Comments 79
Вот так всё просто, оказывается.
А я почти год не могу восстановить пароль т.к. для этого нужно привязать телефон, а телефон без платёжного пароля можно привязать только по письменному заявлению, которое нужно заверить и отправить в Питерский офис.
Другими словами — я в печали.
А я почти год не могу восстановить пароль т.к. для этого нужно привязать телефон, а телефон без платёжного пароля можно привязать только по письменному заявлению, которое нужно заверить и отправить в Питерский офис.
Другими словами — я в печали.
Дежавю. Только у меня кошелек валяется с 2009 :(
Аналогично. Поэтому Яндекс.Деньги для меня умерли.
Аналогично — чтобы вывести деньги нужен пароль, который давно забыт и всё такое. В итоге из-за 550р надо ехать в офис, делать привязку и прочие танцы с бубном. Бред.
Сотрудникам Яндекса не читать
Им осталось сделать списание с идл-аккаунтов, например, по 50 рублей в месяц «за обслуживание счёта» как делают сейчас некоторые мобильные операторы — это же золотая жила!
Не бойтесь, скоро эти деньги Яндекс скушает — они уже делали рассылку о том, что после двухлетнего простоя вводится абонентская плата.
UPD: Надо было читать то, что сотрудникам Яндекса нужно было не читать :)
UPD: Надо было читать то, что сотрудникам Яндекса нужно было не читать :)
Если я правильно помню, там достаточно заходить в аккаунт, чтобы этого не произошло. Но если честно — уже всё равно. 550 рубле конечно не копейки какие-то, но гемора из-за них предостаточно (и это еще хорошо мне — я москвич, работаю относительно недалеко от офиса и таки могу собраться с силами и доехать. Вариант «отсылать по почте» для регионов, с нашей-то почто выглядит просто нелепо)
Та же история. Пропали мои кровные 500р. Письмо на восстановление даже не приходит, техподдержка несет ахинею. Деньги вообще самый ужасный сервис Яндекса.
То же самое, поменяли пароль уже мне, деньги увели. Восстановить уже второй год не могу.
Детский сад
Отправил, ждал очень долго уязвимость закрыли а ответа я так и не дождался.
Один из вариантов ответа Яндекса в утрированной форме.
— Ну мы этот короче, сами её нашли, а потом вы рассказали нам о ней и мы короче её уже в это время закрывали...
Совпадение 99%…
Недавно прилетело как раз подобное…
на самом деле они отвечают так
Здравствуйте.
Спасибо, мы уже знаем об этой технической проблеме. Хорошие новости – специалисты уже это чинят.
Назвать точный срок, когда всё придет в норму, мы не можем. Но делаем всё возможное, чтобы проблема решилась как можно скорее.
Выглядит как хамство со стороны Яндекса.
Человек нашел баг, но не побежал его продавать на черном рынке, а пришел в Яндекс.
Выполнил свою часть условий по публичной оферте от Яндекса.
Или нельзя трактовать их предложение нести им баги за деньги как публичную оферту?
А если можно, то итересно, есть ли вариант засудить Яндекс?
Человек нашел баг, но не побежал его продавать на черном рынке, а пришел в Яндекс.
Выполнил свою часть условий по публичной оферте от Яндекса.
Или нельзя трактовать их предложение нести им баги за деньги как публичную оферту?
А если можно, то итересно, есть ли вариант засудить Яндекс?
А кто сказал, что этот человек первым пришел в Яндекс?
Он что, единственный исследователь багов на планете?
Он что, единственный исследователь багов на планете?
Это сказало отсутствие инфы о баге в changelog.
А чем Яндекс докажет, что и вправду знал о баге? Может у него просто бюджет, выделенный на вознаграждения, закончился, и они там решили до нового финансового года всех отшивать?
В любом случае, усилия не только 1-го нашедшего достойны вознаграждения, если не забывать цель, с которой эти вознаграждения вообще были обещаны — чтобы как можно больше людей искали баги и несли их в Яндекс.
В любом случае, усилия не только 1-го нашедшего достойны вознаграждения, если не забывать цель, с которой эти вознаграждения вообще были обещаны — чтобы как можно больше людей искали баги и несли их в Яндекс.
К тому же Яндекс наверняка получит горы статей типа «success story о том как я получил 100k от Яндекса» и еще больше людей ринутся искать баги. Для Яндекса одни только плюсы, а затраты на фоне найденных багов будут казаться мизерными.
Предлагаю схему обогащения:
1. Вы находите баг в Яндексе
2. Собираете максимальное количество друзей и знакомых
3. Каждый пишет в Яндекс «Я нашел баг»
4. Каждый получает вознаграждение.
1. Вы находите баг в Яндексе
2. Собираете максимальное количество друзей и знакомых
3. Каждый пишет в Яндекс «Я нашел баг»
4. Каждый получает вознаграждение.
Баги ищутся в сервисах Яндекса. Так что сам Яндекс может по своим логам более-менее определить кто и как именно исследовал определенный сервис.
Кроме того, у меня есть идея как Яндекс мог бы доказать, что про баг ему уже было известно.
Для этого нужно открыто публиковать MD5 (или эл. подпись?) для описаний багов, включая id нашедшего и время сообщения о баге.
Если идет повторное «открытие» бага — то показывать второму человеку, нашедшему баг, полный текст описания бага от первого, чтобы он мог убедиться, что Яндекс уже знал о баге. И выплачивать второму 1/2 суммы.
Третьему нашедшему — показывать сообщения 1-го и 2-го и давать 1/4 суммы.
И т.д.
В результате и сумма выплат будет ограничена, и никто не будет подозревать Яндекс в невыполнении своих обязательств по выплате денег, и труды всех участников поиска багов будут вознаграждены, и описания уязвимостей попадут только к тем, кто и так про них уже знает.
Кроме того, запросто может так оказаться, что фраза «мы уже знаем об этой технической проблеме» не совсем отражает реальность. В ряде случаев человек сможет возразить Яндексу, что он нашел некоторые нюансы, отсутствующие в уже имеющихся у Яндекса описаниях уязвимости, которые, например, значительно облегчают эксплуатацию уязвимости, добавляют новый вектор атаки и пр.
Кроме того, у меня есть идея как Яндекс мог бы доказать, что про баг ему уже было известно.
Для этого нужно открыто публиковать MD5 (или эл. подпись?) для описаний багов, включая id нашедшего и время сообщения о баге.
Если идет повторное «открытие» бага — то показывать второму человеку, нашедшему баг, полный текст описания бага от первого, чтобы он мог убедиться, что Яндекс уже знал о баге. И выплачивать второму 1/2 суммы.
Третьему нашедшему — показывать сообщения 1-го и 2-го и давать 1/4 суммы.
И т.д.
В результате и сумма выплат будет ограничена, и никто не будет подозревать Яндекс в невыполнении своих обязательств по выплате денег, и труды всех участников поиска багов будут вознаграждены, и описания уязвимостей попадут только к тем, кто и так про них уже знает.
Кроме того, запросто может так оказаться, что фраза «мы уже знаем об этой технической проблеме» не совсем отражает реальность. В ряде случаев человек сможет возразить Яндексу, что он нашел некоторые нюансы, отсутствующие в уже имеющихся у Яндекса описаниях уязвимости, которые, например, значительно облегчают эксплуатацию уязвимости, добавляют новый вектор атаки и пр.
Ага, размечтались )
company.yandex.ru/security/faq.xml
Там черным по белому написано, что за баги в яндекс деньгах выплат нет.
Видимо это совершенно несущественный сервис, баги в котором не стоят беспокойства…
company.yandex.ru/security/faq.xml
Там черным по белому написано, что за баги в яндекс деньгах выплат нет.
Видимо это совершенно несущественный сервис, баги в котором не стоят беспокойства…
В Яндекс.Деньгах от Яндекса — только бренд.
Дело в том что сервис Яндекс деньги для них не критичный сервис
Цитирую: Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Диск, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.
Источник
Цитирую: Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Диск, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.
Источник
Дело в том, что сервис Яндекс.Деньги — не сервис Яндекса вообще.
Распространили на сервис свой бренд, но не хотят принимать полную ответственность за его функционирование?
Удивительное отношение, которое при определенной подаче материала может повредить репутации Яндекса.
Ему пользователи доверяют самое дорогое — деньги, а он какой-то «Мой Круг» считает на порядок важнее.
Удивительное отношение, которое при определенной подаче материала может повредить репутации Яндекса.
Ему пользователи доверяют самое дорогое — деньги, а он какой-то «Мой Круг» считает на порядок важнее.
Яндекс.Деньги — подразделение Сбербанка. Уже давно Сбер перекупил этот сервис со всей командой разработки. Так что жлобство в отношении выплат и баги — это нормальная практика. Просто вспомните, что это Сбер, а не Яндекс :) habrahabr.ru/company/yandex/blog/163183/
Но это все еще не Сбербанк.Деньги, а сервис на поддомене Яндекса. С прозрачной авторизацией, словом Яндекс в названии и всем прочим. Довод «Ну Яндекс.Деньги же это не Яндекс, а отдельное ООО» применялся и до сделки со Сбербанком, так что не, не катит уже. :)
Ааааа, тогда причины понятны.
Переименовали бы тогда, если не хотят ответственность нести.
Переименовали бы тогда, если не хотят ответственность нести.
Как-то очень сумбурно все описано.
Там получается в экшене смены платежного пароля просто не было никаких проверок и все телодвижения со вторым аккаунтом просто чтобы форму саму увидеть?
Там получается в экшене смены платежного пароля просто не было никаких проверок и все телодвижения со вторым аккаунтом просто чтобы форму саму увидеть?
ez
Я так понимаю, данная методика уже не работает?
А жаль. 900 рублей на кошеле пропадают. :(
А жаль. 900 рублей на кошеле пропадают. :(
Видимо стоит добавить опрос на тему будете ли вы пользоваться Яндекс деньгами. Добавить вариант нет не буду т.к. утерян пароль и зоново заводить там кошелёк не намерен. Пусть подавятся остатками. Видимо новый фин директор у них. После такого отношения не охотой писать отзывы и предложения пт улучшению их сервисов.
Причем тут новый директор, у них уже давно эти приколы с паролями :)
Но посудите, если быть совершенно честным перед собой — это же вы потеряли пароль.
Если карту кредитную потеряете, вы же не будете ожидать, что вам ее по почте вместе с пинкодом отправят? :)
К тому же теперь у них можно номер телефона ввести и будет абсолютно привычная двухфакторная авторизация, как в любом интернет банке.
Но посудите, если быть совершенно честным перед собой — это же вы потеряли пароль.
Если карту кредитную потеряете, вы же не будете ожидать, что вам ее по почте вместе с пинкодом отправят? :)
К тому же теперь у них можно номер телефона ввести и будет абсолютно привычная двухфакторная авторизация, как в любом интернет банке.
Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя.
Что-то вы сами себе противоречите…
Если пароль не утерян, то какая проблема привязать телефон?
P.S. И зачем вообще получать не утерянный пароль на не привязанный телефон? )
Если пароль не утерян, то какая проблема привязать телефон?
P.S. И зачем вообще получать не утерянный пароль на не привязанный телефон? )
Он не утерян. Его не было никогда.
Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
так а в чем проблема то? Вы зарегали почту не зарегали кошелек и теперь не можете его зарегать?
Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон или прислав нотариально заверенную копию паспорта.
Никаких адекватных способов решить эту проблему не предложено.
Никаких адекватных способов решить эту проблему не предложено.
>>А жаль. 900 рублей на кошеле пропадают. :(
>>Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя
>>Он не утерян. Его не было никогда.
>>Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
>>Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон
Простите, но я вообще нифига не понял :)
>>Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя
>>Он не утерян. Его не было никогда.
>>Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
>>Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон
Простите, но я вообще нифига не понял :)
Если я по шагам опишу ситуацию — вы мне поможете или это будет напрасная трата времени как в случае с саппортом Яндекса? :)
Ну если вы не теряли пароля платежного, а его не было, если вы не вводили телефона — то там явно можно что-то сделать, попробуйте там во всякие настройки позаходить, например. Не могли же они просто сами задать вам какой-то пароль, не сказать его вам и тупо отказать в использовании сервиса.
Вот как вариант — если вы регались когда еще не было платежного пароля, вам как вариант его могли сделать таким же как и основной, например.
Кстати про потерю пароля я не вам писал :)
Это была не уязвимость, а фича.
Ох, помню, я намучился с этими восстановлениями. Два раза ездил в офис Яндекс.Денег, который был совершенно неудобно для меня расположен… Причем в первый раз спросил девушку на ресепшене: «Вы уверены, что предоставленных данных достаточно для получения доступа к кошельку, и второй раз приезжать не надо будет?» Девушка ответила, что уверена. Приезжаю домой, войти в кошелек не получается, звоню в поддержку, говорят, что надо подъехать и привезти еще что-то.
Деталей не помню, почему именно так получилось, и рыться в почте искать не хочется. Что-то связанное с тем, что я и пароль забыл, и номер телефона сменил. Но я тогда был вне себя от бешенства, потому что жил километрах в 40 от офиса, и дорога через дичайшие московские пробки занимала часа 3-4.
Деталей не помню, почему именно так получилось, и рыться в почте искать не хочется. Что-то связанное с тем, что я и пароль забыл, и номер телефона сменил. Но я тогда был вне себя от бешенства, потому что жил километрах в 40 от офиса, и дорога через дичайшие московские пробки занимала часа 3-4.
UFO just landed and posted this here
зато все разработчики яндекса художники-математики и решают очень сложные задачи
Для меня яндекс-деньги умерли, как и репутация компании. В начале было удобно с ними работать, но понемногу начали закручивать гайки — то там лимиты, то сям. В конце концов ввели обязательную верификацию, без которой уже и международная карта не работала, и ограничений было чуть менее, чем у постороннего человека. Но делать нечего — решил по их правилам отправить заверенное нотариусом заявление (между прочим не бесплатное), так как для других стран это был единственный способ пройти проверку. С тех пор я мог наблюдать, как в режиме реального времени сгорали переводы, которые не мог получить непроверенный пользователь, а техподдержка всё так же отвечала, что письма всё нет и делать ничего не хотим и не будем. Не знаю, кто виноват, слоупочта или всеобщая безответственность, но письмо за полгода так и не дошло, а отсылать повторное с таким отношением к клиенту желание не возникает.
Тут недавно вспомнил, что у меня на кошельке валяются 100р и оплатил ими покупку книжки, на что мне весело сказали, что транзакция не прошла. Попробовал пару раз, пишет ЯД ошибку и все (то ли пароль неверный, то ли еще чего ему не нравилось). Ну нет так нет, оплатил через киви. Через неделю захожу в почту яндекса, а они мои 90р таки куда то списали… после такого уж точно не стоит говорить о надежности и держать там хоть что-то желание отпало окончательно.
Получив однажды письмо счастья от Яндекса, решил что при любой возможности буду «иметь» Яндекс деньги.
С большим удовольствием юзал дыру!
i.imgur.com/P7rGmgD.png
С большим удовольствием юзал дыру!
i.imgur.com/P7rGmgD.png
Жаль, что закрыли. У меня 600 рублей тоже зависло на старом кошельке.
Почитал я тут, почитал…
Кажется, как для репутации, так Яндексу было бы куда дешевле заплатить «за дыру» награду, чем получать свою порцию заслуженных упоминаний «в контексте».
Впрочем, мало кто из гиков с ними уже дело хотят иметь, с учетом сегодняшних правил ЯД, так что, может, решили «заработать» (в смысле, не потратить) хоть награду, поскольку репутация ЯД на Хабре и так уже никакая?
Жаль, начинали-то так хорошо!
Кажется, как для репутации, так Яндексу было бы куда дешевле заплатить «за дыру» награду, чем получать свою порцию заслуженных упоминаний «в контексте».
Впрочем, мало кто из гиков с ними уже дело хотят иметь, с учетом сегодняшних правил ЯД, так что, может, решили «заработать» (в смысле, не потратить) хоть награду, поскольку репутация ЯД на Хабре и так уже никакая?
Жаль, начинали-то так хорошо!
Уязвимость была закрыта в сентябре — сразу после того, как нам стало о ней известно. Первый сообщивший об уязвимости через программу «Охота за ошибками» пользователь в ближайшее время получит вознаграждение, и он оповещён об этом. К сожалению, это был не автор поста.
Обращаем внимание пользователей, что описанный сценарий смены пароля был возможен только для уже скомпрометированных аккаунтов Яндекса: для того, чтобы воспользоваться уязвимостью, мошеннику нужно было знать действующий логин и пароль на Яндексе, который раньше уже каким-то образом к нему попал.
Обращаем внимание пользователей, что описанный сценарий смены пароля был возможен только для уже скомпрометированных аккаунтов Яндекса: для того, чтобы воспользоваться уязвимостью, мошеннику нужно было знать действующий логин и пароль на Яндексе, который раньше уже каким-то образом к нему попал.
Ну это то то после попадания в паблик 10000000 логин: пасс яндекес почт ( habrahabr.ru/post/235949/ ) только ленивый не имел возможность взлохматить чей то кошелек!
Минутка драмы:
У меня пол года назад с ЯД похитили 13.7 тыс рублей таким способом — пароль к аккаунту брутфорснули, платежный пароль был слишком сложен — и его сменили похоже именно этим способом. В службу поддержки написал через 2 часа после хищения (Запрос 2014042533015111) — но там по горячим следам ничего сделать не смогли и только развели руками.
Затем я воспользовался своим хабраположением, и в конце статьи «Внутренности карты Яндекс.Денег — MasterCard PayPass» попросил связаться напрямую со мной представителей техподдержки и службы безопасности ЯД. Они мне отписали. Им я рассказал, что все проверено вдоль и поперек — вирусов нет, платежный пароль увести не могли… Да и если бы увели — зачем его менять, если можно напрямую слить деньги и все? В почте и телефоне никаких уведомлений о смене платежного пароля не было (почта выгребается каждую минуту, уведомление сложно успеть удалить) — а потому у меня подозрения и были на баг или доступ злоумышленника к базе (чтобы просто поменять хэш). Но в проблеме тогда разбираться не стали, остановились на том, что у меня просто украли платежный пароль — а ведь могли проблему обнаружить и исправить еще пол года назад.
У меня пол года назад с ЯД похитили 13.7 тыс рублей таким способом — пароль к аккаунту брутфорснули, платежный пароль был слишком сложен — и его сменили похоже именно этим способом. В службу поддержки написал через 2 часа после хищения (Запрос 2014042533015111) — но там по горячим следам ничего сделать не смогли и только развели руками.
Затем я воспользовался своим хабраположением, и в конце статьи «Внутренности карты Яндекс.Денег — MasterCard PayPass» попросил связаться напрямую со мной представителей техподдержки и службы безопасности ЯД. Они мне отписали. Им я рассказал, что все проверено вдоль и поперек — вирусов нет, платежный пароль увести не могли… Да и если бы увели — зачем его менять, если можно напрямую слить деньги и все? В почте и телефоне никаких уведомлений о смене платежного пароля не было (почта выгребается каждую минуту, уведомление сложно успеть удалить) — а потому у меня подозрения и были на баг или доступ злоумышленника к базе (чтобы просто поменять хэш). Но в проблеме тогда разбираться не стали, остановились на том, что у меня просто украли платежный пароль — а ведь могли проблему обнаружить и исправить еще пол года назад.
Sign up to leave a comment.
Уязвимость Yandex money или как восстановить платежный пароль