Comments 79
+71
Вот так всё просто, оказывается.
А я почти год не могу восстановить пароль т.к. для этого нужно привязать телефон, а телефон без платёжного пароля можно привязать только по письменному заявлению, которое нужно заверить и отправить в Питерский офис.
Другими словами — я в печали.
А я почти год не могу восстановить пароль т.к. для этого нужно привязать телефон, а телефон без платёжного пароля можно привязать только по письменному заявлению, которое нужно заверить и отправить в Питерский офис.
Другими словами — я в печали.
+25
Дежавю. Только у меня кошелек валяется с 2009 :(
+2
Аналогично. Поэтому Яндекс.Деньги для меня умерли.
+7
Аналогично — чтобы вывести деньги нужен пароль, который давно забыт и всё такое. В итоге из-за 550р надо ехать в офис, делать привязку и прочие танцы с бубном. Бред.
+3
Сотрудникам Яндекса не читать
Им осталось сделать списание с идл-аккаунтов, например, по 50 рублей в месяц «за обслуживание счёта» как делают сейчас некоторые мобильные операторы — это же золотая жила!
+6
Не бойтесь, скоро эти деньги Яндекс скушает — они уже делали рассылку о том, что после двухлетнего простоя вводится абонентская плата.
UPD: Надо было читать то, что сотрудникам Яндекса нужно было не читать :)
UPD: Надо было читать то, что сотрудникам Яндекса нужно было не читать :)
0
Если я правильно помню, там достаточно заходить в аккаунт, чтобы этого не произошло. Но если честно — уже всё равно. 550 рубле конечно не копейки какие-то, но гемора из-за них предостаточно (и это еще хорошо мне — я москвич, работаю относительно недалеко от офиса и таки могу собраться с силами и доехать. Вариант «отсылать по почте» для регионов, с нашей-то почто выглядит просто нелепо)
0
Та же история. Пропали мои кровные 500р. Письмо на восстановление даже не приходит, техподдержка несет ахинею. Деньги вообще самый ужасный сервис Яндекса.
+1
То же самое, поменяли пароль уже мне, деньги увели. Восстановить уже второй год не могу.
0
Детский сад
+2
0
Отправил, ждал очень долго уязвимость закрыли а ответа я так и не дождался.
+9
Один из вариантов ответа Яндекса в утрированной форме.
— Ну мы этот короче, сами её нашли, а потом вы рассказали нам о ней и мы короче её уже в это время закрывали...
+48
Совпадение 99%…
+6
Недавно прилетело как раз подобное…
на самом деле они отвечают так
Здравствуйте.
Спасибо, мы уже знаем об этой технической проблеме. Хорошие новости – специалисты уже это чинят.
Назвать точный срок, когда всё придет в норму, мы не можем. Но делаем всё возможное, чтобы проблема решилась как можно скорее.
+4
Выглядит как хамство со стороны Яндекса.
Человек нашел баг, но не побежал его продавать на черном рынке, а пришел в Яндекс.
Выполнил свою часть условий по публичной оферте от Яндекса.
Или нельзя трактовать их предложение нести им баги за деньги как публичную оферту?
А если можно, то итересно, есть ли вариант засудить Яндекс?
Человек нашел баг, но не побежал его продавать на черном рынке, а пришел в Яндекс.
Выполнил свою часть условий по публичной оферте от Яндекса.
Или нельзя трактовать их предложение нести им баги за деньги как публичную оферту?
А если можно, то итересно, есть ли вариант засудить Яндекс?
+1
А кто сказал, что этот человек первым пришел в Яндекс?
Он что, единственный исследователь багов на планете?
Он что, единственный исследователь багов на планете?
-2
Это сказало отсутствие инфы о баге в changelog.
+1
А чем Яндекс докажет, что и вправду знал о баге? Может у него просто бюджет, выделенный на вознаграждения, закончился, и они там решили до нового финансового года всех отшивать?
В любом случае, усилия не только 1-го нашедшего достойны вознаграждения, если не забывать цель, с которой эти вознаграждения вообще были обещаны — чтобы как можно больше людей искали баги и несли их в Яндекс.
В любом случае, усилия не только 1-го нашедшего достойны вознаграждения, если не забывать цель, с которой эти вознаграждения вообще были обещаны — чтобы как можно больше людей искали баги и несли их в Яндекс.
0
К тому же Яндекс наверняка получит горы статей типа «success story о том как я получил 100k от Яндекса» и еще больше людей ринутся искать баги. Для Яндекса одни только плюсы, а затраты на фоне найденных багов будут казаться мизерными.
0
Предлагаю схему обогащения:
1. Вы находите баг в Яндексе
2. Собираете максимальное количество друзей и знакомых
3. Каждый пишет в Яндекс «Я нашел баг»
4. Каждый получает вознаграждение.
1. Вы находите баг в Яндексе
2. Собираете максимальное количество друзей и знакомых
3. Каждый пишет в Яндекс «Я нашел баг»
4. Каждый получает вознаграждение.
+2
Баги ищутся в сервисах Яндекса. Так что сам Яндекс может по своим логам более-менее определить кто и как именно исследовал определенный сервис.
Кроме того, у меня есть идея как Яндекс мог бы доказать, что про баг ему уже было известно.
Для этого нужно открыто публиковать MD5 (или эл. подпись?) для описаний багов, включая id нашедшего и время сообщения о баге.
Если идет повторное «открытие» бага — то показывать второму человеку, нашедшему баг, полный текст описания бага от первого, чтобы он мог убедиться, что Яндекс уже знал о баге. И выплачивать второму 1/2 суммы.
Третьему нашедшему — показывать сообщения 1-го и 2-го и давать 1/4 суммы.
И т.д.
В результате и сумма выплат будет ограничена, и никто не будет подозревать Яндекс в невыполнении своих обязательств по выплате денег, и труды всех участников поиска багов будут вознаграждены, и описания уязвимостей попадут только к тем, кто и так про них уже знает.
Кроме того, запросто может так оказаться, что фраза «мы уже знаем об этой технической проблеме» не совсем отражает реальность. В ряде случаев человек сможет возразить Яндексу, что он нашел некоторые нюансы, отсутствующие в уже имеющихся у Яндекса описаниях уязвимости, которые, например, значительно облегчают эксплуатацию уязвимости, добавляют новый вектор атаки и пр.
Кроме того, у меня есть идея как Яндекс мог бы доказать, что про баг ему уже было известно.
Для этого нужно открыто публиковать MD5 (или эл. подпись?) для описаний багов, включая id нашедшего и время сообщения о баге.
Если идет повторное «открытие» бага — то показывать второму человеку, нашедшему баг, полный текст описания бага от первого, чтобы он мог убедиться, что Яндекс уже знал о баге. И выплачивать второму 1/2 суммы.
Третьему нашедшему — показывать сообщения 1-го и 2-го и давать 1/4 суммы.
И т.д.
В результате и сумма выплат будет ограничена, и никто не будет подозревать Яндекс в невыполнении своих обязательств по выплате денег, и труды всех участников поиска багов будут вознаграждены, и описания уязвимостей попадут только к тем, кто и так про них уже знает.
Кроме того, запросто может так оказаться, что фраза «мы уже знаем об этой технической проблеме» не совсем отражает реальность. В ряде случаев человек сможет возразить Яндексу, что он нашел некоторые нюансы, отсутствующие в уже имеющихся у Яндекса описаниях уязвимости, которые, например, значительно облегчают эксплуатацию уязвимости, добавляют новый вектор атаки и пр.
0
Ага, размечтались )
company.yandex.ru/security/faq.xml
Там черным по белому написано, что за баги в яндекс деньгах выплат нет.
Видимо это совершенно несущественный сервис, баги в котором не стоят беспокойства…
company.yandex.ru/security/faq.xml
Там черным по белому написано, что за баги в яндекс деньгах выплат нет.
Видимо это совершенно несущественный сервис, баги в котором не стоят беспокойства…
+3
В Яндекс.Деньгах от Яндекса — только бренд.
+5
Дело в том, что сервис Яндекс.Деньги — не сервис Яндекса вообще.
+7
Распространили на сервис свой бренд, но не хотят принимать полную ответственность за его функционирование?
Удивительное отношение, которое при определенной подаче материала может повредить репутации Яндекса.
Ему пользователи доверяют самое дорогое — деньги, а он какой-то «Мой Круг» считает на порядок важнее.
Удивительное отношение, которое при определенной подаче материала может повредить репутации Яндекса.
Ему пользователи доверяют самое дорогое — деньги, а он какой-то «Мой Круг» считает на порядок важнее.
0
Яндекс.Деньги — подразделение Сбербанка. Уже давно Сбер перекупил этот сервис со всей командой разработки. Так что жлобство в отношении выплат и баги — это нормальная практика. Просто вспомните, что это Сбер, а не Яндекс :) habrahabr.ru/company/yandex/blog/163183/
0
Но это все еще не Сбербанк.Деньги, а сервис на поддомене Яндекса. С прозрачной авторизацией, словом Яндекс в названии и всем прочим. Довод «Ну Яндекс.Деньги же это не Яндекс, а отдельное ООО» применялся и до сделки со Сбербанком, так что не, не катит уже. :)
+2
Ааааа, тогда причины понятны.
Переименовали бы тогда, если не хотят ответственность нести.
Переименовали бы тогда, если не хотят ответственность нести.
0
Как-то очень сумбурно все описано.
Там получается в экшене смены платежного пароля просто не было никаких проверок и все телодвижения со вторым аккаунтом просто чтобы форму саму увидеть?
Там получается в экшене смены платежного пароля просто не было никаких проверок и все телодвижения со вторым аккаунтом просто чтобы форму саму увидеть?
+2
ez
+8
Я так понимаю, данная методика уже не работает?
А жаль. 900 рублей на кошеле пропадают. :(
А жаль. 900 рублей на кошеле пропадают. :(
+1
Видимо стоит добавить опрос на тему будете ли вы пользоваться Яндекс деньгами. Добавить вариант нет не буду т.к. утерян пароль и зоново заводить там кошелёк не намерен. Пусть подавятся остатками. Видимо новый фин директор у них. После такого отношения не охотой писать отзывы и предложения пт улучшению их сервисов.
+7
Причем тут новый директор, у них уже давно эти приколы с паролями :)
Но посудите, если быть совершенно честным перед собой — это же вы потеряли пароль.
Если карту кредитную потеряете, вы же не будете ожидать, что вам ее по почте вместе с пинкодом отправят? :)
К тому же теперь у них можно номер телефона ввести и будет абсолютно привычная двухфакторная авторизация, как в любом интернет банке.
Но посудите, если быть совершенно честным перед собой — это же вы потеряли пароль.
Если карту кредитную потеряете, вы же не будете ожидать, что вам ее по почте вместе с пинкодом отправят? :)
К тому же теперь у них можно номер телефона ввести и будет абсолютно привычная двухфакторная авторизация, как в любом интернет банке.
0
Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя.
+1
Что-то вы сами себе противоречите…
Если пароль не утерян, то какая проблема привязать телефон?
P.S. И зачем вообще получать не утерянный пароль на не привязанный телефон? )
Если пароль не утерян, то какая проблема привязать телефон?
P.S. И зачем вообще получать не утерянный пароль на не привязанный телефон? )
0
Он не утерян. Его не было никогда.
Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
0
так а в чем проблема то? Вы зарегали почту не зарегали кошелек и теперь не можете его зарегать?
-1
Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон или прислав нотариально заверенную копию паспорта.
Никаких адекватных способов решить эту проблему не предложено.
Никаких адекватных способов решить эту проблему не предложено.
0
>>А жаль. 900 рублей на кошеле пропадают. :(
>>Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя
>>Он не утерян. Его не было никогда.
>>Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
>>Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон
Простите, но я вообще нифига не понял :)
>>Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя
>>Он не утерян. Его не было никогда.
>>Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
>>Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон
Простите, но я вообще нифига не понял :)
0
Если я по шагам опишу ситуацию — вы мне поможете или это будет напрасная трата времени как в случае с саппортом Яндекса? :)
0
Ну если вы не теряли пароля платежного, а его не было, если вы не вводили телефона — то там явно можно что-то сделать, попробуйте там во всякие настройки позаходить, например. Не могли же они просто сами задать вам какой-то пароль, не сказать его вам и тупо отказать в использовании сервиса.
-2
Вот как вариант — если вы регались когда еще не было платежного пароля, вам как вариант его могли сделать таким же как и основной, например.
-2
Кстати про потерю пароля я не вам писал :)
-1
Это была не уязвимость, а фича.
+5
Ох, помню, я намучился с этими восстановлениями. Два раза ездил в офис Яндекс.Денег, который был совершенно неудобно для меня расположен… Причем в первый раз спросил девушку на ресепшене: «Вы уверены, что предоставленных данных достаточно для получения доступа к кошельку, и второй раз приезжать не надо будет?» Девушка ответила, что уверена. Приезжаю домой, войти в кошелек не получается, звоню в поддержку, говорят, что надо подъехать и привезти еще что-то.
Деталей не помню, почему именно так получилось, и рыться в почте искать не хочется. Что-то связанное с тем, что я и пароль забыл, и номер телефона сменил. Но я тогда был вне себя от бешенства, потому что жил километрах в 40 от офиса, и дорога через дичайшие московские пробки занимала часа 3-4.
Деталей не помню, почему именно так получилось, и рыться в почте искать не хочется. Что-то связанное с тем, что я и пароль забыл, и номер телефона сменил. Но я тогда был вне себя от бешенства, потому что жил километрах в 40 от офиса, и дорога через дичайшие московские пробки занимала часа 3-4.
+3
Яндекс партнерится со Сбербанком.
Не понимаю почему бы им не сделать авторизацию кошельков через отделения сбера, они же есть в каждой дыре. К тому же у них есть все необходимое для работы с персональными данными.
Не понимаю почему бы им не сделать авторизацию кошельков через отделения сбера, они же есть в каждой дыре. К тому же у них есть все необходимое для работы с персональными данными.
0
UFO just landed and posted this here
зато все разработчики яндекса художники-математики и решают очень сложные задачи
+13
Для меня яндекс-деньги умерли, как и репутация компании. В начале было удобно с ними работать, но понемногу начали закручивать гайки — то там лимиты, то сям. В конце концов ввели обязательную верификацию, без которой уже и международная карта не работала, и ограничений было чуть менее, чем у постороннего человека. Но делать нечего — решил по их правилам отправить заверенное нотариусом заявление (между прочим не бесплатное), так как для других стран это был единственный способ пройти проверку. С тех пор я мог наблюдать, как в режиме реального времени сгорали переводы, которые не мог получить непроверенный пользователь, а техподдержка всё так же отвечала, что письма всё нет и делать ничего не хотим и не будем. Не знаю, кто виноват, слоупочта или всеобщая безответственность, но письмо за полгода так и не дошло, а отсылать повторное с таким отношением к клиенту желание не возникает.
+2
А что значит «сгорали переводы»? Мне казалось, что переводы сверх лимита накапливаются в очереди поступлений.
0
Тут недавно вспомнил, что у меня на кошельке валяются 100р и оплатил ими покупку книжки, на что мне весело сказали, что транзакция не прошла. Попробовал пару раз, пишет ЯД ошибку и все (то ли пароль неверный, то ли еще чего ему не нравилось). Ну нет так нет, оплатил через киви. Через неделю захожу в почту яндекса, а они мои 90р таки куда то списали… после такого уж точно не стоит говорить о надежности и держать там хоть что-то желание отпало окончательно.
+1
Получив однажды письмо счастья от Яндекса, решил что при любой возможности буду «иметь» Яндекс деньги.
С большим удовольствием юзал дыру!
i.imgur.com/P7rGmgD.png
С большим удовольствием юзал дыру!
i.imgur.com/P7rGmgD.png
0
Жаль, что закрыли. У меня 600 рублей тоже зависло на старом кошельке.
0
Почитал я тут, почитал…
Кажется, как для репутации, так Яндексу было бы куда дешевле заплатить «за дыру» награду, чем получать свою порцию заслуженных упоминаний «в контексте».
Впрочем, мало кто из гиков с ними уже дело хотят иметь, с учетом сегодняшних правил ЯД, так что, может, решили «заработать» (в смысле, не потратить) хоть награду, поскольку репутация ЯД на Хабре и так уже никакая?
Жаль, начинали-то так хорошо!
Кажется, как для репутации, так Яндексу было бы куда дешевле заплатить «за дыру» награду, чем получать свою порцию заслуженных упоминаний «в контексте».
Впрочем, мало кто из гиков с ними уже дело хотят иметь, с учетом сегодняшних правил ЯД, так что, может, решили «заработать» (в смысле, не потратить) хоть награду, поскольку репутация ЯД на Хабре и так уже никакая?
Жаль, начинали-то так хорошо!
0
Уязвимость была закрыта в сентябре — сразу после того, как нам стало о ней известно. Первый сообщивший об уязвимости через программу «Охота за ошибками» пользователь в ближайшее время получит вознаграждение, и он оповещён об этом. К сожалению, это был не автор поста.
Обращаем внимание пользователей, что описанный сценарий смены пароля был возможен только для уже скомпрометированных аккаунтов Яндекса: для того, чтобы воспользоваться уязвимостью, мошеннику нужно было знать действующий логин и пароль на Яндексе, который раньше уже каким-то образом к нему попал.
Обращаем внимание пользователей, что описанный сценарий смены пароля был возможен только для уже скомпрометированных аккаунтов Яндекса: для того, чтобы воспользоваться уязвимостью, мошеннику нужно было знать действующий логин и пароль на Яндексе, который раньше уже каким-то образом к нему попал.
+7
Ну это то то после попадания в паблик 10000000 логин: пасс яндекес почт ( habrahabr.ru/post/235949/ ) только ленивый не имел возможность взлохматить чей то кошелек!
+3
Минутка драмы:
У меня пол года назад с ЯД похитили 13.7 тыс рублей таким способом — пароль к аккаунту брутфорснули, платежный пароль был слишком сложен — и его сменили похоже именно этим способом. В службу поддержки написал через 2 часа после хищения (Запрос 2014042533015111) — но там по горячим следам ничего сделать не смогли и только развели руками.
Затем я воспользовался своим хабраположением, и в конце статьи «Внутренности карты Яндекс.Денег — MasterCard PayPass» попросил связаться напрямую со мной представителей техподдержки и службы безопасности ЯД. Они мне отписали. Им я рассказал, что все проверено вдоль и поперек — вирусов нет, платежный пароль увести не могли… Да и если бы увели — зачем его менять, если можно напрямую слить деньги и все? В почте и телефоне никаких уведомлений о смене платежного пароля не было (почта выгребается каждую минуту, уведомление сложно успеть удалить) — а потому у меня подозрения и были на баг или доступ злоумышленника к базе (чтобы просто поменять хэш). Но в проблеме тогда разбираться не стали, остановились на том, что у меня просто украли платежный пароль — а ведь могли проблему обнаружить и исправить еще пол года назад.
У меня пол года назад с ЯД похитили 13.7 тыс рублей таким способом — пароль к аккаунту брутфорснули, платежный пароль был слишком сложен — и его сменили похоже именно этим способом. В службу поддержки написал через 2 часа после хищения (Запрос 2014042533015111) — но там по горячим следам ничего сделать не смогли и только развели руками.
Затем я воспользовался своим хабраположением, и в конце статьи «Внутренности карты Яндекс.Денег — MasterCard PayPass» попросил связаться напрямую со мной представителей техподдержки и службы безопасности ЯД. Они мне отписали. Им я рассказал, что все проверено вдоль и поперек — вирусов нет, платежный пароль увести не могли… Да и если бы увели — зачем его менять, если можно напрямую слить деньги и все? В почте и телефоне никаких уведомлений о смене платежного пароля не было (почта выгребается каждую минуту, уведомление сложно успеть удалить) — а потому у меня подозрения и были на баг или доступ злоумышленника к базе (чтобы просто поменять хэш). Но в проблеме тогда разбираться не стали, остановились на том, что у меня просто украли платежный пароль — а ведь могли проблему обнаружить и исправить еще пол года назад.
+6
Sign up to leave a comment.
Уязвимость Yandex money или как восстановить платежный пароль