Как увели мои деньги с кошелька Яндекса. Часть 1

[gorenburg]

было указано только ФИО. Паспортные данные указывать ибо боялся за такую ситуацию — не хочу чтобы мои паспортные данные были в руках у взломщиков

[Setti]

+ подтверждает, что доступ к странице имеет человек с определенным ФИО и что скриншоты не модифицировались, всё верно

[xenon]

Я, нотариус Иванова А.А. заверяю, что на моем компьютере, зараженном девятью троянами (см приложение А), в браузере был открыт сайт www.чтототам.ru, IP адрес сайта был предоставлен DNS сервером зараженным cache poisoning, страничка была загружена не с сервера, а из прозрачного кеша моего криворукого ISP. Затем javascript код в страничке изменил ее очень причудливым образом. После этого страница была распечатана и заверена.

;-)

[asm0dey]

Все-таки страничка не могла быть загружена из кеша. Откуда у кеша страничка какого-то конкретного пользователя? Да и лайфтайм у нее маленький, наверное…

[Alaunquirie]

ЯД к паспортным данным привязан.

[NYMEZIDE]

Яндекс репутацию потеряет из-за недобросовестного сотрудника.

Думаю надо написать заявление в МВД Управление К. Они вздрючат Яндекс и найдут эту крысу.

[coylOne]

управлению К срать на 10 тысяч рублей = )

[NYMEZIDE]

А причем тут деньги? Это ихняя работа. Тем более такой прецедент.

Я хоть и понимаю. что там коррумпировано все, но написать заявление стоит. А дальше можно дойти и выше если потребуется.

[VasilioRuzanni]

Но потратить намного больше, чем 10 т. р… К сожалению, такая вот у нас система. Хотя бывают редкие исключения.

[MOHAX]

их

[gurugray]

+1

[Belerafon]

10000 это уже тяжкая сумма, уголовная

[Insbrook]

К сожалению, на практике «отдел К» не занимается расследование дел о хищении до 15000-20000 рублей — у них и так более крупные дела висят. А если в пропаже виноват кто-то из Яндекса, то точно из-за 10000 разбираться не будут.

[akalend]

если напишет заявление — они будут обязаны разбираться

[BeloVit]

Господа! У моего клиента из БАНКА! живого увели 100 тонн. Так ладно банк, куда перевели бабло оперативно сработал и платеж заблокировал, но! отдел К никого искать не стал, типа деньги же вернули… что вам надо? Хотя в банке были ИП-адреса тех пидаров, которые зашли под логином моего клиента. А вы тут про 10 тысяч.

[Leeloo]

Каким образом реализован вход в интернет-банк?

[BeloVit]

Ключ шифрования на дискете и логин-пароль. Стоит Касперский, актуальный, обновляется. Комп за проксей. Я думаю, что ключ увел кто-то из своих. А логин-пароль тупо подсмотрели ибо финансист сидит в этой же комнате с менагерами. НО! отдел К не стал разбираться.

[Leeloo]

Понятно. Да, похоже, кто-то из местных. Хотя что удаленно увели тоже есть вероятность. Тут скорее сперва в милицию надо, а отдел К они сами к работе привлекут если понадобится. Заявление ОБЯЗАНЫ принять, а там уже их дело как это расследовать.

У меня логин-пароль (для пароля вирт.клавиатура)+одноразовый пароль для входа, высылаемый на мобильник. Вроде достаточно безопасно.

[BeloVit]

У нашего клиента также счас ввели привязку по IP-адресу и USB-token. Типа у кого железка есть — тот и может рулить счтом. А лично в нашей компании одноразовый пароль с отсылкой по СМС — тоже не жалуемся :-)

[Alaunquirie]

У нас на прошлой работе у товарища под линем (ну выпендрился) увели сам токен по SSH, а систему убили. Благо у него на счету было 300 рублей, зарплатну днем ранее снял…

[BeloVit]

Видимо товарищ в Линях не силен был. Надож было SSH — выставить наружу без криптостойкого пароля. А раз систему убили — значит и рутовый пароль был не сильный.

[Alaunquirie]

Я же говорю — просто выпендрился… :)

[DMakeev]

Альфа?

[Leeloo]

Она. Как у них с безопасностью?

[DMakeev]

тьфу-тьфу-тьфу ))

Единственное с чем сталкивался — посеял карточку, дозвонился практически мгновенно, объяснил девушке задачу и тот нюанс что звоню с мобильника из другой страны, все решилось очень мило.

[dendery]

Все не так плохо как может показаться.
У них там свои порядки и за нераскрытые дела их тоже дрючат. Поэтому не важно вернут деньги или нет, заяву надо писать обязательно и сумма тут совершенно ни при чем.

> К сожалению, на практике «отдел К» не занимается расследование дел о
> хищении до 15000-20000 рублей

Вот эти легенды кстати распространяются самими же сотрудниками ведомств. А все потому, что никому лишних висяков не надо. Оптимальный вариант — убедить человека, что ничего не вернут и обращаться бессмысленно. Не заявления — нет проблем.

> По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер
> также хранит информацию о том, с каких адресов были заходы на него, и
> получить эту информацию также сможет милиция.

И это очень правильный совет. Я не говорю, что деньги вам вернут на следующий день — это вряд ли. Но писать надо обязательно.
К тому же есть такие реальные данные, что по одному эпизоду вычислить человека сложно, но по серии — уже гораздо реальнее. Я это говорю как человек, имеющий некоторое отношение к платежным системам «изнутри». Есть злоумышленник, один раз своровал, два раза своровал, на третий сделал глупость и уехал в места не столько отдаленные.

Резумируя, по-первых не расстраивайтесь и не паникуйте, к тому же сумма не смертельная. Во-вторых пишите заявление.

[ColorPrint]

ну отказать в возбуждении дела по такому основанию они все равно не смогут :)

[altocodes]

Как показывает опыт, они и из-за меньших сумм заводят дело

[nerezus]

А мне срать, что им срать. Им деньги платят не за то, что они срут на людей.

[amxm]

Отделу К это не под силу, они ищут студентов которые качают порно.

[NYMEZIDE]

Я понимаю, что это так, но и не подавать заявление нельзя.

Да и потом, когда этот дамоклов меч (МВД) начнет висеть над Яндексом — они сами начнут шевелится и найдут решение.

Клиент доверил свои деньги Яндексу и если Яндекс ломанули с внешки или это внутри завелась крыса — почему клиент должен страдать от этого?

[akalend]

Яндекс лоханулся — это факт.
в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1

так что, либо это дело рук сотрудников Яндекса,
либо Яндекс не может обеспечить сохранность кошелька.

ну и хранить денежные пароли на компе — последнее дело,
это почти тоже самое, что на своей банковской карточке ницарапать пинкод.
таки вещи надо: либо хранить в уме, либо уж записывать на мобильный в крайнем случай:
например:
Балтийский Миша (Миша для отвлечения, банк Балтийский) 534-4596 (пин 4596)
Альф Спиридонович (АльфаБанк ) 912-305-1786 (пин 1786)

[NYMEZIDE]

Ну я не считаю хранить пароли на компе — последним делом.
Я вот храню пароли на компе, в файле, который зашифрован под мастер пароль. Перебор пароля невозможен, т.к. файл будет заблокирован.
Хранить в уме ВСЕ пароли я не могу, записывать на мобильный не пробовал еще. )

[lomalkin]

Интересно, как можно заблокировать файл от перебора… Напишите пожалуйста название программы, которой вы пользуетесь для подобного.

[Alaunquirie]

Вы на телефоне никогда трижды пин не вводили криво? :)

[ivlis]

И причём тут файл? Симкарта имеет внутреннюю логику, которая может заблокировать себя.

[Alaunquirie]

Во многих телефонах есть такая же фишка, а если еще и мастер-пароль левый вводится — то все ключи перемешиваются в кашу и выводятся в искаженнном виде, чтобы злоумышленник ничего не получил. Простейшая защита от брутфорса — ты просто не знаешь, верные тебе коды отдало или свежесгенеренные.

[Serzhenko]

SE?

[Alaunquirie]

Естесственно :)

[lomalkin]

да, есть такое, но в случае с файлом — он может быть скопирован любое количество раз и столько же раз быть подсунут программе, работающей с ним, поэтому если даже она его «заблокирует»/испортит — мы ничего не потеряем.

[Alaunquirie]

Ну она может его «испортить» и занести… ну например его хэш или MD5 в черный список. На каждое действие можно найти противодействие, главное знать разумный предел в безопасности и HAL, а то работа превратится в борьбу со своими же технологиями :)

[Mr_Floppy]

Можно сверять с имеющимися данными, например, с логинами. Понятно, что не в случае ручного перебора на телефоне.

[Alaunquirie]

А она заголовки полей оставляет. Логины, название, что и к чему, а вот поле «пароль» генерит по введенному паролю. Т.е. если вы ввели дважды неверный, но один и тот же мастер-пассворд — получите одинаковые реультаты паролей.

Конечно, так мы светим логины, но они-то и так у нас есть, если мы обворовываем эту цель. В общем — я считаю, что это одна из самых удачных реализаций защиты от брутфорса пароля на телефоне.

[dendery]

> Яндекс лоханулся — это факт.
> в истории должен был быть ИПи прокси или форвардинг но явно не 127.0.0.1

Согласен, эти даные дополняют друг друга, но никак не взаимоисключают.
Реальный ip должен сохранятся в любом случае, остальное — по возможности.
Впрочем, в отношении яндекса сложно чему-то удивляться.

[sperans]

ИП прокси сохраняется. Давайте разделять понятия «сохраняется» и «показывается пользователю».

Юзерам из одной офисной сетки под одной проксей приятнее видеть «свои» айпи, чем всем одинаковую проксю, вот примерно из этого и исходили, когда брали forwarded_for для показа.

[ivlis]

Но дибилизма ответа поддержки в духе это ваш компьютер не отменяет :)

[akalend]

Яндекс они вздрючат а вот крысу найдут наврядли

[matt]

Надо быть идиотом, чтобы подумать что сотрудник яндекса инсайдом вытянул 10к рублей :)

[NYMEZIDE]

Я не отрицаю взлома с внешки, но наверняка взлом был изнутри, тем у кого был доступ.

Допустим хакнули с внешки, неужели Яндекс не признается в этом и не возвратит деньги клиенту, ведь это ошибка Яндекса в разработке платежной системы? На ошибках учатся, но не за счет клиентов.
Но Яндексу не выгодно признаваться в том, что кто-то внутри компании это сделал, ибо тогда получается что внутри они могут творить, что хотят. И пароль пользователя окрыт или вовсе не нужен, данные не шифруются и т.д. и т.п.
Уверен что спишут все на ошибку системы и возвратят деньги. Либо всю жизнь будут искать выдуманного хакера, который через китайскую проксю ломанул Яндекс и не будут возвращать ничего.

Вывод пока только один: перевести деньги в другую платежную систему от греха подальше.

[Alaunquirie]

Не, привязать к мобильнику и паспорту аккаунт. Ну и платежный пароль регулярно сменять. Желательно с телефона, там сложней всего поцепить вирус или кейлоггер.

[pietrovich]

Надо быть идиотом, чтобы подумать что сотрудник яндекса инсайдом вытянул 10к рублей :)

курочка по зернышку — весь двор в «шоколаде».

там рубчик, там соточку, и вот уже на квартиру «наколядовал». клиентов-то много

[kovleon]

Инсайдом. Тогда уж лучше не плодить лишних транзакций?..
Добавлять на каждую пользовательскую небольшую сумму, которая не будет доходить до получателя.

[Alaunquirie]

Дык куды, по вашему, деваются комиссионные? :)

[kovleon]

Комиссионные, как я понимаю — официальный заработок таких служб как ЯД.
Если есть «крыса в конторе», то… Я про то, что комиссионые могут сниматься чуть больше, чем положенно, а доходить до службы будут уже такие как надо суммы(читай «не завышенные»), а на некотором счете будет появляться разница.
Или, например, суммы могут округляться,
и без транзакции «округление» может появляться на чужом счете — в итоге вроде все сходится, а деньги утекают…

[Alaunquirie]

Ну я про это и говорю, конечно, это заработок яндекса, но если посчитать, копейка тут, копейка там, из-за округления, за день сколько трансзакций производится? Вот и набежит на хлеб с маслом.

[malferov]

Никто наличие таких идиотов не исключает.

Вспомнимаю случай, когда в центре поддержки клиентов «Билайн», где я тогда работал, одна сотрудница, будучи идиоткой, активировала на свой номер телефона 5-долларовую карту (да, тогда были доллары), номер которой она восстановила по звонку клиента, который стер пару цифр (видимо, стирая код карты маникюрной пилкой).

[davv]

сначала статью под кат спрячьте.
а тема интересная…

[gorenburg]

так точно!

[nps]

Ещё бы в habrahabr.ru/blogs/yandex/ опубликовать.

[gorenburg]

с радостью бы, только вот кармы не хватает. пока в опциях публикации всего один блог для публикаций — мой персональный…

[rvsob]

Ну так присоединитесь к блогу Яндекса и публикуйте, все условия соблюдены.

[gorenburg]

переместил, спасибо!

[caezar]

«127.0.0.1 — это внутренний адрес внутри вашей компании»
для начала — ru.wikipedia.org/wiki/Localhost ;)

[jeje]

В Unix-подобных системах данный интерфейс обычно именуется «loX». Как последнее читается двояко =)

[gorenburg]

виноват. просто я подумал, что если им ссылку дать на википедию или длинный текст оттуда скопировать — они ведь читать не будут ибо если все так будут делать у них ответа придется ждать неделями.

[caezar]

при чем тут ссылка? уверяю, поддержка яндекса знает что такое localhost и что такое 127.0.0.1. Другое дело, что это скорее всего значит что их метод определения ip-адреса скорее всего обошли, о чем им стоит задуматься

[pieceofsummer]

А что, у них есть другой метод определения IP-адреса, кроме, условно говоря, $_SERVER[«REMOTE_ADDR»]?
Я слабо допускаю возможность спуфинга, потому что там еще нужно платежный пароль вводить, поэтому как минимум одну страницу при переводе должны были открыть с действующего адреса. А с какого именно — должно быть легко отследить по id транзакции.

[kolpeex]

Много чего может произойти, прежде чем REMOTE_ADDR попадет в БД. Да и в БД много чего может произойти.

[demiurgie]

Ну теоретически могут ещё обрабатывать en.wikipedia.org/wiki/X-Forwarded-For, не проверяя его реальность.

[zerkms]

т.е. девелоперы ЯД совсем клинические идиоты?

[akalend]

похоже на то
судя по их ответу

[Pornosloneg]

И в чём же они идиоты? X-Forwarded-For совершенно не обязан быть интернетным «белым» адресом. Примеры:
1) Просто кто-то поставил Линукс/Фрю и для скорости на ней же поставил кэширующий прокси. Браузеру, соответственно, прописал локалхост как прокси. В итоге в X-Forwarded-For будет тот же локалхост
2) Локалка с приватными адресами, на гейте тот же прокси. В X-Forwarded-For будет приватный адрес, например 10.1.1.1 — легче станет?

Другой вопрос, что, обнаружив в X-Forwarded-For немаршрутизируемый адрес, в статистике можно было показывать адрес этого самого прокси… Возможно, даже с пометкой какой-нибудь.

[zerkms]

тогда зачем они сохраняют данные, которые де-факто не обязаны быть достоверными? в чём смысл?
и не нужно мне читать лекции о http и заголовках, я прекрасно знаю что это такое.

[dime]

Так автоматом там хрен разберёшь, какие именно данные — достоверные. Показывают те, которые в большинстве случаев похожи на достоверные (понятно, что поэкспериментировав, можно подставить в отображаемое поля почти любые, как, видимо, и произошло). А сохраняют-то все. Сами же и написали. При желании человек уже будет разбираться. Но без заявы из милиции — нафига это кому надо? Всё правильно тут.

[udachnik]

Ничто не мешает пойти против стандартов и поднять у себя за натом сеть с чужими белыми адресами, тогда в X-Forwarded-For будут опять же чужие адреса…

[TsarS]

У вас установлен кошелек ЯД или только веб-интерфейсом пользуетесь?

[gorenburg]

только веб-интерфейс

[TecHMeaT]

Думаю, что меня поддержат хабровчане, если мы попроси Вас довести расследование до конца и представить на хабре результаты.

[gorenburg]

давайте составим план действий и я попробую пройти все эти шаги. первый шаг — отписаться всем участникам этого взлома уже пройден… ответ вы все уже прочитали…

[TecHMeaT]

Эй, народ, юристы здесь есть?
Посоветуйте человеку что дальше делать, видно же что вопрос многих интересует.

[jeje]

Это не ответ, это отмазка, причем глупейшая.

[gorenburg]

я не юрист. я впервые сталкиваюсь с такой ситуацией и я реально не знаю что мне делать

[ColorPrint]

заявление в милицию по факту мошенничества, что ж еще тут делать.
т.к. ip 127.0.0.1 в качестве подозреваемых сам яндекс можно указать )

[pro169]

Ситуация такая, вам взломали кошелек, а человек из поддержки строит дурочка.

Я бы наверное поступил примерно так:
1 составить бы письмо с описанием того что случилось и как ответил сотрудник (указать его ФИО, и email по которому общались). Указать свои ФИО, тел, логин…
2 Найти максимально возможное количество email-ов которые имеют отношение к яндексу (не только ЯДа саппорт)
3 Отправляем письмо на все ящики.
4 Звонить и по возможности общаться не только с поддержкой, но и с людьми которые имеют непосредственное отношение к ЯД.

[Setti]

к нотариусу, вперёд

[akalend]

поддерживаю мнение TecHMeaT

[gorenburg]

буду писать заявление

[akalend]

правильно
я тоже один раз лоханулся, сумма была больше
жалею что не довел дело до конца, был занят…

[megahertz]

C ТП ЯД невозможно нормально разговаривать, там сидят люди которым глубоко пофиг на чужие проблемы, поэтому рекомендую писать им хотя бы несколько раз в день и не по одному номеру заявки. Из за глюка в ЯД месяц их доставал чтобы вернули деньги (к счастью, успешно). Надеюсь, топик на хабре поможет их взбодрить.

[dimiork]

как говорится «рыба гниет с головы».
начните с милиции, пока не прошло много времени, а то и там придумают как отмазаться… а-ля по сроку давности не возможен прием заявления и тп…
и… желаю вам, если не вернуть деньги(в общем-то не малые!), то наказать, а главное исправить это гнилое звено в цепи. Во благо других. Это благородно.

[dimiork]

Извините, пожалуйста, ошибся. Адресовано автору темы.

[beliyadm]

В техподдержку яндекса ежедневно падают сотни писем и десяток человек сотрудников реально не справляется.
Хотя по моему недолгому опыту работы в отделе поддержки пользователей данной компании — вопросы связанные с ЯД разбирались в первую очередь специально обученными людьми и в связке с руководителем отдела и разработчиками направления.
А так как вам — ответить мог либо полный идиот либо новичек (который странно как попал на ответственные тикеты) либо это глюк.
Попробуйте обратиться еще раз (ответом на это письмо — тикет поднимется из глубин) и акцентируйте внимание на последующем обращении к руководству.
А ну и телефонные звонки никто не отменял

[sperans]

простите, а Вы, собственно, кто? С опытом работы в нашем саппорте и в связке с руководителем отдела? Что-то я Вас не припоминаю.

[beliyadm]

Меня зовут Пётр, работал в департаменте маркетинга порядка месяца в период декабрь 2007\январь 2008
Не бог весь что конечно, всех нюансов не успел познать, но насколько помню — спорные аспекты решались с руководителем (тогда был Александр) и через jira

[sperans]

в департаменте маркетинга Яндекса?
Вы меня простите, но техподдержка Яндекс.Денег всегда была отдельной и не подчинялась Александру. Видимо, Вы за месяц немного не сориентировались :)

[beliyadm]

В таком случае прошу простить, действительно напрямую вопросы ЯД у нас не решали, но бывало они падали и переадресовывались.
Я лишь к тому — что любые спорные вопросы (к которым по моему мнению относится и вопрос ТС по поводу суммы, что не маленькая) решались в режиме коллегии с начальником. Лично никогда не взял на себя ответственность будучи в столь скромной должности столь тупо отвечать на поступивший тикет своевольно.

[sperans]

Ну да, из других отделов вопросы по Деньгам форвардятся нам. Поэтому так вредно писать на неправильные адреса: пока форварднётся, потеряется куча времени.

Вообще-то сотрудники по тикету всю работу провели правильно (там двое работали). И только на один вопрос ответили неверно. Если бы деньги можно было поймать — они были бы пойманы, но в данном случае, увы, помочь ничем нельзя. Про локалхост мы с ним поговорим.

[sperans]

Вы сейчас обсуждаете что-то с человеком, который никогда в жизни не работал в техподдержке не то что Яндекс.Денег, но даже Яндекса. А про состояние техподдержки Яндекс.Денег вообще ничего не слышал.

[UncleSam]

К сожалению, не только с деньгами. Там много чего прогнило.

[nps]

Для этого надо вступить в блог, тогда он появится в списке.
Ну и лучиков справедливости тебе.

[nps]

Это к fromrussia.habrahabr.ru/blog/74263/#comment_2142035

[gorenburg]

Спасибо, сделал

[LMaster]

Предлагаю сходить в офис Яндекса и спросить у них лично.

[gorenburg]

К сожалению, живу в Казани, поэтому сходить в офис в ближайший месяц не получится (учеба, работа). Да и будут ли они меня там слушать?!

[egoserg]

А что яндексодиды полчат.
Они ведь тут есть.
Так пускай прокомментируют

[Napolsky]

видимо яндексоиды пока отмечают праздник на эти 9к :)

[egoserg]

Видимо на больше.
Ведь так не бывает.
Если нашли способ хакнуть один акаунт, то на одном они не остановятся.

[Homakov]

сморозил=)) лол!))

[polyakov_andrey]

Кризис, он такой, сначала web money просят персональные аттестаты покупать, потом yandex переводит деньги на собственные нужды.

[anycolor]

Ну, 127.0.0.1 можно получить довольно просто и не обязательно через локалхост.

Тут вариантов несколько:

1) взломали один из серверов Яндекса, через которые и выполнили вход в кошелек
2) поделали айпи под локалхост
3)…

Ну и конечно в техподдержке уже совсем полный бред сказали, что это ваш айпи. :)

[polyakov_andrey]

2) поделали айпи под локалхост невозможно

[anycolor]

Вместо таких громких заявлений просто сделайте:

ping eblan.us

и посмотрите результат.

[rvsob]

А вы «вместо таких громких заявлений сделайте»:

nslookup eblan.us

и посмотрите результат.

[Drakula2k]

Показывает адрес DNS сервера.

[rvsob]

habrahabr.ru/blogs/yandex/74263/#comment_2142213

[Zhikharev]

А у меня 127.0.0.1
(Windows 7)

[zerkms]

да хоть iPhone. какая разница из какой оси пинговать? :-)

[polyakov_andrey]

ну а ping yandex.ru , где локалхост?

[anycolor]

Причем тут это вообще? У автора высветился айпи, с которого забрали деньги. Я показал один из примеров, как «подделать айпи локалхоста невозможно» (ваши же слова?)

Причем тут ping yandex.ru?

[anycolor]

Минусующим:

sh-3.2# host eblan.us
eblan.us A 127.0.0.1

[Nascosto]

ping — это ICMP протокол. В нём есть возможность «подменить» отправителя.
В TCP протоколе таких вещей быть не может!

[blo]

причем тут протокол? просто A запись в DNS этого хоста — 127.0.0.1

[Nascosto]

Я извиняюсь, ответ этот на ваше сообщение на ветку выше!
А именно — про подделку айпи!

[Nascosto]

Млин. Опять промахнулся 8))) Ещё раз извиняюсь ))) Ответ anycolor!!!

[anycolor]

Причем тут пинг вообще? Это обычная ДНС-запись…

Я тут что — пинг показывал?

[izzik]

Насколько я знаю там при регистрации домена в днс указан собственный сервер, где уже на сервере указан NS 127.0.0.1

[superhabra]

Вместо таких громких заявлений просто прочитайте что такое DNS, как оно работает, какое отношение имеет к IP адресации
и сделайте выводы.

[anycolor]

habrahabr.ru/blogs/yandex/74263/#comment_2142166

Мне странно, что у нас народ не может сделать два шага: послать пинг и додуматься посмотреть запись в ДНС.

Или это надо разжевывать?

Да и вообще речь шла просто об одном из возможных способов подделки айпи локалхоста, то, что как заявили выше «невозможно». Как видим — возможно.

Нужно было видно сразу в ДНС отправлять народ, раз желания нет к пониманию почему в пинге eblan.us локальный айпи.

[superhabra]

Вам пытаются объяснить что вы не правы, а вы место того чтоб заполнить пробел в своих знаниях упёрлись рогом и брызжите слюной что вокруг одни идиоты. Сложно что-то вам объяснить с таким подходом с вашей стороны.

[anycolor]

Может и не прав. Всегда есть вероятность 50% быть правым или нет.

Спасибо за информацию, посмотрю.

[Drakula2k]

Это как в том анекдоте? 50% вероятность увидеть слона на улице =)

[anycolor]

Именно :)

[asm0dey]

Динозавра. Со слоном не так пикантно ))

[lomalkin]

Уж лучше пусть со слоном, это слегка «по-новому» ;)

[kovleon]

Нy, это смотря кто что курил)

[asm0dey]

Тут главное — не курить динозавров. Они дорогие.

[lomalkin]

вообще иногда курить дорого. даже с динозавром…

[asm0dey]

С другой стороны, если УЖЕ куришь с динозавром, значит денег у тебя было не мало…

[lomalkin]

а если за его счёт?

[asm0dey]

А вот как бы такой вопросик — а что мы можем курить за счет динозавра? Гигантские папоротники?

[lomalkin]

например да. ну и не гигантские тоже можно, правда их много потребуется…

[asm0dey]

А это легально — курить много негигантских папоротников?

[lomalkin]

за чужой то счет… спрашиваете?)

[asm0dey]

И то правда.

Ну чтож. Значит на выходных собираем соседей, их зеленых собак и идем курить негигантские папоротники на широких просторах нашей необъятной мезозой-родины…

[asm0dey]

Мне кажется мы сыграли роли двух леденцовых троллей — зеленого и жолтенького ))

[lomalkin]

не знаю даже, меня просто иногда «несёт» и хочется поговорить/отдохнуть..)

[asm0dey]

И это ЗДОРОВО

[asm0dey]

Ой, нет, не получится — они будут у динозавра между зубов застревать.

[Vayun]

% это сокращение от 0.01

[Vayun]

Математически безграмотно, стыд и срам и т.д. писать «Вероятности 50% нет, хотя бы потому, что вероятность безразмерная величина.», хотя бы потому, что % безразмерная величина (как и ‰, ‱, pcm и ppm, которые наверное тоже надо запретить?)

[Boiler]

в данном случае dns выдает адрес 127.0.0.1 и вы пигуете сами себя.
никакого волшебства.

[asm0dey]

Пиговать от слова «Свинья»!
Запишу в словарик… блин, как называется словарик Grammar Nazi?

[Setti]

кстати, почитайте про syn-шторм

[kolpeex]

Мыслите глубже! (это призыв, а не замечание)

Это в TCP/IP сеансе на уровне протокола «нельзя» подделать IP-адрес.
А вот в БД записать неправильно можно. И попроавить в БД тоже можно.

[anycolor]

Это вопрос уже к админам Яндекса.

Очень даже часто так бывает, что и самых, казалось бы, крупных компаниях получаются оплошности и небрежности.

[Vomitus]

> Вряд ли в Яндексе такие глупые ошибки допускают.
Честно говоря, после баги с SVN как-то мало верится, что крупные компании не допускают глупых ошибок (конкретно про яндекс не могу сказать, так, мнение в общем).

[bergen1975]

Фильтруй не фильтруй…

В любом случае сервер/хост ответит на такой пакет на loop back интерфейс и ответ во вне не попадет (провести эксперимент не сложно).

Я лично не представляю как это сделать технически (то есть, добиться того, чтобы хост сичтал меня как 127… и при этом получить ответ), не имея доступа к внутренним ресурсам сети.

Уверен, в данном случае не было никакой мистики, просто все хотят кушать.

[lomalkin]

http_x_forwarded_for — поле заголовка в HTTP-протоколе, в котором в случае подключения через прокси (не анонимный) будет храниться «настоящий» адрес клиента, может возникнуть такая ситуация, что клиент представится прокси-сервером (т.е. как-будто бы он подключен через прокси), в этом случае он может передать в этом поле любой адрес (или вообще любой набор символов, который разрешен для передачи в полях HTTP-заголовков). При этом соединение будет осуществляться по фактическому адресу (из заголовков IP-пакетов), т.к. серверу дела нет какой «внутренний» адрес у клиента (реальный пример — локальная сеть со шлюзом), соответственно такая схема будет полноценно функционировать.

В этом случае глупость ситуации только в том, что в пользователю возможно отображают как раз это самое поле, которому нельзя доверять.

[bergen1975]

Не спорю, если сервер получает информацию для отображаемого поля не из ip header пришедшего пакета, то могут быть разные варианты (в том числе и локальный адрес).

В любом случае необходимы пояснения, откуда берется значение для поля, и какой был реальный ip снимавшего деньги.

Речь же о деньгах идет, а не о детских шалостях.

[lomalkin]

Вот поэтому данная тема весьма интересна для отслеживания. Надеюсь что у автора получится не только вернуть свои деньги, но и разобраться в самой ситуации.

[gorenburg]

почему бы просто не давать проводить операции с локальным адресом (127.0.0.1) и адресами типа 192.168.*.*?

[stas_agarkov]

вопрос то не в этом
всё можно сделать конечно

[slavik]

если это их вина, должны вернуть деньги, конечно после того как разберутся в чем дело и не станут должны гораздо больше. Желаю удачи!

[nooze]

взломали один из серверов Яндекса, через которые и выполнили вход в кошелек

Мало того, надо заходить не только с «какого-то сервера яндекса», а именно с того, на котором расположен вход в этот кабинет. Ведь только в этом случае, его адрес совпадет с собственным.

[seaji]

Я кажется понял, что случилось.
Просто автор сначала скачал себе на локалхост всю систему яндек-денег, потом локально сделал перевод, а потом закачал ее обратно.

[Pozitron]

> А что ты думаешь по этому поводу, %username%?
Что нужно проверить файл %SystemRoot%\system32\drivers\etc\hosts
(где %SystemRoot% — папка Windows)

[gorenburg]

проверял. там было чисто

[imps]

в win есть возможность изменить расположения файла hosts в реестре
погуглите на всякий случай и проверьте, а вдруг правда троян.

[zerkms]

клиент вообще не принимает никакого участия в процессе определения его IP сервером.

[imps]

да, вы правы

[zerkms]

правда, с некоторыми оговорками, но в данном случае они несущественны.

[AlexcYeCu]

Напишите письма с изложением проблемы ВО ВСЕ отделы Яndex`а.
Так оно с большей вероятностью попадётся на глаза их руководства.
После получения отделом техподдержки сеанса жёсткого анального секса от руководства, утраченные средства к вам волшебным образом вернутся.
У меня так заиграли порядка 10 тыр при выводе средств толи на две недели, толи на месяц. Техподдержка сперва кормила байками, потом стала игнорировать письма. Нашёл e-mail отделов рекламы и маркетинга, отписал туда. В течение пары-тройки часов средства были на счёте СБ РФ.

[GraffIT]

Очень хорошая идея.

Извиняюсь, немного офф-топ: сегодня хотел купить билеты на поезд через сайт РЖД. Естественно, там требуется зарегистрироваться, введя информацию о себе. Самое интересное в том, что ПОСЛЕ отправки формы выдается сообщение о том, дескать регистрационные данные введены добровольно и они относятся к ОБЩЕДОСТУПНЫМ персональным данным, НЕ нуждающимися в защите. Вот такой финт ушами. То есть сначала ты регистрируешься, а потом уже тебе рассказывают условия… при том малоприятные… после регистрации залогиниться я не смог, форма ругалась на пароль. попытался воспользоваться напоминалкой пароля пару раз… ни одного письма не получил, наверное везут поездом совместно с почтой России...«И они еще борются за почетное звание дома высокой культуры и быта...»

к чему это я? А все к тому, что неважно в какой саппорт вы обратитесь: РЖД, Яндекс или Ростелеком… на единичного негодующего клиента им наплевать.в лучшем случае вас вежливо сольют. Не знаю, российская это специфика или не только, но вопрос может решаться позитивно только тогда, когда есть общественный резонанс.

Развивая идею писем во все отделы Яндекса, я бы еще добавил фактор хабраэффекта =) Тут уже многие писали, что отвязывают карты от ЯД. Яндекс определенно видит эту динамику… да что там видит, Яндекс есть и на Хабре… значит наверное не только видит, но и читает =))) А потому стоило бы всем объединяться против такого поведения разных крупных компаний и заваливать их пиар-отделы, и руководство шквалом писем. Возможно, тогда эти монстры будут более клиентоориентированы.

P.S. Дело не в том, кто виноват в уводе денег, дело в том, что ЯД даже не пытается разобраться с этим.

[GraffIT]

Про письма еще вспомнились ролики My Ducks Vision про Эппл, Макдональдс и другие…

Теперь., когда ты знаешь правду, ты просто обязан помочь своей стране. Отправь этот топик на все адреса Яндекса и в администрацию президента России, в теме письма укажи «Руки прочь от электронных кошельков граждан России „
Реализуй свое право на безопасность платежей =) Примерно как-то так… =)
Надеюсь, что-нибудь подобное они и про Яндекс сделают =)

[billyevans]

Возможно злоумышленник, уведший деньги каким то образом проапдейтил поле в таблице истории заходов на 127.0.0.1.

[AlexcYeCu]

Что, согласитесь, явно проблемы Яndex`а, а не их пользователя-клиента.

[billyevans]

Согласен. Пользователь точно не виновен.

[detsl]

ну это тогда вообще беспредел…
если злоумышленник может подменить IP адрес на любой, то толку от хранения списка этих адресов нет…

[Boomburum]

Думаю, злоумышленник, способный подменить айпишник в таблице истории (по сути, это данные из бд) не стал бы переводить эти деньги, тем более тремя платежами )

[UncleSam]

Если только не хотел замаскировать и перевести стрелочку на самого пользователя, конечно.

[Miller]

Стоит начать с заявления в милицию. Без этого толку от метаний никакого.

[WWWorm]

Самый действенный способ — написать заявление в милицию. Проверено, расследование проводили даже из-за мошейничества в 150 рублей (смс развод, меня вызывал следователь как владельца смс биллинга для дачи показаний).

[Coxus]

Года два назад по недоразумению (кошельком пользовались два человека сразу), были сняты деньги с кошелька и переведены на другой яндекс-кошелек. Причем один из пользователей не успел сообщить об этом второму, а второй поднял кипиш. Яндекс отреагировал достаточно быстро и начал задавать уточняющие вопросы. Причем поддержка яндекса сообщила сразу, что возможность вернуть деньги есть, при условии, что они еще не сняты с кошелька, на который переводились. Кроме того, если будет выяснено, что деньги снимал злоумышленник, обещались подключить специальный отдел внутренней безопасности яндекс.денег и ментов. Проблема решилась быстро, когда выяснили что снимал свой же человек :) Но факт на лицо — поддержка ЯД включилась в проблему быстро и участливо.

Нужно лишь правильно задавать вопросы поддержке.

Если вы обратились в поддержку с вопросом «А что это тут за айпи?» и не сообщили о факте пропажи денег, то откуда им знать что вы их лишились? Техотдел — тоже люди, делайте на это скидку и излагайте свои мысли максимально доходчиво, прежде чем воевать с мельницами.

PS — имею отношение к яндексу только как пользователь их сервисов.

[gorenburg]

первоначально обратился к яндексу с тем, что сняли деньги со счета несанкционированно. ну, вот они и начали говорить что сами виноваты… потом уже начал говорить про IP-адрес и получил веселый от них ответ :)

[Coxus]

Вам нужно в первую очередь связываться с Webmoney, чтобы они проверяли на какой кошелек отправлено и пытались вернуть, пока такая возможность была.
А уж потом решать вопросы с яндексом. Почему и из-за чего ушли деньги с вашего кошелька.

Уверен, что если бы это был хакер, он бы вскрыл не только ваш кошелек. И тогда бы яндекс уже задергался. Если это единичный случай, скорее всего вы где-то профукали пароль. Банальная логика подсказывает такое стечение обстоятельств.

[gorenburg]

В арбитраж WebMoney письмо было отправлено еще вчера. Пока никакого ответа нет.

По поводу пароля: пароль от платежной системы не менялся (спокойно вошел по старому), а пароль от аккаунта был изменен. Аккаунт вообще был удален. Написал в суппорт — блокировку удаления аккаунта сняли. Пароль от аккаунта восстановил по номеру телефона

[13hero]

Всё просто, в яндексе идёт воровство.

[rvsob]

И что?

[gorenburg]

это я заходил с работы. как раз в этот момент и увидел пропажу.

[ptalus]

Хм.

Your IP address is 78.138.0.1
City: Ibadan
Country: Nigeria
Continent: Africa
www.ipligence.com/geolocation

[rvsob]

Диапазон сетки посмотрите.

[gorenburg]

ip-адрес находится в этом диапазоне: 78.138.128.0 — 78.138.191.255

[akira]

Если я правильно помню, что сказа Бобук, то:
Яндекс.Деньги имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.

[robots]

если уязвимость была бы, например, в поисковом движке то Бобук сказал бы такое:
Яндекс.Поиск имеет отношение к Яндекс весьма и весьма посредственное.
Там, что-то на уровне пользования брендом Яндекса.

[harm]

Ну у ЯД и офис отдельный, они как бы сами по себе на самом деле :)

[harm]

Кстати, что касается Бобука, то он давно уже показал, что умеет только языком мести и порносайты рекламировать.

[LeeMiller]

я никогда не дюбил ЯД и с рождения пользовался ВМ. По доступности тоже самое и проблем таких не встречал. Да деньги воровали с акаунтов, но по неосторожности самого польщователя но не более тотго. а подобные истории только убеждают меня в правильности решения. Сочувствую вашей потере такой неожиданной. и конечно же надеюсь что вы отвоюете свое.

[LitrKonyaka]

Вм вообще-то везде кроме как «в наших интернетах» считают мошенниками. Paypal считается честней и безопасней в разы. Однако с техподдержкой могут быть проблемы без английского.

[ColorPrint]

с пайпэлом и с английским у многих проблемы ) www.paypalsucks.com

[LitrKonyaka]

Ну, такая участь вполне обычна для больших и успешных контор ) Другое дело когда при оф курсе 8:1 ВМ меняет баксы по 10:1 плюс две комиссии за ввод и перевод )

[greedykid]

Откройте для себя Exchanger :)

[DeeoniS]

А почему ВМ мошенниками считают то?

[LitrKonyaka]

Да интересовался как-то, когда заметил что не вижу западных сайтов принимающих ВМ — нашел много чего почитать. Выходит что Paypal вытеснил ВМ отовсюду кроме СНГ. Лично у меня кошелька 3 увели ) Учитывая бессвязность курсов, простоту выдачи сертификатов, которые заплатив пару баксов можно-таки тоже выдавать… короче погуглите на этот вопрос, я точных ссылок не дам. Лично я стараюсь иметь поменьше дел с ВМ.

[j3d1]

хм, вы думаете с ПП противоположная ситуация? воруют кошельки покупают на ебай, причем палка одно время очухивалась только через недельку после такого хода, а посылка уже успевала дойти до адресата.

даже магаз автоматический одно время был, можно было купить привязанные пп акки от 5 до 20$ за штуку.

так что не всё так радужно как кажется

[LitrKonyaka]

Это интернет. Всякое бывает. Мне вот за возврат угнанного кошелька ВМ вообще предлагали денег заплатить.
В любом случае статистика говорит о том что западней от нас электронными платежами занимается практически исключительно ПП. Я не фанат ПП, но нахожу его более удобным и «экономически обоснованным» решением. Единственное что лично мне мешает работать с ним удобно — Приват банк.

[tipok]

Ещё, одна из важных фишек пепла — то, что в течении 45 дней после перевода, есть возможность оспорить этот-самый перевод, и вернуть себе деньги. С яндексом или вебманей такое возможно?

[Alibobaevich]

та и с английским тоже могут быть… с самим пейпалом пока проблем не имел, но вот их техподдержка это что-то странное: на простой вопрос я ждал ответа три дня и получил темплату, которая впринципе была мне бесполезна… А мой case разбирался неделю и в итоге я получил ответ робота о том что все «ок, ваши деньги вернут вам в течении 5 дней». Причем тикет закрыли принудительно…

[HEDO]

Пишете заявление в милицию. В свое отделение, ни в какой ни в отдел К.
В заявлении указываете, что деньги сперли неизвестные Вам сотрудники компании ООО Яндекс, что подтверждается адресом, откуда заходили на сервер (так и пишите, что по Вашим данным IP 127.0.0.1. принадлежит компании Яндекс), Ваш пароль также имеется только у Вас и в компании Яндекс, больше никому Вы его не сообщали. Пишете также, что сумма для Вас значительна.

Тогда начнут крутиться колеса.

PS Деньги свои скорее всего вы все равно назад не получите.

[ColorPrint]

да ну, в крайнем случае через суд в итоге вполне возможно получить.

[HEDO]

с кого?

[ColorPrint]

c Яндекса

[HEDO]

А он тут причем?

[gorenburg]

если суд признает что это вида яндекса (что ооооооочень мало вероятно), то Яндексу придется выплатить по решению суда, но опять же скажу что это ооооооочень маловероятно.

[zalexey]

На скринах показано, что ушли в магазин. Пусть выясняют в какой магазин и что куплено было. Если товар, тогда выяснять по какому адресу все это доставляется.

[side2k]

Держу деньги на карточке Visa. Там если украдут — вероятности вернуть гораздо больше.
На ЯД перевод в течении 10-15 минут, так что смысла там деньги держать не вижу.
Если Яндекс ничего не ответит, рекомендую обратиться к помощи юристов.

[ColorPrint]

смотря как украдут. если операция с пином то маловероятно вернуть

[side2k]

Ну, я не утверждаю, что с карточки их невозможно украсть.
Я просто говорю, что банк несет за ваши деньги гораздо больше ответственности, чем всякие непонятные ЯД и WM.

[daodizzy]

Я проверил дважды — у меня тоже такой. Мы из одной сетки видимо))) но не конфликтуем.

[deniamnet]

надо же, и у меня такой же
мистика какая-то
интересно, на кого из нас Отдел «К» выйдет первым?

p.s. своих не закладывать! это не по понятиям! ))

[r3verser]

по поводу IP, возможность его подделать под localhost есть только если яндекс проверку делает по X-Forwarded-For, что очень маловероятно имхо… или через веб интерфейс. или этот скриншот — фейк. Больше вариантов не вижу.

[ScorpLeX]

Специально залогинился что бы это написать, но Вы опередили.

[gorenburg]

на аккаунт всегда заходил только через веб-интерфейс. логин и пароль от аккаунта дать посмотреть?

[Guria]

ну если деньги на счету ещё остались :-)

[gorenburg]

к сожалению. на скриншотах можете посмотреть что на счету 0.00 ру

[zerkms]

с какой стати сервисам яндекса определять IP по заголовку, наличие которого даже не является обязательным в запросе? не говоря уже о том, что заполняется он клиентом.

[r3verser]

что и зачем делает яндекс я понятия не имею, это один из возможных вариантов подделки IP в данной ситуации…

[zerkms]

ну уж совсем идиотов давайте не будем делать из девелоперов ЯДа?

[r3verser]

еще в первом посте я же написал что это очень маловероятно, но исключать такой вариант не проверив тоже нельзя, всякое случается, каждый имеет право на ошибку… я смотрю на эту ситуацию как сторонний аналитик и привожу все мне известные варианты относящиеся к данной ситуации. Идея насчет сотрудника яндекса слившего деньги со счета еще мало вероятней чем x-forwarded-for, но и она имеет место быть.

[sperans]

по X-Forwarded-For отображаются данные в пользовательской истории заходов. Данные об адресах, с которых совершаются платежи, хранятся внутри системы. Милиции по запросу выдаются полные данные (внутренние).

[ProRunner]

Согласитесь, что в случае прокси логично было бы показывать оба адреса — не только милиции, но и самому клиенту.

[side2k]

Кстати, если есть возможность, то найдите магазины, в которые был сделан платеж, отпишитесь туда.
Возможно, еще успеете приостановить отправку товара(если там реальный товар) «до выяснения».

[ColorPrint]

ну где ж он их найдет, если Робокс не выдает сведения и отказывается сотрудничать…

[kovleon]

Фактически он плательщиком является, может заявить в магазин о ошибочном платеже. В худшем случае свяжись с магазином и поменяй адрес доставки)

[side2k]

Кстати да, интересно, на основании чего Робокасса отказала в выдаче сведений, запрашивает-то ведь «владелец» платежа.

[side2k]

Мало того, что из этого выйдет нехилый антипиар, так еще ведь можно пригрозить уголовным преследованием.

[gorenburg]

они заявили что это конфиденциальная информация и не могут дать никаких сведений. они лишь подтвердили, что такие переводы были и они успешно завершены

[side2k]

Может, им нужно какое-то подтверждение, что именно вы владелец аккаунта ЯД?

[gorenburg]

если поступят какие-то заявления с Яндекс.Денег или WebMoney — они предоставят им (платежным системам) все сведения которым им необходимы

[side2k]

Ну тогда остается лишь пожелать вам удачи в вашей борьбе за правду и ваши деньги 8)

[kovleon]

А разве нельзя выставить притензии или хотя бы негативный отзыв о получателе Яндекс.Денег, как я понял в данном случае это «Робокасса»? Пусть зашевелятся и скажут куда дальше ушли деньги)

[gorenburg]

не думаю, что это хорошая идея. они здесь, я думаю, не имеют вообще никаких нареканий. они просто выполнили работу

[kovleon]

Но с Вашей учетной записи сделан перевод! Почему они отказываются предоставить информацию о Вашем платеже, кому он предназначен?
А может не Яндекс повинен в краже, а Робокасса?

[gorenburg]

а они тут причем? они просто выполнили перевод, который выполнил неизвестный человек

[kovleon]

Да при том.
Они, как я понял, выступают посредником между плательщиком и магазином. Вы, де юро, являетесь плательщиком, так как это Ваш кошелек. Вы же должны контролировать в какой магазин направились Ваши деньги, когда они туда поступят, вся ли сумма и т.д…

[zalexey]

Из яндекс.справки:

В Истории операций появился раздел «Заходы». Что это такое и зачем он нужен?

История заходов — это информация о том, когда и с каких IP-адресов вы заходили на сайт Яндекс.Денег под своим логином и паролем. Если что-то в этом списке кажется вам подозрительным (например, системой зафиксирован заход в тот день, когда вы не посещали наш сайт, или один из IP-адресов явно принадлежит не вам), примите меры предосторожности или обратитесь в нашу службу поддержки. Обратите внимание: информация в разделе «История заходов» может быть неполной. Если вы не видите в списке ничего необычного, но обнаружили какие-то другие признаки несанкционированного доступа к своему счету, — обязательно свяжитесь со службой поддержки.

[kovleon]

Это точно не «антипиар»?
Как так получается, человек сделал платеж, а ему отказываются сообщить подробности о получателе?

[gorenburg]

это конфиденциальная информация — кому были преданны деньги

[SKYnv]

Ну так это же ваша инфа ) так как вы владелец счета ) они просто отмазываются )

[esc]

А кто сказал что он владелец счета? Он может быть кем угодно, просто представиться владельцем счета. Не будет же он отсылать им пароли, ключи итд.
Яндекс или ВМ проверят что он точно владелец, тогда можно будет выдать инфу.

[gorenburg]

> А кто сказал что он владелец счета? Он может быть кем угодно, просто представиться владельцем счета.

именно так мне и ответили

[7vies]

Ну так напишите им, чтобы они предоставили способ удостовериться, что вы — владелец счёта, и затем пусть уже разбираются. Про то, что у вас уже почти готово заявление в милицию тоже можно намекнуть :)

[kovleon]

Я вижу три варианта:
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает

[gorenburg]

1) зачем мне антипиар если я и дальше собираюсь пользоваться Яндекс.Деньгами, т.к. это удобно?
2) я ими никогда не пользовался, пользовался другими обменниками
3) пойду писать заявление

[kovleon]

Ой!
А удалить уже не получится… (
Примите мои извинения.

[kovleon]

Я вижу три варианта:
1 либо автор не совсем откровенен(вплоть до антипиара.)
2 замешана Робокасса, и они скрывают куда ушли деньги(автор раньше пользовался услугами данного сервиса)
3 автор сложил руки и ничего не делает(чем больше людей будет заинтересованно исправить данную ситуацию, касается яндекса, робокассы и магазинов, — быстрее все решиться)

[shahbazyan]

То, что ТС — владелец счета, кроме него, более никому не очевидно.

[Elkaz]

Я не знаю, что используется у Яндекса, но если там стоит nginx — всё понятно. Дело в том что в nginx имеется особенность настройки. К сожалению, подробностей я не знаю, так как не являюсь гуру в этой области. Однако на одном форуме, где я являюсь модератором периодически в заходах у пользователей был IP 127.0.0.1. Так что думаю, дело в Яндексе (в неправильной настройке сервера), но вряд ли перевод совершал их сотрудник.

Если вы обратили внимание, в лог файле сервера Apache, IP адрес, запросов приходящие через Nginx, прописываются как локальные, 127.0.0.1, то есть Apache видит адрес проксирующего сервера а не реальные адреса клиентов. Для того что-бы это исправить, необходимо установить специальный модуль

[gorenburg]

я пока НИКОГО НЕ ОБВИНЯЮ. Об этом я написал еще в самом посте…

[zerkms]

ну и бред же вы говорите :-)
конечно же, у яндекса стоит апач за нгинкс и конечно же волшебным образом 127.0.0.1 появился только у 1 обращения.

[Hest]

это если не передается X-Real-IP в заголовках, тогда да, 127.0.0.1. думаете что переодически включают nginx с разными конфигурациями?

[KeepYourMind]

Server можно подменить на любую байду.

[KeepYourMind]

Где можно прочитать про него поподробнее?

[anycolor]

Сервер можно настроить так, что будет отдавать что угодно в этой записи.

[andybor]

Только что проверил «Историю заходов» своих Яндекс.Денег и тоже обнаружил 127.0.0.1 в списках IP, по дате и сумме смог точно определить что этот платеж делал я. В тот день я зашел на Яндекс.Деньги через свой телефон используя МТСный GPRS.

[zerkms]

просмотрел историю входов за последние 3 года (ёмаё, почему нельзя сделать опциональным число записей на странице) весьма интенсивного использования — все IPы мои, 127.0.0.1 нет

[andybor]

Да у меня тоже все четко — или домашний или рабочий IP, а вот когда заходил с телефона через GPRS, IP отобразился как 127.0.0.1, благо это было всего один раз

[zerkms]

занятненько, потому как у меня за это время были в дополнение к домашнему дслю и двум рабочим оптикам ещё и спутник и жпрс (отдельно, естественно).
как-то не очень репрезентативно сервис глючит…

[allx]

пролистал у себя за 2 года
127.0.0.1 нет

[andybor]

А вы через МТСовскй GPRS на свой кошелек заходили?

[zerkms]

я заходил через GPRS от МТС, билайн, мегафон в течение этих 3х лет :-)

[platinum07]

тоже есть 127.0.0.1, в сентябре этого года. честно, не помню с чего и с какими целями заходил, возможно через интернет МегаФона.

но дальше ещё интереснее, в феврале всплыл внутренний IP 10.215.*.*, не знаю откуда.

[nooze]

Нашел и у себя



Подозреваю что это был заход через megafon+gprs через браузер opera mini. В это случае, там должен был стоять адрес сервером opera, возможно яндекс игнорирует эти подсети адресов специально.

Злоумышленникам очень удобно… это какой гемор искать в опере хвосты, чтобы потом узнать с какого реально адреса был запрос (а потом возможно еще и у мобильного оператора искать кто же это был на самом деле)

[zerkms]

может человек просто убирал незначащую информацию, на которой не хотел чтобы люди заостряли внимание? :-)

[XmasterX]

у меня так наоборот срабатывает — хочется разглядеть что там за цифры )

[xSeth]

Замыливать надо так чтобы не проступали контуры цыфр, а то из-за плохого замыливания тянет угадать цыфры в ИП

[zerkms]

не думай о большой белой обезьяне :-)

[nooze]

Да, для этого ))
Эти ip не интересные все равно — там или рабочие (где сетка большая а ip на всех один) или динамические корбиновские )

[akalend]

а все равно видны адреса

[nooze]

Да да, я уже собрал вещи, купил билет на самолет и запросил политическое убежище, не беспокойтесь.

[egorinsk]

Ого, похоже Яндес при обнаружении прокси пишет 127.0.0.1 (вместо того.чтобы честно написать что это прокси), не вижу логики.

[Exey]

Как-то даже платил через Opera Mini, инет был beeline+gprs. Как видите за три года с определением ip ничего не изменилось:

[sergey_novikov]

У меня то же самое — 127.0.0.1 с GPRS МТС.

[side2k]

В Яндекс.Деньги — ни ногой!

[LeeMiller]

отож учитывая что яндекс стал открыт для гос запросов да еще и с налогами черти че надумали. уж лучше на визе пэйпеле и на худой конец сидеть на ВМ если других вариантов нет. Покрайней мере все не мои сливы бабла они по чесному возвращали после разбирательств. фиг с ним с двух трех месячным ожиданием но зато есть шансы отстоять свои права. кто бы что не говорил а вот с точки зрения безопасности со своей стороны ВМ свое дело делает

[shl]

А варианты?

[side2k]

Например, банковские карты.
Сам пользуюсь, и всем доволен. Да, не все сайты поддерживают платежи картами, но их количество все меньше и меньше, плюс ЯД вполне можно использовать и просто для транзита.

[imwode]

А я ногой, только вот деньги там появляются прямо перед необходимой операцией в количестве достаточном для ее проведения. Остальное — нафик нафик. Хватит мне и за кредитную карту страха…

[side2k]

Ну вот и автор ногой.
Деньги-то он, может, и вернет, а вот будет ли и дальше держать суммы больше 100 рублей в ЯД — это у него стоит поинтересоваться.

[gorenburg]

нет, не буду. после получения буду сразу выводить…

[sperans]

ну то есть Вы планируете продолжать пользоваться системой так, как она и задумана — класть деньги и сразу тратить.
Вообще-то для хранения денег система никогда не была предназначена.

А одноразовыми паролями начать пользоваться не хотите?

[gorenburg]

я уже создал новый аккаунт и на нем сразу перешел на усиленную авторизацию. спасибо

[sperans]

:)
здорово. правда.

[sayn]

киньте саппорту яндекса ссылку на этот пост… пусть ума набираются…

[gorenburg]

ссылка ушла саппорту

[buddax2]

Наверное Бобуку не хватало на новый iMac и одолжил :)
А вобще нужно быть осторожным, чтоб еще вас не обвинили во взломе сервера ЯД

[gorenburg]

я ничего не ломал и не собираюсь. деньги нужно зарабатывать честным путем

[buddax2]

ну я ведь не намикаю на то, что вы взломали, просто в Яндексе могут на это спрыгнуть.

[VasilioRuzanni]

Да уж, тут всяко может быть. Конечно, не обязательно имеет место быть вороватый сотрудник Яндекса.

Но самое неприятное здесь — это техподдержка Яндекса, которая должна помогать и «вселять надежду на спасение», но вместо этого тупо считает вас круглым идиотом (судя по письму). Вот это самое отвратительное.

Пробуйте разные предложенные здесь методы, начиная, естественно, с попытки достучаться до людей, которые стоят над техподдержкой. Очень интересно будет узнать, чем история закончится (надеюсь, успешно возвращенными средствами).

[gorenburg]

спасибо большое. я не обвиняю яндекс в том, что какой-то из сотрудников украл эти деньги. нет.

а поводу тех.поддержки — да, очень хорошо они «вселяют надежду на спасение» :)

методы — дождаться реакции от яндекса и сходить к юристам (как уже посоветовали) и заверить все скриншоты. дальше, если реакции от яндекса нет — заявление в милицию и разбирательства…

[shakalaka]

как бы теперь это не оказалось топиком зла)

[Pavel7]

А у меня такой есть в логах:

18.02.2008 19:20 192.168.1.183

это клиентский адрес машины в впн-туннеле. Затрудняюсь понять как его узнал ЯД.

[Pavel7]

Понял, как его узнал ЯД.

Одно время, пока я принудительно не запретил, squid у меня отдавал HTTP_X_FORWARDED_FOR во всех запросах. И тогда HTTP_X_FORWARDED_FOR как раз и был 192.168.1.183.

Так что система определения адресов у ЯД, по всей видимости, вначале смотрит этот заголовок (HTTP_X_FORWARDED_FOR) и если он пустой берет REMOTE_ADDR.

[anycolor]

Да уж… приплыли.

[yolk]

Ну может для показа и HTTP_X_FORWARDED_FOR, но наверняка в логах на яндексе есть реальный IP, правда это может оказаться прокси…

[GmasteR]

У меня тоже такое было :)
Установил squid на локальной машине, и ходил в интернет через squid.
Так половина сервисов, который показывают IP, показывали 127.0.0.1 как главный (cmyip.com яркий пример)

[sperans]

Поправка: не система определения адресов, а система отображения айпи в истории заходов. Внутри есть информация о том, с какого айпи совершались платежи, но вот она не показывается пользователю. Разумеется, милиции отдадут полную информацию — ждём официального запроса.

[littlerich]

Я знаю что делается в таких случаях, не спрашивайте откуда.

1. Деньги Яндекс вам вернуть может, но результат будет зависеть не от Яндекса, их истратили (переводом на обменник) и они уже не в Яндексе.
2. Идете в милицию по месту жительства и подаете заявление на имя начальника отделения, берете талон КУСП и рекомендуете принимающему заявление обратиться в бюро специальных технических мероприятий (да, они могут этого не знать).
3. Ждете ответа от Яндекса: либо будет ответ с инструкцией как вернуть деньги, либо с более развернутой инструкцией про поход в милицию.
4. Еще раз, Яндекс делает все что возможно, чтобы вернуть деньги и делает это по таким запросам с самым высоким приоритетом, когла леньги ушли с вашего кошелька, все зависит уже не от Яндекса.
5. Если Яндекс отправит вас в милицию, то это единственный вариант что-то вернуть, можете не переспрашивать.
6. Перейдите на усиленную авторизацию наконец или заведите Интернет.Кошелек.

Если есть вопросы — в личку. Инсайда не ждите.

[zerkms]

вопрос касаемый п.1
т.е. если кража денег — проблема обеспечения безопасности ЯД, то они не при чём? т.е. они не несут рисков по хранению чужих денег?
бред чистой воды.

[littlerich]

Проблема безопасности была бы, если взломали БД Яндекса, если у юзера уперли пароли с логинами, какая тут проблема Яндекса?
Это равносильно предъявлять BMW, что они не защищают машину от кражи, если у вас стащили ключи.

[zerkms]

а с чего вы взяли, что информация была сворована у пользователя (были стащены ключи)?

[littlerich]

Если деньги были переведены не владельцем, значит его данные узнали — Яндекс не знает его данные (пароли, они в зашифрованном виде), вот тут уже поверьте. Тем более техподдержка.
Если есть сомнения, МИЛИЦИЯ и еще раз она.
Но можете не сомневаться — таким в компании заниматься не будет никто, УКРФ никто не отменял, а дебилов в Яндекс не берут, знаю.

[zerkms]

«Если деньги были переведены не владельцем, значит его данные узнали — Яндекс не знает его данные (пароли, они в зашифрованном виде), вот тут уже поверьте.»
с чего вы решили, что пароль, который на сервер пришёл в открытом виде, не был сворован именно на сервере?

[fl00r]

Если бы такая уязвимость существовала — то благодаря ей давно бы слилась уйма денег.

[zerkms]

судя по тому, что данный сервис определяет ip по недостоверному заголовку — я вообще теперь сомневаюсь в адекватности его девелоперов и не исключаю и этого варианта :-)

[littlerich]

Там SSL. Или я чего-то не понимаю?

[zerkms]

SSL ага, а как сверяется корректность пароля клиента и пароля в базе? :-) в какой момент происходит конвертация plain text -> hash?

[Mezomish]

>а дебилов в Яндекс не берут, знаю.

Тогда как Вы прокомментируете это?

[Mordraug]

Перед тем как писать заявление в милицию вам нужно написать претензию в сторону ЯД в которой четко сформулировать в чем у вас проблема. Претензию отсылать или в письменном виде заказным письмом с уведомлением или электронной почтой с подтверждением прочтения. После этого ЯД по-идее обязанны обратиться САМИ в милицию по факту хищения (если конечно такие случаи у них никак не отмазаны в пользовательском соглашении). Если реакции не последует – сразу можно обращаться с заявлением в милицию и писать исковое заявление по факту хищения.

[littlerich]

При чем тут Яндекс? Кто-то зашел под логином-паролем-платежным паролем (все что есть для идентификации юзера) и истратил деньги (основное назначение системы) — в чем виноват Яндекс?

[Mordraug]

при том что настоящий хозяин заявляет о пропаже денег. Если у меня с банковской карты сняли деньги — причем тут банк? так чтоли по вашей логике? Не суть.

Суть в том, что любые подвижки в сторону «расследования» могут быть или по инициативе сервиса, или по принуждению в результате получения претензии, которая обычно означает дальнейшее движение в сторону суда.

[kolpeex]

а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги

Тут уж явно б-вариант правдоподобнее.
Притвориться стодвадцатьсемьдваноляпервым нельзя, а значит проблемы у Яндекса при записи/после записи. Метафорой: нельзя родителям сказать, что ты — класный руководитель Марья Ивановна, зато в дневнике можно подписаться от ее имени.

[gorenburg]

не обвиняю никого из сотрудников. я лишь сделал предположения…

[Homakov]

в чем я уверен — это не воровство со стороны яндекса. Сотрудники получают немало, ну 10 к это маловато для взлома.
я думаю какой то глюк случайный, или крякеры мимо проходили

[gorenburg]

не обвиняю яндекс (и/или его сотрудников) в воровстве. делаю лишь предположения

[blackmouse]

Я не удивляюсь такому.
Пару дней назад у меня украли емейл на яндексе.
Я не могу восстановить пароль ни по мобильному телефону, ни через секретный вопрос — везде пишет неправильно.
Обратился в яндекс, мне сказали на странице: заполнить все данные. Я заполнил все очень-очень подробно, даже айпишники указал, год создания почты, отсканил им паспорт…
Кстати, в Яндекс паспорте данного емейла у меня были указаны все мои данные и ФИО и все остальное.
В ответ мне пришло от них письмо, что нужно ехать к ним в офис с паспортом и писать заявление. В общем все очень долго и геморно… а в это время злоумышленники уже получают доступ к почти десятку выделенным машинам, к хостигу всех моих сайтов, вэбмани, скайп, icq и так далее.
=(

[fl00r]

А мне за полдня восстановили. Отправил им просто скан паспорта и наполовину формы заполнил.

[blackmouse]

Везет тебе, я сделал тоже самое что и ты… только анкету заполнял очень тщательно и подробно.
эх… завтра поеду туда.

[fl00r]

возможно мне подсобила моя анкета в моем круге

[lol2Fast4U]

кстати, в Keeper Mini параноидальных методов нет. но там до 5000 руб на кошелек. чтобы не хранили много денег под низкой защитой — все умно.

[developer]

Если люди из Яндекса деньги не вернут или не опровергнут сказанное автором, то разошлю информацию своим клиентам — спасибо за предупреждение. в WM хоть и сидят быдлокодеры, но архитекторы там нормальные.

[fl00r]

Не хочу никого защищать, но ведь и впрямь ваш пароль могли просто украсть, а айпишник, как выше показали, не обязательно внутренний ЯД. То есть я к тому, что это обычный взлом и концов уже не найти.

[gorenburg]

я не говорю что 100% это ip ЯДа.

пароль увели — возможно, но я сам стараюсь обезопасить себя — использую антивирус, не лажу по незнакомым сайтам. пароль к аккаунту сменили, а платежный пароль — нет. зачем пароль менять после взлома + удалять аккаунт (была попытка удалить аккаунт, но спасибо Яндексу — он его заблокировал, но не удалил)?!

[fl00r]

Возможно виной небезопасное подключение по wifi, если вы пользовались интернетом в маке, например.

[gorenburg]

нет. на счет яндекс.денег всегда заходил только с домашнего компьютера (дома сетки нет. интернетом пользуюсь я один) и 1 раз с работы (в тот момент я как раз и увидел что нет денег)

[blackmouse]

Кто знает, есть ли в яндекс почте защита по айпишнику? т.е. если айпишник не мой, то на почту пускать не будет.

[dicus]

по IP нету.
только так help.yandex.ru/passport/?id=922044

[MaD5py]

занятная тема.
лично у меня уже история заходов не открывается.

[Goodkat]

Вероятно, глупый вопрос, но: 1. в Яндекс-деньгах нельзя отозвать свой платёж?
2. И вы продолжаете пользоваться этими фантиками?

При оплате кредиткой (хоть онлайн, хоть оффлайн) платёж отзывается на раз-два, да даже обычный банковский перевод отозвать можно, хотя и сложно. И уж во всяком случае будешь знать, кому ушли твои денежки.

[sperans]

Дублирую наш ответ пользователю.

Обратите, пожалуйста, внимание на указанную на нашем сайте информацию:
https://money.yandex.ru/doc.xml?id=522713#qu22
информация в разделе «История заходов» может быть неполной.

В данном случае заход с айпи злоумышленника в Вашей истории заходов отображён некорректно. При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес. Однако у нас хранится информация обо всех айпи-адресах, с которых совершаются платежи (разумеется, в случае с прокси это будет адрес прокси). По запросу из милиции мы предоставим эту информацию. Сам прокси-сервер также хранит информацию о том, с каких адресов были заходы на него, и получить эту информацию также сможет милиция.

В самом первом нашем письме мы рекомендовали Вам обратиться в милицию и дали достаточно подробную инструкцию, как это сделать. Пожалуйста, воспользуйтесь этой инструкцией. По запросу правоохранительных органов мы сообщим абсолютно всю информацию, которая есть в нашем распоряжении.

[sperans]

Вопрос, в чём смысл истории заходов в её нынешнем виде, явно риторический. Говорить надо о том, чтобы сделать её более информативной. Поговорим.

Злоумышленники обычно настолько не заморачиваются. А пользователи крайне редко пользуются историей заходов. Но раз уж она есть — то неплохо бы ей быть более адекватной, с этим я совершенно согласна.

[sperans]

за мысли спасибо, обязательно передам соответствующим менеджерам.

[Pavel7]

Высший шик — сделать кнопочку, которая для каждого логина разворачивала бы ALL_HTTP хедер. Чтобы и прокси видеть и реальный компьютер (если его возможно определить) и юзер-агент, например.

[VolCh]

Хотя бы при использовании прокси просто в виде 127.0.0.1 [xxx.xxx.xxx.xxx], или наоборот xxx.xxx.xxx.xxx [127.0.0.1]

[zerkms]

«Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес.»
зачем скрипту, который определяет IP, вообще куда-то «ходить»? что такое «скрипт был перенаправлен»?

скрипт просто прочитал X-Forwarded-For и никуда отправлен не был. он просто взял эту информацию и записал в хранилище.

[gorenburg]

процитировал ваши слова в посте. спасибо.

буду писать заявление в милицию

[ScorpLeX]

Хотелось бы увидеть на Яндекс деньгах более подробную статистику заходов, хотя бы 2 поля таблицы, реальный ip и forwarded ip.
Так же хотелось бы функцию по отправке смс (+ настройку доступа ip), если на аккаунт зашли с другого ip, пусть она будет платная, это не страшно.

Я всегда пользовался Яндексом и буду продолжать пользоваться, для меня это самый удобный сервис и хочется сделать его немного лучше.

[gorenburg]

нужно чтобы когда входишь в аккаунт приходила смс с временным одноразовым паролем, который необходимо ввести чтобы получить доступ ко всей информации в Яндекс.Деньгах — вот так будет надежно

[sperans]

Одноразовые пароли — это усиленная авторизация, она есть.
Вариант с смс тоже теоретически возможен, но в данный момент реализована другая версия одноразовых паролей. Вы предлагаете каждый раз присылать смс, мы предлагаем использовать карту с кодами.

[gorynich]

В Альфабанке именно такая активация и деньги со счетов уводили всё равно :)

[gorenburg]

да ладно? каким образом?

[gorynich]

Не техническая уязвимость софта Альфабанка, конечно, но тем не менее имеет право на существование.
www.rb.ru/news/society/2009/04/30/160002.html

[ScorpLeX]

По этому я добавил: + настройку доступа ip.
Где можно будет разрешить заход только со своей сети например, а изменить это, можно будет только с помощью sms кода.

[gorenburg]

эта схема мне нравится! :)

[gorenburg]

мне тоже нравится Яндекс.Деньги, но я не ожидал что могут так легко украсть все мои деньги… :(

буду разбираться…

[ScorpLeX]

Я уже с этим сталкивался, несколько лет назад, по глупости погуляв в интернете со старой версией браузера без noscript.
Суппорт Яндекса помог в течении нескольких часов, хотя злобный троянщик удалил все под чистую.
А с восстановлением пароля по sms и с усиленной авторизацией, я уже не волнуюсь.

[Mezomish]

>При заходе через анонимный прокси-сервер адрес, показываемый в истории заходов, берётся из заголовка Forwarded-for. Скрипт, определяющий айпи-адрес входящего, был перенаправлен на самого себя и поэтому определил свой адрес.

А проверки возвращаемого значения — не для джедаев, да?
No comments… =\

[zerkms]

зачем проверять, клиенты ведь не могут врать. вы что?!?!?

[zona7o]

просили передать: everybody lies[H]

[zerkms]

ru.wikipedia.org/wiki/%D0%98%D1%80%D0%BE%D0%BD%D0%B8%D1%8F
передайте тому, кто просил передать :-)

[zona7o]

передлают ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B0%D1%81%D0%B8%D0%B1%D0%BE

[dyakov]

Не понимаю в чем смысл выдачи информации в данном случае через милицию?
Почему не можете предоставить клиенту информацию об IP, с которого подразумевается ОН ЖЕ произвел транзакцию. Я понимаю что это мало что даст, но ответ имхо на «отвяжись»

[SergeyM]

Все элементарно, если ты напишешь письмо, позвонишь, то уверенности в том, что именно ты владелец почтового ящика или кошелька нет. Нужно или твое непосредственное присутствие или запрос из милиции, парень живет в Казани, поэтому остается только один вариант — милиция.

[sperans]

да, именно так.

[ser_gun]

неее, ребят, так не пойдёт.
либо вы в ментовку нашу не обращались никогда (это вряд ли), либо обращались и слишком хорошо знаете, что шансы на успех в данном деле равны нулю.

любой нормальный банк начал бы заниматься данным вопросом и без вмешательства милиции: им важна их репутация. а вам на репутацию похуй.

и получите вы то, что заслужили: спрос на ваш сервис будет расти в среде сетевых мошенников и падать в среде пользователей электронных денег.

лично я говорю вам до свидания.

[Boomburum]

Да уж, интересно девки пляшут… спасибо, интересно

[cvetic]

Стараюсь дольше пяти минут деньги на я-кошельке не держать, но на всякий случай проверила — кроме меня никто не заходил :)

[ser_gun]

точно. с таким подходом как у них — чур меня, чур.

[prxms]

Хотелось бы в итоге узнать! Чья ошибка пользователя или ЯД. И в чем она заключалась! Было бы уроком для всех, да и просто любопытно…

[gorenburg]

прочитай официальный ответ от яндекса. он есть в посте

[egorinsk]

Ололо, Яндекс очевидно считает главным IP адресом указанный в Forwarded-For :)))

А вообще, в статье есть и положительный момент — если кто-то, например, пишет трояны для воровства яндекс-кошельков, он может спать спокойно :)

[akalend]

я думаю эти кто-то уже давно все дырочки знают

вопрос к топикстартеру: ты ни какие подозрительные или новые программы последнее время не запускал?
ничего из софта не скачивал?

[akalend]

была на Хабре недавно статья про трояны.

[gorenburg]

вроде нет. все что нужно уже давно стоит и используется. даже если бы что-то скачал подозрительное, думаю, антивирус поднял бы тревогу…

[akalend]

даже и не знаю что и сказать
XSS маловероятно
пароли могли увести только с твоего компа

[egorinsk]

Может, пароль сбрутили? Точнее, там надо 2 пароля брутить, обычный и платежный. Странно же. Или украли авторизационную куку через XSS на яндексе? Или у вас в браузере шпионское расширение? Или троян на компьютере?

И кстати, самые новые вирусы обычно антивирами непалятся, по крайнйе мере первые дни.

[gorenburg]

все расширения для Firefox ставил сам.

Вчера провел проверку компьютера 2-мя антивирусами (тот который стоял уже год + Dr.Web Free) — ничего найдено не было.

Все остальное остается под вопросом. Если брутить платежный пароль, то, насколько я помню, при 3-х неудачных попытках происходит блокировка счета…

[blackmouse]

на самом деле зловредный софт можно вложить даже в картинку. Например, бэкдоры как poison ivy, spy-net и т.д.
Ну а приватные криптеры закриптуют так, что ни 1 антивирус не увидит.

[fantaseour]

Раз пароль на эккаунт сменили, то могли и поддельный скан паспорта в яндес послать, взять и заменить фото и номер…

[Elisey]

Скан паспорта ничем не поможет. Для восстановления платежного пароля, нужно заявление с заверенной подписью.

[SergeyM]

Проверь комп лучше, а лучше Format C:, D:… ни какой антивирус не находит все черви и вирусы

[ProRunner]

Деньги ушли 3-мя платежами в WebMoney через Робокассу. Звонок в Робокассу ничего не дал — они сказали что деньги переведены на счет (какой именно не выдают) и ничем помочь не могут. Сказали обратиться в тех.поддержку Яндекс.Деньги и Webmoney. По их запросам они предоставят все сведения если потребуется.

Я правильно понимаю, что «переведены на счет» означает, деньги через Робокассу были переведены на кошелёк Webmoney (что в истории Яндекс.Денег отображается как магазин/платеж в магазин?

То есть счет, который отказывается сообщить Робокасса — это номер кошелька/кошельков Webmoney куда в конечном итоге попали деньги?

[akalend]

по звонку они ничего не скажут
нужног официальное расследование
они будут обязаны выдать все данные, которые у них существуют.

[gorenburg]

сделан перевод через roboxchange в систему WebMoney. «платеж в магазин» это название перевода. туда можно написать все что угодно

да они ушли на кошелек в системе WebMoney и они отказываются назвать номер WMID куда ушли мои деньги

n.b. только не робокасса, а roboxchange (сейчас только увидел разницу… одни роботы, блин)… приношу свои извинения робокассе…

[serkys]

Очень жаль, что не называют. На WMID можно создать претензию в арбитраж, и деньги на кошельке зависнут до выяснения обстоятельств, снять их будет нельзя.

[gorenburg]

мне кажется, они были сняты/отправлены на другие счета уже через 10 минут после поступления на счет…

[ProRunner]

Понятно. Меня смутило слово «счёт».

[crx]

Я вот, например, не отдал клиенту $300 через PayPal — задержал на день работу, клиент обиделся и отвалился потребовав эту предоплату в зад. Я сказал, что не отдам.
Написали из PayPal, типа давай деньги назад — проигнорировал.
Через день уже написал клиент, PayPal ему компенсировал всю сумму из своего кармана.
Больше я от них ничего не слышал.

Почему Яндекс так не умеет, че сложно чтоли? Где сервис? Где забота о клиенте?

[chepa]

Их система… могут «напечатать денег»

[kovleon]

А нет… Не смогут! Точнее смогут, но потом пожалеют…

[lomalkin]

В стране вот могут, печатают даже. А потом инфляция случается…

[kovleon]

Вы правы, тут работают те же законы.

[iSlava]

ну что господа, ждемс статью в журнале ][?))))

[ferim_foli]

Вот тут многие начали искать изъяны в Яндекс.деньгах и прочих платежных системах с правовой точки зрения. Их там может не быть. Но вот самое веселье может начаться в милиции. Я уж не знаю как в крупных городах, но у нас в провинции это чудная организация. Очень.

Сам был жертвой интернет-мошенников, в далеком 2005 году, сумма была копеечная, но принципиальная — 500 руб. Пользовался Я.Д. Когда понял, что стал жертвой мошенников, позвонил в саппорт Я.Д. Вежливый и учтивый молодой человек, приятным голосом, посоветовал обратиться в милицию, по месту жительства моего. Пошел к матерым операм. Рассказала про Я.Д. Они у меня спрашивают: «Ну ты его знаешь? Где он живет?» Я очень удивленно интересуюсь: «А кого я знаю?» Они: «Ну его, как ты там назвал… Яндекс. В каком районе живет»

Вот вам и милиция. Конечно, можно сделать скидку, что был 2005 год, но… Не стоит. А затем мне русским и обычным языком объяснили, как будет проходить процесс возврата моих 500 руб. Заявление примут, начнут работать, счет заморозят, буду выяснять, искать. А это может затянуться, затем будет суд (если найдут кого судить), и тогда может я и получу свои деньги. Конечно я заявлений писать не стал, просто плюнул и забыл, но стал бдительнее. А этот урок жизни мне обошелся в 500 руб.

[TravisBickle]

А может программисты Яндекс.Денег настолько суровы что если видят заголовок X-Forwarded-For: 127.0.0.1, считают что они поймали злого хакера сидящего через прокси и его реальный IP-адрес — 127.0.0.1?

[Gasoid]

я проверил, поставил прокси на локалхост, браузер настроил, зашел на ip.xss.ru удостоверился что показывает forwarder 127.0.0.1, зашел на яндекс-деньги. В яндексе показывет мой реальный ip, а не localhost. Вот так вот.

[lomalkin]

Вообще ценный эксперимент, спасибо. Но яндексеры могли это уже исправить из-за инцидента.

[erley]

Всё зависит от настройки прокси — отдаёт он заголовок X-Forwarder-For наружу или нет. Если в яндексе показывается реальный внешний айпи, то значит не выдаёт. ( конечно, если тэкинг смотрит этот заголовок )

FYI в squid за это отвечает «header_access X-Forwarded-For deny all»

[ProRunner]

А не попробуете подставить в поле левый адрес или мусор? Интересно, что получится. Если в яндексе только ещё не поправили что-нибудь.

[lomalkin]

теоретически могли недосмотреть/забыть…

[S2nek]

В общем-то почитал, поплакал…

Это убило меня мгновенно. Сначала истерика от потери денег, затем истерика о том, как такое могло произойти. Вариантов было 3:
а) кому-то из сотрудников Яндекса срочно потребовались Web-money
б) Яндекс неплохо развели тем, что обошли проверку на IP-адрес…
в) НЛО забрало мои деньги

Зачем сразу же поливать Яндекс и его сотрудников грязью.
Выше уже объяснили как технически такое могло произойти.
Вот у вас слили деньги и вы возмущаетесь по поводу того, что в истории заходов отобразился IP адрес локального хоста.
Посмотрим с другой стороны. Если бы там отобразился некий IP адрес, то каковы бы были ваши действия? Начали бы сами искать вора? И в том и в другом случае необходимо писать заявление в милицию. А там она сайма должна взять у яндекса необходимые логи.

[gorenburg]

в этом случае при написании заявления можно указать тот ip, который там был прописан — в этом случае вопрос решался бы быстрее…

а сотрудников яндекса я нигде грязью не поливал. в посте высказал лишь предположения, которые были у меня на тот момент.

[S2nek]

1. кто сказал, где написано что быстрее? Хоть вы и подаёте заявление, но всё равно вашим показаниям нельзя доверять на 100% и в любом случае необходимо их проверять.

2. У меня сложилось такое впечатление.

[gorenburg]

если неизвестен ip, то они будут подавать запрос в яндекс, затем яндекс будет смотреть в базе, отсылать всю информацию им. а когда есть ip — они непосредственно будут искать того, откуда совершался перевод и, возможно, выйдут на злоумышленника. во втором отпадает одно из звеньев и процесс будет двигаться быстрее

это мое мнение

[S2nek]

Выше уже ответили что у яндекса есть подробная информация, но она недоступна пользователям.

[ProRunner]

S2nek, поставь себя на место автора топика. Тебе бы разве не захотелось иметь всю подробную информацию?

По крайней мере, топик показал несовершенство текущей «истории заходов», что уже хорошо.

[sperans]

к сожалению, нет. Они всё равно будут подавать запрос и получать информацию о том, с этого ли айпи совершён данный платёж.

[CLR]

> Почему до сих пор не ввели 2-ую авторизацию по одноразовому паролю, которых приходит на номер мобильного телефона каждый раз, когда пытаешься зайти в аккаунт?!

А что это изменит? Здесь на хабре вот знаю человека который еще 6 лет назад писал тронского коня выводящего деньги из WebMoney только после того, как пользователь залогинивался в самом клиенте. Причем так аккуратно, вдобавок затирая за собой все следы и ключи, что в реальности деньги можно было бы вывести легко до того, как кто-то что-то понял бы. Так что, стоит только вам войти в систему и никто не гарантирует что через секунду ваши деньги не будут автоматически отосланы куда-то и все следы не будут спрятаны «на лету» подмененным содержимым веб-странички. Единственная система которая позволяет вас хоть немного защитить — это запрос пароля непосредственно перед отправкой денег (смс, или еще лучше электронный брелок генератор ключей), но и тут существуют свои нюансы позволяющие подменить направление посылки и реальную сумму, опять же потом подсунув вам фиктивную ошибку.

Так что, в действительности вся ответственность (ни в данном случае конечно) на пользователе, никакая система никогда точно не сможет определить, кто ей отдает команды — пользователь или вор (не обязательно причем человек, может и программа)

[CLR]

Это работает, а не работает только когда есть как раз нюанс с возможностью незаметной подмены (зависит от криворукости разработчиков), о чем я и написал. Приходилось как-то разрабатывать ТЗ для одного иностранного брокера в плане такой системы. Не описывая всей системы, выделю главное — sms с паролем приходило вместе с идентификатором того, кому переводили средства. Так что, пользователь всегда мог однозначно идентифицировать, куда он точно переводит свои деньги. Плюс еще было ноу-хау с брелком для зашиты от такой вещи, как установка трояна на телефон для подмены наших sms «на лету». Тут кроме как физически не завладев брелком и телефоном (хотя можно обойтись бекдором для телефона), нельзя перевести деньги.

[CLR]

Спасибо конечно за ликбез, но я тоже прекрасно разбираюсь как такие вещи делаются, и уж тем более сам могу такое написать. Прочтите просто внимательно как система устроена, тут нет необходимости в защите от подмены на стороне клиента.

> Это дико неудобно.
Ну не все так страшно, как выглядит со стороны. Клиент заполняет форму, жмахает кнопочку «получить пароль», в этот момент начинается транзакция перевода состоящая из нескольких этапов. Вначале происходит получение сервером данных заполненной формы и генерация на ее основе очень хитрого пароля (как раз тот самый mTAN, раз вы в теме, только он не полностью случаен), далее он высылается через sms и позволяет клиенту точно определить, куда уйдут деньги. Клиент быстро удостоверяется, совпадают ли данные в sms с теми, куда он хочет перевести деньги, вводит пароль, код с брелка (хитрый брелок нужен для защиты от фишинга смс и так называемого «sim swap fraud» мошенничества) и нажимает кнопку подтверждения. Ну а система далее после подтверждения перевода сверяет все данные и, если не было нигде подмены, выполняет всю транзакцию. Внешне для пользователя все выглядит ну очень просто и система прекрасно работает.

[MadJeck]

Да яндекс деньги вообще веселая штука, заблокировали кошелек (идентифицировать им меня понадобилось), меня неочем не предупредили (да я знаю что в лицензии написано что они не шлют письма по собственной инициативе), обнаружил это я только после того как перевел туда достаточно значительную сумму (как раз что бы быстренько перевести на альфабанковскую карту). Процесс идентификации тоже очень забавный сначала надо заплатить в банке 175 рублей (есть другие способы но не такие быстрые) банк в данном случае проверяет мои паспортные данные, а после этого (внимание!) служба безопасности яндекс ещё раз проверяет мои паспортные данные и конечно служба безопасности никогда не работает в выходные. Ах да ещё один момент — если нажать на кнопку обратной связи и написать письмо с просьбой почесаться или объяснить что вообще происходит они мило спросят номер счета, несмотря на то что письмо писалось через их форму с аккуанта.

[MaksimMukharev]

Увы, но не первый раз слышу подобные истории. Видимо поэтому не доверяю Яндекс.Деньгам свои деньги.

[Krofes]

Я вам очень сочувствую. Я недавно подумывал, что бы перевести часть своих денег в электронные — за интернет платить, телефон, в магазинах. Теперь раздумал окончательно — только наличные. Вам желаю — успехов в милиции и поиске виновных в этом.

[CLR]

А чем вам не нравится банк и пластик?

[Krofes]

Банк и пластик есть, но карту стараюсь не совать где попало. Может быть просто не знаю, что бояться этого не надо :) Но наличными как-то оно всё таки спокойней.

[CLR]

крупные суммы вообще глупо где-либо хранить без дела, деньги как известно должны работать… а вот на повседневные расходы (квартплата, телефон, кафе, бензин, интернет-магазин тот же, etc.) в течении месяца очень удобно держать сумму.

[AndrewTishkin]

Как бы многие не ругали WebMoney, но у них защита покрепче будет

С WebMoney у меня никогда проблем не было, а вот с Яндекс.Деньгами была одна

PS: Робокасса должна предоставить номер счёта, на который ушли деньги. Не хотят сами — надо давить на них через милицию.

[ser_gun]

этим ДОЛЖЕН заниматься Яндекс, без милиции. «в милицию» — это отговорка, они сделают всё, чтобы не принять у вас заявление и/или прикрыть висяк.

так что если не яндекс -то что это за финучреждение такое, которое ни за что не отвечает?
уже если назвался груздем… а сейчас никому не рекомендовал бы хранить там деньги.
лучше уж банк, пластик. у них хотя бы ответственность есть, и репутацией они дорожат, в отличие йандекса.

[Leeloo]

и как вариант держать деньги на пластике, а на ЯД переводить непосредственно перед оплатой. И карточка лишний раз не светится.

[deniamnet]

«Прочитайте, пожалуйста, внимательно. В истории заходов фигурирует ip-адрес 127.0.0.1»
это ВАШ ip-адрес, а не яндекса

[homme]

а это не тот самый сотрудник?

[deniamnet]

если кто не понял — сарказм :) сорри, если неудачно

[erley]

Да, сурово тут закрутилась дискуссия!
В этой истории странным мне кажется поведение господ из Яндекса — пассивное, безразличное к имиджу своей компании. Вон уже слышатся голоса, что ВебМани лучше, а карточки и подавно…

Блин, дарю Яндексу идею — включитесь АКТИВНО в распутывание этой детективной истории! Покажите что вы технически компетентны, что вам небезразличны ваши клиенты! Цена вопроса — 10000 рублей, зато какая вашему бизнесу будет реклама!
Меня бы такая история включила сразу, а вы — «пишите заявление», «идите в милицию»… Вы осознаёте что такой подход принесёт мало пользы?
Пока что от этой истории выиграют ваши конкуренты, но я бы на вашем месте повернул всё в вашу пользу. И в пользу вашего клиента конечно…

PS Автор молодец, искренне желаю ему успешного разрешения этой проблемы и спасибо за тему, которая затрагивает тут многих людей.

PPS Тащусь от реалий российского бизнеса :)

[sperans]

мы ничего не имеем права сделать без милиции. В тех случаях, когда мы в силах сделать что-то, мы делаем. В данном случае, к сожалению, нет. Что-то мне подсказывает, что подробно объяснять, в каких случаях ничего поделать нельзя, будет неправильно — не хочется создавать инструкцию для мошенников.

[erley]

> одробно объяснять, в каких случаях ничего поделать нельзя, будет неправильно — не хочется создавать инструкцию для мошенников

«Иногда лучше молчать, чем говорить» (с)

В данном случае, мошенник уже понял, что ваш клиент при таком раскладе будет вынужден иметь дело с милицией, сами вы ему почему-то помочь не захотите. Извините, но многие проходящие мимо поймут вас именно так.

Вам конечно видней, но может быть вы сообщите мою идею своему начальству? Или у вас за такое наказывают? 8-/

[sperans]

смешная шутка про начальство.

[pxx]

В милицию это правильно. Но не могли б Вы в двух словах описать процесс разрешения вопроса начиная с момента после написания заявления в милицию?
Я честно говоря даже с трудом представляю, что бы можно было написать в заявлении, кроме «Я зашел… деньги были… а теперь пропали...». Какие объективные факты инцидента можно указать?
Я предвижу стену абсолютного непонимания со стороны милиции и миллион дурацких вопросов типа «Знаете ли вы лично гражданина Яндекса и гражданку Робокассу?», «Электронные деньги?.. А?», «Авторизация?.. Логи?.. Локалхост?...»

Простите уж, но не ассоциируются у меня правоохранительные органы с людьми компетентными в IT и вопросах кибер-преступности.

Ну и конечно же вопрос к Вам, как представителю ЯД: после какого сигнала вы сможете оказывать помощь следствию? Будет ли ваш представитель выступать компетентным специалистом и консультантом в интересах следствия или это будет сержант Пупкин, патрульный 3-й бригады?

Вопросов миллион, без понимания которых я бы на месте пострадавшего задумался, что дороже: 10к или куча времени, нервов и накладных расходов без надежды на успех. Это ни в коем случае не призыв к бездействию, просто такая у меня натура.

[sperans]

да, конечно, постараюсь рассказать.

С милицией мы сотрудничаем. В службе безопасности есть отдел по работе с правоохранительными органами. Когда милиционер в конкретном ОВД не очень знает, что ему делать — он может либо посоветоваться с УСТМ, либо позвонить-написать нам и получить подробные рекомендации о том, как составить запрос и прислать его. На запрос будет дан нормальный полноценный ответ, в котором будет абсолютно всё, что может пригодиться милиции по данному делу.

[ser_gun]

так расскажите же.

и скажите, почему нельзя начать своё расследование еще до обращения в милицию?
ведь вы сами признаете, что случай похож на мошенничество. зачем давать преступникам время на то, чтобы уйти?

[sperans]

наше расследование было проведено до того, как этот топик вообще появился. Оно закончено. Всё, теперь уже только милиция может помочь. У нас для милиции всё готово.

[ProRunner]

Кстати, после того, как расследование будет закончено и fromrussia отпишется о его результатах, может, стоит опубликовать топик со взглядом «с вашей стороны» — на этом конкретном примере расскажете, какая работа проводится Яндексом, чтобы помочь вернуть деньги пострадавшим пользователям (из того, что можно опубликовать, и с разрешения автора топика, конечно).

Нам будет интересно прочитать, а вам будет хорошей рекламой.

[sperans]

ничего нельзя опубликовать, кроме того, что я уже рассказала.
К сожалению. Информация о работе службы безопасности конфиденциальна.

[ser_gun]

тогда закрывайте свою шарашку нахуй.
кому вы в таком случае нужны, «ничего не имеющие права сделать».

[ser_gun]

У вас там все такие демагоги? Давайте по сути.

Вы имеете право и возможность связаться с учреждением, в которое ушли деньги, и заблокировать платёж до выяснения обстоятельств.

Вы же даже сами в одних сообщениях не ставите под сомнение то, что деньги со счета увели мошенники. И при этом в других сообщениях говорите «ничего не модем сделать, вдруг вы не тот, за кого вы себя выдаёте».
Этот феномен называется лицемерием.

Я скажу вот что: вам просто хочется зарабатывать легкие деньги на финоперациях и не иметь проблем, связанных с ответственностью.
Так не бывает. Необходимо иметь свой юротдел/отдел безопасности, который будет заниматься подобными вещами. Это просто обязательное условие, чтобы не выглядеть по-идиотски, как сейчас…

[ser_gun]

>Почему вы адресуете свои претензии мне?
прошу прощения, тон Вашего ответа был как у сотрудника яндекса:)
ну или тон сотрудников яндекса очень похож на тон вашего ответа — к сожалению.)

Тогда ответный вопрос:
Почему Вы ответили на моё сообщение, адресованное сотруднику Яндекса?:)

А на Ваши вопросы я не ответил потому, что все они показались мне риторическими. Да и ни один из них не имеет отношения к Я.Д. Вебмани, может быть, еще хуже. Но мы говорим о Я.Д, и у меня нет никакого желания обсуждать Вебмани.

[ser_gun]

Да я тоже надеюсь.
Просто уж очень бы хотелось, чтобы удобство сочеталось с безопасностью с человеческим лицом, а не топорными отговорками.

[ser_gun]

>Здесь нет никакого противоречия

Мне кажется, есть.

Я.Д. признает, что мошенничество скорее всего имело место быть. Но вместо того, чтобы способствовать раскрытию преступления (я уже рассказал как: достаточно инициировать заморозку средств по всей цепочке до выяснения обстоятельств), я.д. пособничают преступникам: своим нежеланием и/или неимением возможности разобраться в ситуации без привлечения правоохранительных органов они дают возможность преступникам запутать цепочку денежных переводов, вывести деньги в помывочные платежные системы, а затем и безопасно их обналичить.

[sperans]

цепочка состоит из одного шага: деньги находятся в системе Webmoney. Остальные вопросы стоило бы задать Webmoney. Однако по опыту я знаю, что в данном случае пользователю нужно именно обращаться в милицию, арбитраж ему сейчас не поможет.

[ser_gun]

а я.д. может самостоятельно задать эти вопросы вебмани?
или, может быть, эти вопросы уже заданы?

если заданы, то каков был ответ?
могут ли сейчас эти деньги быть выведены злоумышленником из вебмани?

[sperans]

А вот это уже конфиденциальная информация. Я знаю ответ на эти вопросы, но сообщать, как я его получила и какой этот ответ, к сожалению, правда не имею права. Ответ был в нашем распоряжении ДО того, как началось обсуждение «локалхоста».

[ser_gun]

хорошо, это очень хорошо.
лично меня Ваш ответ вполне устраивает.

теперь я уверен, что деньги действительно вернут их законному владельцу после установки его личности.

спасибо за ответы. приношу свои извинения, если был где-то чересчур резким.

а автору сабжа я бы посоветовал писать чуть менее тенденциозные заметки.
после прочтения этой заметки у меня сложилось ощущение полнейшего бардака и анархии в Я.Д.

а после общения с представителем Я.Д. — совсем другое ощущение.
плюс теперь понятна некоторая скованность ответов представителей я.д.

я думаю, что автор заметки понимает это еще лучше, чем я. этой заметкой он, пожалуй, убил какую-либо вероятность поимки преступника. поэтому в этом свете мне не совсем понятны смысл и тональность его заметки.

в общем промежуточный итог ясен: нужно дождаться конца этой истории, и тогда будем делать выводы.

ps.:
«не могли б Вы в двух словах описать процесс разрешения вопроса начиная с момента после написания заявления в милицию?» — этот вопрос всё еще за Вами ;)

[sperans]

погодите, а чего не хватает? :)
Давайте попробую ещё раз :)
Мы сдаём милиции все данные, которые есть в нашем распоряжении — например, айпи-адреса, куда ушли деньги и так далее. На следующем шаге (куда ушли деньги) милиция также выясняет айпи-адреса и прочее. И дальше уже милиция разбирается, смогут ли они по этим данным найти живого человека в оффлайне или не смогут.

Ситуации бывают очень разными. Бывают случаи, когда «следов» очень много, бывают — когда почти нет. К каким относится данный случай, я говорить не вправе.

[ser_gun]

схема понятна.
непонятны детали.
причем я скопипастил неправильный вопрос. скорее, сложность не «после написания заявления», а во время написания.
первое, что спрашивают в отделении: что вообще такое яндекс-деньги. точнее они даже не спрашивают, у них срабатывает профессиональный нюх на висяк, и они всеми правдами и неправдами пытаются отшить заявителя. предлоги разные.

где-то в обсуждении был такой момент: у заявителя спросили, знает ли он лично тов. Яндекс-Деньги. я по своему опыту (не с электронными деньгами) могу предположить, что нужно настоять на том, чтобы они зарегистрировали заявление и завели дело, а далее, может быть, в деле примут участие и более менее компетентные сотрудники. но до этого момента нужно еще дотерпеть.

как лучше быть в такой ситуации? может быть, у яндекса есть какие-то инструкции для сотрудников милиции? (хотя я плохо себе представляю изучение подобной инструкции сотрудником милиции).
или, может быть, есть какое-то кодовое слово:) или кодовый телефон) или справка какая-нибудь хитрая от яндекс-денег, что дескать «да, деньги с такого-то счета ушли на такой-то», печать и подпись.

наверное, в каждом конкретном случае можно найти свой подход. в крайнем случае в прокуратуру написать, так или иначе своего добиться. но хочется какого-то общего, единого и относительно простого рецепта запуска (именно запуска) в производство такого вот дела, которое для большинства сотрудников милиции будет чем-то инопланетным, сложным и непонятным.

[sperans]

а вот на это я уже отвечала.

У нас есть инструкция для пользователя по обращению в милицию, её пользователю направили сразу же.

У нас есть инструкция для милиции, её высылают по запросу любому сотруднику милиции, который не знает, как написать запрос.

И то, и другое писали люди с опытом работы не только с правоохранительными органами, но и в правоохранительных органах.

[ser_gun]

отлично, я не осилил всё дерево комментариев:)

спасибо за ответ.

[sperans]

смешно написала «по запросу тому, кто не знает, как писать запрос». Имела в виду — если сотрудник пишет или звонит и говорит «не знаю, как вам писать официальный запрос», мы даём ему подробные рекомендации.

[gorenburg]

спасибо за поддержку!

буду пытаться вернуть свои деньги…

[NARKom]

Я думаю, учитывая поднятую шумиху, расследование все-таки закрутится.

И Яндекс я думаю зашевелится уже завтра…

Другое дело, что неприятный осадок уже остался и убрать его будет сложно… Нельзя так относится к своим клиентам дорогой Яндекс.

[scam]

Если уж IT'шники очарованы и пользуются яндекс.кошельками, которая с первого взгляда выглядит колхозной, то что уж говорить про остальной народ.

[Albert_73]

То что это обыкновенный чёрный пиар против яндекса — я подумал сразу. Но почему никто не подумал об этом вместе со мной?

Все так не любят эту платёжную систему?

[NARKom]

Почему представители Яндекса не отрицают, что такой факт имел место быть?

[Albert_73]

По вашему чёрный пиар это нечто невообразимое типа «директор компании ННН инопланетянин» Здесь чем ближе ложь к реальности тем эффект лучше. И этот факт имел место быть, например при участии потерпевшего.

[mihailm]

всё может быть! лично я не пользуюсь ЯД…

[kovleon]

Вы думаете? Сверху это обсуждалось)

[TravisBickle]

У меня лично лежит порядка 4000 рублей на ЯДе, если украдут то не сильно расстроюсь… но это потому что со мной расплачиваются ЯДом, иначе бы еще меньше лежало, только на телефон и интернет. Просто воспринимайте как нечто незащищенное и нестабильное. Кстати, лично я бы отказался от авторизации по SMS (MTAN называется) — это слишком напряжно учитывая сумму и риск. Используйте Linux и все вирусы вам будут до лампочки ;-)

[CKOPOBAPKuH]

техподдержка написала про милицию, поскольку неизвестно заранее, действительно ли у вас украли деньги, или же вы сами их вывели из ближайшего интернет-кафе и теперь хотите, чтобы яндекс вам положил их опять, чтобы потом вы их опять вывели. нельзя также исключать и возможности того, что вы были пьяны и попросту забыли, что купили на эти деньги какую-то ненужную нуйню.

именно поэтому вы идёте в милицию, показываете там паспорт, излагаете все детали и подписываетесь об ответственности за дачу ложных показаний, и только потом яндекс начинает шевелиться.

[gorenburg]

именно поэтому я пойду, покажу милиции свой паспорт и буду писать заявление

[Sud]

Ну и что IP? 100% человек сидел по Wifi из Макдоналдса через анонимный прокси-сервер. Пойди, найди такого…

[k0t_igrun]

127.0.0.1 может означать, что фронтэнд сервер мог не пробросить IP пользователя на рабочий сервант. Заходить с той же машины, где запущен http сервер было бы ИМХО неудобно.

[Shing]

Интересно под какой ОС вы сидите, под каким браузером и что за антивирусы у вас?
Троянов как понимаю не нашли на машине?

[gorenburg]

Windows Vista со всеми пакетами обновлений на сегодняшний день, Firefox 3.5.4, ESET NOD32 Smart Security

троянов не нашел

[gorenburg]

а. еще Google Chrome полульзуюсь

[CLR]

Да даже если и было что-то, такие вредные программы продаются как правило в одни руки (реже больше, точнее просто разные люди скидываются для покупки), количество жертв не такое уж и большое (несколько десятков), и посему в антивирусные базы ничего не попадает. Поэтому найти ничего не получится, а если было — уже самоуничтожилось. Как вариант конечно ради интереса можете дать систему поковырять опытному реверсеру, авось чего и поймает.

[mr_locke]

в ЯД есть возможность создать связку с картой альфа-банка. интересно, если злоумышленник получит доступ к кошельку, то сможет ли он узнать параметры связанной карты?

[sperans]

нет, узнать параметры не сможет. Никакая информация о карте не хранится в интерфейсе для пользователей.

[mr_locke]

спасибо

[andrew_b]

Если входить на Я.деньги через защищенный прокси, то в логах будет либо 127.0.0.1, либо вообще ничего.
Сам заходил так :)

[sperans]

Кстати, а Вы теги поправить можете? У Вас тут яНЕДкс.деньги стоит :)