом, который позволяет видеть больше других.
                                                                                                                  • +1
                                                                                                                    1. Пожалуйста, ещё раз перечтите один из вариантов официального ответа сотрудников ЯД:
                                                                                                                    Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
                                                                                                                    Стало понятнее? Это раз.

                                                                                                                    2. Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.

                                                                                                                    3. Мы с вами видим логи? Нет, и не увидим. Стал бы сообщать нам сотрудник ЯД, если бы выяснилось, что десятки мерчантов просматривали записи? Нет.

                                                                                                                    4. Технически, система позволяла простому мерчанту увидеть все платежи, это и есть дырища, об этом я и пытаюсь донести свою мысль. А Kirby пишет, что «утечки не произошло». Мол, ничего страшного. А утверждать такое, на мой взгляд, нелепо.
                                                                                                                    • 0
                                                                                                                      5. И дополню. Kirby тут подтвердила, что возможность получить те же данные была не только у меня:
                                                                                                                      Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
                                                                                                                      И, по её словам, в их логах видно, что они доступ не получали. Вопрос только как часто ротируются эти логи и можно ли верить им.
                                                                                                                      • +1
                                                                                                                        Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза
                                                                                                                        Ну вы же явно выдираете слова. Явно ведь, что такое могло бы быть, если бы ключ сгенерировался с ошибкой. Видимо такая ошибка коснулась именно Вас. Теоретически она могла коснуться кого угодно, но это не значит что возможность была не только у Вас.
                                                                                                                        • 0
                                                                                                                          Вот Вы упорный. Уже сотрудница ЯДа написала, что:
                                                                                                                          Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.

                                                                                                                          А Вы продолжаете настаивать, что такая ошибка коснулась только меня. Внимательнее читайте комментарии оппонента, я час назад специально для вас этот момент отметил.
                                                                                                                          • 0
                                                                                                                            Не я упорный, а Вы видите лишь то, что хотите видеть. Вы читаете это текст вот так:
                                                                                                                            Было еще два ключа, у которых была такая возможность, но они не использовали эту возможность, т.к. этого не было в логах.

                                                                                                                            Я читаю текст так:
                                                                                                                            В принципе, это возможность могла быть еще у нескольких ключей. Но ее не было, т.к. мы видим логах что они эти данные не получали.
                                                                                                                            • 0
                                                                                                                              Надоело бодаться, читайте апдейт к посту. Там всё сказано.
                                                                                                                            • 0
                                                                                                                              А вообще, вы мастерски выделили лишь то, что Вам нужно. :)
                                                                                                                              Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.

                                                                                                                              =>
                                                                                                                              это могла делать ещё пара ключей, выпущенных после нового релиза
                                                                                                                              Но слово теоретически Вы не видите в упор. :) Да Вам бы заголовки желтых газет оформлять. :)
                                                                                                                              • +2
                                                                                                                                Достаточно слова «могла».
                                                                                                                                • 0
                                                                                                                                  По просьбе ЯД добавлен апдейт к посту. В апдейте более компетентный сотрудник дала вполне конкретную информацию, которую упёршийся veitmen не желает замечать. А именно:

                                                                                                                                  Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013.

                                                                                                                                  Без всяких «теоретически» и даже без «могла». «Получили возможность». Но даже без этого апдейта, вы правы, достаточно слова «могла». Даже возможность утечки, которую не допустила отнюдь не СБ, это уже очень и очень серьёзно. Но я думаю, что уже все необходимые меры приняты и наведён шорох. Может будет наведён и порядок.
                                                                                                                        • 0
                                                                                                                          Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы
                                                                                                                          Как мне кажется, заметил, не в том контексте, о котором говорите Вы. Заметил, в смысле не мог заметить, т.к. не было возможности это заметить. А не вы смысле получал данные, но НЕ видел что получает именно расширенные данные. Исходя из этого, остальные доводы рушатся.
                                                                                                                          • 0
                                                                                                                            Что за мода отвечать в десятке комментариев? Тут.
                                                                                                                          • 0
                                                                                                                            Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.
                                                                                                                            А это, вообще ни о чем не говорит. МОгли «перевесить» права для ключа, могли поменять логику проверку ключей, могли много чего сделать. Ни Вам, ни ЯД этот пункт не добавит очков.
                                                                                                                            • 0
                                                                                                                              Что за мода отвечать в десятке комментариев? Тут.
                                                                                                                          • 0
                                                                                                                            Да, проблема вскрылась именно на этом сертификате. Больше этой «возможностью» никто не пользовался — и она просуществовала очень недолго, это быстро проверили.
                                                                                                                        • 0
                                                                                                                          Эти данные не могут нанести вред, если попадут в руки мошенников. Они могли бы потенциально нанести вред маркетинговому или коммерческому отделу, если бы хорошо скомпонованная база попала бы к конкурентам — при этом в базе не было личных данных, так что пользователи ни при чём. Подобные базы по разным средствам платежей есть у разных исследовательских компаний, обычно довольно дорого стоят, эта могла бы стоить дешевле. Вот и всё.
                                                                                                                          Статистика по платежам пользователей есть у всех магазинов и так, разумеется. И у каждой платёжной системы или системы платёжных решений тоже есть такая статистика. Её может быть интересно читать, но уж точно не опасно, тем более для пользователей.
                                                                                                                          • 0
                                                                                                                            Статистика содержала номера телефонов, емейлы, номера кошельков, товары и услуги вообще всех платежей за длительный период, сделанных через Яндекс.Деньги. Это опасно, в том числе и для пользователей. Пожалуйста, перестаньте утверждать очевидную нелепость. Выше этот вопрос подняли и обсудили, предложив несколько вариантов использования скомпрометированной статистике платежей Яндекс.Денег.
                                                                                                                            • 0
                                                                                                                              Во-первых, не вообще всех платежей, разумеется. Во-вторых, Вы как магазин видите «номера телефонов, емейлы, номера кошельков, товары и услуги» — это не личная информация пользователей. Это информация, которая Вам доступна после заключения договора, проверки СБ и выдачи сертификата. Теоретически Вы можете шантажировать пользователей, продавать свою базу другим магазинам, продать эти мейлы SPAM-генераторам и звонить пользователям по ночам. Пожалуйста, перестаньте преувеличивать.
                                                                                                                              • 0
                                                                                                                                Ещё раз извините, что не буду в очередной раз писать вам, что такое личная информация пользователей и что у нескольких мерчантов (и вы это подвердили) был доступ ко статистике всех платежей. Преувеличивать опасность утечки нечего, она и так значительна.
                                                                                                                                Но вы меня победили, я не хочу с вами что-либо обсуждать.
                                                                                                              • +1
                                                                                                                То есть, если придёт некий гражданин из КГБ и «попросит» ваших «безопасников», то ему всё-таки могут выдать аналогичный «расширенный» ключ.
                                                                                                                • –1
                                                                                                                  Конечно же, он же «подпишет договор, в котором прописана его ответственность за разглашение данных пользователей, которые он получает».
                                                                                                                  И кроме того, «истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей»".

                                                                                                                  Сколько отговорок, прямо противно.
                                                                                                                  • 0
                                                                                                                    Ну если пользователь спрашивает о юридических формулировках и текущем законодательстве — как ещё можно сформулировать ответ?
                                                                                                                  • +3
                                                                                                                    Вообще все системы, которые работают в России, обязаны выдавать данные по запросу спецслужб, оформленному определённым образом. Эта процедура описана в законодательстве. Но если это и происходит, то не с помощью генерацией ключей.
                                                                                                              • +1
                                                                                                                Воспроизвести этот кейс больше никому не удастся. Никакой утечки данных не произошло.

                                                                                                                То есть вы хотите сказать, что если «случайно» стали доступны все остальные операции, то опасности никакой это не представляло и распарсить невозможно? Ну и конечно же с остальными такого просто не могло произойти, потому что это на сей факт была воля случая?
                                                                                                                Почему данный случай обязательно единичный если он произошел в глобальном контексте механизма генерации ключей?