Пользователь
0,0
рейтинг
17 сентября 2013 в 15:51

Разработка → Как узнать все платежи в системе Яндекс.Деньги?



Безопасен ли сервис «Яндекс.Деньги»?
Да. Мы делаем всё, чтобы сервис был надежным и безопасным.

Яндекс.Деньги

Ответ на вопрос в заголовке под катом.


1. Стать магазином.
2. Получить доступ к статистике и установить самоподписной яндексовский сертификат.
3. Зайти в статистику и выбрать «ВСЕ» в списке магазинов.
4. PROFIT.



Кроме данных на скриншоте доступны суммы, реквизиты платежа номера кошельков и телефонов ВСЕХ плательщиков ВСЕМ магазинам. На скриншоте — платежи за сегодняшние сутки. Яндекс.Деньги есть здесь? Может вы в паблике быстрее отвечаете, чем по почте или телефону?

Важный UPD:
Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013. Но воспользоваться ей не успели, так как доступ был оперативно закрыт — служба безопасности убедилась в отсутствии выгрузки данных. Предпринятые меры, ограничивающие выгрузку и исключающие в дальнейшем доступ к статистике с сертификатом, не имеющим корректного ограничения прав, разглашать не позволила служба безопасности, во избежание злоупотреблений.
Информация получена специально для публикации в посте от сотрудника Яндекс.Денег grachevamari.
Ивановский Михаил @IMA
карма
45,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (299)

  • +46
    Яндекс есть здесь? Может вы в паблике быстрее отвечаете, чем по почте или телефону?

    Как же я с вами согласен! Обращаться в яндекс по электронной почте — себя не уважать.
    • +16
      К сожалению, проверено на своей шкуре за 4 года. Мы им деньги приносим, и вполне себе вменяемые — а зачастую решить какой-либо вопрос занимает даже не день, не два, а три. Месяца.
      • –10
        Я не защищаю Яндекс, но Яндекс.Деньги != Яндекс.
        Баг забавный, я с таким уже встерчался (п. «Вы под надёжной защитой»).
        П.С. Ситуация, описанная мной в том посте, никак не относится к Яндексу.
        • +1
          Яндекс.Деньги уже много лет как отделились от Paycash и являются полностью подразделением Яндекса если я ничего не путаю.
          • +1
            Последние сколько-ко там лет это отдельная компания принадлежащая по большой части сбербанку
            • +5
              Ждем Яндекс.Деньги.Очереди)
            • 0
              Меньше года, в прошлом декабре. Но да, было дело, Сбербанк купил три четверти доли в уставном капитале Яндекс.Денег. Даже цену помню, за какие-то смешные 60 млн. долларов. Я, честно говоря, думал, что сумма сделки будет если не на порядок, то во всяком случае в разы больше.
          • 0
            Не совсем так, тем более с учетом сделки со Сбербанком
      • +1
        Год назад имел несчастье написать резюме на сайте Яндекса. По информации там ответ должны были дать через неделю. Связывался с поддержкой — тишина мертвая. Месяца через два, когда был уже на новой работе, написали :)

        В принципе, ситуация не кажется удивительной, ситуация с e-mail'ами, транспортируемыми почтовыми улитками, типична для всего Яндекса. :)
    • +3
      Платон Щукин бывает не быстр :)
    • +3
      Коллеги, вижу 14 лайков на этом комментарии, а можно прислать мне в личку номера тикетов, на которые слишком долгие ответы в Я.Деньгах? Спасибо.
      • +8
        Я могу перечислить всех сотрудников, к кому мы обращались по своим вопросом и у которых были очень долгие ответы. Но если вы работаете в ЯД и имеете соответствующие полномочия — вам не составит труда разобраться, по какому поводу наша компания к вам обращалась.
        С мая (!!!) этого года ваши сотрудники не могли решить несколько наших вопросов, ссылаясь то на «другого сотрудника», то ни на что не ссылаясь, а просто игнорируя вопросы.

        И, возможно, вас не затруднит объяснить:
        1) что это было;
        2) кто виноват, кто и как наказан;
        3) как быть уверенным, что подобное не повторится;
        4) когда восстановится доступ к сервису статистики.
        Заранее спасибо.
        • +6
          Это не мои сотрудники, это мои коллеги. И совершенно очевидно, что если несколько подряд сотрудников не могут ответить быстро, то виноваты не конкретные сотрудники, а система в целом. Чтобы в этом разобраться, мне и нужны _в личку_ номера тикетов с задержкой. Тогда сможем исправить систему.

          Спасибо.
          • +4
            1. Если вы прочитали пост, то, наверное, заметили, что я пишу о статистике «магазина» — в нашем случае, о системе биллинга нашей компании.
            2. Если вы сотрудник ЯД то, наверное, в курсе, что мы пишем не в саппорт, а аккаунт-менеджерам по своим вопросам, а система тикетов у них не работает. Следовательно, я не могу сообщить номера тикетов.
            3. По названию компании — несложно выяснить, кто наш менеджер по сопровождению, к кому мы обращались за последние месяцы — и на основании ответов делать выводы о компетентности этих сотрудников.
            Пожалуйста.
            • +3
              2. Тогда это вообще мои сотрудники, однозначно.
              3. Уже

              Вообще, очень странно, что было несколько проблем при общении с аккаунтами, а праведная волна негодования до меня не дошла. Я всегда отвечаю на звонки своих любимых мерчантов, и реагирую оперативно на подобные проблемы.

              По пункту 1 — коллеги ответят позже
            • +3
              А по кейсу «с мая» разберемся, очень любопытно. Отвечу.

              P.S. Остальных коллег, кто лайкал статус, я в любом случае прошу дать мне номера тикетов в личном сообщении.
              • +45
                Вот это, кстати, интересный, и, к сожалению, очень частый случай. Я сейчас не про Яндекс, а про паттерн в целом.

                1. Клиент устал бороться с техподдеркой.
                2. Клиент выносит ситуацию в паблик.
                3. Клиент встречает сотрудника, который обещает разобраться.
                4. Сотрудник решает проблему клиента публично.
                5. Все счастливы.

                На самом деле, ни черта все не счастливы.

                Мне кажется, что если ситуация дошла до того, что клиенты компании хотят выразить недовольство техподдержкой компании публично, то это говорит о том, что бизнес-процессы в компании идут так плохо, что одних «номеров тикетов в личку» недостаточно.

                Я сейчас наглядно продемонстрирую, почему это так. Вот я читаю эту ветку комментариев, и думаю: «ага, значит, если мы подключим к магазину Яндекс.Деньги, то для решения любой проблемы нужно будет ждать 3 месяца, а потом искать на Хабре сотрудника компании, и писать ему номера тикетов в личку? Да ну её к чёрту, такую платёжную систему».

                То есть, желание вмешаться лично и помочь в конкретной ситуации — похвально. Но паттерн сам по себе — отпугивающий.

                Здесь нужно не просить номера, а написать длинную публичную историю, где про каждый кейс клиента будет расписано, кто был в нём виноват, почему такая ситуация вообще стала возможной и какие меры были приняты, чтобы такие кейсы не повторялись. Да, и «я хорошенько накажу виновных» — не считается. Наказание не гарантирует невозможность повторения ситуации. Клиент не жаждет мести, клиенту важно чтобы больше таких ситуаций не было.

                Кстати, если уж вы можете лично помочь с Яндекс.Деньгами. На самом деле, я уже ваш клиент :) Недавно к нам обратился ваш менеджер с предложением сделать нашу «витрину» у вас. Но при этом он упорно отказывается понимать, что наша схема продажи не подпадает под типовые сценарии, и нужно искать какое-то хитрое решение (у нас нельзя просто «пополнить счёт» как в одноклассниках, или просто «оплатить карзину с товарами», как на озоне). При этом мы не против сделать «витрину», но донести до менеджера необходимость понять нашу схему работы и подстроиться под неё мы не можем. Кто виноват в том, что менеджер пытается продавать услугу, навязывая клиенту удобную вам (а не нам) схему работы? Какой номер тикета куда прислать? :)
                • +1
                  По последнему абзацу — а вы в Москве? Можете приехать к нам для обсуждения этого вопроса? С нас чай и плюшки, а так же по возможности решение кейса. Если технически можно сделать внутреннюю витрину, то сделаем. Если приезжать не удобно, либо нет времени — напишите на d@yamoney.ru, договоримся о конф-колле.

                  По поводу самого комментария — полностью согласен во всем, кроме публичного описания кейсов с подробностями. На мой взгляд некорректно, а порой и незаконно, выносить фамилии сотрудников, историю переписки, конкретные вопросы из переписки. На самом деле достаточно того, что кто-то не ответил на письмо. Это сам по себе негативный кейс. И такого рода кейсы надо чинить, а потом на каком-нибудь ХайЛоаде в рамках секции оптимизации работы массового хелпдеска рассказывать об успешном перестроении бизнес-процессов.

                  По «паттерну» же позволю себе дополнить, что не зависит для решения вопроса — где конкретно было место инициации жалобы. Телефонный звонок, пост в твиттере, либо письмо аккаунт-менеджеру — подход в любом случае должен быть одинаковый, проблема локализована и устранена, а в случае, если одинаковых жалоб больше одной, срочно сделать аудит этих самых бизнес-процессов на предмет «поломки»
                  • +3
                    Если фамилии публиковать некорректно — пусть будут инициалы. Да хоть sha2(ФИО :) Важна роль конкретного человека в неком сценарии, а вовсе не его паспортные данные.

                    Публичность отличается от хелпдеска, потому что в хелпдеске мой тикет прочитает 1-5 человек, а на Хабре печальную историю прочитает 50-100 тысяч человек. Именно поэтому на публике недостаточно написать «мы решили конкретную проблему». Это будет воспринято как «нужно вытащить конкретную проблему на Хабр, чтобы ей занялись». А вот если сделать так, чтобы все эти 50 тысяч поняли, что если уж проблема выплыла в паблик, то компания перетряхнёт все свои процессы, но сделает так, чтобы эта проблема больше никогда не повторилась — тогда эти 50 тысяч — ваши будущие довольные клиенты :)

                    PS: Питер :( И в ближайший месяц командировок в msk не предвидится. Так что конфколл. Напишу.
                    • +1
                      Совет правильный, спасибо.

                      P.S. Можно приехать к нам в офис в Питер и по видео-связи соединиться с Москвой, будет о чем написать ;)
              • 0
                Ответите? Ждать три месяца, или как?
        • +6
          технически — ваш ключ неправильно обрабатывал фильтр «все магазины» — вместо всех магазинов, обслуживаемых на вашем договоре, отдавал более широкую выборку.
          историю получения вашим ключом таких прав сейчас анализируем.
          вы получите новый комплект реквизитов доступа — или мы решим вопрос сами без изменения настроек на вашей стороне. сейчас админы смотрят, что быстрее.
          • +5
            Интересно было бы узнать, как часто пользовательские ключи получают такие полномочия, сколько ещё подобных ключей по ошибке было выдано и что предприняли, что бы сие не повторилось :) Для определённых групп читателей на хабре такая статья будет много интереснее статей пиар-направленности…
            • +1
              Это была форс-мажорная ситуация, единственная в своем роде. Мы уже всё исправили, больше не повторится.
              • 0
                Криптографическая коллизия?
              • 0
                Хотелось бы знать, какие меры приняты, чтобы утечка данных о всех платежах Я.Д приняты. Только вашему слову, извините, как-то не верится.
                • +2
                  изменен сценарий генерации ключей — изменены участвующие роли и добавлено выполнение дополнительных проверок сгенеренного ключа.
                  • 0
                    Спасибо, звучит вполне убедительно.
                    Передайте мою благодарность менеджеру, который выписывал ключ и разработчикам, допустившим подобный эпикфейл. Если менеджеру простительно, то разработчики явно заняты не своим делом.
  • +1
    А ты слышал про BugBounty?
    • +10
      Судя по описанию «уязвимости» это скорее фича O_0.
      Никаких взломов. Просто выбери «все» в списке магазинов.
      • +3
        Это именно фича. Никаких специальных средств для «взлома» не применяется. Просто входишь в статистику и пожалуйста. Можешь, к примеру, слить все кошельки и телефоны, кто платил за Яндекс.Диск (оказывается, такие есть!) и продать конкурентам… Есть и более «вкусные» применения этой информации.
        • +1
          Фича может быть уязвимостью, так как есть риск, угроза, и некое действие, которое реализует данную угрозу через определенный функционал системы 8) Короче это Design Flaw…
  • –15
    Для несведущих, объясните пожалуйста чем ценна информация на скриншоте?
    • +8
      А если подумать? Доступна информация:
      — магазин;
      — товар;
      — номер кошелька/телефона;
      — сумма;
      — статус платежа;
      — дата платежа.
      Представь себя маркетологом. Или кулхацкером.
      • +4
        Вообще я без сарказма спрашивал))
        • +4
          А это и не сарказм, это юмор. Я не понимаю, как можно серьёзно отвечать на такой вопрос.
          Скриншот — это КДПВ, разумеется, если понимать вопрос буквально: «чем ценна информация на скриншоте?» — то ничем. Ценная информация, разумеется, обрезана. Обрезана нарочито заметно.
          Но, как мне кажется, если прочитать пост (он короткий), то ценность информации более чем очевидна любому хабраюзеру. Точнее, казалось, до вопроса хабраюзера Akuma.
      • 0
        Когда у меня угнали все деньги с кошелька вместе с кошельком и я обратился в поддержку яндекса с информацией о злоумышленнике (номер кошелька, время угона и т.д.) мне отказали в просьбе получить информацию о лице для подачи заявления в полицию. А тут — пожалуйста для всех… Мда.
        • +1
          А вам не кажется, что полиция должна делать такой запрос, но не Вы?
          • –1
            Безусловно. Но в полиции без этих данных просто отказывают. Никто не хочет возбуждать дело по этому факту. Тут конечно проблемы в полиции, но я ожидал, что яндекс зная злоумышленника и имея мое заявление со всеми транзакциями как — то поможет.
            • 0
              Яндекс поможет полиции, когда полиция придёт к нему с запросом. Выдавать детали пользователю Яндекс.Деньги, разумеется, не уполномочены.
    • +4
      На скриншоте — почти ничем, а вот если поскроллить, то можно плучить координаты людей, которые точно пользуются электронными деньгами и целенаправленно их спамить, уводить от конкурентов и т. п. Да и конкурентов анализировать.
      • +2
        Более существенный комментарий, спасибо.
    • 0
      Маркетингом ценна она, маркетингом.
  • +7
    А что, удобно.
  • +35
    Так вот откуда произошел слив данных о жертвователях РосПилу некоторое время назад. Интересно…
    • +1
      РосПил не магазин.
    • 0
      Развивая теорию конспирации можно предположить что это умышленный вброс, дабы все поняли что Яндекс ни с кем не сотрудничает и ни в чем не виноват, просто бэкдор попался.
  • 0
    А видны только платежи в магазины, или переводы на другие кошельки тоже? А платежи по формам «пожертвований» видны?
    • 0
      Все долго просматривать, это надо сливать, собирать в одну таблицу и анализировать. Но навскидку, вот получатели подряд с одной случайной страницы (это не страница целиком), кое где указано назначение платежа в описании (конкретные товары или услуги), емейлы, телефоны, возможно, загадочные «Платежи» или «Услуги Яндекса» это и есть переводы:
      leongaming.com
      ТД Столото
      Услуги сотовой связи МегаФон
      Innova Systems
      МТС
      vkontakte.ru
      Ростелеком-Урал (сотовая связь)
      Столото
      За услуги Яндекса
      Платежи
      Steam Games (с названием игры, кстати, интересно-интересно...)
      ТД Столото
      TinyDeal
      leongaming.com
      Возврат средств на счет в Альфа-Банке
      МТС
      roboxchange.com
      МТС
      Доска объявлений Фарпост
      Доставка банковской карты Яндекс.Денег
      vkontakte.ru
      vkontakte.ru
      wf.mail.ru
      vkontakte.ru
      Tanks
      За услуги Яндекса
      За услуги Яндекса
      va-bank.com
      Платежи
      МГТС (оплата счета)
      Платежи
      Интеркасса
      Интеркасса
      Fastengine
      leongaming.com
      roboxchange.com
      Платежи
      Riot Games
      Innova Systems
      Вывод на карту Visa/MasterCard
      МТС
      Tele2
      Skype
      Innova Systems
      Вывод на карту Visa/MasterCard
      Доставка банковской карты Яндекс.Денег
      Услуги сотовой связи МегаФон
      Возврат средств на счет в Альфа-Банке
      Сотовая связь Билайн
      Платежи
      Платежи
      AVITO.ru
      Ростелеком-Урал (сотовая связь)
      • +1
        Было бы полезно посмотреть статистику куда люди больше всех денег тратят =) Можно даже посчитать кол-во идиотов на душу населения. Ух а мошенникам какое же раздолье =)
        • 0
          Можно написать скрипт, который «проходит» по страницам и собирает все данные. Скорее всего, такой скрипт уже есть (ну нельзя же не заметить подобное?!).
          И потом для анализа раздолье: сколько в день тратят пользователи Яндекс.Денег на интим товары, а сколько платят вконтактику… Причём, можно группировать не по получателям, а по номерам кошельков, сотовым телефонам. В общем резвись сколько хочешь. Именно поэтому подобное надо прекратить. Я лично никогда не платил (и теперь уж точно не буду!) через Яндекс.Деньги. Но вот что почти кто угодно может получить доступ с данным — кто и сколько платит нашей компании, мне как-то не нравится.
          • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        А переводы фрилансерам? У них же часто номера кошельков в открытом доступе.
        А оплата за всякие, не совсем публичного характера, товары? Знаете номер кошелька шефа, смотрите, а он резиновую женщину купил, например.

        Вообще это абсолютно подсудное дело, Яндекс сейчас потенциально попал на сотни миллионов долларов.
        • +4
          Это нарушение права на неприкосновенность частной жизни и разглашение коммерческой тайны.
          • +2
            Так как это сейчас принадлежит и Сбербанку тоже, то им скорее всего ничего не будет, к сожалению:(
            Ну и плюс не стоит забывать что мы в России всё-таки живем… Ох был бы такой прокол в США, затаскали бы по судам.
            • +1
              Немало зарубежных компаний принимают платежи через Яндекс.Деньги. А такие истории не проходят бесследно.
            • –1
              Почему бы не распространить эту информацию в зарубежных тематических СМИ, на reddit?
              • 0
                Я только за. Но моя задача решена — доступ к сервису они закрыли, и, видимо, разбираются.
              • –2
                Так, напишите, пожалуйста, с удовольствием вас поддержу. Нельзя о таком молчать.
                • –2
                  Я готов составить текст, но я даже не зарегистрирован на том же reddit. Вы можете помочь с распространением?
  • –8
    с 1 апреля?
    • +7
      С добрым утром. Сегодня 17 сентября 2013 года.
      • +11
        В мире с перепутанными датами мне хочется жить больше, чем в мире, в котором в яндекс.деньгах может быть такой баг.
  • +10
    Что то больше не охота Яндекс.Деньгами пользоваться. :(
  • +1
    Интересно, после перехода ЯДа к Сбербанку технический персонал остался тот же, или там стали работать сотрудники банка?
    • +1
      У меня нет ответа на этот вопрос. Но работать стали хуже.
  • +4
    Мне кажется в посте все же не хватает надписи типа «Ошибка была отправлена в тех поддержку {{тогда то}}, прошло {{столько то}} дней но баг не был исправлен!»
    • +6
      1. Сообщение об ошибке мы отправили, пробовали даже звонить своему менеджеру. Но по личному опыту — сотрудникам Яндекс.Денег вечно некогда. В последний раз, добиваясь ответа от ЯД мы несколько раз звонили, несколько раз писали в несколько известных адресов три недели. В данном случае ситуация более чем критична.
      2. Никаких публичных данных я не выставил, даже скрыл адрес сервиса.
      3. Реакция, хоть и за пару часов, но последовала: сервис выдаёт 503-ю ошибку, в личку на хабре обратились со странным вопросом — спросили шопайди. Мне кажется, очевидно, что если в профиле есть название компании, то несложно узнать шопайди.
      Цель — закрыть доступ к дырке — достигнута. Вопросы?
  • +2
    А тем временем сервис статистики «упал»:
    • +7
      предполагаю, что сервис положили до выяснения обстоятельств пока не слили всю инфу
      • +1
        Согласен полностью. Но на вопросы так же не отвечают и молчат.
  • +8
    Вот уж от кого не ожидал, так это от Яндекса…
    • +1
      А я воспринял это как логичное следствие безалаберного отношения.
      • +3
        У меня вопрос: мы изучили всю переписку — от момента получения Вами доступа до публикации поста на Хабре прошло примерно два часа. Мне очень стыдно, что мне приходится просить об этом, но не могли бы Вы назвать дату и имя менеджера, которому Вы писали вопросы или описание этой ситуации? Нужно же разобраться в механизмах взаимодействия.
        Я правильно понимаю, что в службу поддержки Вы не писали, только Вашему личному менеджеру?
  • +2
    А что, служба безопасности ЯДов еще не расчехляла свои паяльники на топикстартера как на злобного хакера? :)
    • +6
      Ещё не почувствовал. Пока dimulka_9 меня учит в личке, что нехорошо позорить Я.Д на Хабре, нужно ему сразу звонить… Где они только таких понабрали.
      • +3
        Чем учить в личке лучше бы готовил статью с ответами на вопросы.
        Полагаю не мне одному интересно увидеть ответы, а там и имидж свой поднимут небось.

  • +6
    Не пропарсили ещё статистику?) Даёшь инфографику народу! :)
    • 0
      О да, вот это было бы тонко. Вместо этой новости, или даже ещё круче – сначала инфографика и детальная выкладка, а потом объяснение происхождения данных.
      • 0
        смотрите на всех торрентах страны
  • +2
    Ожидаемое падение, Яндекс.Деньги никогда не блистали в моих глазах.
    • НЛО прилетело и опубликовало эту надпись здесь
      • –1
        Везде есть минусы, но не такие большие как у ЯДа(я не только про сегодняшний случай).
        Ну на вскидку paypal, bitcoin(нестабильный курс), в какой-то степени вебмани неплоха(хотя тараканов тоже хватает).
      • –1
        Ну вот у QIWI хорошее обслуживание. У Альфа-Банка.
        Яндекс.Деньги однажды добили тем, что со счёта Я.Д. на счёт Я.Д. платёж переводился несколько часов, я тогда сразу почтуроссии вспомнил.
        • 0
          У Киви хорошее? Почти два месяца нет ответа на вопрос почему их карта не работает в Украине. Робот ответил, номер присвоил и тишина.
  • 0
    А ещё у них баг при выводе денег на карты — видите, у всех платежей дата проведения 1 января 1970-го (0 в timestamp)
  • +7
    Стало вдруг любопытно что же еще интересного скрыто. А при такой уплывшей в паблик «фиче» оно, возможно, есть.
    Также хотелось бы увидеть развернутый комментарий после того как все починится с пояснениями:
    — почему;
    — как давно;
    — что сделано для обеспечения безопасности проведенных в момент существования «фичи» транзакций;
    — как теперь будет функционировать сервис (новые фичи во благо и так далее);
    — будут ли оповещены клиенты сервиса о данном факте (мне кажется они должны об этом знать равно как и о предпринятых мерах).
  • +1
    У меня несколько недель ЯД не могли подтвердить аккаунт, после письменного заявления принесенного в офис. Просто потерялось у секретаря. Так что, позволю себе не удивиться новости.
    • 0
      Это называется «идентификация». Вы в результате разобрались?
      Обидно, когда смешиваются простые человеческие ошибки с техническими деталями, при этом разнесёнными на несколько лет. Вы писали в саппорт? Давайте я проверю тикет.
      • 0
        Да, конечно разобрался, так как была срочная необходимость в этом. Писать к счастью никуда не пришлось, спасибо.
  • 0
    Тем временем, PayPal пришел в Россию.
    habrahabr.ru/post/194052/
  • –2
    Это бэкенд для «нашистов».
    • +4
      Мне кажется, что в этаких случаях термин «бэкдор» более уместен, чем «бэкенд».
  • +9
    Видимо, вам случайно ключ предназначенный для других органов дали, ничего, бывает. А dimulka9 как всегда в своем репертуаре, в мастерхосте когда работал на 8 должностях, тоже на каждый факап писал «ай ай, да вы что, напишите мне, всех накажем, все починим». Прошли годы. Может дело не в бабине?
    • 0
      Где обещал исправить, везде исправлял. А в ошибках признаваться не стыдно.
      • +1
        Это все хорошо, конечно, но на ошибках еще обычно учатся.
    • +3
      Я тебе говорил место проклятое, а ты — руки кривые, руки кривые… (с)
  • +3
    Безопасен ли сервис «Яндекс.Деньги»?
    Да. Мы делаем всё, чтобы сервис был надежным и безопасным.
    © Яндекс.Деньги
    Очень безопасен. Особенно когда блочат аккаунт и просят подтвердить телефон который я регистрировал в системе 8 лет назад и разумеется номер уже изменил. Причем блокируют после пополнения кошелька. В итоге выясняется что для восстановления доступа нужно отправлять заполненный бланк заверенный нотариусам с копией паспорта. Безопасность просто зашкаливает.
    • 0
      С вебманями была точно такая же ситуация.
      В итоге пришлось взламывать свой собственный кошелек.
      • +1
        В итоге пришлось взламывать свой собственный кошелек.

        В смысле, взламывать? И как, успешно? Можно немного подробнее? ;)
        • 0
          Успешно.
          Я писал:
          habrahabr.ru/post/179927/#comment_6248209
          • 0
            А да, знаю, помню этот баг. Это у маула тогда много денег увели. Ну не полгода спустя было закрыто, а как раз сразу после той громкой истории, т.е. через месяц-полтора. Да это собственно и не баг был, а так. Когда только ввели эту новую защиту, решать что именно ею закрывать доверили пользователям. Все включили себе подтверждение только переводов, оставив незащищенным доступ на страницу настроек безопасности. Где и доверенности выписывались. Хоть в принципе все у кого тогда увели бабло сами были виноваты, после того скандала, как видно вебмани уже решили, пусть лучше их и дальше упрекают в параноидальности, чем так позориться. И закрыли все всем сами принудительно. :)
    • 0
      вас попросили ввести код из смс? попробуйте еще раз, это уже вылечено.
  • +32
    dimulka_9, заявивший себя сотрудником Яндекс.Денег высказал мне в личке претензии, что я не позвонил ему лично (откуда, простите, я мог знать, что надо звонить лично ему?) Цитирую:

    Что Вам мешает взять и позвонить на прямой номер Яндекс.Денег и спросить меня? Я вот уверен, что должны соединить без проблем. Согласен, это не будет так красиво, как написать пост на Хабре, но уверен, что намного эффективнее.

    Я позвонил на прямой номер Яндекс.Денег, опубликованный на сайте: 8 800 555 80 99. Спросил Дмитрия Даниленко. Соединить ожидаемо отказались. Позвонил второй раз, и человек с явно нерусским акцентом и проблемами с дикцией, мило тыкал мне, заикался, но, после моих объяснений и пары минут ожидания продиктовал номер: +74957392325.
    Милая девушка выслушала, попробовала соединить, но сказала, что, видимо Дмитрий ещё не подошёл, она не знает, со скольки у вас начинается рабочий день и когда вы появитесь в офисе.

    Итого — я потратил 10 минут, сделал три звонка, за звонок в Москву заплатил из своего кармана — но проблему так и не решил. Вот поэтому, Дмитрий, пост на хабре эффективнее вашей службы поддержки. А вы — высказывая претензии в личке — действуете непрофессионально и грубо.

    UPD: Странно, что он не высказал претензию, что я сам не устранил утечку данных о всех платежах Яндекс.Денег.
    • +10
      Я лично поговорила с Дмитрием, Дмитрий отдал мне все ключи от Хабра и попросил извиниться и объяснить, что он на самом деле не хотел эскалировать ситуацию и вызвать любую негативную реакцию.

      Точно могу сказать, что прямо сейчас весь коммерческий отдел обсуждает, как сделать так, чтобы больше никогда вообще не вставал вопрос «Почему менеджеры не отвечают на письма?» и «Как дозвониться до любого в компании по любому телефону?». И я верю в то, что всё решится, и надеюсь, что Вы с нами остаётесь — и всё проверите.

      От себя лично добавлю: я бы на месте Дмитрия тоже бы пошла в личные сообщения, потому что это быстрый способ, а задача была — быстро решить вопрос в первую очередь, а формулировать позицию — во вторую. Но теперь мы вроде договорились, что будем делать это одновременно и хорошо. Каждый — свою часть :)

      Если у Вас остались данные о звонке (с какого номера Вы обращались в саппорт), мы отыщем человека в службе поддержки с проблемами дикции и нарушением личного пространства и устроим ему приём логопеда с учебником телефонного этикета. Тоже одновременный.
      • –1
        Рукоплещу стоя! Ей богу. Анна, Яндекс должен вам хорошую премию. :)
        • +2
          За болтовню в социальных сетях? Да мне в радость!
          (Но скриншоты я тоже сделала.)
          • 0
            Болтовня в социальных сетях и репутация компании разные вещи, но все-таки они связаны ;)
      • –2
        Вот написано красиво, да.
        Но почему сотрудники Яндекса вновь и вновь сваливают свои обязанности на клиентов — и при этом не умеют и не хотя думать?
        1. Посмотрите время комментария, 9:20. Логично, что я звонил сразу до этого комментария (примерно в 9:05-9:15). Проверьте телефонные звонки, в которых спрашивают Дмитрия, вряд ли их много. Не сочтите за труд сами проверить работу вашего же саппорта.
        У вас же, как сообщается, «записываются телефонные переговоры».

        2. На месте Дмитрия grachevamari тоже написала в личку. Но при этом вела себя вежливо и адекватно, а не высказывала претензии и не хамила. А таких димулек9 нужно держать подальше от клиентов.

        3. Хотелось бы знать, что и как нарешал ваш коммерческий отдел. А то выше в переписке Дмитрий понаобещал разораться и тишина. Яндекс.деньги.стайл.
        • 0
          Это Ваше право — не принимать извинения. Дмитрия я попросила здесь больше ничего не комментировать. Вопрос «что и как нарешал коммерческий отдел» мне не до конца понятен — если Вы уточните, какого именно Вы решения ждёте, я могу узнать.
          • 0
            Вы же специалист по соцсетям? Прочтите все комментарии Дмитрия. В одном из них он написал, цитирую:
            А по кейсу «с мая» разберемся, очень любопытно. Отвечу.
            Ответа так и нет. Пока мне по почте свалились только данные нового аккаунт менеджера и извинения Директора департамента электронной коммерции.
            • 0
              Я читала все комментарии Дмитрия и спросила, какой именно вопрос из обсуждаемых с ним Вас интересует. Извините, что потратила Ваше время на ответ.
              Коммерческий отдел разбирается, Вам вернут деньги, если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе. У Вас ведь есть контакты нового аккаунт-менеджера — раз специалист по соцсетям не может Вам ответить, думаю, у этого человека точно будут ответы.
              • 0
                > Я читала все комментарии Дмитрия...
                >Коммерческий отдел разбирается, Вам вернут деньги (???), если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе (???).

                Я же дал точную цитату слов Дмитрия: А по кейсу «с мая» разберемся, очень любопытно.

                Вы не читали комментарии Дмитрия. Ни о каком возврате денег, тем более в течение недели речь не шла. Вы не правильно поняли как саму проблему, так и ситуацию. Извините, если это выглядит переходом на личности, это не переход на личности.
  • +5
    Сегодня с утра проверил — сервис работает, как и должен, показывает только платежи нашей компании. Сертификат (ключ доступа) не перевыпускали. Спасибо grachevamari за адекватную реакцию. Было бы у вас поменьше dimulka_9-ек — глядишь, и таких проблем тоже не было бы.
    • +6
      вообще-то, насколько я помню, димулька в яде, вроде как, ком. директор. Так что сами подумайте, откуда гниет рыба. Ну и вы не общались с ним когда он работал в мастерхосте, это вообще легенда была :)
    • +4
      Вставьте в топик апдейт с его комментарием, чтобы люди не искали в обсуждении, чем всё закончилось.
      • 0
        Вот ещё комментарий с описанием со стороны Яндекс.Денег.
  • +3
    Добрый день, меня зовут Аня, я тоже работаю в Яндекс.Деньгах. Я вижу, что Вы уже разобрались, но хочу отдельным комментарием просто описать ситуацию.

    Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.

    Каждый мерчант видит только свои платежи. И в течение последних недель, когда Вы получали свой ключ, каждый мерчант (кроме Вас) тоже видел только свои платежи — мы проверили всех.
    Воспроизвести этот кейс больше никому не удастся. Никакой утечки данных не произошло. В любом случае, истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей». В готовом виде никакая база операций не хранится, и её «слив» исключён.

    Отдельное спасибо за скорость реакции и обратной связи: насколько мы видим, между моментом, когда Вы получили ссылку, и Вашим постом на Хабре прошло около пары часов.

    Если у Вас есть ещё вопросы о случившемся и механизмах работы — задавайте мне. Я спрошу у всех лично, или попрошу их прийти в комментарии, чтобы не работать испорченным телефоном.
    • 0
      В любом случае, истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей».


      Я думаю, Роскомнадзор с вами не согласится.
      • 0
        Ну мы же посоветовались с юристами всё-таки :)
        • 0
          Личными нельзя, ну и что, ущерб от такой утечки для бизнеса может быть намного больше
          • +1
            Хорошо, что она не произошла! :)
            • –1
              Поправка: это вы говорите, что она не произошла. Техническая возможность была (вы это не отрицаете) и проверить, что утечки не было мы не можем. Вдумайтесь, что произошло бы, если бы я простейшим скриптом слил данные о всех платежах и опубликовал?
              • 0
                Было бы расследование службы безопасности.
                И по итогам этого расследования я говорю, что утечки не было: есть логи. Если Вы не верите тому, что говорят сотрудники Яндекс.Денег, это другой момент. На это я повлиять публично никак не могу, к сожалению.
    • +3
      То есть, я правильно понимаю, что _теоретически_ вы легко можете сделать некий «ключ», который позволит просто просматривать все транзакции «извне» Я.Денег? Ооочень здорово :(
      • 0
        Давайте мы сначала с практическими вопросами разберёмся, а потом перейдём к теории. Нет, это так не работает.
        Автор этого поста — не «извне» Яндекс.Денег, это сотрудник магазина, который подключился к системе и заключил договор, и подписал с Яндекс.Деньгами документы, оставив свои данные и пройдя утверждение службы безопасности. По его ключу он мог смотреть операции в своём магазине. В течение пары часов этот список немного расширился. Он это заметил, сказал нам, мы всё починили и закрыли, система пересмотрена, теоретически и практически никакие не свои транзакции владельцы никаких ключей просматривать больше не смогут.
        • +1
          Тут претензии к этому:
          В течение пары часов этот список немного расширился.


          «Извне» означало что он не является сотрудником вашей организации.
          • 0
            Но тем не менее он подписал договор, в котором прописана его ответственность за разглашение данных пользователей, которые он получает.
            • 0
              Вы бы лучше объяснили, как так получилось, что «полномочия немного расширились».
              • 0
                Я вот тут написала развёрнутый комментарий, надеюсь, получилось объяснить!
            • –3
              Вот не надо врать! У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет. С юридической точки зрения я мог выкачать всё полностью — так как Яндекс.Деньги предоставили такую возможность. И мог использовать в своих целях. Мог? Мог.

              Мне категорически не нравится, что Яндекс.Деньги пытается сделать вид, что ничего страшного не произошло. А ваши заверения, что «не повторится» звучат, как минимум, неубедительно.
              • –1
                Вы не понимаете что не важно какие данные вам попали? Вам же сказали:
                в котором прописана его ответственность за разглашение данных пользователей, которые он получает.
                Не важно какие вам попали пользователи, важно что вы не можете разглашать инфу о этих пользователях.
                • 0
                  Там не написано, что я не могу использовать эти данные с личных целях, верно? Мне для того и передают данные о плательщиках, чтобы я их обрабатывал. Верно? Это мне договор разрешает. Следовательно, я мог их «обработать» и даже без публикации в общем доступе. Попытка ЯД свести к тому, что никакой опасности утечка не представляла — не правда, представляла и ещё какую.
                  Особенно милы бегания сотрудников ЯД за моими комментариями с минусами — и отсутствие конкретных ответов. Смех.
                  • 0
                    У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет.

                    Там не написано, что я не могу использовать эти данные с личных целях, верно?

                    Слушайте, ну Вы вот как то с одного на другое перескакиваете… Вроде говорили про неразглашение, теперь про использование. Да, в Вашем случае была ошибка с тем, что Вы можете посмотреть логи. Это плохо, но доступа к кошелькам Вы не имели. Возможность совершать транзакции от имени этих людей тоже. Вы увидели логи. Кроме Вас эти логи никто не видел. Безусловно данные могут нанести вред, если они попадут в руки мошенников. Хотя это будет не прямая угроза, а косвенная. Т.е. не снимут деньги с кошелька, а могут шантажировать, например, сомнительными покупками.

                    Вам объяснили что проблема только с Вами. Но Вы продолжаете наезжать на ЯД, придумывая все новые и новые причины. Извините, но я не понимаю чем мотивированно данное поведение.
                    • 0
                      > Вам объяснили что проблема только с Вами.
                      Неверно. Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я. А это не то же самое.
                      Как видите, они убедили хотя бы вас одного, что ничего страшного не произошло. Не сочтите за труд, перечтите комментарии в обсуждении, где объясняется, как квалифицированный маркетолог может использовать данные о всех платежах через ЯД за неизвестный (но, видимо, большой) период времени.
                      Шантаж — это придумали вы и это смешное использование такой ценной информации.
                      Да, доступа к кошелькам нет. Но можно проанализировать, на какие услуги и какие пользователи тратят средства. Узнать, сколько получают и за какие услуги конкуренты. Если вы не понимаете, насколько это ценная и опасная информация — я пас объяснять. Я — понимаю. Потому и действовал жёстко и быстро для закрытия дыры.
                      • 0
                        Да, наверняка информация важная, спорить сложно.

                        Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я.
                        Хм… Я понял иначе. Я понял что проблема именно с Вашим сертификатом. И, что бы проблема не повторилась, поменяли алгоритм генерации сертификата и Ваш сертификат. По логам видно, что такой возможности ни у кого больше не было, т.к. вы выполняли обычный запрос, с освоим сертификатом, который позволяет видеть больше других.
                        • +1
                          1. Пожалуйста, ещё раз перечтите один из вариантов официального ответа сотрудников ЯД:
                          Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
                          Стало понятнее? Это раз.

                          2. Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.

                          3. Мы с вами видим логи? Нет, и не увидим. Стал бы сообщать нам сотрудник ЯД, если бы выяснилось, что десятки мерчантов просматривали записи? Нет.

                          4. Технически, система позволяла простому мерчанту увидеть все платежи, это и есть дырища, об этом я и пытаюсь донести свою мысль. А Kirby пишет, что «утечки не произошло». Мол, ничего страшного. А утверждать такое, на мой взгляд, нелепо.
                          • 0
                            5. И дополню. Kirby тут подтвердила, что возможность получить те же данные была не только у меня:
                            Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
                            И, по её словам, в их логах видно, что они доступ не получали. Вопрос только как часто ротируются эти логи и можно ли верить им.
                            • +1
                              Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза
                              Ну вы же явно выдираете слова. Явно ведь, что такое могло бы быть, если бы ключ сгенерировался с ошибкой. Видимо такая ошибка коснулась именно Вас. Теоретически она могла коснуться кого угодно, но это не значит что возможность была не только у Вас.
                              • 0
                                Вот Вы упорный. Уже сотрудница ЯДа написала, что:
                                Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.

                                А Вы продолжаете настаивать, что такая ошибка коснулась только меня. Внимательнее читайте комментарии оппонента, я час назад специально для вас этот момент отметил.
                                • 0
                                  Не я упорный, а Вы видите лишь то, что хотите видеть. Вы читаете это текст вот так:
                                  Было еще два ключа, у которых была такая возможность, но они не использовали эту возможность, т.к. этого не было в логах.

                                  Я читаю текст так:
                                  В принципе, это возможность могла быть еще у нескольких ключей. Но ее не было, т.к. мы видим логах что они эти данные не получали.
                                  • 0
                                    Надоело бодаться, читайте апдейт к посту. Там всё сказано.
                                • 0
                                  А вообще, вы мастерски выделили лишь то, что Вам нужно. :)
                                  Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.

                                  =>
                                  это могла делать ещё пара ключей, выпущенных после нового релиза
                                  Но слово теоретически Вы не видите в упор. :) Да Вам бы заголовки желтых газет оформлять. :)
                                  • +2
                                    Достаточно слова «могла».
                                    • 0
                                      По просьбе ЯД добавлен апдейт к посту. В апдейте более компетентный сотрудник дала вполне конкретную информацию, которую упёршийся veitmen не желает замечать. А именно:

                                      Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013.

                                      Без всяких «теоретически» и даже без «могла». «Получили возможность». Но даже без этого апдейта, вы правы, достаточно слова «могла». Даже возможность утечки, которую не допустила отнюдь не СБ, это уже очень и очень серьёзно. Но я думаю, что уже все необходимые меры приняты и наведён шорох. Может будет наведён и порядок.
                          • 0
                            Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы
                            Как мне кажется, заметил, не в том контексте, о котором говорите Вы. Заметил, в смысле не мог заметить, т.к. не было возможности это заметить. А не вы смысле получал данные, но НЕ видел что получает именно расширенные данные. Исходя из этого, остальные доводы рушатся.
                            • 0
                              Что за мода отвечать в десятке комментариев? Тут.
                          • 0
                            Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.
                            А это, вообще ни о чем не говорит. МОгли «перевесить» права для ключа, могли поменять логику проверку ключей, могли много чего сделать. Ни Вам, ни ЯД этот пункт не добавит очков.
                            • 0
                              Что за мода отвечать в десятке комментариев? Тут.
                        • 0
                          Да, проблема вскрылась именно на этом сертификате. Больше этой «возможностью» никто не пользовался — и она просуществовала очень недолго, это быстро проверили.
                    • 0
                      Эти данные не могут нанести вред, если попадут в руки мошенников. Они могли бы потенциально нанести вред маркетинговому или коммерческому отделу, если бы хорошо скомпонованная база попала бы к конкурентам — при этом в базе не было личных данных, так что пользователи ни при чём. Подобные базы по разным средствам платежей есть у разных исследовательских компаний, обычно довольно дорого стоят, эта могла бы стоить дешевле. Вот и всё.
                      Статистика по платежам пользователей есть у всех магазинов и так, разумеется. И у каждой платёжной системы или системы платёжных решений тоже есть такая статистика. Её может быть интересно читать, но уж точно не опасно, тем более для пользователей.
                      • 0
                        Статистика содержала номера телефонов, емейлы, номера кошельков, товары и услуги вообще всех платежей за длительный период, сделанных через Яндекс.Деньги. Это опасно, в том числе и для пользователей. Пожалуйста, перестаньте утверждать очевидную нелепость. Выше этот вопрос подняли и обсудили, предложив несколько вариантов использования скомпрометированной статистике платежей Яндекс.Денег.
                        • 0
                          Во-первых, не вообще всех платежей, разумеется. Во-вторых, Вы как магазин видите «номера телефонов, емейлы, номера кошельков, товары и услуги» — это не личная информация пользователей. Это информация, которая Вам доступна после заключения договора, проверки СБ и выдачи сертификата. Теоретически Вы можете шантажировать пользователей, продавать свою базу другим магазинам, продать эти мейлы SPAM-генераторам и звонить пользователям по ночам. Пожалуйста, перестаньте преувеличивать.
                          • 0
                            Ещё раз извините, что не буду в очередной раз писать вам, что такое личная информация пользователей и что у нескольких мерчантов (и вы это подвердили) был доступ ко статистике всех платежей. Преувеличивать опасность утечки нечего, она и так значительна.
                            Но вы меня победили, я не хочу с вами что-либо обсуждать.
        • +1
          То есть, если придёт некий гражданин из КГБ и «попросит» ваших «безопасников», то ему всё-таки могут выдать аналогичный «расширенный» ключ.
          • –1
            Конечно же, он же «подпишет договор, в котором прописана его ответственность за разглашение данных пользователей, которые он получает».
            И кроме того, «истории успешных операций с конкретным магазином нельзя строго назвать «личными данными пользователей»".

            Сколько отговорок, прямо противно.
            • 0
              Ну если пользователь спрашивает о юридических формулировках и текущем законодательстве — как ещё можно сформулировать ответ?
          • +3
            Вообще все системы, которые работают в России, обязаны выдавать данные по запросу спецслужб, оформленному определённым образом. Эта процедура описана в законодательстве. Но если это и происходит, то не с помощью генерацией ключей.
    • +1
      Воспроизвести этот кейс больше никому не удастся. Никакой утечки данных не произошло.

      То есть вы хотите сказать, что если «случайно» стали доступны все остальные операции, то опасности никакой это не представляло и распарсить невозможно? Ну и конечно же с остальными такого просто не могло произойти, потому что это на сей факт была воля случая?
      Почему данный случай обязательно единичный если он произошел в глобальном контексте механизма генерации ключей?
      • +1
        Там не были доступны «все остальные операции». То, что это единичный случай, было видно в логах. Это не самый популярный сервис просмотра статистики для небольших мёрчантов, список запросов виден и фиксируется. Проблема была не в механизме генерации ключей, а в одном конкретном сертификате одному конкретному магазину. Как автор пишет и выше, его даже не перевыпускали, просто поправили.
        • +1
          А в чём смысл задавать вопрос и потом минусовать ответ? Не хотите читать ответ? Ок :)
          • +1
            Если претензия ко мне, то я этим не занимаюсь. Постоянно в дискуссии участвовать, к сожалению, не могу.
            По существу — приготовьте официальный ответ на вопросы и расставьте точки над «и».
            Впитывать контекст из комментариев немного не то чего хотелось бы и вам, и читателям я полагаю.
            • 0
              Это вопрос в «воздух», конечно.
              Ответы на все вопросы я уже несколько раз написала в комментариях — всё-таки лучше, мне кажется, отвечать на конкретные вопросы пользователей, а не распространять готовый документ в этом случае. Вот ответ на Ваши вопросы:

              Доступ к этому сервису даётся отдельно каждому мёрчанту по сертификату после подписания договора. После последнего релиза этот мёрчант (автор поста) получил сертификат с немного расширенным функционалом. Релиз был недавно. Увидел функционал только один мёрчант (это видно по логам). Релиз откатили. Ситуация была замечена в течение пары часов, только автором поста, и больше, разумеется, не повторится.

              Пользователи от этого не могли пострадать. Интерфейс просмотра платежей в магазины не выдавался кому попало, использовал защищённый протокол; он был открыт только подключенным магазинам после заключения договора.

              То есть мы говорим не об «уплывании в паблик», а о недостаточном ограничении полномочий технических специалистов, допущенных к информации. Это не равно «любой человек с улицы может получить личные данные пользователей, любых и за всё время!». Заголовок этого поста несколько искажает реальность.

              Сейчас ограничение, о котором я говорю, достаточное. Клиент сервиса (единственный, который это заметил) оповещён моментально обо всех изменениях.
              • 0
                Надеюсь теперь вы будете тестировать тщательнее релизы до продакшна и пожелаю вам в этом успехов без иронии и сарказма :)
                • 0
                  Я прочитала такую переписку за эти сутки и столько всего услышала разного от разных людей, что без иронии и сарказма говорю: всё под контролем!
        • +1
          > Проблема была не в механизме генерации ключей, а в одном конкретном сертификате одному конкретному магазину.
          Вы меня конечно извините, но объясните, как такое может быть? У вас там что ли все сертификаты ручной работы? Да и даже если так — значит проблема не в самом сертификате, а в том, как (кем) он был сгенерирован, а значит за это кто-то должен нести ответственность.
          • 0
            Доступы к системе, которую описывает автор, да, выдаются руками, конкретным менеджером конкретному мерчанту. Этот кто-то несёт ответственность, конечно. В частности, он уже исправил этот ключ и участвовал в изменении самого механизма генерации.
            • +1
              Если проблема не в механизме _генерации_, как вы сами написали — то какова была необходимость его менять/исправлять?
              Если же проблема была в механизме _проверки_ сертификата то его (сертификат) не нужно ни менять, ни перевыпускать (что и имеет место быть, судя по вашим словам), но тогда это означает, что вы не можете гарантировано утверждать, что проблема была только в _одном_ сертификате топикстартера и никто другой не имел доступа к данной чувствительной информации. Так как же быть?
              • 0
                Доступ к этому сервису даётся отдельно каждому мёрчанту по сертификату после подписания договора. После последнего релиза этот мёрчант (автор поста) получил сертификат с немного расширенным функционалом. Релиз был недавно. Увидел функционал только один мёрчант (это видно по логам). Релиз откатили, сертификат со старым функционалом. Ситуация была замечена мгновенно, только автором поста, и больше, разумеется, не повторится.
                • 0
                  Из habrahabr.ru/post/194106/#comment_6739952
                  Сообщение об ошибке мы отправили, пробовали даже звонить своему менеджеру. Но по личному опыту — сотрудникам Яндекс.Денег вечно некогда. В последний раз, добиваясь ответа от ЯД мы несколько раз звонили, несколько раз писали в несколько известных адресов три недели.

                  и из вашего комментария habrahabr.ru/post/194106/#comment_6743182
                  мы изучили всю переписку — от момента получения Вами доступа до публикации поста на Хабре прошло примерно два часа.

                  следует как минимум то, что одна из черепашек %врёт%:
                  1) В одном случае — это топикстартер, который не дождался ответа поддержки (какая бы хреновая или замечательная она не была) — 2 часа это не срок для выкладывания 0-day уязвимости в паблик с чистой совестью, это как минимум не прилично.
                  2) В другом случае
                  Доступ к этому сервису даётся отдельно каждому мёрчанту по сертификату после подписания договора. После последнего релиза этот мёрчант (автор поста) получил сертификат с немного расширенным функционалом. Релиз был недавно.

                  А по заявлению автора поста это 3 недели.
                  И в любом случае, неужели, у вас бизнес процессы поставлены таким образом, что менеджер технически имеет возможность выдать сертификат с расширенными правами, а также участвует в процессе баг-фиксинга алгоритмов? Я надеюсь, что он хотя-бы не код пишет.
                  • +2
                    Я так понял, несколько месяцев автор ждал решения по другому вопросу.
                    А сейчас сразу сюда написал, помня о прошлом печальном опыте.
                  • +1
                    Ну, у нас есть логи доступа к тому, что на скриншоте, и письмо от менеджера, в котором выдан ключ. Между этими двумя событиями (выдача доступа/письмо о баге/пост на Хабре) — около двух часов.
                    Пытаемся понять, были ли сигналы хотя бы в течение суток до. Пока их следов найти не можем. Запрос доступа и сообщение о баге были от разных представителей одного мёрчанта.

                    Можем найти звонок автора в саппорт, если автор сообщит номер телефона, с которого он звонил. И проверить «нерусский акцент».

                    Про бизнес-процессы я могу написать цепочку, но не уверена, что мне прямо сейчас разрешит служба безопасности. Я уточню. Простите :(
                  • 0
                    И ещё я жду технического комментария с деталями, которые я не рискну пересказывать своими словами. Он будет тоже чуть позже. Надеюсь на понимание :) Согласовываем.
        • –1
          > Проблема была не в механизме генерации ключей, а в одном конкретном сертификате одному конкретному магазину. Как автор пишет и выше, его даже не перевыпускали, просто поправили.
          Сертификат нельзя «просто поправить». Если не понимаете, о чём пишите — попросите отвечать в комментариях компетентного специалиста.
          • 0
            Я хорошо понимаю, о чём пишу, сверяю свои комментарии с руководителем группы разработки, и пытаюсь простыми словами объяснять пользователям сложные технические детали. И при этом мне удаётся оставаться вежливой и не переходить на личности, здорово, правда?
            • 0
              Однозначно! Спасибо Вам за это! Это как раз то, до чего многим компания еще расти и расти. Эх, как часто не хватает живого человеческого общения с компаниями, вместо заскриптованных ответов поддержки…
            • 0
              Я не хотел этого делать, для меня вопрос, поднятый в посте давно закрыт. Но вы меня вынуждаете подтверждать свои слова, пытаясь оставить за собой последнее слово. Ваши сотрудники дали несколько вариантов произошедшего.

              1. технически — ваш ключ неправильно обрабатывал фильтр «все магазины» — вместо всех магазинов, обслуживаемых на вашем договоре, отдавал более широкую выборку.
              изменен сценарий генерации ключей — изменены участвующие роли и добавлено выполнение дополнительных проверок сгенеренного ключа.

              (с) grachevamari
              Это из паблика. В личной переписке мне так же подтвердили, что проблема была именно в выданном мне сертификате-ключе, а не в системе.

              2. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
              © Kirby
              Это тоже из паблика. То есть, была проблема именно в системе статистики. Но, как вы утверждаете, заметил только я. Но, как честный человек, не воспользовался.

              Кто из сотрудников ЯД пишет неправду? Ваша версия звучит правдивее, готов признать.
              • +1
                Блин. Есть ключ. По ключу вы идентифицируетесь. К ключу привязаны роли. Каким образом они привязаны — это другой вопрос. В выданном вами ключе были привязаны не те роли.
                Анна пишет что из логов видно, что запросов содержащих расширенную инфу не было. И это логично, т.к. к другим ключам привязаны верные роли. Больше в логах они ничего не увидели.
                Что не понятно то?
                • 0
                  Анна, это, видимо, Kirby? Я не настолько знаком с сотрудниками Яндекса, чтобы соотносить их ники — с их реальными именами.
                  • 0
                    Эм… Ну комменты то читайте.

                    habrahabr.ru/post/194106/#comment_6744006

                    Я тоже не знаком, вот только читаю этот тред.

                    • 0
                      Вроде как тут принято идентифицироваться по никам? ОК, вы не знакомы с этим сотрудником ЯД, какое это имеет значение вообще, верно?
                      Если вам интересно обсудить технические детали — давайте сделаем это в одной ветке. Только без «блинов».
              • 0
                Я пытаюсь отвечать на вопросы, чтобы не оставить их без ответа. Мне жаль, что Вы воспринимаете это как «попытку оставить за собой последнее слово». Другие пользователи задают мне вопросы — я на них отвечаю. Если Вы не хотите, чтобы я отвечала на Ваши вопросы, зачем Вы задаёте их мне?

                Маша пришла к Вам разговаривать сразу после публикации поста, я — после того, как поговорила со всеми разработчиками. Ваш ключ неправильно обрабатывал фильтры. Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах. Мой ответ ответу Маши не противоречит, он его дополняет.
    • 0
      1. Я мог выкачать все данные всех платежей? Да. Утечка данных была допущена. Сотрудники нашей компании, будь они менее щепетильны, могли воспользоваться дырой и загрузить все абсолютно платежи за весь доступный период. Так? Так.
      2. Вы правы «в течение последних недель, когда я получал свой ключ». Эта примитивная операция заняла даже не несколько недель, а несколько месяцев. Хотя достаточно пары часов.
      3. Вы договоритесь, что писать в паблике. Один ваш сотрудник говорит, что проблема была именно с нашим ключом. Вы же сейчас говорите, что «расширенная возможность», как вы называете дырищу в безопасности была замечена только мной. И мы все должны поверить вам на слово? У вас тысячи мерчантов, и я не верю, что только у меня хватило мозгов выбрать «ВСЕ» в списке платежей.
      4. Где извинения в паблике перед Вашими клиентами за допущенную утечку личных данных? Утечка была допущена и, как бы вам не хотелось подать под другим соусом — очень серьёзная утечка.
      • 0
        Могли, но не выкачали. Утечка данных не была допущена. Личные данные — это не те данные, которые были Вам доступны в течение двух часов. Если «вы все» не хотите верить нам на слово, зачем Вы продолжаете задавать десятки вопросов в комментариях?
        • 0
          Затем, что я — пользователь Яндекс.Денег. И я хочу, чтобы реально предприняли реальные меры по увеличению безопасности транзакций. То, что произошла утечка — реальная проблема, не пытайтесь убедить, что это не так. Вы пишите: «Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.»

          То есть, техническая возможность доступа у других мерчантов была. И это было, по-видимому, намного больше двух часов. А это — серьёзная уязвимость и показатель отношения к безопасности данных транзакций. Воспользовался ли кто-нибудь ещё обнаруженной «фичей»? Даже если вы знаете, что кто-то воспользовался, вы этого не опубликуете. Потому что это означало бы, что кладезь маркетинговой информации, включая емейлы, телефоны и кошельки активных покупателей попал не в те руки. Тут уже объясняли ценность и опасность этой информации, можете ознакомиться с мнением хабрапользователей.

          Раз вы так ставите вопрос: «зачем Вы продолжаете задавать десятки вопросов в комментариях» я не буду больше ни о чём вас спрашивать и тем более — отвечать вам.
          • 0
            Мы реально приняли реальные меры и сообщили Вам об этом разными способами. Утечки не было. Если бы мы знали, что этим кто-то воспользовался, мы бы приняли меры, и они были бы наверняка заметны публично (например, судебные разбирательства, или с Вами бы связались юристы).
            • 0
              Погрозить пальчиками юристов клиенту, высказывающему претензии — отличный ход, браво, сотрудник Яндекс.Денег!
              Простите, но я впредь остерегусь вам лично отвечать. Мало ли что.
              • –1
                О Господи. Я имела в виду, что если бы данные утекли, Вы бы (лично Вы — совершенно точно) об этом узнали, что бы я ни хотела писать на Хабре.
                • 0
                  Если бы я хотел, чтобы данные утекли — я (лично я) бы никогда не написал этот пост на Хабре. И вы бы (не лично вы, а сотрудники Яндекс.Денег) никогда бы не узнали, кто конкретно выгрузил все данные по ключу нашей компании. А скорее всего, вы бы даже никогда и не заметили бы, что данные были выгружены. Вы же не заметили, что кто-то получил доступ к тем платежам, к которым не должен был получить, верно?
                  Да, возможно это была бы юридическая проблема. Возможно юристы вашей компании связались бы с юристами нашей компании. Но была бы проблема для компании, а не для меня лично. Так что лично со мной, совершенно точно, Ваши юристы бы никогда не связались.

                  Ну что за мода у вас вести дискуссию, я не пойму. Вы легко умудряетесь достигнутые другим сотрудником ЯД мир и дружбу разрушить такими примитивными намёками… Я в вас лично окончательно разочаровался, пожалуйста, не надо мне писать.
                  • –1
                    И вы бы (не лично вы, а сотрудники Яндекс.Денег) никогда бы не узнали, кто конкретно выгрузил все данные по ключу нашей компании
                    Ну что Вы как маленький, ей богу. Узнали бы по логам.
                    • 0
                      Это вы сейчас — как маленький. В логах написано моё имя? Они бы узнали по логам, что для аутентификации использовался сертификат нашей компании и некий IP, возможно китайского прокси, с которого был доступ. Заметили это они бы не сразу, далеко не сразу, если бы вообще заметили. Так что, повторяю, кто конкретно выгрузил все данные по ключу нашей компании — они бы никогда не узнали. Доступ к ключу имеет ограниченный круг лиц в компании, да. Но это не только я лично один, но и отдел обработки платежей, теоретически, старшие администраторы компании и администраторы офиса, а так же их руководство тоже могли бы получить доступ к ключу. Разумеется, и я тоже. Более того, сертификат пересылался по обычной почте. И утечка могла быть допущена при передаче. Эти почтовые серверы… ну вы понимаете.

                      Пожалуйста, думайте, прежде чем писать комментарии. Надеюсь, после моего объяснения вам стало понятнее, что сотрудники Яндекс.Денег никогда бы не узнали, кто конкретно выгрузил все данные по ключу нашей компании. Это просто технически невозможно.
                      • 0
                        Слушайте, вы как первый раз женаты.
                        Так что, повторяю, кто конкретно выгрузил все данные по ключу нашей компании — они бы никогда не узнали.
                        Они бы узнали по логам, что для аутентификации использовался сертификат нашей компании и некий IP, возможно китайского прокси, с которого был доступ.

                        Так вот, виноват будет тот, кто договор подписывал (либо компания как ЮР. лицо). Т.к. он должен был соблюдать условия договора. Вы сейчас говорите не как взрослый человек, который понимает что такое договор и что такое ответственность по соблюдению договора.
                        • 0
                          Вы, видимо, плохо понимаете русский язык. Сотрудник ЯД написала:
                          с Вами бы связались юристы
                          Вы бы (лично Вы — совершенно точно) об этом узнали
                          Лично я. Не компания, не юридическое лицо. А лично я.
                          Вы влезли с глупым комментарием, что узнали бы по логам. Но, повторяю, в ЯД по логам лично обо мне (а речь сотрудник вела лично обо мне!) в ЯД никогда бы не узнали, если бы я не захотел. Узнали бы о компании, да. Но на каком этапе произошла утечка ключа и к кому он утёк — доказать никогда бы не смогли, как не смогли бы доказать и вину компании, кому они передали ключ. Вина — только на ЯД, что они дали доступ (замечу, не только по нашему ключу, как вы тут неправильно поняли — читайте апдейт к посту!). И они этого, замечу, не отрицают.
                          Вам стоит признать, что вы ошиблись.

                          А что до договора, то вы его вообще видели? Я его читал. Пожалуйста, лично Вы сообщите мне пункт в нашем договоре с Яндекс.Деньги (хехе) какой именно пункт был бы нарушен, если бы я выгрузил и если бы использовал предоставленные мне статистикой ЯД данные. Не знаете? Не читали наш договор с ЯД? Тогда разговор считаю закрытым.
  • 0
    Подключал как-то систему Альфа-клик, работал с девел-инсталляцией, но ситуация была такая же — все платежи всех магазинов были видны в одной таблице. Повторюсь, девел. Да продакшна кстати так и не дошло.
  • 0
    Говно-сервис! Яндекс потихоньку превращается в майл.ру, но при этом понты мечет как некая «корпорация добра».
    Надысь пытался вывести деньги на карту. Уж лучше бы, дурак, биржей воспльзовался. Процент в среднем одинаковый (что биржи, что яндекс). Только биржи выводят моментально, а яндекс «от одного до 6 дней». Третий день — денег нет. Уже и с техподдержкой лаялся впустую.
    На вопрос «система написала — платёж успешно совершён, процент списался, сумма исчезла. А на карту не поступила. Вопрос — в какой виртуальной дыре мои средства сейчас находятся? Где они вообще могут неделю «без хозяина» вращаться»??? Почему Яндекс не делает таких проверок при зачислении?
    Девушка из тех.суппорта ляпнула что эта задержка обусловлена работой их СБ. Вы что, проверяете не отмывает ли наркомафия свои доходы через Яндекс суммами по 100$? Или боитесь что кто-то обирает ваших пользователей и нагло выводит по 2тыр.? Полный дурдом! Или захотелось, чтобы как у «взрослых дядей» своя служба безопасности трепет на всех наводила?
    На предложение «нафиг мне такой сервис — отменяйте операцию» — «к сожалению, это невозможно!».
    Короче, прежде чем учить других участников рынка IT-технологий, свои косяки для начала исправьте (это касается всех направлений вашей деятельности!). Ну и плюс вы точно потеряли одного клиента!
    • +1
      К яндексу отношения не имею. Но там при выводе средств русским по белому написано «до 7 рабочих дней». В чем проблема то?
      • 0
        Дык подобные сроки указывают на всех электронных платёжных системах. И, как правило! это лишь для того, чтобы избежать всяких разбирательств в случае форс-мажорного нарушения сроков. По факту обычно зачисления происходят в течение минуты (полу-часа, максимум). На любой бирже всегда есть подробное разъяснение по срокам (вывод на карты таких-то банков — автоматически в течение минуты, на такие-то — в ручном режиме в течение часа и т.д.).
        И только Яндекс втихушку отмалчивается, что вывод происходит в ручном режиме и каждый платёж вручную, якобы, должна проверять СБ. 21 век, мля! А по факту, скорее всего, тупо замораживают средства, вдруг кто из пользователей предъявит претензию на факт мошенничества.
        Ну впрочем, глядя как Сбербанк зачисляет средства на Яндекс (по идее в рамках одной системы, или по крайней мере одного ООО) — «обработка платежа произойдёт в 9 утра» ))). Ну там-то хоть можно отменить платёж.

        P.S. А какой способ самый быстрый? Через их карту? Через недо-банк «МоскоуПриват»?
        • 0
          Да кто его знает какой самый быстрый. Меня неделя устраивает.
          У вебманей — аналогично, тупят с неделю. Про развеселые схемы с пейпалом — вообще промолчу :)

          В чем суть вашей претензии не понятно. Указан срок, срок не нарушен.
          Вам не нравится такие сроки, и вы не будете пользоваться этой системой более.
        • +1
          Быстрый вывод — если не ошибаюсь, на привязанный счет Альфы, карту Открытия, либо снятие в банкомате с карты Яндекс.Денег.
        • 0
          Про СБ явно произошло недопонимание. Сроки вывода зависят от: банка, времени дня, дня недели как минимум. Да, 6 рабочих банковских дней — это максимум. Обычно быстрее. В том числе бывает в течение нескольких минут-часов.
          • –6
            Сейчас только сходил проверил карту — по нулям. Раз уж Вы выступаете их адвокатом, разрешите задать Вам ряд риторических вопросов?
            1) Куда делись деньги? На счету яндекса их нет. На карте получателя — нет. Операцию отменить невозможно. Куда МОИ средства исчезли из этой вселенной? Они поступили в личное распоряжение их дурдомной (а иначе и не назовёшь — если они все движения средств по счетам проверяют вручную) СБ? И если я расторгну все отношения с Яндексом — мне сколько ждать возврата МОИХ денег из чёрной дыры? Или это такая фишка — все выводимые средства можно спокойно крутить неделю (т.е. крутить некую, в среднем выводимую, сумму. ибо запаса в 6 дней хватит с лихвой, чтобы предусмотреть все накладки )…
            2) Просят не создавать дополнительных запросов в техподдержку (аргументируя тем, что якобы они все равно станут в конец очереди, а по факту не хотят нагружать себя) — я сейчас им назло насоздаю СТОЛЬКО обращений! Ибо достали, и терять мне уже нечего!
            3) Яндекс все время позиционируется как «гигант IT-отрасли». О каком IT тут вообще может идти речь? На почтовых лошадях финансовые уведомления быстрее дошли бы!
            4) Убогое страница хелпа. «Для фрилансера» — и бла-бла-бла… Даже Вебмани (тоже, та ещё контора) предлагает «для вывода с минимальными потерями», «для быстрого вывода».
            5) На список банков лучше не ссылаться! Приват, Открытие и Альфа… Смешно!

            Короче — говно-сервис! Который тупо захапал МОИ деньги, а ситуация у меня сейчас именно критичная в финансовом плане! И потеряет он не одного клиента, а добрый десяток (ибо многие мои друзья воспримут подобную ситуацию крайне серьёзно). Я бы много мог вывалить какашек на «гиганта отрасли» в любых областях их деятельности (в том числе и идеологии), но это будет совсем уже оффтоп!

            P.S. Некий представитель (или сочувствующий) Яндекса уже успел насрать мне в «карму», не поняв одной вещи — на «карму» мне тут давно уже плевать, а вот с «кармой» в прямом значении этого слова, у меня всё в порядке (в отличие от грёбаного Яндекса!).
            Я закончил! )))))))))))))))))
            • +1
              Я, с Вашего позволения, отвечу только на содержательную часть вопросов.

              1. Платёж обрабатываются банком, который выпустил карту получателя. Или банком-посредником.
              2. Движения средств по счетам не проверяют вручную. Если у Вас сохранилась история переписки со службой поддержки, я с радостью разъясню те слова, которые Вы так поняли.
              3. Да, это специфика вывода денег на карту — они идут до шести рабочих дней. Я понимаю, почему это может быть неудобно, но не до конца понимаю, почему Вы, совершенно точно увидев этот срок в поле «Срок перевода» до перевода, сейчас говорите, что что-то идёт не так :( Это же даже не написано мелким шрифтом или там непонятными юридическими терминами :(
              4. Пожалуйста, создавайте столько обращений, сколько Вам удобно. Сотрудники саппорта ответят на все. Правда, вряд ли они смогут ускорить срок перевода, как бы каждому из них лично это ни хотелось сделать.
              5. По ссылке «Снять деньги со счёта», доступной на каждой странице Яндекс.Денег в левой колонке, есть такое меню:

              image

              Нам оно кажется довольно удобным, что Вы предлагаете добавить?
              6. Вывести деньги можно на счёт любого российского банка и на счета физических и юридических лиц в 22 странах мира, в том числе в США, Китай, Республику Корею, Украину и проч.

              Я карму раздавать не умею, так что точно не я.
              • –2
                clip2net.com/clip/m234482/1379509933-clip-7kb.png
                clip2net.com/clip/m234482/1379509881-clip-19kb.png
                Какой огромный выбор вы мне дали для «мгновенного» снятия! Я даже и не знаю где искать эти банки.
                • +1
                  Использовать Яндекс.Деньги мгновенно можно или с помощью карты, или в интернете (оплачивая товары и услуги Яндекс.Деньгами). А как Вы мгновенно снимаете наличные деньги со счёта в банке? Приходите в отделение или используете выпущенную заранее карту, так?
                  В первом скриншоте не указан ни номер тикета, ни имя сотрудника, к сожалению.
                  • –1
                    Зачем Вам тикет и сотрудник? Преференции мне не нужны («Э, да тут не кран надо менять, а всю систему» (с) сантехник Петров). А отдельного сотрудника, тем более, если что, подставлять не хочется. При желании сами достаточно просто его найдёте.
                    У меня только одно пожелание — чтобы всем сотрудникам яндекса раздали карты разных банков и зарплату им начисляли на счёт яндекс.денег! )) Вот тогда и посмотрим, насколько эмоциональной будет уже ВАША реакция…
                    А всем минусующим — отдельный привет! Вот когда окажетесь в подобной ситуации, без копейки денег в кармане — тогда и вспомните эти минусы и скромненько припадёте к кранику святого Духа!
                    • +1
                      Сотрудники Яндекс.Денег пользуются Яндекс.Деньгами и картой Яндекс.Денег, поэтому я Вас и подвожу к мысли, что если нужно срочно, то есть другие варианты.
    • 0
      image

      К сожалению, Вы выбрали не самый быстрый способ вывода денег. Об этом сообщается на странице сервиса. :(
  • +2
    Мне понравилось что сотрудники Яндекса отлично проявили себя. Достаточно быстро откликнулись и описали суть проблемы. Спасибо.

    Все совершают ошибки. Очень досадно, что такая оплошность появилось в хорошем сервисе. Очень хорошо, что компания, как мне показалось, ведет себя достаточно прозрачно. Никакого «скатывания» к Mail.ru я пока не замечаю.
  • 0
    Мне кажется, не очень хорошо выкладывать такие уязвимости в паблик. Ладно сам Яндекс, но могли пострадать другие пользователи Я.Денег.
    Личную переписку тоже обычно не выкладывают.
    • 0
      Другие пользователи пострадать не могли, это не тот вид уязвимости. Извините, что встряла :)
      • +2
        Да, в данном случае не могли, как выяснилось в итоге.
  • –1
    Знаете… вот почитал я и ужаснулся…
    Честно.

    ЯД, Вы вобще понимаете, что для Вас самое ценное? Что является самым ценным вообще для фирм, работающих с деньгами?
    Это — доверие. Это очень ценный и очень медленно накапливаемый ресурс, который Вы только что очень сильно просрали — ибо Хабр читает довльно обширная аудитория, и далеко не все буду читать комменты, и разбираться что к чему — увидели ситуацию — запомнили. Будет всплывать при разговорах о ЯД.

    Мало того, что Вы увидев такую ситуацию, не кинулись опрометью к сотруднику, отвечающему за связи с общественностью с криком «ААА, надо срочно что-то делать», чтобы он понятным языком описал ситуацию, попытался ее как-то сгладить, что из этого вышло и т.д. Чтобы найти отвественных и наказать и продемонстрировать это — чтобы люди поняли — ЯД действительно печется о старается сделать все возможное чтобы в будущем это не повторилось.

    Так еще и появляется некий сотрудник, который ПРОСИТ топикстартера, чтобы он назвал ему какую-то информацию. Какая информация? Вы проштрафились — Вы должны из кожи лезть вон, чтобы разобраться что и как а не заставлять человека давать Вам каку.то информацию. Он потом еще и в личку начинает ему всякую чушь писать — и Вы ЕЩЕ ТЕРЯЕТЕ часть своей репутации.

    Наконец приходит Аня, пытается объяснять — но время то уже упущено.

    Я вообще топикстартеру готов пива поставить что он, не смотря ни на что, звонил и пытался найти Димона (но не нашел, Яндекс, Димон и свободный график — ау! Вы там жить должны были пока ситауация остается таковой). Я бы его сразу на #$% послал. Сотруднечек, блин.
    Вы должны были максимально быстро связаться с топикстартером, объяснить ситуацию, постараться все уладить в кратчайшие сроки (А в это время PR отдел должен был улаживать ситацию в паблике). Это же бизнес? Нет? Просто конторка? Ну, извините…

    Какая Вы нафиг компания, претендующая на какие-то звания, если у Вас элементарные аксиомы не прописаны. Если у вас в отделе такой бардак, если непонятные люди отвечают за непонтяные вещи — генерят вручную сертификаты, пытаются заместить PR менеджера и т.д. — КАК ВАМ МОЖНО ДОВЕРЯТЬ ДЕНЬГИ?!!!

    Яндекс, ВЫ — УЖАСНЫ.

    P.S. ИМХО — как раз такие ситуации и должны выкладываться в ПАБЛИК — иначе все так и будет всегда и на авось, и никто чесаться не будет, и надо выкладывать фио сотрудников и че и как — чтобы в будущем люди могли выбирать с кем работь, и кому доверять. А так хоть иногда, но сыр катаемый в масле занимает место на сковродке. А ошибаться да — все могут, а вот реагировать должны по разному — и то, что сканало бы для киоска не должно канать для большой компании да еще и стакими амбициями.
    • +1
      Справедливости ради: то, что описано в посте, закрыли в течение нескольких минут после публикации поста. Потом обсуждали в переписке, что это было, и формулировали позицию. Действия и правда нескоординированные — но и ситуация очень нестандартная, я могу понять всех участников процесса, по-человечески.
      Сейчас будем по очереди ходить к автору и извиняться, и объяснять всем детали, и отвечать на вопросы в разных формулировках, пока ситуация не прояснится.

      Сертификаты, кстати, для мёрчантов генерить вручную после подписания договора — это очень хорошая практика. Которая здесь дала сбой совершенно не из-за действия менеджера, который подписал договор. И вся ситуация развилась в течение часа: магазин нашёл «фичу» ключа ровно в течение двух часов после доступа, и моментально опубликовал всё на «Хабре». Да, мы все одновременно прорабатывали позиции и искали историю вопроса («Неужели правда предупреждали несколько недель?»). Будем продумывать координацию в таких ситуациях дальше.

      Меня зовут Анна Сергеевна Заболотная, я — community-manager, отвечаю за все блоги и социальные сети Яндекс.Денег (Twitter, Facebook, VK.com, Я.Ру), пишу посты, читаю комментарии, транслирую мнение компании, пересказывая его, если нужно, своими словами.

      Я не думаю, кстати, что время упущено, если нужно разобраться — за пять минут такие вопросы не решаются, позиции не формулируются, и ошибки не вычисляются. Только закрываются «фичи» и удаляются доступы. Это было сделано сразу.
      • 0
        А вот к Вам Анна, как раз и нет никаких вопросв — это в к ВАМ должен был бежать Ваш сотрудник, как только заметил этот топик.
        Я не первый раз вижу посты от Вас — и в компетентности Вашей не сомневаюсь. Вы, во всяком случае постарались как можно четче ответить и как-то уладить ситуацию. И если что-то можно было сделать после всего для репутации компании — Вы это сделали, чего не скажешь о некоторых других господах…
        • +3
          Со всеми господами мы уже пообщались, господа готовы сдать мне пароли от своего Хабра и подавлены моим личным гневом.
          Спасибо за понимание и за то, что даёте нам шанс.
          • 0
            Хы. :) Браво!
    • 0
      Мне кажется вы не до конца разобрались в ситуации. То, что человек выложил в паблик эксплойт, не связавшись со СБ, это жесть. За такое могут и сажать, я думаю. И абсолютно не важно как с ним до этого общались. Обычно сначала пишут о уязвимости компании, потом, уж если компания ничего не предпринимает, пишут в паблик. Такие вещи не должны попадать в паблик сразу, а только после фикса, либо если компания остолоп и не реагирует на траблы. Я не очень хорошо знаю как это будет «по закону», но то что я вижу, ведь явно жесть. И жесть сделанная автором, а не ЯД.

      Явно и то, что больше это никто не подтвердил. Явно то, что автор по этому вопросу не связался с ЯД.

      Как мне кажется, автор поста просто пиарится.

      ЯД молодцы. Мне понравилась их реакция тут, в комментах. Ребята переживают и стараются не ударить в грязь лицом. Просто все люди делают это по разному. Поведение некоторых мне не импонирует, высказывания других заслуживают внимания и должного уважения.

      Яндекс, ВЫ — УЖАСНЫ.

      И это тоже похоже на вброс.
      • +1
        Автор писал тут коммент, что они сообщили об ошибке.

        Это раз, во вторых никто никого сажать за это не может — если бы он получил из этого материальную выгоду — это да, тогда можно, а так это правила хорошего тона просто и все.

        Жести я здесь никакой не вижу. Яндекс не опроверг и не подтвердил что у него существует обращение, написали только что с момента выдачи сертификата и обращения прошло 2 часа. Автор это не комментил — кто хочет тот тому и верит )

        Вброса никакого не было — я прочел и написал что думаю. Или высказывание своего мнения становится сразу вбросом?

        И чем Вам понравилась реакция ЯД-а? Ответами господина Дмитрия?

        Ибо налицо некорректная работа с клиентом в принципе, почитайте Дмитрия еще раз, а в личку писать это тоже нормально? Единственно кто вышел потом нормальный от Яндекса — это Анна — но Вы по времени посмотрите КОГДА это было.

        Вы сами то случаем не сотрудник Яндекса, что так его защищаете?
        • 0
          Письмо из компании автора об ошибке пришло примерно за два часа до поста на Хабр, и это письмо пришло со скриншотом менеджеру в коммерческом департаменте, а не в саппорт и не техническим специалистами — и не от автора этого поста, а от другого сотрудника его компании.

          Я понимаю, что мы всё равно должны были отреагировать быстрее, но хотела бы всё-таки дождаться автора, чтобы он подтвердил, что мы не динамили его неделями, пока он всеми способами сообщал об этой «неожиданной функции». Да, вероятно, были какие-то проволочки в общении с менеджерами в целом, но точно не в обсуждении этой ситуации.
          • –1
            Мне кажется, я вполне однозначно высказался и кто хотел понять — поняли.

            Меня динамили по другим вопросам месяцами ваши сотрудники. Именно поэтому я сначала распорядился позвонить и написать вам об обнаруженной дырище. А когда немедленной реакции не последовало (а я уверен до сих пор, что её последовать и не могло) — я выложил информацию в паблик. Замечу, никакой личной информации выложено не было. Если кто-то ещё мог воспользоваться этой «фичей» из мерчантов — он наверняка ей воспользовался и без меня.
            Пост на Хабре помог закрыть доступ к сервису очень быстро, так что свою цель пост достиг. Я считаю, что действовал абсолютно правильно — подобные «фичи» надо закрывать немедленно, а не ждать, пока раскачаются вечно медлительные сотрудники ЯДа.

            Пост и реакция сотрудников ЯД отлично демонстрирует, какой бардак творится у вас в ЯД с менеджерами. В личной переписке мне сообщил сотрудник, какие меры будут предприниматься — в целом, звучит убедительно, если удастся, конечно.
        • 0
          Я не сотрудник Яндекса. Я пользуюсь то ЯД, маркетом и недвижимостью из их продуктов.

          И чем Вам понравилась реакция ЯД-а? Ответами господина Дмитрия?

          Как я уже сказал, все люди разные, и все реагируют на проблему так, как умеют. Я же написал что некоторые мне не понравились, другие наоборот. Мне понравилось то, что они реагируют и явно переживают. Вот что мне явно импонирует. И поэтому я не согласен с:
          Мало того, что Вы увидев такую ситуацию, не кинулись опрометью к сотруднику, отвечающему за связи с общественностью с криком «ААА, надо срочно что-то делать», чтобы он понятным языком описал ситуацию, попытался ее как-то сгладить, что из этого вышло и т.д.
          Скорее они это и сделали, но не очень организованно и каждый со своим планом.

          если бы он получил из этого материальную выгоду — это да, тогда можно, а так это правила хорошего тона просто и все.
          Да. спасибо за разъяснения, не знал.

          Вброса никакого не было — я прочел и написал что думаю
          Просто вы сделали вывод на основании, как вы сами сказали:
          Яндекс не опроверг и не подтвердил что у него существует обращение, написали только что с момента выдачи сертификата и обращения прошло 2 часа. Автор это не комментил — кто хочет тот тому и верит
          Я не вижу смысла не верить ЯД, по поводу двух часов, поэтому и считаю что автор поста скорее пиарится. И именно по этому я считаю что Ваши слова более похожи на вброс, т.к. пофикшенная уязвимость за два часа это есть скорее плюс, чем минус, особенно с учетом того, какая компания большая. Но даже если мы считаем что это не проверенная информация, выводы на основе этой информации делать нельзя.

          К сожалению, исходя из моих же слов, мои слова по поводу того, что автор пиарится, тоже больше похоже на вброс. Так что вы тоже вправе говорить что мои доводы несостоятельны. Когда выясним правду, тогда и станет ясно чьи доводы более верны и состоятельны.
          • +2
            Окей.
            Про то, что сотрудник магазина топикстартера сообщил, Анна уже написала. Непонятно только почему аккаунт манагеру.

            Но, видимо, я более нетерпим к людям, чем Вы — и считаю что «Скорее они это и сделали, но не очень организованно и каждый со своим планом.» для компании с таким уровнем неприемлем. Для такого случай должна быть четкая должостная инструкция. ИМХО конечно.

            А по поводу пиара автора — я думаю что просто это стало последней каплей, нет тут никакого пиара — это просто его крик души, увы (
            • 0
              Для такого случай должна быть четкая должостная инструкция.
              Сложно поспорить. Но вы же знаете как оно бывает, кто-то захотел сделать доброе дело, но видимо немного облажался. Лажавшие наказаны. Это радует. :) Я думаю что и инструкции теперь будут.
            • +1
              Непонятно только почему аккаунт манагеру.

              Обычная практика: «Ваш личный менеджер ответит на все Ваши вопросы и решит все Ваши проблемы». Но, видимо, действительно на подобные случаи у менеджеров инструкции не было, или она не очень адекватная была, или просто её нарушили.
            • +2
              > А по поводу пиара автора — я думаю что просто это стало последней каплей, нет тут никакого пиара
              Спасибо. Именно последняя капля и полное отсутствие доверия к быстрой реакции сотрудников — и необходимость срочного принятия мер. Поэтому Хабр. Я очень редко пишу и появляюсь на Хабре (несложно проверить) так что обвинения в кармадрочерстве или чём-то подобном смешны и нелепы. Снижение доверия к топикастеру, которое нет-нет — да мелькнёт в комментариях Kirby — возможно и правильный путь выхода из ситуации, не буду её за это винить.
              Моя задача была — привлечь внимание к проблеме (безопасность и работа менеджеров). Я свою задачу выполнил. Теперь сотрудники ЯДа могут выполнять свою.
              • –1
                А я не верю Вам. Видимо из-за очень жесткой Вашей позиции. Которая, как мне кажется, не имеет почвы под ногами. Извините.
                • 0
                  Моя позиция жёсткая, да. Но вдумайтесь, почему? Потому что хотя была обнаружена серьёзная проблема, ЯД пытается делать вид, что ничего страшного не произошло. «Утечки не произошло». Утечка произошла, техническая возможность у других мерчантов увидеть то же, что и я, как стало понятно, была. Но ещё более жёсткая позиция у меня, потому что сотрудники Яндекс.Денег пытаются мне указывать, что я поступил неправильно, сдвигая стрелки в мою сторону.

                  На самом деле, для меня вопрос был закрыт, сразу после того, как grachevamar представилась в личной переписке, представилась директором по развитию ЯД, извинилась и поблагодарила за правильные оперативные действия по закрытию проблемы. Затем, меня вполне устроил её ответ относительно возникшей ситуации и предпринятых мер. На этом для меня была поставлена точка уже через несколько часов после публикации поста.

                  Но нет, сначала димулька_9 (спасибо, что его устранили от обсуждения) затем Kirby начали решать проблему в паблике, причём решать её за мой счёт. А вот это, извините, не может не поставить в жёсткую позицию, которая, извините, имеет серьёзную почву под ногами.
                  • 0
                    Я так думаю что в личной переписке что-то было не так с димулька_9. Как мне кажется, я ничего ужасного в словах ЯД не увидел тут. Если кто-то из них вел себя странно, то я уже писал, что все хотят решить проблему, но каждый делает так как умеет. Очень хорошо что выяснили что димулька_9 не умеет этого делать. Очень хорошо, что он этого больше делать не будет. Ваша же позиция очень напоминает обиженного, на котором воду возят. Извините. Я не понимаю Вашу агрессию. С моей точки она не имеет почвы под ногами. И, я начинаю путаться в хронологии. Если проблему уже решили, то почему Вы не сказали об этом димулька_9? Или он сначала начал решать проблему, потом другие? Если проблему решили уже после того, как с Вами пообщался димулька_9, то почему вы до сих пор так агрессивны?
                    • +1
                      Возможно, я слишком агрессивен, да. И проблема для меня была решена действительно через несколько часов после публикации — после этого я перестал следить за комментариями. А тем временем, сотрудник Kirby в паблике начала пассажи на тему «хотела бы всё-таки дождаться автора, чтобы он подтвердил, что мы не динамили его неделями». Это вынудило меня вмешаться, чего у меня, откровенно говоря, никакого желания не было делать. Мне просто не нравится, когда передёргивают мои слова, пытаются на меня перевести стрелки и делают вид, что ничего не произошло. Тогда как произошло. И именно осознание опасности допущенной утечки — это и есть «почва под ногами». Мне так кажется, что вы тоже поняли важность данных, к которым был доступ. Так что же продолжаете меня спрашивать про почву?
                      Не вижу что тут обсуждать. Технические моменты можно продолжить здесь в другой ветке.
  • +1
    Какие в России люди работают агрессивные. Как можно так не любить своих клиентов, которые тебя кормят, не понимаю. Реакция на критику — либо открытый наезд, либо скрытое издевательство, сарказм и демагогия. Постоянно с этим сталкиваюсь, даже в самых топовых и продвинутых компаниях.

    Знаю одну девушку, ее работа в одной крупной компани заключалась в том, чтобы находить клиентов публично выражающих свое недовольство и действовать им на нервы, заставляя убрать свой пост. Она хвасталась, что многих до слез доводила.

    Совок жив.
    • 0
      Ну где же здесь «совок»? :( Мы правда стараемся.
  • +4
    Меня Яндекс.Деньги давча тоже слегка впячетлили. Висел у меня там счет, неверифицированный, делался срочно для сбора благотворительных средств на лечение. Деньги собирались, исправно выводились, пока в один прекрасный день счет не оказался заблокирован на вывод с требованием верифицировать свою личность.

    Ну ладно, хотят так хотят, мне не жалко, тем более больше 19000 рублей зависло, надо как-то решить вопрос. Я, наивный чукотский юноша, полагал, что раз в Одессе есть офис Яндекса, я могу туда приехать, показать паспорт и мне все быстро включат обратно. С разбега…

    Единственный способ верифицировать себя — по почте. Ну да ладно думаю, нотариус недалеко, зайду, заверю заявление да пошлю по почте. Месяца полтора займет, конечно, но как-то переживем. Пришел к нотариусу. Откуда и ушел несолоно хлебавши, потому что анкета у Яндекса на русском языке (не, ну вполне логично, конечно). А нотариусы не заверяют документы на языках, отличных от украинского.

    Теперь мне надо сделать перевод их анкеты с русского на украинский -> заверить перевод у нотариуса -> пойти в бюро переводов сделать перевод с украинского на русский -> заверить перевод -> отослать.

    Easy way, да.
    • 0
      Это называется «идентификация», и, к сожалению, вся бюрократизация этого процесса — требование российского финансового законодательства. В России у пользователей есть разные удобные способы пройти идентификацию, например, прийти в «Евросеть», она здесь на каждом углу. У пользователей за границей — да, только нотариус или консульство. Пока это никак нельзя упростить. Все платёжные сервисы, действующие на территории России, вынуждены с этим иметь дело.
      • +1
        Да это все понятно. Не понятно, что мешает принять заявление в Одесском офисе (лично или по почте), отсканировать его, разблокировать аккаунт, а потом уже внутренней почтой переслать в головной офис. Это как-то больше похоже на заботу о клиенте. Деньги на заблокированном счету предназначались для ребенка в рамках сбора на трансплантацию и подготовку к оной. Ладно, сумму эту закрыли другими путями, но вот ждать сколько то недель пока опять не появиться доступ к этим средствам… Странно.

        Да и логики блокировки не понимаю, выводил n раз по 8-10 тысяч, а тут скопилось по-моему тысяч 14 — бац и блок.
        • 0
          Я думаю причина блокировки то, что очень много мошенников таким образом зарабатывает деньги.
          делался срочно для сбора благотворительных средств на лечение
          К сожалению это реалии и проблемы нашего общества. Конечно Вы тут не виноваты. Но и дополнительную проверку осуществлять надо, я это поддерживаю.
          • 0
            Не думаю, что кто-то там сидел и вручную это проверял. Скорее всего бот отработал на какую-то границу суммы.
            Потому что если проверять вручную, очень легко было найти все источники, где номер счета указан, а в них — доверенности от родителей, все необходимые подтверждающие документы и так далее.
            • 0
              Нет, границы суммы точно ни при чём :)
        • 0
          Отсутствие четких правил блокировки напрягает больше всего.
          Тут писали про случаи писем счастья за первый же перевод 500 рублей от родных.
          • 0
            Теперь идентификацию пройти гораздо проще — и это сильно снижает вероятность блокировки для уточнения. Всем рекомендую «Евросеть».
            • 0
              сильно снижает вероятность блокировки


              Но ни в коем случае не отменяет, даже если вы ничего не нарушали.
              Например если с вами расплатились грязными деньгами, вас все равно заблокируют и скорее всего заставят либо вернуть свои честно заработанные деньги, либо удалят аккаунт.
              • 0
                Извините, я с таким уровнем аргументов не могу работать :) Да, у Вас могут запросить информацию о подозрительных платежах — но статистики о «скорее всего» у меня нет. Вряд ли она есть у Вас.
                • 0
                  У меня есть только подборка случаев о банах.
                  И их много, лидирует «незаконная предпринимательская деятельность».

                  А вот с банковскими картами я о таком не слышал.
                  • 0
                    По идее во время бана не должно звучать формулировки причины. Должна звучать просьба или пройти идентификацию, или объяснить операцию, или забрать деньги и закрыть счёт.
                    • 0
                      А теперь почитайте здесь:
                      money.yandex.ru/doc.xml?id=522764

                      4.19. По инициативе НКО Блокирование Кошелька осуществляется в следующих случаях:
                      4.19.1. в случае наличия у НКО подозрений в нарушении Клиентом порядка использования Кошелька, установленного пунктом 4.21. настоящего Соглашения;
                      4.19.2. в случае необходимости обеспечения НКО сохранности остатка Электронных денег Клиента, доступ к которым осуществляется с использованием Кошелька, в отношении которого у НКО возникли подозрения в несанкционированном доступе;
                      4.19.3. в случае наличия нестандартных или необычно сложных схем проведения операций, отличающихся от обычного порядка операций, характерных для Клиентов НКО;

                      4.21.2. Клиент обязан использовать Кошелек только лично. Клиент не вправе сообщать или иным образом передавать свои Авторизационные данные третьим лицам;
                      4.21.6. Клиент обязан не использовать чужие компьютеры или иные устройства для доступа к Кошельку;
                      4.21.7. Клиент обязан обеспечить антивирусную безопасность устройства, используемого для доступа к Кошельку;
                      4.21.8. Клиент не вправе использовать Кошелек для осуществления противоправных действий;
                      4.21.9. Клиент не вправе использовать программы и применять иные меры, позволяющие Клиенту скрыть от НКО технические характеристики подключения к сети Интернет для использования Кошелька;


                      Как вам такие условия использования?
                      Хочу заметить, что во всех этих случаях идентификация пользователя нисколько не спасает от бана.
                      • 0
                        Мне кажется, или тема беседы опять изменилась? Мне условия использования ок, я в свои банковские и финансовые интернет-кабинеты из-под TOR не хожу.
                      • +1
                        www.google.ru/search?q=заблокировали+яндекс+деньги
                        Неплохая подборка из сотен случаев банов, можно посмотреть как это выглядит глазами пострадавшей стороны.

                        Если вы планируете даже изредка принимать платежи — морально готовьтесь.
                        • 0
                          Все счета во всех платёжных системах блокируют. И банковские счета тоже. Измените запрос и почитайте. Это нормальная практика с регулируемыми способами решения всех вопросов.
                      • 0
                        Я конечно дико извиняюсь, я не исключаю того, что я не в теме. Но в чем проблема? Почему это Вас так возмутило?
                        • 0
                          Слишком строгие и одновременно расплывчатые требования.
                          По ссылке выше из гугла видно, как это применяется на практике.
                          • 0
                            Просто вы последний пункт выделили, я думал в нем основная причина Вашего негодования.
                        • 0
                          Наверное то, что если Вы положили СВОИ деньги куда-то, и хотите их забрать, на каком основании у Вас проверяют на каком троллейбусе Вы за ними приехали?
                          :-) Как-то так.
                          • 0
                            Можно поспорить. Это скорее вы снимаете деньги, но вам не разрешают это делать в маске.
                            • 0
                              Маска — это невозможность идентифкации личности.
                              А вот транспорт на котором Вы приехали в банк — это Ваше дело.

                              В интернет-деньгах де-факто считается если Вы предъявили свой ID (например логин + пароль + пароль с карточки единоразовых ключей) — то Вы и сняли маску. Это как ключ от банковской ячейки — Вы предъявили ключ — Вы можете открыть ячейку, а как вы до Банка добирались и кто Вы — это уже Ваши проблемы.
                              • 0
                                В интернет-деньгах де-факто считается если Вы предъявили свой ID (например логин + пароль + пароль с карточки единоразовых ключей) — то Вы и сняли маску.
                                Как мне кажется, уже давно есть дополнительная проверка того, откуда вы пользуетесь услугой. Гугл тот же это делает очень давно, и я этому рад. Это дополнительный пункт идентификации. Если сейчас это не есть де-факто, то многие этим пользуются.

                                Когда дело касается денег, то анонимности нет места и все инструменты должны помогать в этом. Я имею ввиду связку банк-клиент.
                                • +1
                                  Это наверное очень весело схватить блокировку с непонятными последствиями за забытый включенным впн для обхода реестра.
                                  • 0
                                    Зато будет очень приятно, когда благодаря этому, злоумышленник не сможет снять ваши деньги.
                                  • 0
                                    Эта блокировка снимается за минуту (SMS с подтверждением), я работаю с Яндекс.Деньгами каждый день из-под трёх VPN, блокировали один раз, сняла моментально. Пожалуйста, давайте перейдём к каким-то конкретным проблемам, а не будем анализировать жалобы мошенников в Гугле?
                                    • 0
                                      Вот как, теперь любой забаненный и пожаловавшийся публично — «мошенник».
                                      Как раз такое замечательное отношение к клиентам и составляет основную проблему электронных денег.
                                      • 0
                                        Простите, но Вы передёргиваете мои слова, делаете выводы на основании довольно узко сформулированных запросов, генерализируете и делаете обобщения. Если у Вас будут конкретные вопросы о том, как Вам лично работать с Яндекс.Деньгами — задавайте их в службу поддержки или здесь. Если Вы хотите обсудить прочитанное «в интернете» — не хочу зря тратить Ваше время.
                                • +1
                                  Это нормально, когда СБ Банка при платеже из странного местоположения может позвонить и поинтересоваться, делали ли Вы данный платеж.

                                  Но вот запрещать Вам делать этот платеж, или использовать доступ до ВАШИХ же денег откуда угодно — в корне не верно.

                                  Это примерно как сказать — своими деньгами Вы можете пользоватся только в отделении №783 нашего банка. Это МОИ деньги, и я имею право на их использование откуда захочу.

                                  И как правильно сказал госоподин veam — именно по этому платежи карточками щас так сильно обогнали электроденьги — уходит от них народ неудобно это и геморройно.

                                  Вспомните интернет магазы Китая, чем больше всего пользуются люди для оплаты своих забугорных покупок? Так вот — статистике это VISA и MasterCard. Еще есть PayPal, но внутри его так-же, в основном VISA и MC. Часто это еще и VISA Virtual что офигенно удобно и электроденьги становятся вообще нафиг не нужны.
                                  • 0
                                    Извините, но статистика Китая с его рынком и регулированием к российской действительности, когда люди получают деньги на карту, проходят 20 метров к банкомату и снимают наличные, не имеет никакого отношения. Вы можете изучить отчёты TNS и Morgan Stanley, чтобы понять реальное положение дел с карточками и банковскими счетами — то, что Вы сейчас описываете, далеко от реальности :)
                                  • 0
                                    Да, вроде все верно говорите. Пока не полезешь глубже.

                                    Это примерно как сказать — своими деньгами Вы можете пользоватся только в отделении №783 нашего банка. Это МОИ деньги, и я имею право на их использование откуда захочу.
                                    Вы же понимаете что вы и так не можете получить деньги откуда захотите? Нужен терминал, либо отделение.

                                    Но предположим такую ситуацию. Вы снимаете деньги в Питере. И через пятнадцать минут вы снимаете деньги в Берлине. Собственно если человека в Берлине не задержат, то это прокол СБ банка. Разве нет? Так вот тут аналогично. Если вы были только что в Москве, а потом в Берлине, то логично залочить ваш счет до выяснения.

                                    И как правильно сказал госоподин veam — именно по этому платежи карточками щас так сильно обогнали электроденьги — уходит от них народ неудобно это и геморройно.
                                    Причины ухода банальнее, чем вы думаете. Просто деньги не надо перекладывать из одного места в другое. Вам ведь ЗП переводят сразу на этот счет, а не на ЯД. Но все мы привязываем карты к ЯД, и PayPal. Почему? Потому что как раз таки проще заплатить через PayPal или ЯД с привязанной карты, чем полностью вбивать номер карты, фамилию и CVS код, а в некоторых случаях еще и код из СМС вбивать. Так что уходят не из-за «простоты» карт. А из-за банального лень переводить в ЯД свои деньги. Но гораздо удобнее использовать ЯД (PayPal) с привязанной картой, чем просто картой.
                                    • 0
                                      Вы снимаете деньги в Питере. И через пятнадцать минут вы снимаете деньги в Берлине. Собственно если человека в Берлине не задержат, то это прокол СБ банка. Разве нет?

                                      На практике могут заблочить через 2-3 часа, когда вполне реально добраться до Берлина. Это прокол или, мягко выражаясь, проблема юзабилити?
                                      • 0
                                        На практике могут заблочить через 2-3 часа, когда вполне реально добраться до Берлина. Это прокол или, мягко выражаясь, проблема юзабилити?
                                        Скорее бы изобрели телепортацию, тогда это вообще учитывать не придется. Или Вы скажете что телепортом пользоваться не будете, и Вам следует включить такую проверку?
                              • 0
                                Нет, сняли Вы маску после того, как показали паспорт в определённом Банком России порядке — это считается не в «интернет-деньгах», а в компаниях, которые получили лицензию НКО у Банка России, и отвечают теперь требованиям Банка России и финансового законодательства.
                                • 0
                                  Да, но номер троллейбуса на котором Вы приехали Вам не нужно озвучивать :-D

                                  Я лично в плане электронной коммерции давно уже определился и пользую VISA Virtual уже около 5 лет — я могу использовать АБСОЛЮТНО ЛЮБОЕ соединение, чтобы воспользоваться своей картой, мне вообще про это думать не надо. За все эти 5 лет мне позвонили один раз, когда я воспользовался карточкой в Австралии — типо чето далеко Вы, а это точно Вы? Я назвал кодовое слово и все — никаких проблем.

                                  А по поводу Китая и других магазинов я с Вами все-таки не соглашусь — магазинов по миру ( не обязательно в Китае), где можно оплатить VISA и MC в разы больше тех где есть какие-либо электронные деньги.

                                  Да ладно, все это софистика, я уж так написал ради поболтать )
                                  Просто я не люблю когда мне не дают свободу и в чем-то меня ограничивают, причем за мои же деньги :-)
                                  Просто надо внедрять на проекте сбор средств и теперь у меня есть весомый аргумент, что лучше сделать нормальный экуаринг, а не заниматься ерундой со всяким электронными деньгами — естественно это лично мое ИМХО.

                                  Успехом Вам!
                                  • –3
                                    Да, но номер троллейбуса на котором Вы приехали Вам не нужно озвучивать
                                    Так никто не интересуется КАК Вы добрались до места. Интересует где Вы находитесь.
                                    • 0
                                      Клиент не вправе использовать программы и применять иные меры, позволяющие Клиенту скрыть от НКО технические характеристики подключения к сети Интернет для использования Кошелька;

                                      Еще раз перечитайте это. Тут не написано про то, где вы находитесь, тут написано про характеристики подключения — это и есть транспорт в моей метафоре.

                                      Вы конечно можете сказать что по характеристикам они и определяют местонахождение — но это — не мои проблемы, как они будут его определять. Обыватель может даже не знать что он ходит через впн, а стандартный и трезвый пользователь всегда его использует ;)

                                      Как-то так.
        • 0
          Законодательство мешает — сотрудники одесского офиса (с его точки зрения) подтвердить, что Вы — это Вы, не могут. Только нотариус. Переслать сотрудники одесского офиса заявление от нотариуса в Москву могут, конечно.
          Логику блокировки мы публично не имеем права объяснять, к сожалению. Это требование службы безопасности. Извините :(
          • 0
            Хорошо. Раз сотрудники одесского офиса заявление переслать могут, не могут ли они случайно и «маякнуть» в московский офис, что такая бумажка есть и счет можно разблокировать уже сейчас, а не через 3-4 недели, пока отработает ПУ и ПР?
            • 0
              Не могут :( Инструкция!
              • 0
                Печаль. Придется идти длинным путем, что невероятно «радует».
                Несмотря на относительную удобность Я.Д. для меня и моих целей, второй раз я ими вряд ли воспользуюсь.
                • 0
                  Так если Вы пройдёте идентификацию, всё только начнётся — и лимиты увеличатся, и доверие пользователей появится. Зачем уходить? Повторюсь: требования к условиям идентификации для всех в России одни.
                  • 0
                    Ну, в основном потому, что с таким подходом, при малейших проблемах — деньги (а скорее всего это будут «срочно нужные» деньги на операции/лекарства/etc) вполне могут зависнуть на недели или месяцы, пока наши доблестные почты будут туда-сюда гонять документы.
                    • 0
                      Идентификацию нужно пройти один раз. Если вовремя привязать актуальный номер телефона и включить SMS-авторизацию, то подтверждать документально больше ничего не потребуется, скорее всего — пароль платёжный тоже восстанавливается по заявлению (если забыть все коды восстановления и отвязать телефон), но если его нет, а есть SMS, то всё без бумаг.
                      • 0
                        В комменте ниже меня опередили со ссылкой. Да и беглый гуглопоиск показывает, что идентифицированные аккаунты тоже блокируют на раз — а для разблокировки — это опять же многонедельная переписка.
                        Увы.
                        • 0
                          Желаю Вам найти устраивающую Вас альтернативу :)
                          • +1
                            Я не слышал о проблемах блокировок банковских карт.

                            Наверное это одна из причин почему они последние годы набирают популярность как средства платежей в интернете, а электронные деньги — теряют.

                            Впрочем, если вы планируете никогда не принимать платежи и тратите там суммы которые не жалко потерять — электронные деньги для этого приемлемы.
                            • +1
                              Да ладно? Сколько слезливых историй даже на хабре было: «Стою я у банкомата под тропическим ливнем с картой, на которой сто-пятьсот тысяч денег, и трачу последние деньги в роуминге на общение с поддержкой банка. А эти идиоты не понимают, что я это я, что я действительно в Зимбабве и умру скоро с голоду.»
                          • 0
                            Спасибо за сарказм )) Но я, честно говоря, врядли буду искать альтернативу. Я просто прекращу прием платежей на электронные кошельки (по крайней мере на ЯД точно, вебмани, при том, что через него прокачали гораздо больше — таким не страдал), оставив это «развлечение» на долю российских волонтеров.
                            • 0
                              Новое законодательство не так давно вступило в силу и на прошлую положительную историю отношений особо ориентироваться не стоит.
                              • 0
                                Ну тут есть важное отличие — банк обычно вас преступником не считает (разве что с валютным контролем бывают исключения) и блокирует чтобы злоумышленники не сняли деньги, а вот в абсолютном большинстве банов в электронных деньгах — как раз нужно доказывать, что ты не верблюд.

                                К примеру другу, державшему в свое время сервер линейки, пришло письмо счастья от вебманей с требованием объяснить 46 листов операций с подтверждающими документами.
                                Кошелек так и остался в бане.
                                • 0
                                  банк обычно вас преступником не считает

                                  Это как сказать. Большое число входящих немеждународных переводов и блокируют карту «до выяснения» и надо доказывать, что ты не занимаешься незаконной предпринимательской деятельностью.
                                  • 0
                                    Хм, я глубоко не интересовался этой темой, но если так, то конечно плохо.
                                    • –2
                                      Ну и да, если Вы без открытия юридического лица принимает на частный банковский счёт потоки платежей из разных стран, Вы наверняка довольно быстро привлечёте к себе внимание Службы Безопасности банка — которая будет действовать немного иначе, потому что у неё уже будет Ваш адрес прописки, паспорт и справка с работы.
                                      • 0
                                        Даже из одной страны и эта страна Россия.
                                • 0
                                  Счёт в банке Вы открываете, показывая паспорт лично операционистке и заполняя миллион важных полей в документах. Счёт в электронных деньгах Вы открываете как условный «не верблюд», так что требования показать паспорт в сложных ситуациях объяснить довольно просто.
                            • 0
                              Почему сарказм? Моя задача ведь не заставить Вас пользоваться Яндекс.Деньгами всеми силами. Это Ваш выбор, и Вы оцениваете плюсы и минусы. Я могу ответить на вопросы, если они у Вас есть, и дать ссылки на сервисы или описание процедур. Если у Вас есть более удобные способы сбора денег — это же всем хорошо. «Лишь бы был здоров».
                    • 0
                      К сожалению, идентификация не решает и половины проблем.
                      Они не обязаны разбанивать вас после ее прохождения, это только их право.
                      habrahabr.ru/post/194106/#comment_6745216
          • 0
            Приведите цитату из правовых актов, не верится.

            Сотрудники зарубежных отделений банков значит могут подтвердить личность, а ваши сотрудники — нет?
            • 0
              Правила идентификации клиентов прописаны в инструкциях Банка России, я не уверена, что они доступны публично. Под рукой у меня нет, к сожалению, хотите, напишите мне на zabolotnaya@yamoney.ru, спросим у юристов. Но если что, можете проверить — у Qiwi и у PayPal условия лицензирования (НКО) те же, что и у Яндекс.Денег, и те же лимиты для анонимных/идентифицированных пользователей.

              Сотрудники зарубежных банков — нет, не могут. Вы о каком банке говорите?
              • 0
                Отделения Сбербанка в Германии, например.
                • 0
                  Ну, эти могут и по пенсионному карту выдать, так что плохой пример.
                • 0
                  И в какой российской системе электронных денег Вы прошли идентификацию в этом отделении?
    • 0
      А нотариусы не заверяют документы на языках, отличных от украинского.

      Очень интересная особенность украинского законодательства в области нотариата. У российских нотариусов не раз заверял тексты на английском, они просто удостоверяли, что подпись моя, что я в здравом рассудке и т. п. Знаю про подобные случаи в Германии. А в Украине при том само собой разумеющимся считается что в моем российском паспорте (внутреннем) нотариус разберётся без проблем — его перевода не требуют.
      • 0
        Да, обычно от нотариуса требуется заверить не сам документ, а Ваше присутствие с паспортом и реальную подпись. Но у украинских законов и практик много интересных особенностей.
  • –3
    Прочитал комментарии. Вывод: ТС — белка-истеричка.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.