Comments 511
было указано только ФИО. Паспортные данные указывать ибо боялся за такую ситуацию — не хочу чтобы мои паспортные данные были в руках у взломщиков
+ подтверждает, что доступ к странице имеет человек с определенным ФИО и что скриншоты не модифицировались, всё верно
Я, нотариус Иванова А.А. заверяю, что на моем компьютере, зараженном девятью троянами (см приложение А), в браузере был открыт сайт www.чтототам.ru, IP адрес сайта был предоставлен DNS сервером зараженным cache poisoning, страничка была загружена не с сервера, а из прозрачного кеша моего криворукого ISP. Затем javascript код в страничке изменил ее очень причудливым образом. После этого страница была распечатана и заверена.
;-)
;-)
ЯД к паспортным данным привязан.
Яндекс репутацию потеряет из-за недобросовестного сотрудника.
Думаю надо написать заявление в МВД Управление К. Они вздрючат Яндекс и найдут эту крысу.
Думаю надо написать заявление в МВД Управление К. Они вздрючат Яндекс и найдут эту крысу.
управлению К срать на 10 тысяч рублей = )
А причем тут деньги? Это ихняя работа. Тем более такой прецедент.
Я хоть и понимаю. что там коррумпировано все, но написать заявление стоит. А дальше можно дойти и выше если потребуется.
Я хоть и понимаю. что там коррумпировано все, но написать заявление стоит. А дальше можно дойти и выше если потребуется.
10000 это уже тяжкая сумма, уголовная
К сожалению, на практике «отдел К» не занимается расследование дел о хищении до 15000-20000 рублей — у них и так более крупные дела висят. А если в пропаже виноват кто-то из Яндекса, то точно из-за 10000 разбираться не будут.
если напишет заявление — они будут обязаны разбираться
Господа! У моего клиента из БАНКА! живого увели 100 тонн. Так ладно банк, куда перевели бабло оперативно сработал и платеж заблокировал, но! отдел К никого искать не стал, типа деньги же вернули… что вам надо? Хотя в банке были ИП-адреса тех пидаров, которые зашли под логином моего клиента. А вы тут про 10 тысяч.
Каким образом реализован вход в интернет-банк?
Ключ шифрования на дискете и логин-пароль. Стоит Касперский, актуальный, обновляется. Комп за проксей. Я думаю, что ключ увел кто-то из своих. А логин-пароль тупо подсмотрели ибо финансист сидит в этой же комнате с менагерами. НО! отдел К не стал разбираться.
Понятно. Да, похоже, кто-то из местных. Хотя что удаленно увели тоже есть вероятность. Тут скорее сперва в милицию надо, а отдел К они сами к работе привлекут если понадобится. Заявление ОБЯЗАНЫ принять, а там уже их дело как это расследовать.
У меня логин-пароль (для пароля вирт.клавиатура)+одноразовый пароль для входа, высылаемый на мобильник. Вроде достаточно безопасно.
У меня логин-пароль (для пароля вирт.клавиатура)+одноразовый пароль для входа, высылаемый на мобильник. Вроде достаточно безопасно.
У нашего клиента также счас ввели привязку по IP-адресу и USB-token. Типа у кого железка есть — тот и может рулить счтом. А лично в нашей компании одноразовый пароль с отсылкой по СМС — тоже не жалуемся :-)
У нас на прошлой работе у товарища под линем (ну выпендрился) увели сам токен по SSH, а систему убили. Благо у него на счету было 300 рублей, зарплатну днем ранее снял…
Альфа?
Все не так плохо как может показаться.
У них там свои порядки и за нераскрытые дела их тоже дрючат. Поэтому не важно вернут деньги или нет, заяву надо писать обязательно и сумма тут совершенно ни при чем.
> К сожалению, на практике «отдел К» не занимается расследование дел о
> хищении до 15000-20000 рублей
Вот эти легенды кстати распространяются самими же сотрудниками ведомств. А все потому, что никому лишних висяков не надо. Оптимальный вариант — убедить человека, что ничего не вернут и обращаться бессмысленно. Не заявления — нет проблем.
> По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер
> также хранит информацию о том, с каких адресов были заходы на него, и
> получить эту информацию также сможет милиция.
И это очень правильный совет. Я не говорю, что деньги вам вернут на следующий день — это вряд ли. Но писать надо обязательно.
К тому же есть такие реальные данные, что по одному эпизоду вычислить человека сложно, но по серии — уже гораздо реальнее. Я это говорю как человек, имеющий некоторое отношение к платежным системам «изнутри». Есть злоумышленник, один раз своровал, два раза своровал, на третий сделал глупость и уехал в места не столько отдаленные.
Резумируя, по-первых не расстраивайтесь и не паникуйте, к тому же сумма не смертельная. Во-вторых пишите заявление.
У них там свои порядки и за нераскрытые дела их тоже дрючат. Поэтому не важно вернут деньги или нет, заяву надо писать обязательно и сумма тут совершенно ни при чем.
> К сожалению, на практике «отдел К» не занимается расследование дел о
> хищении до 15000-20000 рублей
Вот эти легенды кстати распространяются самими же сотрудниками ведомств. А все потому, что никому лишних висяков не надо. Оптимальный вариант — убедить человека, что ничего не вернут и обращаться бессмысленно. Не заявления — нет проблем.
> По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер
> также хранит информацию о том, с каких адресов были заходы на него, и
> получить эту информацию также сможет милиция.
И это очень правильный совет. Я не говорю, что деньги вам вернут на следующий день — это вряд ли. Но писать надо обязательно.
К тому же есть такие реальные данные, что по одному эпизоду вычислить человека сложно, но по серии — уже гораздо реальнее. Я это говорю как человек, имеющий некоторое отношение к платежным системам «изнутри». Есть злоумышленник, один раз своровал, два раза своровал, на третий сделал глупость и уехал в места не столько отдаленные.
Резумируя, по-первых не расстраивайтесь и не паникуйте, к тому же сумма не смертельная. Во-вторых пишите заявление.
ну отказать в возбуждении дела по такому основанию они все равно не смогут :)
Как показывает опыт, они и из-за меньших сумм заводят дело
А мне срать, что им срать. Им деньги платят не за то, что они срут на людей.
Отделу К это не под силу, они ищут студентов которые качают порно.
Я понимаю, что это так, но и не подавать заявление нельзя.
Да и потом, когда этот дамоклов меч (МВД) начнет висеть над Яндексом — они сами начнут шевелится и найдут решение.
Клиент доверил свои деньги Яндексу и если Яндекс ломанули с внешки или это внутри завелась крыса — почему клиент должен страдать от этого?
Да и потом, когда этот дамоклов меч (МВД) начнет висеть над Яндексом — они сами начнут шевелится и найдут решение.
Клиент доверил свои деньги Яндексу и если Яндекс ломанули с внешки или это внутри завелась крыса — почему клиент должен страдать от этого?
Яндекс лоханулся — это факт.
в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
так что, либо это дело рук сотрудников Яндекса,
либо Яндекс не может обеспечить сохранность кошелька.
ну и хранить денежные пароли на компе — последнее дело,
это почти тоже самое, что на своей банковской карточке ницарапать пинкод.
таки вещи надо: либо хранить в уме, либо уж записывать на мобильный в крайнем случай:
например:
Балтийский Миша (Миша для отвлечения, банк Балтийский) 534-4596 (пин 4596)
Альф Спиридонович (АльфаБанк ) 912-305-1786 (пин 1786)
в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
так что, либо это дело рук сотрудников Яндекса,
либо Яндекс не может обеспечить сохранность кошелька.
ну и хранить денежные пароли на компе — последнее дело,
это почти тоже самое, что на своей банковской карточке ницарапать пинкод.
таки вещи надо: либо хранить в уме, либо уж записывать на мобильный в крайнем случай:
например:
Балтийский Миша (Миша для отвлечения, банк Балтийский) 534-4596 (пин 4596)
Альф Спиридонович (АльфаБанк ) 912-305-1786 (пин 1786)
Ну я не считаю хранить пароли на компе — последним делом.
Я вот храню пароли на компе, в файле, который зашифрован под мастер пароль. Перебор пароля невозможен, т.к. файл будет заблокирован.
Хранить в уме ВСЕ пароли я не могу, записывать на мобильный не пробовал еще. )
Я вот храню пароли на компе, в файле, который зашифрован под мастер пароль. Перебор пароля невозможен, т.к. файл будет заблокирован.
Хранить в уме ВСЕ пароли я не могу, записывать на мобильный не пробовал еще. )
Интересно, как можно заблокировать файл от перебора… Напишите пожалуйста название программы, которой вы пользуетесь для подобного.
Во многих телефонах есть такая же фишка, а если еще и мастер-пароль левый вводится — то все ключи перемешиваются в кашу и выводятся в искаженнном виде, чтобы злоумышленник ничего не получил. Простейшая защита от брутфорса — ты просто не знаешь, верные тебе коды отдало или свежесгенеренные.
SE?
да, есть такое, но в случае с файлом — он может быть скопирован любое количество раз и столько же раз быть подсунут программе, работающей с ним, поэтому если даже она его «заблокирует»/испортит — мы ничего не потеряем.
Можно сверять с имеющимися данными, например, с логинами. Понятно, что не в случае ручного перебора на телефоне.
А она заголовки полей оставляет. Логины, название, что и к чему, а вот поле «пароль» генерит по введенному паролю. Т.е. если вы ввели дважды неверный, но один и тот же мастер-пассворд — получите одинаковые реультаты паролей.
Конечно, так мы светим логины, но они-то и так у нас есть, если мы обворовываем эту цель. В общем — я считаю, что это одна из самых удачных реализаций защиты от брутфорса пароля на телефоне.
Конечно, так мы светим логины, но они-то и так у нас есть, если мы обворовываем эту цель. В общем — я считаю, что это одна из самых удачных реализаций защиты от брутфорса пароля на телефоне.
> Яндекс лоханулся — это факт.
> в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
Согласен, эти даные дополняют друг друга, но никак не взаимоисключают.
Реальный ip должен сохранятся в любом случае, остальное — по возможности.
Впрочем, в отношении яндекса сложно чему-то удивляться.
> в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1
Согласен, эти даные дополняют друг друга, но никак не взаимоисключают.
Реальный ip должен сохранятся в любом случае, остальное — по возможности.
Впрочем, в отношении яндекса сложно чему-то удивляться.
ИП прокси сохраняется. Давайте разделять понятия «сохраняется» и «показывается пользователю».
Юзерам из одной офисной сетки под одной проксей приятнее видеть «свои» айпи, чем всем одинаковую проксю, вот примерно из этого и исходили, когда брали forwarded_for для показа.
Юзерам из одной офисной сетки под одной проксей приятнее видеть «свои» айпи, чем всем одинаковую проксю, вот примерно из этого и исходили, когда брали forwarded_for для показа.
Яндекс они вздрючат а вот крысу найдут наврядли
Надо быть идиотом, чтобы подумать что сотрудник яндекса инсайдом вытянул 10к рублей :)
Я не отрицаю взлома с внешки, но наверняка взлом был изнутри, тем у кого был доступ.
Допустим хакнули с внешки, неужели Яндекс не признается в этом и не возвратит деньги клиенту, ведь это ошибка Яндекса в разработке платежной системы? На ошибках учатся, но не за счет клиентов.
Но Яндексу не выгодно признаваться в том, что кто-то внутри компании это сделал, ибо тогда получается что внутри они могут творить, что хотят. И пароль пользователя окрыт или вовсе не нужен, данные не шифруются и т.д. и т.п.
Уверен что спишут все на ошибку системы и возвратят деньги. Либо всю жизнь будут искать выдуманного хакера, который через китайскую проксю ломанул Яндекс и не будут возвращать ничего.
Вывод пока только один: перевести деньги в другую платежную систему от греха подальше.
Допустим хакнули с внешки, неужели Яндекс не признается в этом и не возвратит деньги клиенту, ведь это ошибка Яндекса в разработке платежной системы? На ошибках учатся, но не за счет клиентов.
Но Яндексу не выгодно признаваться в том, что кто-то внутри компании это сделал, ибо тогда получается что внутри они могут творить, что хотят. И пароль пользователя окрыт или вовсе не нужен, данные не шифруются и т.д. и т.п.
Уверен что спишут все на ошибку системы и возвратят деньги. Либо всю жизнь будут искать выдуманного хакера, который через китайскую проксю ломанул Яндекс и не будут возвращать ничего.
Вывод пока только один: перевести деньги в другую платежную систему от греха подальше.
Надо быть идиотом, чтобы подумать что сотрудник яндекса инсайдом вытянул 10к рублей :)
курочка по зернышку — весь двор в «шоколаде».
там рубчик, там соточку, и вот уже на квартиру «наколядовал». клиентов-то много
Инсайдом. Тогда уж лучше не плодить лишних транзакций?..
Добавлять на каждую пользовательскую небольшую сумму, которая не будет доходить до получателя.
Добавлять на каждую пользовательскую небольшую сумму, которая не будет доходить до получателя.
Дык куды, по вашему, деваются комиссионные? :)
Комиссионные, как я понимаю — официальный заработок таких служб как ЯД.
Если есть «крыса в конторе», то… Я про то, что комиссионые могут сниматься чуть больше, чем положенно, а доходить до службы будут уже такие как надо суммы(читай «не завышенные»), а на некотором счете будет появляться разница.
Или, например, суммы могут округляться,
и без транзакции «округление» может появляться на чужом счете — в итоге вроде все сходится, а деньги утекают…
Если есть «крыса в конторе», то… Я про то, что комиссионые могут сниматься чуть больше, чем положенно, а доходить до службы будут уже такие как надо суммы(читай «не завышенные»), а на некотором счете будет появляться разница.
Или, например, суммы могут округляться,
и без транзакции «округление» может появляться на чужом счете — в итоге вроде все сходится, а деньги утекают…
Никто наличие таких идиотов не исключает.
Вспомнимаю случай, когда в центре поддержки клиентов «Билайн», где я тогда работал, одна сотрудница, будучи идиоткой, активировала на свой номер телефона 5-долларовую карту (да, тогда были доллары), номер которой она восстановила по звонку клиента, который стер пару цифр (видимо, стирая код карты маникюрной пилкой).
Вспомнимаю случай, когда в центре поддержки клиентов «Билайн», где я тогда работал, одна сотрудница, будучи идиоткой, активировала на свой номер телефона 5-долларовую карту (да, тогда были доллары), номер которой она восстановила по звонку клиента, который стер пару цифр (видимо, стирая код карты маникюрной пилкой).
сначала статью под кат спрячьте.
а тема интересная…
а тема интересная…
так точно!
Ещё бы в habrahabr.ru/blogs/yandex/ опубликовать.
«127.0.0.1 — это внутренний адрес внутри вашей компании»
для начала — ru.wikipedia.org/wiki/Localhost ;)
для начала — ru.wikipedia.org/wiki/Localhost ;)
В Unix-подобных системах данный интерфейс обычно именуется «loX». Как последнее читается двояко =)
виноват. просто я подумал, что если им ссылку дать на википедию или длинный текст оттуда скопировать — они ведь читать не будут ибо если все так будут делать у них ответа придется ждать неделями.
при чем тут ссылка? уверяю, поддержка яндекса знает что такое localhost и что такое 127.0.0.1. Другое дело, что это скорее всего значит что их метод определения ip-адреса скорее всего обошли, о чем им стоит задуматься
А что, у них есть другой метод определения IP-адреса, кроме, условно говоря, $_SERVER[«REMOTE_ADDR»]?
Я слабо допускаю возможность спуфинга, потому что там еще нужно платежный пароль вводить, поэтому как минимум одну страницу при переводе должны были открыть с действующего адреса. А с какого именно — должно быть легко отследить по id транзакции.
Я слабо допускаю возможность спуфинга, потому что там еще нужно платежный пароль вводить, поэтому как минимум одну страницу при переводе должны были открыть с действующего адреса. А с какого именно — должно быть легко отследить по id транзакции.
Много чего может произойти, прежде чем REMOTE_ADDR попадет в БД. Да и в БД много чего может произойти.
Ну теоретически могут ещё обрабатывать en.wikipedia.org/wiki/X-Forwarded-For, не проверяя его реальность.
т.е. девелоперы ЯД совсем клинические идиоты?
похоже на то
судя по их ответу
судя по их ответу
И в чём же они идиоты? X-Forwarded-For совершенно не обязан быть интернетным «белым» адресом. Примеры:
1) Просто кто-то поставил Линукс/Фрю и для скорости на ней же поставил кэширующий прокси. Браузеру, соответственно, прописал локалхост как прокси. В итоге в X-Forwarded-For будет тот же локалхост
2) Локалка с приватными адресами, на гейте тот же прокси. В X-Forwarded-For будет приватный адрес, например 10.1.1.1 — легче станет?
Другой вопрос, что, обнаружив в X-Forwarded-For немаршрутизируемый адрес, в статистике можно было показывать адрес этого самого прокси… Возможно, даже с пометкой какой-нибудь.
1) Просто кто-то поставил Линукс/Фрю и для скорости на ней же поставил кэширующий прокси. Браузеру, соответственно, прописал локалхост как прокси. В итоге в X-Forwarded-For будет тот же локалхост
2) Локалка с приватными адресами, на гейте тот же прокси. В X-Forwarded-For будет приватный адрес, например 10.1.1.1 — легче станет?
Другой вопрос, что, обнаружив в X-Forwarded-For немаршрутизируемый адрес, в статистике можно было показывать адрес этого самого прокси… Возможно, даже с пометкой какой-нибудь.
тогда зачем они сохраняют данные, которые де-факто не обязаны быть достоверными? в чём смысл?
и не нужно мне читать лекции о http и заголовках, я прекрасно знаю что это такое.
и не нужно мне читать лекции о http и заголовках, я прекрасно знаю что это такое.
Так автоматом там хрен разберёшь, какие именно данные — достоверные. Показывают те, которые в большинстве случаев похожи на достоверные (понятно, что поэкспериментировав, можно подставить в отображаемое поля почти любые, как, видимо, и произошло). А сохраняют-то все. Сами же и написали. При желании человек уже будет разбираться. Но без заявы из милиции — нафига это кому надо? Всё правильно тут.
Ничто не мешает пойти против стандартов и поднять у себя за натом сеть с чужими белыми адресами, тогда в X-Forwarded-For будут опять же чужие адреса…
У вас установлен кошелек ЯД или только веб-интерфейсом пользуетесь?
Думаю, что меня поддержат хабровчане, если мы попроси Вас довести расследование до конца и представить на хабре результаты.
давайте составим план действий и я попробую пройти все эти шаги. первый шаг — отписаться всем участникам этого взлома уже пройден… ответ вы все уже прочитали…
Эй, народ, юристы здесь есть?
Посоветуйте человеку что дальше делать, видно же что вопрос многих интересует.
Посоветуйте человеку что дальше делать, видно же что вопрос многих интересует.
Это не ответ, это отмазка, причем глупейшая.
Ситуация такая, вам взломали кошелек, а человек из поддержки строит дурочка.
Я бы наверное поступил примерно так:
1 составить бы письмо с описанием того что случилось и как ответил сотрудник (указать его ФИО, и email по которому общались). Указать свои ФИО, тел, логин…
2 Найти максимально возможное количество email-ов которые имеют отношение к яндексу (не только ЯДа саппорт)
3 Отправляем письмо на все ящики.
4 Звонить и по возможности общаться не только с поддержкой, но и с людьми которые имеют непосредственное отношение к ЯД.
Я бы наверное поступил примерно так:
1 составить бы письмо с описанием того что случилось и как ответил сотрудник (указать его ФИО, и email по которому общались). Указать свои ФИО, тел, логин…
2 Найти максимально возможное количество email-ов которые имеют отношение к яндексу (не только ЯДа саппорт)
3 Отправляем письмо на все ящики.
4 Звонить и по возможности общаться не только с поддержкой, но и с людьми которые имеют непосредственное отношение к ЯД.
к нотариусу, вперёд
поддерживаю мнение TecHMeaT
C ТП ЯД невозможно нормально разговаривать, там сидят люди которым глубоко пофиг на чужие проблемы, поэтому рекомендую писать им хотя бы несколько раз в день и не по одному номеру заявки. Из за глюка в ЯД месяц их доставал чтобы вернули деньги (к счастью, успешно). Надеюсь, топик на хабре поможет их взбодрить.
как говорится «рыба гниет с головы».
начните с милиции, пока не прошло много времени, а то и там придумают как отмазаться… а-ля по сроку давности не возможен прием заявления и тп…
и… желаю вам, если не вернуть деньги(в общем-то не малые!), то наказать, а главное исправить это гнилое звено в цепи. Во благо других. Это благородно.
начните с милиции, пока не прошло много времени, а то и там придумают как отмазаться… а-ля по сроку давности не возможен прием заявления и тп…
и… желаю вам, если не вернуть деньги(в общем-то не малые!), то наказать, а главное исправить это гнилое звено в цепи. Во благо других. Это благородно.
Извините, пожалуйста, ошибся. Адресовано автору темы.
В техподдержку яндекса ежедневно падают сотни писем и десяток человек сотрудников реально не справляется.
Хотя по моему недолгому опыту работы в отделе поддержки пользователей данной компании — вопросы связанные с ЯД разбирались в первую очередь специально обученными людьми и в связке с руководителем отдела и разработчиками направления.
А так как вам — ответить мог либо полный идиот либо новичек (который странно как попал на ответственные тикеты) либо это глюк.
Попробуйте обратиться еще раз (ответом на это письмо — тикет поднимется из глубин) и акцентируйте внимание на последующем обращении к руководству.
А ну и телефонные звонки никто не отменял
Хотя по моему недолгому опыту работы в отделе поддержки пользователей данной компании — вопросы связанные с ЯД разбирались в первую очередь специально обученными людьми и в связке с руководителем отдела и разработчиками направления.
А так как вам — ответить мог либо полный идиот либо новичек (который странно как попал на ответственные тикеты) либо это глюк.
Попробуйте обратиться еще раз (ответом на это письмо — тикет поднимется из глубин) и акцентируйте внимание на последующем обращении к руководству.
А ну и телефонные звонки никто не отменял
простите, а Вы, собственно, кто? С опытом работы в нашем саппорте и в связке с руководителем отдела? Что-то я Вас не припоминаю.
Меня зовут Пётр, работал в департаменте маркетинга порядка месяца в период декабрь 2007\январь 2008
Не бог весь что конечно, всех нюансов не успел познать, но насколько помню — спорные аспекты решались с руководителем (тогда был Александр) и через jira
Не бог весь что конечно, всех нюансов не успел познать, но насколько помню — спорные аспекты решались с руководителем (тогда был Александр) и через jira
в департаменте маркетинга Яндекса?
Вы меня простите, но техподдержка Яндекс.Денег всегда была отдельной и не подчинялась Александру. Видимо, Вы за месяц немного не сориентировались :)
Вы меня простите, но техподдержка Яндекс.Денег всегда была отдельной и не подчинялась Александру. Видимо, Вы за месяц немного не сориентировались :)
В таком случае прошу простить, действительно напрямую вопросы ЯД у нас не решали, но бывало они падали и переадресовывались.
Я лишь к тому — что любые спорные вопросы (к которым по моему мнению относится и вопрос ТС по поводу суммы, что не маленькая) решались в режиме коллегии с начальником. Лично никогда не взял на себя ответственность будучи в столь скромной должности столь тупо отвечать на поступивший тикет своевольно.
Я лишь к тому — что любые спорные вопросы (к которым по моему мнению относится и вопрос ТС по поводу суммы, что не маленькая) решались в режиме коллегии с начальником. Лично никогда не взял на себя ответственность будучи в столь скромной должности столь тупо отвечать на поступивший тикет своевольно.
Ну да, из других отделов вопросы по Деньгам форвардятся нам. Поэтому так вредно писать на неправильные адреса: пока форварднётся, потеряется куча времени.
Вообще-то сотрудники по тикету всю работу провели правильно (там двое работали). И только на один вопрос ответили неверно. Если бы деньги можно было поймать — они были бы пойманы, но в данном случае, увы, помочь ничем нельзя. Про локалхост мы с ним поговорим.
Вообще-то сотрудники по тикету всю работу провели правильно (там двое работали). И только на один вопрос ответили неверно. Если бы деньги можно было поймать — они были бы пойманы, но в данном случае, увы, помочь ничем нельзя. Про локалхост мы с ним поговорим.
К сожалению, не только с деньгами. Там много чего прогнило.
Для этого надо вступить в блог, тогда он появится в списке.
Ну и лучиков справедливости тебе.
Ну и лучиков справедливости тебе.
Предлагаю сходить в офис Яндекса и спросить у них лично.
А что яндексодиды полчат.
Они ведь тут есть.
Так пускай прокомментируют
Они ведь тут есть.
Так пускай прокомментируют
Кризис, он такой, сначала web money просят персональные аттестаты покупать, потом yandex переводит деньги на собственные нужды.
Ну, 127.0.0.1 можно получить довольно просто и не обязательно через локалхост.
Тут вариантов несколько:
1) взломали один из серверов Яндекса, через которые и выполнили вход в кошелек
2) поделали айпи под локалхост
3)…
Ну и конечно в техподдержке уже совсем полный бред сказали, что это ваш айпи. :)
Тут вариантов несколько:
1) взломали один из серверов Яндекса, через которые и выполнили вход в кошелек
2) поделали айпи под локалхост
3)…
Ну и конечно в техподдержке уже совсем полный бред сказали, что это ваш айпи. :)
2) поделали айпи под локалхост невозможно
Вместо таких громких заявлений просто сделайте:
ping eblan.us
и посмотрите результат.
ping eblan.us
и посмотрите результат.
А вы «вместо таких громких заявлений сделайте»:
nslookup eblan.us
и посмотрите результат.
nslookup eblan.us
и посмотрите результат.
ну а ping yandex.ru , где локалхост?
Минусующим:
sh-3.2# host eblan.us
eblan.us A 127.0.0.1
sh-3.2# host eblan.us
eblan.us A 127.0.0.1
Насколько я знаю там при регистрации домена в днс указан собственный сервер, где уже на сервере указан NS 127.0.0.1
Вместо таких громких заявлений просто прочитайте что такое DNS, как оно работает, какое отношение имеет к IP адресации
и сделайте выводы.
и сделайте выводы.
habrahabr.ru/blogs/yandex/74263/#comment_2142166
Мне странно, что у нас народ не может сделать два шага: послать пинг и додуматься посмотреть запись в ДНС.
Или это надо разжевывать?
Да и вообще речь шла просто об одном из возможных способов подделки айпи локалхоста, то, что как заявили выше «невозможно». Как видим — возможно.
Нужно было видно сразу в ДНС отправлять народ, раз желания нет к пониманию почему в пинге eblan.us локальный айпи.
Мне странно, что у нас народ не может сделать два шага: послать пинг и додуматься посмотреть запись в ДНС.
Или это надо разжевывать?
Да и вообще речь шла просто об одном из возможных способов подделки айпи локалхоста, то, что как заявили выше «невозможно». Как видим — возможно.
Нужно было видно сразу в ДНС отправлять народ, раз желания нет к пониманию почему в пинге eblan.us локальный айпи.
Вам пытаются объяснить что вы не правы, а вы место того чтоб заполнить пробел в своих знаниях упёрлись рогом и брызжите слюной что вокруг одни идиоты. Сложно что-то вам объяснить с таким подходом с вашей стороны.
Может и не прав. Всегда есть вероятность 50% быть правым или нет.
Спасибо за информацию, посмотрю.
Спасибо за информацию, посмотрю.
Это как в том анекдоте? 50% вероятность увидеть слона на улице =)
Именно :)
Динозавра. Со слоном не так пикантно ))
Уж лучше пусть со слоном, это слегка «по-новому» ;)
Нy, это смотря кто что курил)
Тут главное — не курить динозавров. Они дорогие.
вообще иногда курить дорого. даже с динозавром…
С другой стороны, если УЖЕ куришь с динозавром, значит денег у тебя было не мало…
а если за его счёт?
А вот как бы такой вопросик — а что мы можем курить за счет динозавра? Гигантские папоротники?
например да. ну и не гигантские тоже можно, правда их много потребуется…
А это легально — курить много негигантских папоротников?
Ой, нет, не получится — они будут у динозавра между зубов застревать.
в данном случае dns выдает адрес 127.0.0.1 и вы пигуете сами себя.
никакого волшебства.
никакого волшебства.
кстати, почитайте про syn-шторм
Мыслите глубже! (это призыв, а не замечание)
Это в TCP/IP сеансе на уровне протокола «нельзя» подделать IP-адрес.
А вот в БД записать неправильно можно. И попроавить в БД тоже можно.
Это в TCP/IP сеансе на уровне протокола «нельзя» подделать IP-адрес.
А вот в БД записать неправильно можно. И попроавить в БД тоже можно.
Это вопрос уже к админам Яндекса.
Очень даже часто так бывает, что и самых, казалось бы, крупных компаниях получаются оплошности и небрежности.
Очень даже часто так бывает, что и самых, казалось бы, крупных компаниях получаются оплошности и небрежности.
> Вряд ли в Яндексе такие глупые ошибки допускают.
Честно говоря, после баги с SVN как-то мало верится, что крупные компании не допускают глупых ошибок (конкретно про яндекс не могу сказать, так, мнение в общем).
Честно говоря, после баги с SVN как-то мало верится, что крупные компании не допускают глупых ошибок (конкретно про яндекс не могу сказать, так, мнение в общем).
Фильтруй не фильтруй…
В любом случае сервер/хост ответит на такой пакет на loop back интерфейс и ответ во вне не попадет (провести эксперимент не сложно).
Я лично не представляю как это сделать технически (то есть, добиться того, чтобы хост сичтал меня как 127… и при этом получить ответ), не имея доступа к внутренним ресурсам сети.
Уверен, в данном случае не было никакой мистики, просто все хотят кушать.
В любом случае сервер/хост ответит на такой пакет на loop back интерфейс и ответ во вне не попадет (провести эксперимент не сложно).
Я лично не представляю как это сделать технически (то есть, добиться того, чтобы хост сичтал меня как 127… и при этом получить ответ), не имея доступа к внутренним ресурсам сети.
Уверен, в данном случае не было никакой мистики, просто все хотят кушать.
http_x_forwarded_for — поле заголовка в HTTP-протоколе, в котором в случае подключения через прокси (не анонимный) будет храниться «настоящий» адрес клиента, может возникнуть такая ситуация, что клиент представится прокси-сервером (т.е. как-будто бы он подключен через прокси), в этом случае он может передать в этом поле любой адрес (или вообще любой набор символов, который разрешен для передачи в полях HTTP-заголовков). При этом соединение будет осуществляться по фактическому адресу (из заголовков IP-пакетов), т.к. серверу дела нет какой «внутренний» адрес у клиента (реальный пример — локальная сеть со шлюзом), соответственно такая схема будет полноценно функционировать.
В этом случае глупость ситуации только в том, что в пользователю возможно отображают как раз это самое поле, которому нельзя доверять.
В этом случае глупость ситуации только в том, что в пользователю возможно отображают как раз это самое поле, которому нельзя доверять.
Не спорю, если сервер получает информацию для отображаемого поля не из ip header пришедшего пакета, то могут быть разные варианты (в том числе и локальный адрес).
В любом случае необходимы пояснения, откуда берется значение для поля, и какой был реальный ip снимавшего деньги.
Речь же о деньгах идет, а не о детских шалостях.
В любом случае необходимы пояснения, откуда берется значение для поля, и какой был реальный ip снимавшего деньги.
Речь же о деньгах идет, а не о детских шалостях.
почему бы просто не давать проводить операции с локальным адресом (127.0.0.1) и адресами типа 192.168.*.*?
взломали один из серверов Яндекса, через которые и выполнили вход в кошелекМало того, надо заходить не только с «какого-то сервера яндекса», а именно с того, на котором расположен вход в этот кабинет. Ведь только в этом случае, его адрес совпадет с собственным.
Я кажется понял, что случилось.
Просто автор сначала скачал себе на локалхост всю систему яндек-денег, потом локально сделал перевод, а потом закачал ее обратно.
Просто автор сначала скачал себе на локалхост всю систему яндек-денег, потом локально сделал перевод, а потом закачал ее обратно.
> А что ты думаешь по этому поводу, %username%?
Что нужно проверить файл %SystemRoot%\system32\drivers\etc\hosts
(где %SystemRoot% — папка Windows)
Что нужно проверить файл %SystemRoot%\system32\drivers\etc\hosts
(где %SystemRoot% — папка Windows)
Напишите письма с изложением проблемы ВО ВСЕ отделы Яndex`а.
Так оно с большей вероятностью попадётся на глаза их руководства.
После получения отделом техподдержки сеанса жёсткого анального секса от руководства, утраченные средства к вам волшебным образом вернутся.
У меня так заиграли порядка 10 тыр при выводе средств толи на две недели, толи на месяц. Техподдержка сперва кормила байками, потом стала игнорировать письма. Нашёл e-mail отделов рекламы и маркетинга, отписал туда. В течение пары-тройки часов средства были на счёте СБ РФ.
Так оно с большей вероятностью попадётся на глаза их руководства.
После получения отделом техподдержки сеанса жёсткого анального секса от руководства, утраченные средства к вам волшебным образом вернутся.
У меня так заиграли порядка 10 тыр при выводе средств толи на две недели, толи на месяц. Техподдержка сперва кормила байками, потом стала игнорировать письма. Нашёл e-mail отделов рекламы и маркетинга, отписал туда. В течение пары-тройки часов средства были на счёте СБ РФ.
Очень хорошая идея.
Извиняюсь, немного офф-топ: сегодня хотел купить билеты на поезд через сайт РЖД. Естественно, там требуется зарегистрироваться, введя информацию о себе. Самое интересное в том, что ПОСЛЕ отправки формы выдается сообщение о том, дескать регистрационные данные введены добровольно и они относятся к ОБЩЕДОСТУПНЫМ персональным данным, НЕ нуждающимися в защите. Вот такой финт ушами. То есть сначала ты регистрируешься, а потом уже тебе рассказывают условия… при том малоприятные… после регистрации залогиниться я не смог, форма ругалась на пароль. попытался воспользоваться напоминалкой пароля пару раз… ни одного письма не получил, наверное везут поездом совместно с почтой России...«И они еще борются за почетное звание дома высокой культуры и быта...»
к чему это я? А все к тому, что неважно в какой саппорт вы обратитесь: РЖД, Яндекс или Ростелеком… на единичного негодующего клиента им наплевать.в лучшем случае вас вежливо сольют. Не знаю, российская это специфика или не только, но вопрос может решаться позитивно только тогда, когда есть общественный резонанс.
Развивая идею писем во все отделы Яндекса, я бы еще добавил фактор хабраэффекта =) Тут уже многие писали, что отвязывают карты от ЯД. Яндекс определенно видит эту динамику… да что там видит, Яндекс есть и на Хабре… значит наверное не только видит, но и читает =))) А потому стоило бы всем объединяться против такого поведения разных крупных компаний и заваливать их пиар-отделы, и руководство шквалом писем. Возможно, тогда эти монстры будут более клиентоориентированы.
P.S. Дело не в том, кто виноват в уводе денег, дело в том, что ЯД даже не пытается разобраться с этим.
Извиняюсь, немного офф-топ: сегодня хотел купить билеты на поезд через сайт РЖД. Естественно, там требуется зарегистрироваться, введя информацию о себе. Самое интересное в том, что ПОСЛЕ отправки формы выдается сообщение о том, дескать регистрационные данные введены добровольно и они относятся к ОБЩЕДОСТУПНЫМ персональным данным, НЕ нуждающимися в защите. Вот такой финт ушами. То есть сначала ты регистрируешься, а потом уже тебе рассказывают условия… при том малоприятные… после регистрации залогиниться я не смог, форма ругалась на пароль. попытался воспользоваться напоминалкой пароля пару раз… ни одного письма не получил, наверное везут поездом совместно с почтой России...«И они еще борются за почетное звание дома высокой культуры и быта...»
к чему это я? А все к тому, что неважно в какой саппорт вы обратитесь: РЖД, Яндекс или Ростелеком… на единичного негодующего клиента им наплевать.в лучшем случае вас вежливо сольют. Не знаю, российская это специфика или не только, но вопрос может решаться позитивно только тогда, когда есть общественный резонанс.
Развивая идею писем во все отделы Яндекса, я бы еще добавил фактор хабраэффекта =) Тут уже многие писали, что отвязывают карты от ЯД. Яндекс определенно видит эту динамику… да что там видит, Яндекс есть и на Хабре… значит наверное не только видит, но и читает =))) А потому стоило бы всем объединяться против такого поведения разных крупных компаний и заваливать их пиар-отделы, и руководство шквалом писем. Возможно, тогда эти монстры будут более клиентоориентированы.
P.S. Дело не в том, кто виноват в уводе денег, дело в том, что ЯД даже не пытается разобраться с этим.
Про письма еще вспомнились ролики My Ducks Vision про Эппл, Макдональдс и другие…
Теперь., когда ты знаешь правду, ты просто обязан помочь своей стране. Отправь этот топик на все адреса Яндекса и в администрацию президента России, в теме письма укажи «Руки прочь от электронных кошельков граждан России „
Реализуй свое право на безопасность платежей =) Примерно как-то так… =)
Надеюсь, что-нибудь подобное они и про Яндекс сделают =)
Теперь., когда ты знаешь правду, ты просто обязан помочь своей стране. Отправь этот топик на все адреса Яндекса и в администрацию президента России, в теме письма укажи «Руки прочь от электронных кошельков граждан России „
Реализуй свое право на безопасность платежей =) Примерно как-то так… =)
Надеюсь, что-нибудь подобное они и про Яндекс сделают =)
Возможно злоумышленник, уведший деньги каким то образом проапдейтил поле в таблице истории заходов на 127.0.0.1.
Что, согласитесь, явно проблемы Яndex`а, а не их пользователя-клиента.
ну это тогда вообще беспредел…
если злоумышленник может подменить IP адрес на любой, то толку от хранения списка этих адресов нет…
если злоумышленник может подменить IP адрес на любой, то толку от хранения списка этих адресов нет…
Думаю, злоумышленник, способный подменить айпишник в таблице истории (по сути, это данные из бд) не стал бы переводить эти деньги, тем более тремя платежами )
Стоит начать с заявления в милицию. Без этого толку от метаний никакого.
Самый действенный способ — написать заявление в милицию. Проверено, расследование проводили даже из-за мошейничества в 150 рублей (смс развод, меня вызывал следователь как владельца смс биллинга для дачи показаний).
Года два назад по недоразумению (кошельком пользовались два человека сразу), были сняты деньги с кошелька и переведены на другой яндекс-кошелек. Причем один из пользователей не успел сообщить об этом второму, а второй поднял кипиш. Яндекс отреагировал достаточно быстро и начал задавать уточняющие вопросы. Причем поддержка яндекса сообщила сразу, что возможность вернуть деньги есть, при условии, что они еще не сняты с кошелька, на который переводились. Кроме того, если будет выяснено, что деньги снимал злоумышленник, обещались подключить специальный отдел внутренней безопасности яндекс.денег и ментов. Проблема решилась быстро, когда выяснили что снимал свой же человек :) Но факт на лицо — поддержка ЯД включилась в проблему быстро и участливо.
Нужно лишь правильно задавать вопросы поддержке.
Если вы обратились в поддержку с вопросом «А что это тут за айпи?» и не сообщили о факте пропажи денег, то откуда им знать что вы их лишились? Техотдел — тоже люди, делайте на это скидку и излагайте свои мысли максимально доходчиво, прежде чем воевать с мельницами.
PS — имею отношение к яндексу только как пользователь их сервисов.
Нужно лишь правильно задавать вопросы поддержке.
Если вы обратились в поддержку с вопросом «А что это тут за айпи?» и не сообщили о факте пропажи денег, то откуда им знать что вы их лишились? Техотдел — тоже люди, делайте на это скидку и излагайте свои мысли максимально доходчиво, прежде чем воевать с мельницами.
PS — имею отношение к яндексу только как пользователь их сервисов.
первоначально обратился к яндексу с тем, что сняли деньги со счета несанкционированно. ну, вот они и начали говорить что сами виноваты… потом уже начал говорить про IP-адрес и получил веселый от них ответ :)
Вам нужно в первую очередь связываться с Webmoney, чтобы они проверяли на какой кошелек отправлено и пытались вернуть, пока такая возможность была.
А уж потом решать вопросы с яндексом. Почему и из-за чего ушли деньги с вашего кошелька.
Уверен, что если бы это был хакер, он бы вскрыл не только ваш кошелек. И тогда бы яндекс уже задергался. Если это единичный случай, скорее всего вы где-то профукали пароль. Банальная логика подсказывает такое стечение обстоятельств.
А уж потом решать вопросы с яндексом. Почему и из-за чего ушли деньги с вашего кошелька.
Уверен, что если бы это был хакер, он бы вскрыл не только ваш кошелек. И тогда бы яндекс уже задергался. Если это единичный случай, скорее всего вы где-то профукали пароль. Банальная логика подсказывает такое стечение обстоятельств.
В арбитраж WebMoney письмо было отправлено еще вчера. Пока никакого ответа нет.
По поводу пароля: пароль от платежной системы не менялся (спокойно вошел по старому), а пароль от аккаунта был изменен. Аккаунт вообще был удален. Написал в суппорт — блокировку удаления аккаунта сняли. Пароль от аккаунта восстановил по номеру телефона
По поводу пароля: пароль от платежной системы не менялся (спокойно вошел по старому), а пароль от аккаунта был изменен. Аккаунт вообще был удален. Написал в суппорт — блокировку удаления аккаунта сняли. Пароль от аккаунта восстановил по номеру телефона
Всё просто, в яндексе идёт воровство.
И что?
это я заходил с работы. как раз в этот момент и увидел пропажу.
Хм.
Your IP address is 78.138.0.1
City: Ibadan
Country: Nigeria
Continent: Africa
www.ipligence.com/geolocation
Your IP address is 78.138.0.1
City: Ibadan
Country: Nigeria
Continent: Africa
www.ipligence.com/geolocation
Если я правильно помню, что сказа Бобук, то:
Яндекс.Деньги имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.
Яндекс.Деньги имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.
я никогда не дюбил ЯД и с рождения пользовался ВМ. По доступности тоже самое и проблем таких не встречал. Да деньги воровали с акаунтов, но по неосторожности самого польщователя но не более тотго. а подобные истории только убеждают меня в правильности решения. Сочувствую вашей потере такой неожиданной. и конечно же надеюсь что вы отвоюете свое.
Вм вообще-то везде кроме как «в наших интернетах» считают мошенниками. Paypal считается честней и безопасней в разы. Однако с техподдержкой могут быть проблемы без английского.
с пайпэлом и с английским у многих проблемы ) www.paypalsucks.com
А почему ВМ мошенниками считают то?
Да интересовался как-то, когда заметил что не вижу западных сайтов принимающих ВМ — нашел много чего почитать. Выходит что Paypal вытеснил ВМ отовсюду кроме СНГ. Лично у меня кошелька 3 увели ) Учитывая бессвязность курсов, простоту выдачи сертификатов, которые заплатив пару баксов можно-таки тоже выдавать… короче погуглите на этот вопрос, я точных ссылок не дам. Лично я стараюсь иметь поменьше дел с ВМ.
хм, вы думаете с ПП противоположная ситуация? воруют кошельки покупают на ебай, причем палка одно время очухивалась только через недельку после такого хода, а посылка уже успевала дойти до адресата.
даже магаз автоматический одно время был, можно было купить привязанные пп акки от 5 до 20$ за штуку.
так что не всё так радужно как кажется
даже магаз автоматический одно время был, можно было купить привязанные пп акки от 5 до 20$ за штуку.
так что не всё так радужно как кажется
Это интернет. Всякое бывает. Мне вот за возврат угнанного кошелька ВМ вообще предлагали денег заплатить.
В любом случае статистика говорит о том что западней от нас электронными платежами занимается практически исключительно ПП. Я не фанат ПП, но нахожу его более удобным и «экономически обоснованным» решением. Единственное что лично мне мешает работать с ним удобно — Приват банк.
В любом случае статистика говорит о том что западней от нас электронными платежами занимается практически исключительно ПП. Я не фанат ПП, но нахожу его более удобным и «экономически обоснованным» решением. Единственное что лично мне мешает работать с ним удобно — Приват банк.
Ещё, одна из важных фишек пепла — то, что в течении 45 дней после перевода, есть возможность оспорить этот-самый перевод, и вернуть себе деньги. С яндексом или вебманей такое возможно?
та и с английским тоже могут быть… с самим пейпалом пока проблем не имел, но вот их техподдержка это что-то странное: на простой вопрос я ждал ответа три дня и получил темплату, которая впринципе была мне бесполезна… А мой case разбирался неделю и в итоге я получил ответ робота о том что все «ок, ваши деньги вернут вам в течении 5 дней». Причем тикет закрыли принудительно…
Пишете заявление в милицию. В свое отделение, ни в какой ни в отдел К.
В заявлении указываете, что деньги сперли неизвестные Вам сотрудники компании ООО Яндекс, что подтверждается адресом, откуда заходили на сервер (так и пишите, что по Вашим данным IP 127.0.0.1. принадлежит компании Яндекс), Ваш пароль также имеется только у Вас и в компании Яндекс, больше никому Вы его не сообщали. Пишете также, что сумма для Вас значительна.
Тогда начнут крутиться колеса.
PS Деньги свои скорее всего вы все равно назад не получите.
В заявлении указываете, что деньги сперли неизвестные Вам сотрудники компании ООО Яндекс, что подтверждается адресом, откуда заходили на сервер (так и пишите, что по Вашим данным IP 127.0.0.1. принадлежит компании Яндекс), Ваш пароль также имеется только у Вас и в компании Яндекс, больше никому Вы его не сообщали. Пишете также, что сумма для Вас значительна.
Тогда начнут крутиться колеса.
PS Деньги свои скорее всего вы все равно назад не получите.
На скринах показано, что ушли в магазин. Пусть выясняют в какой магазин и что куплено было. Если товар, тогда выяснять по какому адресу все это доставляется.
Держу деньги на карточке Visa. Там если украдут — вероятности вернуть гораздо больше.
На ЯД перевод в течении 10-15 минут, так что смысла там деньги держать не вижу.
Если Яндекс ничего не ответит, рекомендую обратиться к помощи юристов.
На ЯД перевод в течении 10-15 минут, так что смысла там деньги держать не вижу.
Если Яндекс ничего не ответит, рекомендую обратиться к помощи юристов.
по поводу IP, возможность его подделать под localhost есть только если яндекс проверку делает по X-Forwarded-For, что очень маловероятно имхо… или через веб интерфейс. или этот скриншот — фейк. Больше вариантов не вижу.
Специально залогинился что бы это написать, но Вы опередили.
на аккаунт всегда заходил только через веб-интерфейс. логин и пароль от аккаунта дать посмотреть?
с какой стати сервисам яндекса определять IP по заголовку, наличие которого даже не является обязательным в запросе? не говоря уже о том, что заполняется он клиентом.
что и зачем делает яндекс я понятия не имею, это один из возможных вариантов подделки IP в данной ситуации…
ну уж совсем идиотов давайте не будем делать из девелоперов ЯДа?
еще в первом посте я же написал что это очень маловероятно, но исключать такой вариант не проверив тоже нельзя, всякое случается, каждый имеет право на ошибку… я смотрю на эту ситуацию как сторонний аналитик и привожу все мне известные варианты относящиеся к данной ситуации. Идея насчет сотрудника яндекса слившего деньги со счета еще мало вероятней чем x-forwarded-for, но и она имеет место быть.
по X-Forwarded-For отображаются данные в пользовательской истории заходов. Данные об адресах, с которых совершаются платежи, хранятся внутри системы. Милиции по запросу выдаются полные данные (внутренние).
Кстати, если есть возможность, то найдите магазины, в которые был сделан платеж, отпишитесь туда.
Возможно, еще успеете приостановить отправку товара(если там реальный товар) «до выяснения».
Возможно, еще успеете приостановить отправку товара(если там реальный товар) «до выяснения».
ну где ж он их найдет, если Робокс не выдает сведения и отказывается сотрудничать…
Фактически он плательщиком является, может заявить в магазин о ошибочном платеже. В худшем случае свяжись с магазином и поменяй адрес доставки)
Мало того, что из этого выйдет нехилый антипиар, так еще ведь можно пригрозить уголовным преследованием.
они заявили что это конфиденциальная информация и не могут дать никаких сведений. они лишь подтвердили, что такие переводы были и они успешно завершены
Может, им нужно какое-то подтверждение, что именно вы владелец аккаунта ЯД?
если поступят какие-то заявления с Яндекс.Денег или WebMoney — они предоставят им (платежным системам) все сведения которым им необходимы
А разве нельзя выставить притензии или хотя бы негативный отзыв о получателе Яндекс.Денег, как я понял в данном случае это «Робокасса»? Пусть зашевелятся и скажут куда дальше ушли деньги)
не думаю, что это хорошая идея. они здесь, я думаю, не имеют вообще никаких нареканий. они просто выполнили работу
Но с Вашей учетной записи сделан перевод! Почему они отказываются предоставить информацию о Вашем платеже, кому он предназначен?
А может не Яндекс повинен в краже, а Робокасса?
А может не Яндекс повинен в краже, а Робокасса?
а они тут причем? они просто выполнили перевод, который выполнил неизвестный человек
Из яндекс.справки:
В Истории операций появился раздел «Заходы». Что это такое и зачем он нужен?
История заходов — это информация о том, когда и с каких IP-адресов вы заходили на сайт Яндекс.Денег под своим логином и паролем. Если что-то в этом списке кажется вам подозрительным (например, системой зафиксирован заход в тот день, когда вы не посещали наш сайт, или один из IP-адресов явно принадлежит не вам), примите меры предосторожности или обратитесь в нашу службу поддержки. Обратите внимание: информация в разделе «История заходов» может быть неполной. Если вы не видите в списке ничего необычного, но обнаружили какие-то другие признаки несанкционированного доступа к своему счету, — обязательно свяжитесь со службой поддержки.
В Истории операций появился раздел «Заходы». Что это такое и зачем он нужен?
История заходов — это информация о том, когда и с каких IP-адресов вы заходили на сайт Яндекс.Денег под своим логином и паролем. Если что-то в этом списке кажется вам подозрительным (например, системой зафиксирован заход в тот день, когда вы не посещали наш сайт, или один из IP-адресов явно принадлежит не вам), примите меры предосторожности или обратитесь в нашу службу поддержки. Обратите внимание: информация в разделе «История заходов» может быть неполной. Если вы не видите в списке ничего необычного, но обнаружили какие-то другие признаки несанкционированного доступа к своему счету, — обязательно свяжитесь со службой поддержки.
Это точно не «антипиар»?
Как так получается, человек сделал платеж, а ему отказываются сообщить подробности о получателе?
Как так получается, человек сделал платеж, а ему отказываются сообщить подробности о получателе?
это конфиденциальная информация — кому были преданны деньги
Ну так это же ваша инфа ) так как вы владелец счета ) они просто отмазываются )
А кто сказал что он владелец счета? Он может быть кем угодно, просто представиться владельцем счета. Не будет же он отсылать им пароли, ключи итд.
Яндекс или ВМ проверят что он точно владелец, тогда можно будет выдать инфу.
Яндекс или ВМ проверят что он точно владелец, тогда можно будет выдать инфу.
> А кто сказал что он владелец счета? Он может быть кем угодно, просто представиться владельцем счета.
именно так мне и ответили
именно так мне и ответили
Ну так напишите им, чтобы они предоставили способ удостовериться, что вы — владелец счёта, и затем пусть уже разбираются. Про то, что у вас уже почти готово заявление в милицию тоже можно намекнуть :)
Я вижу три варианта:
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает
Я вижу три варианта:
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает(чем больше людей будет заинтересованно исправить данную ситуацию, касается яндекса, робокассы и магазинов, — быстрее все решиться)
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает(чем больше людей будет заинтересованно исправить данную ситуацию, касается яндекса, робокассы и магазинов, — быстрее все решиться)
То, что ТС — владелец счета, кроме него, более никому не очевидно.
Я не знаю, что используется у Яндекса, но если там стоит nginx — всё понятно. Дело в том что в nginx имеется особенность настройки. К сожалению, подробностей я не знаю, так как не являюсь гуру в этой области. Однако на одном форуме, где я являюсь модератором периодически в заходах у пользователей был IP 127.0.0.1. Так что думаю, дело в Яндексе (в неправильной настройке сервера), но вряд ли перевод совершал их сотрудник.
Если вы обратили внимание, в лог файле сервера Apache, IP адрес, запросов приходящие через Nginx, прописываются как локальные, 127.0.0.1, то есть Apache видит адрес проксирующего сервера а не реальные адреса клиентов. Для того что-бы это исправить, необходимо установить специальный модуль
Если вы обратили внимание, в лог файле сервера Apache, IP адрес, запросов приходящие через Nginx, прописываются как локальные, 127.0.0.1, то есть Apache видит адрес проксирующего сервера а не реальные адреса клиентов. Для того что-бы это исправить, необходимо установить специальный модуль
я пока НИКОГО НЕ ОБВИНЯЮ. Об этом я написал еще в самом посте…
ну и бред же вы говорите :-)
конечно же, у яндекса стоит апач за нгинкс и конечно же волшебным образом 127.0.0.1 появился только у 1 обращения.
конечно же, у яндекса стоит апач за нгинкс и конечно же волшебным образом 127.0.0.1 появился только у 1 обращения.
это если не передается X-Real-IP в заголовках, тогда да, 127.0.0.1. думаете что переодически включают nginx с разными конфигурациями?
Только что проверил «Историю заходов» своих Яндекс.Денег и тоже обнаружил 127.0.0.1 в списках IP, по дате и сумме смог точно определить что этот платеж делал я. В тот день я зашел на Яндекс.Деньги через свой телефон используя МТСный GPRS.
просмотрел историю входов за последние 3 года (ёмаё, почему нельзя сделать опциональным число записей на странице) весьма интенсивного использования — все IPы мои, 127.0.0.1 нет
Да у меня тоже все четко — или домашний или рабочий IP, а вот когда заходил с телефона через GPRS, IP отобразился как 127.0.0.1, благо это было всего один раз
пролистал у себя за 2 года
127.0.0.1 нет
127.0.0.1 нет
тоже есть 127.0.0.1, в сентябре этого года. честно, не помню с чего и с какими целями заходил, возможно через интернет МегаФона.
но дальше ещё интереснее, в феврале всплыл внутренний IP 10.215.*.*, не знаю откуда.
но дальше ещё интереснее, в феврале всплыл внутренний IP 10.215.*.*, не знаю откуда.
Нашел и у себя

Подозреваю что это был заход через megafon+gprs через браузер opera mini. В это случае, там должен был стоять адрес сервером opera, возможно яндекс игнорирует эти подсети адресов специально.
Злоумышленникам очень удобно… это какой гемор искать в опере хвосты, чтобы потом узнать с какого реально адреса был запрос (а потом возможно еще и у мобильного оператора искать кто же это был на самом деле)

Подозреваю что это был заход через megafon+gprs через браузер opera mini. В это случае, там должен был стоять адрес сервером opera, возможно яндекс игнорирует эти подсети адресов специально.
Злоумышленникам очень удобно… это какой гемор искать в опере хвосты, чтобы потом узнать с какого реально адреса был запрос (а потом возможно еще и у мобильного оператора искать кто же это был на самом деле)
может человек просто убирал незначащую информацию, на которой не хотел чтобы люди заостряли внимание? :-)
а все равно видны адреса
Ого, похоже Яндес при обнаружении прокси пишет 127.0.0.1 (вместо того.чтобы честно написать что это прокси), не вижу логики.
Как-то даже платил через Opera Mini, инет был beeline+gprs. Как видите за три года с определением ip ничего не изменилось:


У меня то же самое — 127.0.0.1 с GPRS МТС.
В Яндекс.Деньги — ни ногой!
отож учитывая что яндекс стал открыт для гос запросов да еще и с налогами черти че надумали. уж лучше на визе пэйпеле и на худой конец сидеть на ВМ если других вариантов нет. Покрайней мере все не мои сливы бабла они по чесному возвращали после разбирательств. фиг с ним с двух трех месячным ожиданием но зато есть шансы отстоять свои права. кто бы что не говорил а вот с точки зрения безопасности со своей стороны ВМ свое дело делает
А варианты?
А я ногой, только вот деньги там появляются прямо перед необходимой операцией в количестве достаточном для ее проведения. Остальное — нафик нафик. Хватит мне и за кредитную карту страха…
Ну вот и автор ногой.
Деньги-то он, может, и вернет, а вот будет ли и дальше держать суммы больше 100 рублей в ЯД — это у него стоит поинтересоваться.
Деньги-то он, может, и вернет, а вот будет ли и дальше держать суммы больше 100 рублей в ЯД — это у него стоит поинтересоваться.
нет, не буду. после получения буду сразу выводить…
киньте саппорту яндекса ссылку на этот пост… пусть ума набираются…
Наверное Бобуку не хватало на новый iMac и одолжил :)
А вобще нужно быть осторожным, чтоб еще вас не обвинили во взломе сервера ЯД
А вобще нужно быть осторожным, чтоб еще вас не обвинили во взломе сервера ЯД
Да уж, тут всяко может быть. Конечно, не обязательно имеет место быть вороватый сотрудник Яндекса.
Но самое неприятное здесь — это техподдержка Яндекса, которая должна помогать и «вселять надежду на спасение», но вместо этого тупо считает вас круглым идиотом (судя по письму). Вот это самое отвратительное.
Пробуйте разные предложенные здесь методы, начиная, естественно, с попытки достучаться до людей, которые стоят над техподдержкой. Очень интересно будет узнать, чем история закончится (надеюсь, успешно возвращенными средствами).
Но самое неприятное здесь — это техподдержка Яндекса, которая должна помогать и «вселять надежду на спасение», но вместо этого тупо считает вас круглым идиотом (судя по письму). Вот это самое отвратительное.
Пробуйте разные предложенные здесь методы, начиная, естественно, с попытки достучаться до людей, которые стоят над техподдержкой. Очень интересно будет узнать, чем история закончится (надеюсь, успешно возвращенными средствами).
спасибо большое. я не обвиняю яндекс в том, что какой-то из сотрудников украл эти деньги. нет.
а поводу тех.поддержки — да, очень хорошо они «вселяют надежду на спасение» :)
методы — дождаться реакции от яндекса и сходить к юристам (как уже посоветовали) и заверить все скриншоты. дальше, если реакции от яндекса нет — заявление в милицию и разбирательства…
а поводу тех.поддержки — да, очень хорошо они «вселяют надежду на спасение» :)
методы — дождаться реакции от яндекса и сходить к юристам (как уже посоветовали) и заверить все скриншоты. дальше, если реакции от яндекса нет — заявление в милицию и разбирательства…
как бы теперь это не оказалось топиком зла)
А у меня такой есть в логах:
18.02.2008 19:20 192.168.1.183
это клиентский адрес машины в впн-туннеле. Затрудняюсь понять как его узнал ЯД.
18.02.2008 19:20 192.168.1.183
это клиентский адрес машины в впн-туннеле. Затрудняюсь понять как его узнал ЯД.
Понял, как его узнал ЯД.
Одно время, пока я принудительно не запретил, squid у меня отдавал HTTP_X_FORWARDED_FOR во всех запросах. И тогда HTTP_X_FORWARDED_FOR как раз и был 192.168.1.183.
Так что система определения адресов у ЯД, по всей видимости, вначале смотрит этот заголовок (HTTP_X_FORWARDED_FOR) и если он пустой берет REMOTE_ADDR.
Одно время, пока я принудительно не запретил, squid у меня отдавал HTTP_X_FORWARDED_FOR во всех запросах. И тогда HTTP_X_FORWARDED_FOR как раз и был 192.168.1.183.
Так что система определения адресов у ЯД, по всей видимости, вначале смотрит этот заголовок (HTTP_X_FORWARDED_FOR) и если он пустой берет REMOTE_ADDR.
Да уж… приплыли.
У меня тоже такое было :)
Установил squid на локальной машине, и ходил в интернет через squid.
Так половина сервисов, который показывают IP, показывали 127.0.0.1 как главный (cmyip.com яркий пример)
Установил squid на локальной машине, и ходил в интернет через squid.
Так половина сервисов, который показывают IP, показывали 127.0.0.1 как главный (cmyip.com яркий пример)
Поправка: не система определения адресов, а система отображения айпи в истории заходов. Внутри есть информация о том, с какого айпи совершались платежи, но вот она не показывается пользователю. Разумеется, милиции отдадут полную информацию — ждём официального запроса.
Я знаю что делается в таких случаях, не спрашивайте откуда.
1. Деньги Яндекс вам вернуть может, но результат будет зависеть не от Яндекса, их истратили (переводом на обменник) и они уже не в Яндексе.
2. Идете в милицию по месту жительства и подаете заявление на имя начальника отделения, берете талон КУСП и рекомендуете принимающему заявление обратиться в бюро специальных технических мероприятий (да, они могут этого не знать).
3. Ждете ответа от Яндекса: либо будет ответ с инструкцией как вернуть деньги, либо с более развернутой инструкцией про поход в милицию.
4. Еще раз, Яндекс делает все что возможно, чтобы вернуть деньги и делает это по таким запросам с самым высоким приоритетом, когла леньги ушли с вашего кошелька, все зависит уже не от Яндекса.
5. Если Яндекс отправит вас в милицию, то это единственный вариант что-то вернуть, можете не переспрашивать.
6. Перейдите на усиленную авторизацию наконец или заведите Интернет.Кошелек.
Если есть вопросы — в личку. Инсайда не ждите.
1. Деньги Яндекс вам вернуть может, но результат будет зависеть не от Яндекса, их истратили (переводом на обменник) и они уже не в Яндексе.
2. Идете в милицию по месту жительства и подаете заявление на имя начальника отделения, берете талон КУСП и рекомендуете принимающему заявление обратиться в бюро специальных технических мероприятий (да, они могут этого не знать).
3. Ждете ответа от Яндекса: либо будет ответ с инструкцией как вернуть деньги, либо с более развернутой инструкцией про поход в милицию.
4. Еще раз, Яндекс делает все что возможно, чтобы вернуть деньги и делает это по таким запросам с самым высоким приоритетом, когла леньги ушли с вашего кошелька, все зависит уже не от Яндекса.
5. Если Яндекс отправит вас в милицию, то это единственный вариант что-то вернуть, можете не переспрашивать.
6. Перейдите на усиленную авторизацию наконец или заведите Интернет.Кошелек.
Если есть вопросы — в личку. Инсайда не ждите.
вопрос касаемый п.1
т.е. если кража денег — проблема обеспечения безопасности ЯД, то они не при чём? т.е. они не несут рисков по хранению чужих денег?
бред чистой воды.
т.е. если кража денег — проблема обеспечения безопасности ЯД, то они не при чём? т.е. они не несут рисков по хранению чужих денег?
бред чистой воды.
Проблема безопасности была бы, если взломали БД Яндекса, если у юзера уперли пароли с логинами, какая тут проблема Яндекса?
Это равносильно предъявлять BMW, что они не защищают машину от кражи, если у вас стащили ключи.
Это равносильно предъявлять BMW, что они не защищают машину от кражи, если у вас стащили ключи.
а с чего вы взяли, что информация была сворована у пользователя (были стащены ключи)?
Если деньги были переведены не владельцем, значит его данные узнали — Яндекс не знает его данные (пароли, они в зашифрованном виде), вот тут уже поверьте. Тем более техподдержка.
Если есть сомнения, МИЛИЦИЯ и еще раз она.
Но можете не сомневаться — таким в компании заниматься не будет никто, УКРФ никто не отменял, а дебилов в Яндекс не берут, знаю.
Если есть сомнения, МИЛИЦИЯ и еще раз она.
Но можете не сомневаться — таким в компании заниматься не будет никто, УКРФ никто не отменял, а дебилов в Яндекс не берут, знаю.
«Если деньги были переведены не владельцем, значит его данные узнали — Яндекс не знает его данные (пароли, они в зашифрованном виде), вот тут уже поверьте.»
с чего вы решили, что пароль, который на сервер пришёл в открытом виде, не был сворован именно на сервере?
с чего вы решили, что пароль, который на сервер пришёл в открытом виде, не был сворован именно на сервере?
Если бы такая уязвимость существовала — то благодаря ей давно бы слилась уйма денег.
Там SSL. Или я чего-то не понимаю?
Перед тем как писать заявление в милицию вам нужно написать претензию в сторону ЯД в которой четко сформулировать в чем у вас проблема. Претензию отсылать или в письменном виде заказным письмом с уведомлением или электронной почтой с подтверждением прочтения. После этого ЯД по-идее обязанны обратиться САМИ в милицию по факту хищения (если конечно такие случаи у них никак не отмазаны в пользовательском соглашении). Если реакции не последует – сразу можно обращаться с заявлением в милицию и писать исковое заявление по факту хищения.
При чем тут Яндекс? Кто-то зашел под логином-паролем-платежным паролем (все что есть для идентификации юзера) и истратил деньги (основное назначение системы) — в чем виноват Яндекс?
при том что настоящий хозяин заявляет о пропаже денег. Если у меня с банковской карты сняли деньги — причем тут банк? так чтоли по вашей логике? Не суть.
Суть в том, что любые подвижки в сторону «расследования» могут быть или по инициативе сервиса, или по принуждению в результате получения претензии, которая обычно означает дальнейшее движение в сторону суда.
Суть в том, что любые подвижки в сторону «расследования» могут быть или по инициативе сервиса, или по принуждению в результате получения претензии, которая обычно означает дальнейшее движение в сторону суда.
а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Тут уж явно б-вариант правдоподобнее.
Притвориться стодвадцатьсемьдваноляпервым нельзя, а значит проблемы у Яндекса при записи/после записи. Метафорой: нельзя родителям сказать, что ты — класный руководитель Марья Ивановна, зато в дневнике можно подписаться от ее имени.
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Тут уж явно б-вариант правдоподобнее.
Притвориться стодвадцатьсемьдваноляпервым нельзя, а значит проблемы у Яндекса при записи/после записи. Метафорой: нельзя родителям сказать, что ты — класный руководитель Марья Ивановна, зато в дневнике можно подписаться от ее имени.
в чем я уверен — это не воровство со стороны яндекса. Сотрудники получают немало, ну 10 к это маловато для взлома.
я думаю какой то глюк случайный, или крякеры мимо проходили
я думаю какой то глюк случайный, или крякеры мимо проходили
Я не удивляюсь такому.
Пару дней назад у меня украли емейл на яндексе.
Я не могу восстановить пароль ни по мобильному телефону, ни через секретный вопрос — везде пишет неправильно.
Обратился в яндекс, мне сказали на странице: заполнить все данные. Я заполнил все очень-очень подробно, даже айпишники указал, год создания почты, отсканил им паспорт…
Кстати, в Яндекс паспорте данного емейла у меня были указаны все мои данные и ФИО и все остальное.
В ответ мне пришло от них письмо, что нужно ехать к ним в офис с паспортом и писать заявление. В общем все очень долго и геморно… а в это время злоумышленники уже получают доступ к почти десятку выделенным машинам, к хостигу всех моих сайтов, вэбмани, скайп, icq и так далее.
=(
Пару дней назад у меня украли емейл на яндексе.
Я не могу восстановить пароль ни по мобильному телефону, ни через секретный вопрос — везде пишет неправильно.
Обратился в яндекс, мне сказали на странице: заполнить все данные. Я заполнил все очень-очень подробно, даже айпишники указал, год создания почты, отсканил им паспорт…
Кстати, в Яндекс паспорте данного емейла у меня были указаны все мои данные и ФИО и все остальное.
В ответ мне пришло от них письмо, что нужно ехать к ним в офис с паспортом и писать заявление. В общем все очень долго и геморно… а в это время злоумышленники уже получают доступ к почти десятку выделенным машинам, к хостигу всех моих сайтов, вэбмани, скайп, icq и так далее.
=(
Если люди из Яндекса деньги не вернут или не опровергнут сказанное автором, то разошлю информацию своим клиентам — спасибо за предупреждение. в WM хоть и сидят быдлокодеры, но архитекторы там нормальные.
Не хочу никого защищать, но ведь и впрямь ваш пароль могли просто украсть, а айпишник, как выше показали, не обязательно внутренний ЯД. То есть я к тому, что это обычный взлом и концов уже не найти.
я не говорю что 100% это ip ЯДа.
пароль увели — возможно, но я сам стараюсь обезопасить себя — использую антивирус, не лажу по незнакомым сайтам. пароль к аккаунту сменили, а платежный пароль — нет. зачем пароль менять после взлома + удалять аккаунт (была попытка удалить аккаунт, но спасибо Яндексу — он его заблокировал, но не удалил)?!
пароль увели — возможно, но я сам стараюсь обезопасить себя — использую антивирус, не лажу по незнакомым сайтам. пароль к аккаунту сменили, а платежный пароль — нет. зачем пароль менять после взлома + удалять аккаунт (была попытка удалить аккаунт, но спасибо Яндексу — он его заблокировал, но не удалил)?!
Кто знает, есть ли в яндекс почте защита по айпишнику? т.е. если айпишник не мой, то на почту пускать не будет.
по IP нету.
только так help.yandex.ru/passport/?id=922044
только так help.yandex.ru/passport/?id=922044
занятная тема.
лично у меня уже история заходов не открывается.
лично у меня уже история заходов не открывается.
Вероятно, глупый вопрос, но: 1. в Яндекс-деньгах нельзя отозвать свой платёж?
2. И вы продолжаете пользоваться этими фантиками?
При оплате кредиткой (хоть онлайн, хоть оффлайн) платёж отзывается на раз-два, да даже обычный банковский перевод отозвать можно, хотя и сложно. И уж во всяком случае будешь знать, кому ушли твои денежки.
2. И вы продолжаете пользоваться этими фантиками?
При оплате кредиткой (хоть онлайн, хоть оффлайн) платёж отзывается на раз-два, да даже обычный банковский перевод отозвать можно, хотя и сложно. И уж во всяком случае будешь знать, кому ушли твои денежки.
Дублирую наш ответ пользователю.
Обратите, пожалуйста, внимание на указанную на нашем сайте информацию:
https://money.yandex.ru/doc.xml?id=522713#qu22
информация в разделе «История заходов» может быть неполной.
В данном случае заход с айпи злоумышленника в Вашей истории заходов отображён некорректно. При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес. Однако у нас хранится информация обо всех айпи-адресах, с которых совершаются платежи (разумеется, в случае с прокси это будет адрес прокси). По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер также хранит информацию о том, с каких адресов были заходы на него, и получить эту информацию также сможет милиция.
В самом первом нашем письме мы рекомендовали Вам обратиться в милицию и дали достаточно подробную инструкцию, как это сделать. Пожалуйста, воспользуйтесь этой инструкцией. По запросу правоохранительных органов мы сообщим абсолютно всю информацию, которая есть в нашем распоряжении.
Обратите, пожалуйста, внимание на указанную на нашем сайте информацию:
https://money.yandex.ru/doc.xml?id=522713#qu22
информация в разделе «История заходов» может быть неполной.
В данном случае заход с айпи злоумышленника в Вашей истории заходов отображён некорректно. При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес. Однако у нас хранится информация обо всех айпи-адресах, с которых совершаются платежи (разумеется, в случае с прокси это будет адрес прокси). По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер также хранит информацию о том, с каких адресов были заходы на него, и получить эту информацию также сможет милиция.
В самом первом нашем письме мы рекомендовали Вам обратиться в милицию и дали достаточно подробную инструкцию, как это сделать. Пожалуйста, воспользуйтесь этой инструкцией. По запросу правоохранительных органов мы сообщим абсолютно всю информацию, которая есть в нашем распоряжении.
Вопрос, в чём смысл истории заходов в её нынешнем виде, явно риторический. Говорить надо о том, чтобы сделать её более информативной. Поговорим.
Злоумышленники обычно настолько не заморачиваются. А пользователи крайне редко пользуются историей заходов. Но раз уж она есть — то неплохо бы ей быть более адекватной, с этим я совершенно согласна.
Злоумышленники обычно настолько не заморачиваются. А пользователи крайне редко пользуются историей заходов. Но раз уж она есть — то неплохо бы ей быть более адекватной, с этим я совершенно согласна.
Высший шик — сделать кнопочку, которая для каждого логина разворачивала бы ALL_HTTP хедер. Чтобы и прокси видеть и реальный компьютер (если его возможно определить) и юзер-агент, например.
Хотя бы при использовании прокси просто в виде 127.0.0.1 [xxx.xxx.xxx.xxx], или наоборот xxx.xxx.xxx.xxx [127.0.0.1]
«Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес.»
зачем скрипту, который определяет IP, вообще куда-то «ходить»? что такое «скрипт был перенаправлен»?
скрипт просто прочитал X-Forwarded-For и никуда отправлен не был. он просто взял эту информацию и записал в хранилище.
зачем скрипту, который определяет IP, вообще куда-то «ходить»? что такое «скрипт был перенаправлен»?
скрипт просто прочитал X-Forwarded-For и никуда отправлен не был. он просто взял эту информацию и записал в хранилище.
процитировал ваши слова в посте. спасибо.
буду писать заявление в милицию
буду писать заявление в милицию
Хотелось бы увидеть на Яндекс деньгах более подробную статистику заходов, хотя бы 2 поля таблицы, реальный ip и forwarded ip.
Так же хотелось бы функцию по отправке смс (+ настройку доступа ip), если на аккаунт зашли с другого ip, пусть она будет платная, это не страшно.
Я всегда пользовался Яндексом и буду продолжать пользоваться, для меня это самый удобный сервис и хочется сделать его немного лучше.
Так же хотелось бы функцию по отправке смс (+ настройку доступа ip), если на аккаунт зашли с другого ip, пусть она будет платная, это не страшно.
Я всегда пользовался Яндексом и буду продолжать пользоваться, для меня это самый удобный сервис и хочется сделать его немного лучше.
нужно чтобы когда входишь в аккаунт приходила смс с временным одноразовым паролем, который необходимо ввести чтобы получить доступ ко всей информации в Яндекс.Деньгах — вот так будет надежно
Одноразовые пароли — это усиленная авторизация, она есть.
Вариант с смс тоже теоретически возможен, но в данный момент реализована другая версия одноразовых паролей. Вы предлагаете каждый раз присылать смс, мы предлагаем использовать карту с кодами.
Вариант с смс тоже теоретически возможен, но в данный момент реализована другая версия одноразовых паролей. Вы предлагаете каждый раз присылать смс, мы предлагаем использовать карту с кодами.
В Альфабанке именно такая активация и деньги со счетов уводили всё равно :)
да ладно? каким образом?
Не техническая уязвимость софта Альфабанка, конечно, но тем не менее имеет право на существование.
www.rb.ru/news/society/2009/04/30/160002.html
www.rb.ru/news/society/2009/04/30/160002.html
По этому я добавил: + настройку доступа ip.
Где можно будет разрешить заход только со своей сети например, а изменить это, можно будет только с помощью sms кода.
Где можно будет разрешить заход только со своей сети например, а изменить это, можно будет только с помощью sms кода.
мне тоже нравится Яндекс.Деньги, но я не ожидал что могут так легко украсть все мои деньги… :(
буду разбираться…
буду разбираться…
>При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес.
А проверки возвращаемого значения — не для джедаев, да?
No comments… =\
А проверки возвращаемого значения — не для джедаев, да?
No comments… =\
зачем проверять, клиенты ведь не могут врать. вы что?!?!?
просили передать: everybody lies[H]
ru.wikipedia.org/wiki/%D0%98%D1%80%D0%BE%D0%BD%D0%B8%D1%8F
передайте тому, кто просил передать :-)
передайте тому, кто просил передать :-)
Не понимаю в чем смысл выдачи информации в данном случае через милицию?
Почему не можете предоставить клиенту информацию об IP, с которого подразумевается ОН ЖЕ произвел транзакцию. Я понимаю что это мало что даст, но ответ имхо на «отвяжись»
Почему не можете предоставить клиенту информацию об IP, с которого подразумевается ОН ЖЕ произвел транзакцию. Я понимаю что это мало что даст, но ответ имхо на «отвяжись»
неее, ребят, так не пойдёт.
либо вы в ментовку нашу не обращались никогда (это вряд ли), либо обращались и слишком хорошо знаете, что шансы на успех в данном деле равны нулю.
любой нормальный банк начал бы заниматься данным вопросом и без вмешательства милиции: им важна их репутация. а вам на репутацию похуй.
и получите вы то, что заслужили: спрос на ваш сервис будет расти в среде сетевых мошенников и падать в среде пользователей электронных денег.
лично я говорю вам до свидания.
либо вы в ментовку нашу не обращались никогда (это вряд ли), либо обращались и слишком хорошо знаете, что шансы на успех в данном деле равны нулю.
любой нормальный банк начал бы заниматься данным вопросом и без вмешательства милиции: им важна их репутация. а вам на репутацию похуй.
и получите вы то, что заслужили: спрос на ваш сервис будет расти в среде сетевых мошенников и падать в среде пользователей электронных денег.
лично я говорю вам до свидания.
Да уж, интересно девки пляшут… спасибо, интересно
Стараюсь дольше пяти минут деньги на я-кошельке не держать, но на всякий случай проверила — кроме меня никто не заходил :)
Хотелось бы в итоге узнать! Чья ошибка пользователя или ЯД. И в чем она заключалась! Было бы уроком для всех, да и просто любопытно…
Ололо, Яндекс очевидно считает главным IP адресом указанный в Forwarded-For :)))
А вообще, в статье есть и положительный момент — если кто-то, например, пишет трояны для воровства яндекс-кошельков, он может спать спокойно :)
А вообще, в статье есть и положительный момент — если кто-то, например, пишет трояны для воровства яндекс-кошельков, он может спать спокойно :)
я думаю эти кто-то уже давно все дырочки знают
вопрос к топикстартеру: ты ни какие подозрительные или новые программы последнее время не запускал?
ничего из софта не скачивал?
вопрос к топикстартеру: ты ни какие подозрительные или новые программы последнее время не запускал?
ничего из софта не скачивал?
была на Хабре недавно статья про трояны.
вроде нет. все что нужно уже давно стоит и используется. даже если бы что-то скачал подозрительное, думаю, антивирус поднял бы тревогу…
даже и не знаю что и сказать
XSS маловероятно
пароли могли увести только с твоего компа
XSS маловероятно
пароли могли увести только с твоего компа
Может, пароль сбрутили? Точнее, там надо 2 пароля брутить, обычный и платежный. Странно же. Или украли авторизационную куку через XSS на яндексе? Или у вас в браузере шпионское расширение? Или троян на компьютере?
И кстати, самые новые вирусы обычно антивирами непалятся, по крайнйе мере первые дни.
И кстати, самые новые вирусы обычно антивирами непалятся, по крайнйе мере первые дни.
все расширения для Firefox ставил сам.
Вчера провел проверку компьютера 2-мя антивирусами (тот который стоял уже год + Dr.Web Free) — ничего найдено не было.
Все остальное остается под вопросом. Если брутить платежный пароль, то, насколько я помню, при 3-х неудачных попытках происходит блокировка счета…
Вчера провел проверку компьютера 2-мя антивирусами (тот который стоял уже год + Dr.Web Free) — ничего найдено не было.
Все остальное остается под вопросом. Если брутить платежный пароль, то, насколько я помню, при 3-х неудачных попытках происходит блокировка счета…
Деньги ушли 3-мя платежами в WebMoney через Робокассу. Звонок в Робокассу ничего не дал — они сказали что деньги переведены на счет (какой именно не выдают) и ничем помочь не могут. Сказали обратиться в тех.поддержку Яндекс.Деньги и Webmoney. По их запросам они предоставят все сведения если потребуется.Я правильно понимаю, что «переведены на счет» означает, деньги через Робокассу были переведены на кошелёк Webmoney (что в истории Яндекс.Денег отображается как магазин/платеж в магазин?
То есть счет, который отказывается сообщить Робокасса — это номер кошелька/кошельков Webmoney куда в конечном итоге попали деньги?
по звонку они ничего не скажут
нужног официальное расследование
они будут обязаны выдать все данные, которые у них существуют.
нужног официальное расследование
они будут обязаны выдать все данные, которые у них существуют.
сделан перевод через roboxchange в систему WebMoney. «платеж в магазин» это название перевода. туда можно написать все что угодно
да они ушли на кошелек в системе WebMoney и они отказываются назвать номер WMID куда ушли мои деньги
n.b. только не робокасса, а roboxchange (сейчас только увидел разницу… одни роботы, блин)… приношу свои извинения робокассе…
да они ушли на кошелек в системе WebMoney и они отказываются назвать номер WMID куда ушли мои деньги
n.b. только не робокасса, а roboxchange (сейчас только увидел разницу… одни роботы, блин)… приношу свои извинения робокассе…
Я вот, например, не отдал клиенту $300 через PayPal — задержал на день работу, клиент обиделся и отвалился потребовав эту предоплату в зад. Я сказал, что не отдам.
Написали из PayPal, типа давай деньги назад — проигнорировал.
Через день уже написал клиент, PayPal ему компенсировал всю сумму из своего кармана.
Больше я от них ничего не слышал.
Почему Яндекс так не умеет, че сложно чтоли? Где сервис? Где забота о клиенте?
Написали из PayPal, типа давай деньги назад — проигнорировал.
Через день уже написал клиент, PayPal ему компенсировал всю сумму из своего кармана.
Больше я от них ничего не слышал.
Почему Яндекс так не умеет, че сложно чтоли? Где сервис? Где забота о клиенте?
ну что господа, ждемс статью в журнале ][?))))
Вот тут многие начали искать изъяны в Яндекс.деньгах и прочих платежных системах с правовой точки зрения. Их там может не быть. Но вот самое веселье может начаться в милиции. Я уж не знаю как в крупных городах, но у нас в провинции это чудная организация. Очень.
Сам был жертвой интернет-мошенников, в далеком 2005 году, сумма была копеечная, но принципиальная — 500 руб. Пользовался Я.Д. Когда понял, что стал жертвой мошенников, позвонил в саппорт Я.Д. Вежливый и учтивый молодой человек, приятным голосом, посоветовал обратиться в милицию, по месту жительства моего. Пошел к матерым операм. Рассказала про Я.Д. Они у меня спрашивают: «Ну ты его знаешь? Где он живет?» Я очень удивленно интересуюсь: «А кого я знаю?» Они: «Ну его, как ты там назвал… Яндекс. В каком районе живет»
Вот вам и милиция. Конечно, можно сделать скидку, что был 2005 год, но… Не стоит. А затем мне русским и обычным языком объяснили, как будет проходить процесс возврата моих 500 руб. Заявление примут, начнут работать, счет заморозят, буду выяснять, искать. А это может затянуться, затем будет суд (если найдут кого судить), и тогда может я и получу свои деньги. Конечно я заявлений писать не стал, просто плюнул и забыл, но стал бдительнее. А этот урок жизни мне обошелся в 500 руб.
Сам был жертвой интернет-мошенников, в далеком 2005 году, сумма была копеечная, но принципиальная — 500 руб. Пользовался Я.Д. Когда понял, что стал жертвой мошенников, позвонил в саппорт Я.Д. Вежливый и учтивый молодой человек, приятным голосом, посоветовал обратиться в милицию, по месту жительства моего. Пошел к матерым операм. Рассказала про Я.Д. Они у меня спрашивают: «Ну ты его знаешь? Где он живет?» Я очень удивленно интересуюсь: «А кого я знаю?» Они: «Ну его, как ты там назвал… Яндекс. В каком районе живет»
Вот вам и милиция. Конечно, можно сделать скидку, что был 2005 год, но… Не стоит. А затем мне русским и обычным языком объяснили, как будет проходить процесс возврата моих 500 руб. Заявление примут, начнут работать, счет заморозят, буду выяснять, искать. А это может затянуться, затем будет суд (если найдут кого судить), и тогда может я и получу свои деньги. Конечно я заявлений писать не стал, просто плюнул и забыл, но стал бдительнее. А этот урок жизни мне обошелся в 500 руб.
А может программисты Яндекс.Денег настолько суровы что если видят заголовок X-Forwarded-For: 127.0.0.1, считают что они поймали злого хакера сидящего через прокси и его реальный IP-адрес — 127.0.0.1?
я проверил, поставил прокси на локалхост, браузер настроил, зашел на ip.xss.ru удостоверился что показывает forwarder 127.0.0.1, зашел на яндекс-деньги. В яндексе показывет мой реальный ip, а не localhost. Вот так вот.
Вообще ценный эксперимент, спасибо. Но яндексеры могли это уже исправить из-за инцидента.
А не попробуете подставить в поле левый адрес или мусор? Интересно, что получится. Если в яндексе только ещё не поправили что-нибудь.
теоретически могли недосмотреть/забыть…
В общем-то почитал, поплакал…
Зачем сразу же поливать Яндекс и его сотрудников грязью.
Выше уже объяснили как технически такое могло произойти.
Вот у вас слили деньги и вы возмущаетесь по поводу того, что в истории заходов отобразился IP адрес локального хоста.
Посмотрим с другой стороны. Если бы там отобразился некий IP адрес, то каковы бы были ваши действия? Начали бы сами искать вора? И в том и в другом случае необходимо писать заявление в милицию. А там она сайма должна взять у яндекса необходимые логи.
Это убило меня мгновенно. Сначала истерика от потери денег, затем истерика о том, как такое могло произойти. Вариантов было 3:
а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги
Зачем сразу же поливать Яндекс и его сотрудников грязью.
Выше уже объяснили как технически такое могло произойти.
Вот у вас слили деньги и вы возмущаетесь по поводу того, что в истории заходов отобразился IP адрес локального хоста.
Посмотрим с другой стороны. Если бы там отобразился некий IP адрес, то каковы бы были ваши действия? Начали бы сами искать вора? И в том и в другом случае необходимо писать заявление в милицию. А там она сайма должна взять у яндекса необходимые логи.
в этом случае при написании заявления можно указать тот ip, который там был прописан — в этом случае вопрос решался бы быстрее…
а сотрудников яндекса я нигде грязью не поливал. в посте высказал лишь предположения, которые были у меня на тот момент.
а сотрудников яндекса я нигде грязью не поливал. в посте высказал лишь предположения, которые были у меня на тот момент.
1. кто сказал, где написано что быстрее? Хоть вы и подаёте заявление, но всё равно вашим показаниям нельзя доверять на 100% и в любом случае необходимо их проверять.
2. У меня сложилось такое впечатление.
2. У меня сложилось такое впечатление.
если неизвестен ip, то они будут подавать запрос в яндекс, затем яндекс будет смотреть в базе, отсылать всю информацию им. а когда есть ip — они непосредственно будут искать того, откуда совершался перевод и, возможно, выйдут на злоумышленника. во втором отпадает одно из звеньев и процесс будет двигаться быстрее
это мое мнение
это мое мнение
> Почему до сих пор не ввели 2-ую авторизацию по одноразовому паролю, которых приходит на номер мобильного телефона каждый раз, когда пытаешься зайти в аккаунт?!
А что это изменит? Здесь на хабре вот знаю человека который еще 6 лет назад писал тронского коня выводящего деньги из WebMoney только после того, как пользователь залогинивался в самом клиенте. Причем так аккуратно, вдобавок затирая за собой все следы и ключи, что в реальности деньги можно было бы вывести легко до того, как кто-то что-то понял бы. Так что, стоит только вам войти в систему и никто не гарантирует что через секунду ваши деньги не будут автоматически отосланы куда-то и все следы не будут спрятаны «на лету» подмененным содержимым веб-странички. Единственная система которая позволяет вас хоть немного защитить — это запрос пароля непосредственно перед отправкой денег (смс, или еще лучше электронный брелок генератор ключей), но и тут существуют свои нюансы позволяющие подменить направление посылки и реальную сумму, опять же потом подсунув вам фиктивную ошибку.
Так что, в действительности вся ответственность (ни в данном случае конечно) на пользователе, никакая система никогда точно не сможет определить, кто ей отдает команды — пользователь или вор (не обязательно причем человек, может и программа)
А что это изменит? Здесь на хабре вот знаю человека который еще 6 лет назад писал тронского коня выводящего деньги из WebMoney только после того, как пользователь залогинивался в самом клиенте. Причем так аккуратно, вдобавок затирая за собой все следы и ключи, что в реальности деньги можно было бы вывести легко до того, как кто-то что-то понял бы. Так что, стоит только вам войти в систему и никто не гарантирует что через секунду ваши деньги не будут автоматически отосланы куда-то и все следы не будут спрятаны «на лету» подмененным содержимым веб-странички. Единственная система которая позволяет вас хоть немного защитить — это запрос пароля непосредственно перед отправкой денег (смс, или еще лучше электронный брелок генератор ключей), но и тут существуют свои нюансы позволяющие подменить направление посылки и реальную сумму, опять же потом подсунув вам фиктивную ошибку.
Так что, в действительности вся ответственность (ни в данном случае конечно) на пользователе, никакая система никогда точно не сможет определить, кто ей отдает команды — пользователь или вор (не обязательно причем человек, может и программа)
Это работает, а не работает только когда есть как раз нюанс с возможностью незаметной подмены (зависит от криворукости разработчиков), о чем я и написал. Приходилось как-то разрабатывать ТЗ для одного иностранного брокера в плане такой системы. Не описывая всей системы, выделю главное — sms с паролем приходило вместе с идентификатором того, кому переводили средства. Так что, пользователь всегда мог однозначно идентифицировать, куда он точно переводит свои деньги. Плюс еще было ноу-хау с брелком для зашиты от такой вещи, как установка трояна на телефон для подмены наших sms «на лету». Тут кроме как физически не завладев брелком и телефоном (хотя можно обойтись бекдором для телефона), нельзя перевести деньги.
Спасибо конечно за ликбез, но я тоже прекрасно разбираюсь как такие вещи делаются, и уж тем более сам могу такое написать. Прочтите просто внимательно как система устроена, тут нет необходимости в защите от подмены на стороне клиента.
> Это дико неудобно.
Ну не все так страшно, как выглядит со стороны. Клиент заполняет форму, жмахает кнопочку «получить пароль», в этот момент начинается транзакция перевода состоящая из нескольких этапов. Вначале происходит получение сервером данных заполненной формы и генерация на ее основе очень хитрого пароля (как раз тот самый mTAN, раз вы в теме, только он не полностью случаен), далее он высылается через sms и позволяет клиенту точно определить, куда уйдут деньги. Клиент быстро удостоверяется, совпадают ли данные в sms с теми, куда он хочет перевести деньги, вводит пароль, код с брелка (хитрый брелок нужен для защиты от фишинга смс и так называемого «sim swap fraud» мошенничества) и нажимает кнопку подтверждения. Ну а система далее после подтверждения перевода сверяет все данные и, если не было нигде подмены, выполняет всю транзакцию. Внешне для пользователя все выглядит ну очень просто и система прекрасно работает.
> Это дико неудобно.
Ну не все так страшно, как выглядит со стороны. Клиент заполняет форму, жмахает кнопочку «получить пароль», в этот момент начинается транзакция перевода состоящая из нескольких этапов. Вначале происходит получение сервером данных заполненной формы и генерация на ее основе очень хитрого пароля (как раз тот самый mTAN, раз вы в теме, только он не полностью случаен), далее он высылается через sms и позволяет клиенту точно определить, куда уйдут деньги. Клиент быстро удостоверяется, совпадают ли данные в sms с теми, куда он хочет перевести деньги, вводит пароль, код с брелка (хитрый брелок нужен для защиты от фишинга смс и так называемого «sim swap fraud» мошенничества) и нажимает кнопку подтверждения. Ну а система далее после подтверждения перевода сверяет все данные и, если не было нигде подмены, выполняет всю транзакцию. Внешне для пользователя все выглядит ну очень просто и система прекрасно работает.
Да яндекс деньги вообще веселая штука, заблокировали кошелек (идентифицировать им меня понадобилось), меня неочем не предупредили (да я знаю что в лицензии написано что они не шлют письма по собственной инициативе), обнаружил это я только после того как перевел туда достаточно значительную сумму (как раз что бы быстренько перевести на альфабанковскую карту). Процесс идентификации тоже очень забавный сначала надо заплатить в банке 175 рублей (есть другие способы но не такие быстрые) банк в данном случае проверяет мои паспортные данные, а после этого (внимание!) служба безопасности яндекс ещё раз проверяет мои паспортные данные и конечно служба безопасности никогда не работает в выходные. Ах да ещё один момент — если нажать на кнопку обратной связи и написать письмо с просьбой почесаться или объяснить что вообще происходит они мило спросят номер счета, несмотря на то что письмо писалось через их форму с аккуанта.
Увы, но не первый раз слышу подобные истории. Видимо поэтому не доверяю Яндекс.Деньгам свои деньги.
Я вам очень сочувствую. Я недавно подумывал, что бы перевести часть своих денег в электронные — за интернет платить, телефон, в магазинах. Теперь раздумал окончательно — только наличные. Вам желаю — успехов в милиции и поиске виновных в этом.
А чем вам не нравится банк и пластик?
Банк и пластик есть, но карту стараюсь не совать где попало. Может быть просто не знаю, что бояться этого не надо :) Но наличными как-то оно всё таки спокойней.
Как бы многие не ругали WebMoney, но у них защита покрепче будет
С WebMoney у меня никогда проблем не было, а вот с Яндекс.Деньгами была одна
PS: Робокасса должна предоставить номер счёта, на который ушли деньги. Не хотят сами — надо давить на них через милицию.
С WebMoney у меня никогда проблем не было, а вот с Яндекс.Деньгами была одна
PS: Робокасса должна предоставить номер счёта, на который ушли деньги. Не хотят сами — надо давить на них через милицию.
этим ДОЛЖЕН заниматься Яндекс, без милиции. «в милицию» — это отговорка, они сделают всё, чтобы не принять у вас заявление и/или прикрыть висяк.
так что если не яндекс -то что это за финучреждение такое, которое ни за что не отвечает?
уже если назвался груздем… а сейчас никому не рекомендовал бы хранить там деньги.
лучше уж банк, пластик. у них хотя бы ответственность есть, и репутацией они дорожат, в отличие йандекса.
так что если не яндекс -то что это за финучреждение такое, которое ни за что не отвечает?
уже если назвался груздем… а сейчас никому не рекомендовал бы хранить там деньги.
лучше уж банк, пластик. у них хотя бы ответственность есть, и репутацией они дорожат, в отличие йандекса.
«Прочитайте, пожалуйста, внимательно. В истории заходов фигурирует ip-адрес 127.0.0.1»
это ВАШ ip-адрес, а не яндекса
это ВАШ ip-адрес, а не яндекса
Да, сурово тут закрутилась дискуссия!
В этой истории странным мне кажется поведение господ из Яндекса — пассивное, безразличное к имиджу своей компании. Вон уже слышатся голоса, что ВебМани лучше, а карточки и подавно…
Блин, дарю Яндексу идею — включитесь АКТИВНО в распутывание этой детективной истории! Покажите что вы технически компетентны, что вам небезразличны ваши клиенты! Цена вопроса — 10000 рублей, зато какая вашему бизнесу будет реклама!
Меня бы такая история включила сразу, а вы — «пишите заявление», «идите в милицию»… Вы осознаёте что такой подход принесёт мало пользы?
Пока что от этой истории выиграют ваши конкуренты, но я бы на вашем месте повернул всё в вашу пользу. И в пользу вашего клиента конечно…
PS Автор молодец, искренне желаю ему успешного разрешения этой проблемы и спасибо за тему, которая затрагивает тут многих людей.
PPS Тащусь от реалий российского бизнеса :)
В этой истории странным мне кажется поведение господ из Яндекса — пассивное, безразличное к имиджу своей компании. Вон уже слышатся голоса, что ВебМани лучше, а карточки и подавно…
Блин, дарю Яндексу идею — включитесь АКТИВНО в распутывание этой детективной истории! Покажите что вы технически компетентны, что вам небезразличны ваши клиенты! Цена вопроса — 10000 рублей, зато какая вашему бизнесу будет реклама!
Меня бы такая история включила сразу, а вы — «пишите заявление», «идите в милицию»… Вы осознаёте что такой подход принесёт мало пользы?
Пока что от этой истории выиграют ваши конкуренты, но я бы на вашем месте повернул всё в вашу пользу. И в пользу вашего клиента конечно…
PS Автор молодец, искренне желаю ему успешного разрешения этой проблемы и спасибо за тему, которая затрагивает тут многих людей.
PPS Тащусь от реалий российского бизнеса :)
мы ничего не имеем права сделать без милиции. В тех случаях, когда мы в силах сделать что-то, мы делаем. В данном случае, к сожалению, нет. Что-то мне подсказывает, что подробно объяснять, в каких случаях ничего поделать нельзя, будет неправильно — не хочется создавать инструкцию для мошенников.
> одробно объяснять, в каких случаях ничего поделать нельзя, будет неправильно — не хочется создавать инструкцию для мошенников
«Иногда лучше молчать, чем говорить» (с)
В данном случае, мошенник уже понял, что ваш клиент при таком раскладе будет вынужден иметь дело с милицией, сами вы ему почему-то помочь не захотите. Извините, но многие проходящие мимо поймут вас именно так.
Вам конечно видней, но может быть вы сообщите мою идею своему начальству? Или у вас за такое наказывают? 8-/
«Иногда лучше молчать, чем говорить» (с)
В данном случае, мошенник уже понял, что ваш клиент при таком раскладе будет вынужден иметь дело с милицией, сами вы ему почему-то помочь не захотите. Извините, но многие проходящие мимо поймут вас именно так.
Вам конечно видней, но может быть вы сообщите мою идею своему начальству? Или у вас за такое наказывают? 8-/
В милицию это правильно. Но не могли б Вы в двух словах описать процесс разрешения вопроса начиная с момента после написания заявления в милицию?
Я честно говоря даже с трудом представляю, что бы можно было написать в заявлении, кроме «Я зашел… деньги были… а теперь пропали...». Какие объективные факты инцидента можно указать?
Я предвижу стену абсолютного непонимания со стороны милиции и миллион дурацких вопросов типа «Знаете ли вы лично гражданина Яндекса и гражданку Робокассу?», «Электронные деньги?.. А?», «Авторизация?.. Логи?.. Локалхост?...»
Простите уж, но не ассоциируются у меня правоохранительные органы с людьми компетентными в IT и вопросах кибер-преступности.
Ну и конечно же вопрос к Вам, как представителю ЯД: после какого сигнала вы сможете оказывать помощь следствию? Будет ли ваш представитель выступать компетентным специалистом и консультантом в интересах следствия или это будет сержант Пупкин, патрульный 3-й бригады?
Вопросов миллион, без понимания которых я бы на месте пострадавшего задумался, что дороже: 10к или куча времени, нервов и накладных расходов без надежды на успех. Это ни в коем случае не призыв к бездействию, просто такая у меня натура.
Я честно говоря даже с трудом представляю, что бы можно было написать в заявлении, кроме «Я зашел… деньги были… а теперь пропали...». Какие объективные факты инцидента можно указать?
Я предвижу стену абсолютного непонимания со стороны милиции и миллион дурацких вопросов типа «Знаете ли вы лично гражданина Яндекса и гражданку Робокассу?», «Электронные деньги?.. А?», «Авторизация?.. Логи?.. Локалхост?...»
Простите уж, но не ассоциируются у меня правоохранительные органы с людьми компетентными в IT и вопросах кибер-преступности.
Ну и конечно же вопрос к Вам, как представителю ЯД: после какого сигнала вы сможете оказывать помощь следствию? Будет ли ваш представитель выступать компетентным специалистом и консультантом в интересах следствия или это будет сержант Пупкин, патрульный 3-й бригады?
Вопросов миллион, без понимания которых я бы на месте пострадавшего задумался, что дороже: 10к или куча времени, нервов и накладных расходов без надежды на успех. Это ни в коем случае не призыв к бездействию, просто такая у меня натура.
да, конечно, постараюсь рассказать.
С милицией мы сотрудничаем. В службе безопасности есть отдел по работе с правоохранительными органами. Когда милиционер в конкретном ОВД не очень знает, что ему делать — он может либо посоветоваться с УСТМ, либо позвонить-написать нам и получить подробные рекомендации о том, как составить запрос и прислать его. На запрос будет дан нормальный полноценный ответ, в котором будет абсолютно всё, что может пригодиться милиции по данному делу.
С милицией мы сотрудничаем. В службе безопасности есть отдел по работе с правоохранительными органами. Когда милиционер в конкретном ОВД не очень знает, что ему делать — он может либо посоветоваться с УСТМ, либо позвонить-написать нам и получить подробные рекомендации о том, как составить запрос и прислать его. На запрос будет дан нормальный полноценный ответ, в котором будет абсолютно всё, что может пригодиться милиции по данному делу.
так расскажите же.
и скажите, почему нельзя начать своё расследование еще до обращения в милицию?
ведь вы сами признаете, что случай похож на мошенничество. зачем давать преступникам время на то, чтобы уйти?
и скажите, почему нельзя начать своё расследование еще до обращения в милицию?
ведь вы сами признаете, что случай похож на мошенничество. зачем давать преступникам время на то, чтобы уйти?
наше расследование было проведено до того, как этот топик вообще появился. Оно закончено. Всё, теперь уже только милиция может помочь. У нас для милиции всё готово.
Кстати, после того, как расследование будет закончено и fromrussia отпишется о его результатах, может, стоит опубликовать топик со взглядом «с вашей стороны» — на этом конкретном примере расскажете, какая работа проводится Яндексом, чтобы помочь вернуть деньги пострадавшим пользователям (из того, что можно опубликовать, и с разрешения автора топика, конечно).
Нам будет интересно прочитать, а вам будет хорошей рекламой.
Нам будет интересно прочитать, а вам будет хорошей рекламой.
тогда закрывайте свою шарашку нахуй.
кому вы в таком случае нужны, «ничего не имеющие права сделать».
кому вы в таком случае нужны, «ничего не имеющие права сделать».
У вас там все такие демагоги? Давайте по сути.
Вы имеете право и возможность связаться с учреждением, в которое ушли деньги, и заблокировать платёж до выяснения обстоятельств.
Вы же даже сами в одних сообщениях не ставите под сомнение то, что деньги со счета увели мошенники. И при этом в других сообщениях говорите «ничего не модем сделать, вдруг вы не тот, за кого вы себя выдаёте».
Этот феномен называется лицемерием.
Я скажу вот что: вам просто хочется зарабатывать легкие деньги на финоперациях и не иметь проблем, связанных с ответственностью.
Так не бывает. Необходимо иметь свой юротдел/отдел безопасности, который будет заниматься подобными вещами. Это просто обязательное условие, чтобы не выглядеть по-идиотски, как сейчас…
Вы имеете право и возможность связаться с учреждением, в которое ушли деньги, и заблокировать платёж до выяснения обстоятельств.
Вы же даже сами в одних сообщениях не ставите под сомнение то, что деньги со счета увели мошенники. И при этом в других сообщениях говорите «ничего не модем сделать, вдруг вы не тот, за кого вы себя выдаёте».
Этот феномен называется лицемерием.
Я скажу вот что: вам просто хочется зарабатывать легкие деньги на финоперациях и не иметь проблем, связанных с ответственностью.
Так не бывает. Необходимо иметь свой юротдел/отдел безопасности, который будет заниматься подобными вещами. Это просто обязательное условие, чтобы не выглядеть по-идиотски, как сейчас…
>Почему вы адресуете свои претензии мне?
прошу прощения, тон Вашего ответа был как у сотрудника яндекса:)
ну или тон сотрудников яндекса очень похож на тон вашего ответа — к сожалению.)
Тогда ответный вопрос:
Почему Вы ответили на моё сообщение, адресованное сотруднику Яндекса?:)
А на Ваши вопросы я не ответил потому, что все они показались мне риторическими. Да и ни один из них не имеет отношения к Я.Д. Вебмани, может быть, еще хуже. Но мы говорим о Я.Д, и у меня нет никакого желания обсуждать Вебмани.
прошу прощения, тон Вашего ответа был как у сотрудника яндекса:)
ну или тон сотрудников яндекса очень похож на тон вашего ответа — к сожалению.)
Тогда ответный вопрос:
Почему Вы ответили на моё сообщение, адресованное сотруднику Яндекса?:)
А на Ваши вопросы я не ответил потому, что все они показались мне риторическими. Да и ни один из них не имеет отношения к Я.Д. Вебмани, может быть, еще хуже. Но мы говорим о Я.Д, и у меня нет никакого желания обсуждать Вебмани.
>Здесь нет никакого противоречия
Мне кажется, есть.
Я.Д. признает, что мошенничество скорее всего имело место быть. Но вместо того, чтобы способствовать раскрытию преступления (я уже рассказал как: достаточно инициировать заморозку средств по всей цепочке до выяснения обстоятельств), я.д. пособничают преступникам: своим нежеланием и/или неимением возможности разобраться в ситуации без привлечения правоохранительных органов они дают возможность преступникам запутать цепочку денежных переводов, вывести деньги в помывочные платежные системы, а затем и безопасно их обналичить.
Мне кажется, есть.
Я.Д. признает, что мошенничество скорее всего имело место быть. Но вместо того, чтобы способствовать раскрытию преступления (я уже рассказал как: достаточно инициировать заморозку средств по всей цепочке до выяснения обстоятельств), я.д. пособничают преступникам: своим нежеланием и/или неимением возможности разобраться в ситуации без привлечения правоохранительных органов они дают возможность преступникам запутать цепочку денежных переводов, вывести деньги в помывочные платежные системы, а затем и безопасно их обналичить.
цепочка состоит из одного шага: деньги находятся в системе Webmoney. Остальные вопросы стоило бы задать Webmoney. Однако по опыту я знаю, что в данном случае пользователю нужно именно обращаться в милицию, арбитраж ему сейчас не поможет.
а я.д. может самостоятельно задать эти вопросы вебмани?
или, может быть, эти вопросы уже заданы?
если заданы, то каков был ответ?
могут ли сейчас эти деньги быть выведены злоумышленником из вебмани?
или, может быть, эти вопросы уже заданы?
если заданы, то каков был ответ?
могут ли сейчас эти деньги быть выведены злоумышленником из вебмани?
А вот это уже конфиденциальная информация. Я знаю ответ на эти вопросы, но сообщать, как я его получила и какой этот ответ, к сожалению, правда не имею права. Ответ был в нашем распоряжении ДО того, как началось обсуждение «локалхоста».
хорошо, это очень хорошо.
лично меня Ваш ответ вполне устраивает.
теперь я уверен, что деньги действительно вернут их законному владельцу после установки его личности.
спасибо за ответы. приношу свои извинения, если был где-то чересчур резким.
а автору сабжа я бы посоветовал писать чуть менее тенденциозные заметки.
после прочтения этой заметки у меня сложилось ощущение полнейшего бардака и анархии в Я.Д.
а после общения с представителем Я.Д. — совсем другое ощущение.
плюс теперь понятна некоторая скованность ответов представителей я.д.
я думаю, что автор заметки понимает это еще лучше, чем я. этой заметкой он, пожалуй, убил какую-либо вероятность поимки преступника. поэтому в этом свете мне не совсем понятны смысл и тональность его заметки.
в общем промежуточный итог ясен: нужно дождаться конца этой истории, и тогда будем делать выводы.
ps.:
«не могли б Вы в двух словах описать процесс разрешения вопроса начиная с момента после написания заявления в милицию?» — этот вопрос всё еще за Вами ;)
лично меня Ваш ответ вполне устраивает.
теперь я уверен, что деньги действительно вернут их законному владельцу после установки его личности.
спасибо за ответы. приношу свои извинения, если был где-то чересчур резким.
а автору сабжа я бы посоветовал писать чуть менее тенденциозные заметки.
после прочтения этой заметки у меня сложилось ощущение полнейшего бардака и анархии в Я.Д.
а после общения с представителем Я.Д. — совсем другое ощущение.
плюс теперь понятна некоторая скованность ответов представителей я.д.
я думаю, что автор заметки понимает это еще лучше, чем я. этой заметкой он, пожалуй, убил какую-либо вероятность поимки преступника. поэтому в этом свете мне не совсем понятны смысл и тональность его заметки.
в общем промежуточный итог ясен: нужно дождаться конца этой истории, и тогда будем делать выводы.
ps.:
«не могли б Вы в двух словах описать процесс разрешения вопроса начиная с момента после написания заявления в милицию?» — этот вопрос всё еще за Вами ;)
погодите, а чего не хватает? :)
Давайте попробую ещё раз :)
Мы сдаём милиции все данные, которые есть в нашем распоряжении — например, айпи-адреса, куда ушли деньги и так далее. На следующем шаге (куда ушли деньги) милиция также выясняет айпи-адреса и прочее. И дальше уже милиция разбирается, смогут ли они по этим данным найти живого человека в оффлайне или не смогут.
Ситуации бывают очень разными. Бывают случаи, когда «следов» очень много, бывают — когда почти нет. К каким относится данный случай, я говорить не вправе.
Давайте попробую ещё раз :)
Мы сдаём милиции все данные, которые есть в нашем распоряжении — например, айпи-адреса, куда ушли деньги и так далее. На следующем шаге (куда ушли деньги) милиция также выясняет айпи-адреса и прочее. И дальше уже милиция разбирается, смогут ли они по этим данным найти живого человека в оффлайне или не смогут.
Ситуации бывают очень разными. Бывают случаи, когда «следов» очень много, бывают — когда почти нет. К каким относится данный случай, я говорить не вправе.
схема понятна.
непонятны детали.
причем я скопипастил неправильный вопрос. скорее, сложность не «после написания заявления», а во время написания.
первое, что спрашивают в отделении: что вообще такое яндекс-деньги. точнее они даже не спрашивают, у них срабатывает профессиональный нюх на висяк, и они всеми правдами и неправдами пытаются отшить заявителя. предлоги разные.
где-то в обсуждении был такой момент: у заявителя спросили, знает ли он лично тов. Яндекс-Деньги. я по своему опыту (не с электронными деньгами) могу предположить, что нужно настоять на том, чтобы они зарегистрировали заявление и завели дело, а далее, может быть, в деле примут участие и более менее компетентные сотрудники. но до этого момента нужно еще дотерпеть.
как лучше быть в такой ситуации? может быть, у яндекса есть какие-то инструкции для сотрудников милиции? (хотя я плохо себе представляю изучение подобной инструкции сотрудником милиции).
или, может быть, есть какое-то кодовое слово:) или кодовый телефон) или справка какая-нибудь хитрая от яндекс-денег, что дескать «да, деньги с такого-то счета ушли на такой-то», печать и подпись.
наверное, в каждом конкретном случае можно найти свой подход. в крайнем случае в прокуратуру написать, так или иначе своего добиться. но хочется какого-то общего, единого и относительно простого рецепта запуска (именно запуска) в производство такого вот дела, которое для большинства сотрудников милиции будет чем-то инопланетным, сложным и непонятным.
непонятны детали.
причем я скопипастил неправильный вопрос. скорее, сложность не «после написания заявления», а во время написания.
первое, что спрашивают в отделении: что вообще такое яндекс-деньги. точнее они даже не спрашивают, у них срабатывает профессиональный нюх на висяк, и они всеми правдами и неправдами пытаются отшить заявителя. предлоги разные.
где-то в обсуждении был такой момент: у заявителя спросили, знает ли он лично тов. Яндекс-Деньги. я по своему опыту (не с электронными деньгами) могу предположить, что нужно настоять на том, чтобы они зарегистрировали заявление и завели дело, а далее, может быть, в деле примут участие и более менее компетентные сотрудники. но до этого момента нужно еще дотерпеть.
как лучше быть в такой ситуации? может быть, у яндекса есть какие-то инструкции для сотрудников милиции? (хотя я плохо себе представляю изучение подобной инструкции сотрудником милиции).
или, может быть, есть какое-то кодовое слово:) или кодовый телефон) или справка какая-нибудь хитрая от яндекс-денег, что дескать «да, деньги с такого-то счета ушли на такой-то», печать и подпись.
наверное, в каждом конкретном случае можно найти свой подход. в крайнем случае в прокуратуру написать, так или иначе своего добиться. но хочется какого-то общего, единого и относительно простого рецепта запуска (именно запуска) в производство такого вот дела, которое для большинства сотрудников милиции будет чем-то инопланетным, сложным и непонятным.
а вот на это я уже отвечала.
У нас есть инструкция для пользователя по обращению в милицию, её пользователю направили сразу же.
У нас есть инструкция для милиции, её высылают по запросу любому сотруднику милиции, который не знает, как написать запрос.
И то, и другое писали люди с опытом работы не только с правоохранительными органами, но и в правоохранительных органах.
У нас есть инструкция для пользователя по обращению в милицию, её пользователю направили сразу же.
У нас есть инструкция для милиции, её высылают по запросу любому сотруднику милиции, который не знает, как написать запрос.
И то, и другое писали люди с опытом работы не только с правоохранительными органами, но и в правоохранительных органах.
спасибо за поддержку!
буду пытаться вернуть свои деньги…
буду пытаться вернуть свои деньги…
Я думаю, учитывая поднятую шумиху, расследование все-таки закрутится.
И Яндекс я думаю зашевелится уже завтра…
Другое дело, что неприятный осадок уже остался и убрать его будет сложно… Нельзя так относится к своим клиентам дорогой Яндекс.
И Яндекс я думаю зашевелится уже завтра…
Другое дело, что неприятный осадок уже остался и убрать его будет сложно… Нельзя так относится к своим клиентам дорогой Яндекс.
Если уж IT'шники очарованы и пользуются яндекс.кошельками, которая с первого взгляда выглядит колхозной, то что уж говорить про остальной народ.
То что это обыкновенный чёрный пиар против яндекса — я подумал сразу. Но почему никто не подумал об этом вместе со мной?
Все так не любят эту платёжную систему?
Все так не любят эту платёжную систему?
Почему представители Яндекса не отрицают, что такой факт имел место быть?
всё может быть! лично я не пользуюсь ЯД…
Вы думаете? Сверху это обсуждалось)
У меня лично лежит порядка 4000 рублей на ЯДе, если украдут то не сильно расстроюсь… но это потому что со мной расплачиваются ЯДом, иначе бы еще меньше лежало, только на телефон и интернет. Просто воспринимайте как нечто незащищенное и нестабильное. Кстати, лично я бы отказался от авторизации по SMS (MTAN называется) — это слишком напряжно учитывая сумму и риск. Используйте Linux и все вирусы вам будут до лампочки ;-)
техподдержка написала про милицию, поскольку неизвестно заранее, действительно ли у вас украли деньги, или же вы сами их вывели из ближайшего интернет-кафе и теперь хотите, чтобы яндекс вам положил их опять, чтобы потом вы их опять вывели. нельзя также исключать и возможности того, что вы были пьяны и попросту забыли, что купили на эти деньги какую-то ненужную нуйню.
именно поэтому вы идёте в милицию, показываете там паспорт, излагаете все детали и подписываетесь об ответственности за дачу ложных показаний, и только потом яндекс начинает шевелиться.
именно поэтому вы идёте в милицию, показываете там паспорт, излагаете все детали и подписываетесь об ответственности за дачу ложных показаний, и только потом яндекс начинает шевелиться.
Ну и что IP? 100% человек сидел по Wifi из Макдоналдса через анонимный прокси-сервер. Пойди, найди такого…
127.0.0.1 может означать, что фронтэнд сервер мог не пробросить IP пользователя на рабочий сервант. Заходить с той же машины, где запущен http сервер было бы ИМХО неудобно.
Интересно под какой ОС вы сидите, под каким браузером и что за антивирусы у вас?
Троянов как понимаю не нашли на машине?
Троянов как понимаю не нашли на машине?
Windows Vista со всеми пакетами обновлений на сегодняшний день, Firefox 3.5.4, ESET NOD32 Smart Security
троянов не нашел
троянов не нашел
а. еще Google Chrome полульзуюсь
Да даже если и было что-то, такие вредные программы продаются как правило в одни руки (реже больше, точнее просто разные люди скидываются для покупки), количество жертв не такое уж и большое (несколько десятков), и посему в антивирусные базы ничего не попадает. Поэтому найти ничего не получится, а если было — уже самоуничтожилось. Как вариант конечно ради интереса можете дать систему поковырять опытному реверсеру, авось чего и поймает.
в ЯД есть возможность создать связку с картой альфа-банка. интересно, если злоумышленник получит доступ к кошельку, то сможет ли он узнать параметры связанной карты?
Если входить на Я.деньги через защищенный прокси, то в логах будет либо 127.0.0.1, либо вообще ничего.
Сам заходил так :)
Сам заходил так :)
Кстати, а Вы теги поправить можете? У Вас тут яНЕДкс.деньги стоит :)
Как увели мои деньги с кошелька Яндекса. Часть 1