Pull to refresh

Comments 195

С интересом жду продолжения истории и, надеюсь, счастливой развязки. Вот и XSS выловили, уже полезность =)
А можно вопрос, он относится к началу истории: А зачем хранить большую сумму на кошельках web сервисов?
Ну удобнее их на карте держать а в нужный момент перевести куда следует!
я как раз собирался их перевести на карту в тот день, когда они пропали… не успел… ):
можно вопрос, а зачем вообще пользоваться интернетом? можно газеты читать.
Какой Вы отсталый консерватор, ведь есть телевидение!!! =)
UFO just landed and posted this here
UFO just landed and posted this here
мне такой способ не подходит — сканера нет.
Очень хорошая, кстати мысль. Так неожиданно находить в офлайновом майлбоксе, что-то кроме спама =).
UFO just landed and posted this here
да, полностью согласен. Обычно до 5к на всех кошельках храню — на мобильный кинуть, или еще что-нибудь. Все остальное за минуту переводится (в том числе через обменники) на карточку Альфа-банка (никакой рекламы). А там деньги — как в банке :)
С альфы тоже деньги снимают, в выходные приносят мобильному оператору заверенную копию паспорта, просят перевыпустить симку, а старую заблокировать. Потом перводят деньги с одного счета на другой при помощи интернет-банка. Но тут тоже много вопросов, Откуда копия паспорта и все данные о человеке?
самое главное, откуда лицо похожее :)
Нет, лицо любое, там по доверенности уводили.
Если не ошибаюсь, со счетов, где больше 100 тысяч.
вот. Правильный ответ: не держать на счете 100 тысяч долгое время :) А то уведут. Лучше уж в ПИФы вложить, пока экономическая ситуация стабильная.
Интересно что мешает Яндекс ввести для начала авторизацию по ip или диапазону ip адресов, как сделано в webmoney. Хочешь работать так приучи себя делать это со определенных мест.
Ну некоторые там крутят большие суммы, гонять деньги из ПС в банки и обратно накладно получается
UFO just landed and posted this here
Я давно себя к нему приучила.
уберите адрес, всегда найдутся те, кто кликнут и без noscript
получится нехорошо
Закройте звёздочками, иначе всё равно действительно найдутся такие пользователи.
спасибо :)
будем считать, что «praemonitus praemunitus»
Ого, Яндекс и XSS?! Теперь осознаю фишку, когда сессии убиваются на сервере при смене IP — целее будут.
На самом деле достаточно при создании куки сделать ее httponly, тогда никакие javascript и прочие скрипт не смогут получить к ней доступ.

А так, как freelance.ru на php, то вообще красота — нужно всего-лишь почитать ман по setcookie…

может httpS-only? но для мультисерверного яндекса это не подойдёт — не получится всех перетащить на httpd
Интересная вещь, but Added in PHP 5.2.0
Кто-то еще сидит на более старых версиях?)
Ояебу, простите меня искренне.

header('Set-Cookie: key=value; path=/; HttpOnly');

Работает и в PHP4.
Зачот ;) Хорошо, что хабр открывает многим новые истины :) Точнее старые, но по-новому :)
В Опере редиректа почему-то не произошло
я сам не понимаю, почему не редиректит, но в тот момент редерект сработал почему-то в Google Chrome. Так я и увидел работу XSS… Если бы не редерект — не узнал бы об XSS
а ие8 после каким-то образом определил попытку XSS, и сообщил что скрипты на этой странице выполнять не будет. ие7, фф и хром перешли

Видать, злоумышленники (к счастью) не тестировали во всех браузерах ;)
А есть какая-нибудь статья, где описано как настроить FlashBlock так чтобы быть защищенным, но чтоб и безопасные скрипты выполнялись сами а не с разрешения?
во всех подобных плагинах есть возможность настройки:
Noscript имеет «белый список», а Flashblock — «белую книгу»

добавьте нужные вам сайты в них :)
Ну этот спамер мог оставить вредоносную ссылку на любом сайте, имеющем уязвимость, чтож, оставить белый список пустым?
личное дело каждого ) нет и не будет подробного мануала «как защитить себя от всех угроз в интернете»
я делаю так:
при каждом уведомлении о том, что noscript запретил выполнение javascript, выборочно разрешаю определенные адреса, которые и добавляются в «белый список».
Утомительно же.
Неужели нет эвристических алгоритмов распознавания вредоносных скриптов и сигнатур уже известных вредоносов?
к сожалению, вредоносные скрипты, эксплуатирующие уязвимость, порой очень сложно отличить от безобидных.
да и представьте себе, сколько времени займет анализ ВСЕХ скриптов на странице, особенно в наше время, когда динамические страницы правят бал. введение несложных эвристических алгоритмов, которые все равно буду отнимать драгоценное время и память, надежд не оправдает — обойти их будет несложно. а глубокий анализ страницы займет катастрофически много времени :)
«по-моему, так» )
Да и проблема в том что даже доверенный сайт может иметь уязвимость или быть взломан.
если это вопрос, то да, в опере сразу после установки встроен аналог noscript: можно глобально отключить яваскрипты и автоматически включать их только на определённых сайтах
А вы когда лазили по freelance.ru были авторизированы в ЯД?
То есть если бы Вы, закончив работу с кошельком, разлогинились, то всё было бы гуд?
я был авторизован в Яндексе и в самом ЯД

Если бы разлогинился по полной, то думаю да.
У меня на самом-то деле не особо отличается соитие с яндексом. Месяц назад ко мне постучался якобы заказчик. Дал ссылку на текст проекта, причем самую обычную (ничего подозрения не вызывало). Я по ней перешел, начали открываться фреймы. Все позакрывал, послал косить поля заказчика и с гордым видом ушел делать кофе. Когда пришел, то к мылу уже подконнектиться не смог. Сломали, пароль поменяли. Через два дня после переговоров с яндексом мне сбрасывают пароль, я захожу на почту. Все данные поменяли, платежный пароль тоже. Деньги естественно сразу же (в день взлома) вывели с моего счета. Насколько я знаю, платежный пароль можно сбросить только с паспортом и еще огромной кучей бумажек. Тогда вопрос — каким хером мой платежный пароль подобрали, если яндекс, после нескольких попыток его подобрать, блочит? На самом деле куча вопросов и все, что произошло со мной покрыто какой-то непонятной мистикой и пеленой тайн яндекса )
Вот именно, платежный пароль постоянно требуется для выполнения денежных операций, если смогли зайти в залогиненный аккаунт, то как смогли этот пароль узнать и совершить перевод денег? Или на сайте ЯД дыра есть известная только этим хакерам? Выглядит фантастически. Ведь украв куки, пароли не узнаешь, а без них ни поменять пароль, ни перевести деньги невозможно, можно только посмотреть сколько на счету денег, и почту почитать.

Самая вероятная версия на мой взгляд, это установка трояна через браузер, используя незакрытую дыру в браузере, после уже происходит отслеживание клавиатуры, достаточно вам провести хоть одну операцию в ЯД, и оба пароля будут у злоумышленников. Каким браузером пользуетесь?
Возможно они сначала трояном получают платёжный пароль, а потом уже нацелено воруют кукисы. Неспроста же они именно к вам обратились.
Да уж… Удачи вам в нелегком.

P.S. Internet Explorer 8 без проблем определил и предотвратил XSS-атаку.
Яндексоиды-бездельники — позор вам за XSS!

Значит, все-таки кошельки ломаются, хотя Яндекс и говорит что платежный пароль не сбрутить!
в нашем мире поломать можно всё, вопрос лишь в ресурсах и путях их минимизации, вот злоумышленники — мозги же, нашли таки способ сцуки =_=
есть VirtualBox, машина виртуальная называется — Secure, я туда захожу только для того чтобы сделать какие-то важные защищенные дела, например перевести те же деньги. набор программ минимален (вообще чистая установка ОС), браузером ходим только на конкретные сайты, и внимательно смотрим что вводим в адресной строке. в общем баним все возможные пути проникновения вируса выделением такой машинки.

приучить смотреть там почту, или посещать определенные сайты легко — устанавливаете на браузер блокиратор по сайтам )

таким образом риски будут сведены к минимуму
>>приучить смотреть там почту, или посещать определенные сайты легко — устанавливаете на браузер блокиратор по сайтам )

Во, спасибо за идею, плюсик с меня, как-то никак в голову не пришло так себя приучать, до виртуалок я правда не дошел, но вот разные профили в браузере создал для секурной и обычной работы, но… как-то постепенно все переходит в секурную, то по ссылке в письме нажмешь, то реклама заинтересует, то позвонит кто-нить и просит нагуглить что-нить

/me пошел искать аддон для файерфокса
а что на счет кейлогера на хост машине?
если конечно вы там не используется виртуальную граф. клавиатуру :))
хороший вопрос. ну у меня ubuntu, пока не слышал на ней про кей-логеры что-нибудь

под windows да, проблема.

можно загнать пароли в кипер паролей, и в гостевой ос копированием заниматься, предварительно отключив двусторонний буфер обмена.

либо да — граф клавиатура :) хорошая мысль кстати. операции, связанные с деньгами достаточно редки и не требуют много писанины, поэтому граф. клавиатура много неудобств не вызовет

все это конечно не 100% защита, но риск существенно снижается
кейлогеры под ubuntu появились ещё когда ubuntu не было — руткиты никто не отменял.
UFO just landed and posted this here
это ж сколько скриншотов нужно хранить!!!
Хм, IE8 определил и заблокировал сross-site scripting attacks :)
Почему-то никогда не хотелось на яндексе кошелек заводить. Вот теперь вообще не хочется :)
И комисия, если не ошибаюсь большая.
P.S.: Не в рекламу, но лучше использовать webmoney, понадежнее будет.
Ага, а меня например там год назад заблокировали с аргументацией «ваш комп заражён вирусами» (виртуальная машина с одними вебманями, ага).
Аттестата у меня не было, в городе не выдавали. Процедуру нотариального заверения копии паспорта и отсылки им документов не проводил.
Не смотря на то, что на кошельке было 2круб забил и зарёкся ВМ не пользоваться.
И в интернетах полно случаев, сходных с моим.
я использую лайт версию… сертификаты у меня уже перекочевали наверно из 5 систем и на работе параллельно юзал и на домашнем, проблем нету.
Аттестат я не запрашивал, пользуюсь как обычный юзер.

А по поводу блокиравния, напишите в саппорт указав ваши данные и факт, что вы «избавились от вирусов» (котрых возможно нету, все ошибаются). Думаю они разблокируют.

С вебмани почти 2 года проблем нету, ну кроме факта, что они с pyoneer разошлись :(
Они сказали, что разблокировка возможна только при наличии аттестата. И это было уже год назад, сейчасм даже со старым ключем не пускает, говорит что «он старый, обратитесь в суппорт».
так давай, обращайся, думаю они ответят
но востановят все же с задержкой, т.к. ты сам сразу не проявил инициативу
интересно, а кто-нибудь сообщил производителям браузеров о вредном сайте? я вот через оперу сообщил
лишний повод поставить noscript, который так нелюбим быдлокодерами с хабра.
Тебя кинули, и хватит писать уже, запарил ныть. Всё ровно деньги не достойны что бы думать о них и отдавать cтолько сил сколько отдаёте вы. А ради чего? ради сникерса? ради марса? ради счетов в банке?
слушай, отдай мне свои деньги. зачем они тебе? будь свободен. я готов взвалить на себя это денежное бремя
Давай, отдам, у меня их просто нет, так проще правда?
Да бросьте. Вы сомневаетесь в функциональности денег? Вам не нравятся товарно-денежные отношения?
Подумайте о деньгах, как об эквиваленте труда человека, так проще? Я работаю и получаю эквивалент своей работе, который котируется у всех в стране. Если вам нравится работать за просто так — как вы платите за интернет?
А вам не нравится работать? то есть хотите сказать бы будите ну скажем года два подряд валятся на лазурном берегу ничего не стремясь познать мир?

Если так, то вы скорее животное, тогда опять вопрос, зачем вам деньги?
За два года познания мира на лазурном берегу я нажру и насру на великие тыщщи… уж простите за меркантильность. В этом плане я на 100% животное. Но чтобы не есть себе подобных, я добываю деньги.
Тогда можно я вам как животное буду называть Бурёнка? или Шарик? а может Тузик? что? нет? не хотите? а почему, давайте я заплачу вам за смену вашего имени на Тузик?
Можно. Когда с падежами разберетесь, все станет можно.
Разобрался. Дело в том, что я быстро печатаю, а вас очень много, и местами я ошибаюсь. Комментарий мне кажется не показатель уровня моей грамотности, правда Тузик?
Любезный, у вас с аллегориями трудности (я не про падежи)
А у вас если уж на то пошло с логикой я просто сказал про ошибки свои, разве не могу поделится?
Логика?

Раз:
>Давай, отдам, у меня их просто нет, так проще правда?

Два:
>давайте я заплачу вам за смену вашего имени на Тузик?

Парам-па-па-па, пам! © Ералаш

В топике, до кучи, решается проблема уязвимости кошельков на Яндексе. Актуальная, я вам скажу проблема, когда пользуешься для расчетов Я.Кошельком. Но вы же упрекаете автора, что он ноет по своим деньгам… я вот, например, не вижу, чтобы он ныл. Да, неприятно человеку. Зато информация злободневная.
XDDDDD

Я вам заплачу означает что я вам заплачу, а то что у меня нет денег это правда, у меня нет денег. Это же не значит что когда наступит час платить у меня их не будет, ведь так?

Парам-па-па-па, пам! © Ералаш
А ещё мысли читать пока человек не научился, любезный, говорите прямо, а то как баба вокруг да около ходите. Вы же не баба?
Прямо? А смысл, вы ни прямо ни криво, по-моему, не понимаете (:
Про товарно-денежные отношения вам уже сказали, так вы опять свою шарманку крутите, мол, работать надо за идею. Ну конечно же за идею, милый друг. Всегда хочется работать за идею, чтобы нравилось. Допустим, что даже у всех вдруг появится такая возможность: в дояры пойти, в космонавты, в терапевты и садоводы-огородники… и что? Вот будет у вас удой о пятнадцати тонн молока. И что вы будете с ним делать? Затвракать-обедать-ужинать и спать среди буренок? На сей раз логика просматривается?

В каком месте диалога я сказал что за идею? ну вот процитируйте мистер умник? Я говорил лишь и буду говорить об автоматизации, которая освободит от работы, если людям нужен хлеб нужно создать машину, что бы сеяла и убирала, что тут сложного? для чего деньги?

«Вот будет у вас удой о пятнадцати тонн молока. И что вы будете с ним делать?»

Не я а мы, а людям молоко всегда нужно или я не прав?

Мне кажется у вас эгоистичный подход к делу, разговор с таким подходом очень сложный получается.
В каком-то приближении, этот топик, как раз об автоматизации… а конкртено, о проблемах, которые возникают при автоматизации, в данном случае платежей…

Но вернемся к нашим баранам. Гипотетически, ваша хлебо-сеятельно-уборочная машина, пока ее доведут до совершенства, не раз даст сбой и не раз масса людей останется без хлеба. И будут недовольны, будут искать где раздобыть хлеба в другом месте…

Но вы им конечно же скажете (вольная перефразировка первого коммента): Вас кинули, и хватит уже, запарили ныть. Всё ровно хлеб не достоен что бы думать о нем и отдавать cтолько сил сколько отдаёте вы. А ради чего? ради мякоти? ради горбушки? ради буханки в хлебнице?

Мне кажется у вас утопичный подход к делу, разговор с таким подходом очень сложный получается.
Почему будут искать, а что ремонтировать мозгов не хватит? что за тупизм, если мне нужен хлеб я заинтересован что бы машина работала, разве нет?
И обратите внимание, денег тут нет :)
А что тогда не утопия? может экономическая система? сколько ещё голодных, нищих, безработных, ущемлённых и смертей вам нужно что бы понять? что экономическая система рано или поздно приводит к кризису. Несоответствие довольных и недовольных слишком большое что бы говорить о ней как о системообразующей, скорее сказать что она системоразрушающая.
К чему в дебри лезть? По факту, необоснованно вы к автору приебались со своим «хватит ныть, ме-ме-ме»… Решает проблему свою человек. Не желаю, вам его проблемы. Лучше б помогли чем, так нет, автоматизация какая-то там грядет… Вот она! Под носом у вас, автоматизация! Электронные платежи (читайте хлебо-машина)! И вот она дала сбой (читайте поломалась), так вот автор как раз занимается «починкой», а вы мозгоебдством.
Я не к нему и не к машине а к вашим ценностям прикопался если вы ещё не поняли, вы больше говна раздуваете из за них чем из за умирающего на улице бомжа и это печальный факт.
Нравится, но это здесь совсем ни причем. Какую-то ерудну говорите. Деньги — системообразующая сущность. Ну не деньги, пусть будут ракушки. Не важно. Это то, что позволяет мне получить то, что я хочу в обмен на то, что я могу. А уж что я хочу — это совершенно мое дело.

Не буду я дальше с вами спорить. Советую вам немного почитать экономическую теорию, чтобы понять что такое деньги, и зачем они нужны. А то такое впечатление, что у вас деньги от родителей берутся и вы об этом даже не задумываетесь.
Ну во первых я уже давно один живу, это к слову. А по делу — деньги безусловно важны были на каком то этапе человечества, люди дикие и всё такое, но щас же есть технологии, автоматизация и прочие достижения науки, разве они не могут сеять и собирать, разве машины не могут выпекать хлеб? заворачивать и готовить колбасу? делать ручки, и прочее и прочее и прочее? может над этим работать надо и тогда не будет необходимости в деньгах, но поймите если вы всё оставите на очень очень старой системе денег а в месте с ней экономике, кстати какой там год основания науки? то вы проснётесь безработным так как за вас будет работать машина и это правильно так как это дешевле. Подумайте…

И ещё, а разве щас не кризис экономически? а почему? вы же читали экономику, ну скажите? а то я может чего не знаю?
Деньги затем, чтобы приобрести что-то, необходимое мне :-)
Например кучку радиодеталей и заняться изучением микроконтроллеров.
Или пожрать купить (да, можно на огороде горбатиться, но тогда когда мне будет заниматься интересным делом?)
От бартера человечество отошло уже давно.

Другой вопрос в том, что для некоторых деньги — цель, а не средство.
А что вы не в курсе что такое автоматизация, что производство может быть и без человека? а человек только для того что бы ремонтировать, но и бесплатно будут ремонтировать так как если остановится что то, человек чего то не получит и ему придётся отремонтировать машину или сделать новую, да и чего там придётся, многим очень многим людям это просто по кайфу.

Интересно что конкретно вы будите делать если, за вас или ваших дитей будут работать роботы, а так оно и будет, полная автоматизация в коммерческой системе означает ваша же безработица. А значит голод и смерь, зачем конкретно вы если есть робот которые выполняет всё то же самое и денег не просит? От куда тогда вы возьмёте денег на ручку и микроволновку, а?

Если бы мы автоматизировали вместо баталий заводы и другую промышленность и жилой комплекс и думали только над новыми машинами, мы бы устремили своё взгляд наконец немного дальше чем микроволновка и ручка.
Гы, системы автоматизации разрабатывают и внедряют люди. Обслуживают их тоже люди. Ни один робот еще не создал ничего нового.

Токаря за станком 100летней давности робот может заменить, да. А программиста, написавшего прошивку для этого робота — нет.

И вообще я не совсем понял, как ваш ответ согласуется с моим предыдущим постом.
Так вот я программист который просто любит программировать не вижу проблем. Если я буду сыт и в тепле я готов имея рабочее место их обслужить мне это принесёт только удовольствие.
Люди как минимум половину времени своего бодрствования отдают зарабатыванию денег. Меньше времени тратится даже на сон. А вы говорите, ради чего.
ептыть, да ты прямо философ! чем питаешься? воздухом?
Я реалист и знаю что сразу ничего не будет, я не говорил о том что бы отказаться от денег сейчас, это как минимум глупо, я хочу убедить в том что они просто не нужны и было бы хорошо поменять себя а потом уже и систему.

А этот пост раздувает важность денег так как вон сколько шуму создают, а из за чего? за цифры в компьютере?
Цифры в компьютере? Цифры в компьютере это онлайн игры и прочие, и то — далеко не только цифры. А то что обсуждается тут — эти цифры, в общем случае дающие власть, от них глупо отказываться, тем более когда они уже принадлежат вам.

А что для вас интернет? Может буквы в компьютере? А зачем они вам? Они вам что-то дают? Можно же и без них прекрасно обойтись, следую вашей логике…
Но от общения не гибнут люди и не ведутся войны, ведь так? общение это развитие, чем больше иформационный обмен тем лучше, дурацкий пример. А с деньками так не бывает, с деньками чем их больше у одного тем меньше у другого, как то так.

«Цифры в компьютере это онлайн игры...» — ну ну :D а ещё этот ящик под столом умеет думать XD

«в общем случае дающие власть» — давайте предположим что я получил власть и говорю вам что делать а что не делать — это правильно? конечно можно обвинить меня и назвать тераном, но не я так кто нибудь другой.

«тем более когда они уже принадлежат вам» — а если не вам смотрите выше.
хватит человека минусовать :)
больше писать такое не буду :)
Большое спасибо за все три части. Очень интересно, сразу поставил Noscript. Правда при первом заходе по ссылке почему-то он не сообщил о XSS, но на второй раз сообщил, а в консоли было уже два сообщения.

Яндекс.Денег на этом компьютере и в помине нет, так что я не очень боюсь.

К сожалению, не могу заплюсовать статью, не хватает кармы.(
И заминусовали… Причем, уверен, те же самые люди, которым статья также понравилась. Блеск.
> К сожалению, не могу заплюсовать статью
Не можешь — не плюсуй. Сказал спасибо — сделал автору приятно.
Я уже догадался о причине минусов и больше карму в комментариях просить не буду. :) Кто ж знал, что у вас все вот так. =)
При регистрации где-то есть то ли текст, то ли ссылка на текст про традиции и обычаи. Очень познавательный!
Старайтесь писать содержательные комментарии, а также актуальные вопросы для развития темы, будут вам и плюсы и карма. А потом и статью написать сможете. Удачи =)
К сожалению иногда наблюдается еще такая ситуация, когда человек не может плюсануть, пишет в комментариях «спасибо», а его минусуют за то что он не плюсанул, а откомментил вот таким вот не очень содержательным комментарием. =) Палка о двух конца, сразу и не разберешься.
Вам надо книгу будет написать.
Слежу за вашими топиками и как будто читаю детектив =)
Удачи в разборе полетов.
> Все четко! Воруем cookie, заходим от имени пользователя в его кабинет…

Не понял этого момента. Как можно с чужими куками войти а акк с другого компьютера? В куках обычно храниться идентификатор сессии, а он должен быть привязан к ip.
UFO just landed and posted this here
Касперский просто решил не палить одну из сфер своей диверсификации, пришлось писать таблетки, чтож делать-то :)
Касперский читает хабр
Стоит подумать над вариантами «Что делать?» К примеру:
1. Постоянно удалять личные данные / выходить из всех аккаунтов.
2. Перейти на усиленную авторизацию в Яндекс-деньги.
3. Всегда сразу выводить деньги, к примеру в интернет-банк «Альфа-клик», обратно перевести не проблема — комиссии нет.
4. Пользоваться двумя броузерами — один для надежных сервисов habr/gmail/etc с сохранением входа в аккаунт, второй для всего остального.
5. Для пользователей Windows — держать для нужд безопасности linux с броузером в виртуалке, однако и это от кейлоггера не спасет ведь…
Использовать one-time password генераторы.
У меня мой банк такую штуку всем выдаёт, по началу было страшно не привычно, но зато более безопасный вариант аутентификации.
4. Можно использовать два профиля одного браузера (или вообще две учетки в ОС), но основной недостаток остается — вот нажал на ссылку на хабре (может просто промахнулся) и полезло всякое УГ

5. Как вариант — Поставить Linux, все «секурное» делать в нем, а Windows запускать из под виртуалки и уж «качать порнуху» там. От кейлогера спасти должно.
1. Каким образом вы «проводили расследование»? Прочитали сообщение и copypaste из инструкции?!
— Конечно, не только. Проверили, с какого айпи совершён платёж и куда ушли деньги, а дальше — можно ли их вернуть. Как выясняется, можно ли вернуть — это конфиденциальная информация. Иногда, кстати, очень обидно: за десять минут становится ясно, что дело на 100% для милиции и мы ничего уже сделать не можем — и вот сидим и думаем, сейчас напишем пользователю — он решит, что мы ничего не делали :( а мы просто уже знаем результат.

2. Почему мне, владельцу аккаунта, не дают никакой информации о том, как сменили мой пароль от аккаунта, с какого ip заходили, пытались ли как-то злоумышленники восстановить мой платежный пароль?
— Потому что мы такую информацию не пересылаем по электронной почте. Вам уже в предыдущих топиках это объясняли другие хабровчане.

3. Были ли попытки ввода неверного платежного пароля?
— Это не имеет значения.

4. Почему платежный пароль НЕ менялся после взлома? (Был изменен только пароль на аккаунт + дополнительный e-mail...)
— Это распространённый способ действия. Я не была в голове у злоумышленника, но предполагаю, что он просто не стал заморачиваться. Один пароль на вход поменял -и хватит.

5. Почему эта информация является «СВЕРХКОНФИДЕНЦИАЛЬНОЙ» (да-да, капсом), которая доступна ТОЛЬКО сотрудникам Яндекса и милиции?!
— Вот даже и не знаю, как объяснить, почему информация конфиденциальная. Вот почему ФИО владельца аккаунта конфиденциальная информация? А сумма его последнего платежа за МТС почему конфиденциальная информация, может, там всего 10 рублей, тоже мне секрет?
А почему Вы тут не написали, что эта штука ворует только cookie, причём только на вход в яндекс, но не платёжную? И что даже если бы была украдена платёжная cookie, то совершить по ней платёж было бы нельзя — можно было бы только посмотреть Вашу историю платежей? Я же Вам всё это писала в личку.
Я правильно понимаю, что наиболее вероятная у вас версия — компрометация пароля со стороны пользователя (трояны, кейлогеры или подсмотрели — не суть)?
Спасибо за откровенность
я прошу прочитать мой пост внимательно. в заголовке «Ответ Яндекс.Деньги» написано:
В принципе, я пробовал различные варианты логина, но получить платежный пароль по такой схеме я так и не смог…
ну, это Вы пишете, что Вы не смогли. Но Вы не пишете, почему — а я как раз объяснила, почему: потому что это в принципе невозможно в ситуации с кражей куки.
давайте еще одну цитату приведу из текста:
Откуда у меня взломали профиль — теперь становится понятным. Как сменили пароль — вопрос интереснее. Как узнали платежный пароль — еще интереснее…
видимо, мы с Вами просто очень по-разному видим.
Дело в том, что я считаю самым вероятным — что украдены пароль на вход и платёжный одновременно. Конечно, я могу ошибаться, но вот в моей картине мира это самый простой и очевидный вариант.

Кстати, тот факт, что пароль на вход сменён, доказывает именно мою версию — кража обоих паролей, а куки ни при чём.
Блин, прям детектив целый намечается :))) Извините, автор, понимаю, что у вас деньги увели, но становится всё интереснее и уже ловлю себя на мысли, что жду с нетерпением продолжения и развязки.
Какой Вы человек странный. Откуда Яндекс (или я, например) знает, что Вы — это Вы? По хедерам в электронной почте, что ли? Какое право имеет Яндекс раскрывать эту информацию вам?

Яндекс даже не имеет права вести оперативно-розыскную деятельность. Не все так просто, поэтому продолжайте работать с милицией, помогайте им, принесите описание схемы взлома и так далее. Помогите им составить нужные запросы в Яндекс.
а) Там с самого начала были мои ФИО. Можно смотреть с даты регистрации они не менялись
б) Там есть номер моего сотового — установлен тоже практически с самого начала
в) я заходил в яндекс.деньги каждый раз с одного и того же IP (исключение были 3 летних месяца) и продолжаю заходить с него же
доказательством того, что пишущий нам человек и есть владелец счёта, может быть разве что третий пункт. Беда в том, что нам не очень хочется доказывать в суде, что мы отдали данные кому-то по той причине, что у него айпи совпал с тем, с которого совершались все платежи. Мы действительно не имеем права распространять конфиденциальную информацию. Мы просто соблюдаем законы, ничего более.
Айпи совпал + ФИО совпало? И часто бывают такие совпадения?
Вы не поверите :) Мы ничего не знаем о том, какие настоящие ФИО человека, который пишет нам по электронной почте. Тот факт, что некто знает ФИО владельца счёта, ещё не значит, что этот некто и есть владелец.
nic.ru/whois/?query=httpz.ru
Там и телефончик есть куда звонить, причем городской в Москве (если он конечно реальный)
почта, думаю, точно должна быть реальной.

Это первое, что мне пришло на ум, может я чего не понимаю.
+7 495 12315465

в Москве 8-ми значные телефонные номера?
скоро будут :) 7-значные закончатся
Есть еще один интересный аспект, который освещен неполно — логика действий злоумышленника. Она точно должна присутствовать, ведь речь идет об охоте за деньгами.

Вводная (п.2 взят из ответов sperans):
1. Захват учетной записи в ЯД произведен через XSS
2. Пароль скомпрометирован через кейлоггер, которым заражен компьютер жертвы

Вопросы:
1. Как на компьютер жертвы попал кейлоггер? (Сайт злоумышленника воровал только cookies)
2. Почему кража средств произошла только после кражи cookies?
3. Для чего нужен кейлоггер, если, предположим, кражу можно каким-то образом совершить имея нужные cookies?
4. Для чего нужна кража cookies, если кейлоггер в состоянии скомпрометировать все пароли, включая платежный?

Схема с необходимостью использовать кейлоггер и XSS одновременно выглядит слишком громоздко. Связывать данные, полученные двумя путями с задержкой по времени — лишние накладные расходы. Да и вероятность, что на одном сайте вы подцепите нужный троян, а при клике на ссылку на специализированном ресурсе отдадите еще и cookies, не очень велика.

Есть еще вопрос к вам, чтобы прояснить ситуацию. Вы вводили платежный пароль после перехода по той ссылке?
а я вот вообще не думаю, что данный XSS имеет отношение к нашей истории. Я полагаю, что это просто совпадение.
Совершить кражу с одними только куками невозможно.
возможно, что у вас не одна только дыра, а не сколько…
Я тоже так не думаю, но совпадение по времени этих двух событий (если оно действительно имело место) выглядит странно. Потому и озвучил вопрос 2.
вводил ли я платежный пароль после перехода — сказать сейчас точно не могу

и с вашими довыдами абсолютно согласен
Раз вы продолжаете свое расследование, будет полезным вспомнить в какой последовательности вы совершили зачисление средств на ЯД, переход по злосчастной ссылке, вывод средств злоумышленником, вводы платежного пароля ЯД, а также временные интервалы между этими событиями.
кстати когда у меня увели деньги то меня тоже смутило что кто-то узнал платежный пароль… я грешу на кейлогер какой-нить хотя полная проверка компа на вирусы и трояны ничего не дала(((
История стала еще запутанней. Как злоумышленники смогли узнать ваш платежный пароль — вот главный вопрос. Брутфорс отпадает, т.к. яндекс не позволяет вводить неверный пароль больше трех раз. Скорее всего на компьютере автора был троян или кейлоггер. Я пропустил или где-то было написано, что компьютер тщательно проверялся антивирусом после инцидента? Если нет, то было бы крайне интересно узнать результаты такой проверки.
проверял 2-мя антивирусами — чисто
Антивирусы не всегда вылавливают заразу в сложных случаях. Особенно это относится к нестандартным редким руткитам\троянам.

У меня была ситуация когда спасли только GMER + AVZ ( ru.wikipedia.org/wiki/AVZ ).
что такое AVZ — знаю. Не раз спасал в критических ситуациях когда антивирус не мог ничего поделать…
AVZ прекрасен кастомно сделаными скпиптами для убивания заразы после анализа логов экспертом.

А вот GMER хорош тем что нажатием одной кнопки сканит все возможные хуки и низкоуровневые подозрительности. Мне как-то притащили «нелечащийся» ноутбук и только GMER смог выловить на нем трояна прописавшегося в систему как драйвер. Никто другой заразу не находил. Теперь всегда дополнительно проверяю им в подозрительных случаях.

Единственный момент — проверка GMER-ом настолько сурова, что он вырубает по ходу некоторые программы которые ставят глобальные хуки (в моем случае clip2net и китайский драйвер беспроводной клавиатуры — просто падали в процессе сканирования:). Потому после проверки бывает полезен ребут.
спасибо, сегодня пройдусь им…
Самое интересное в этой истории то, что я несколько недель назад слал письмо в яндекс о том, что мне пришел спам и я выдернул именно эту самую XSS из ссылок в нем. Через 2-е суток мне пришло письмо от яндекса, что мы спам не рассылаем и т.д. Я был просто в ступоре… Я им пишу про XSS на их сайте (код прилагал в письме), а мне пришла обычная отписка. Я повторно написал им, что раскройте глаза. Через сутки мне ответили, что передали мое письмо в нужный департамент.

Как показало время — письмо мое ушло, но скорее всего в trash.
я, конечно, не Яндекс, а Яндекс.Деньги. Но вдруг Вы писали и не Яндексу, а нам? Номер тикета дайте, пожалуйста, давайте мы внутри посмотрим, что там было, пообщаемся с человеком, который работал с этим письмом.
Заявление на восстановление доступа подали уже?
я его восстановил еще в день кражи
вот это бага, а не замена каринок на apple.com…
простите, все камменты не асилил. были ли вопросы, уважаемые %habrausers%, что делать тем, у кого яндекс кошелек прикручен к альфабанку? стоит ли паниковать?
Попробуйте рассуждать логично. Чем Ваша ситуация хуже, чем ситуация автора поста? Вот у Вас привязка к Альфе, да. Что можно сделать с Вашими деньгами, зная Ваш платёжный пароль? Правильно, вывести деньги на Вашу Альфу. Ну и какой вор будет этим заниматься? А вот если вор захочет вывести деньги в обменник, как он сделал в случае с автором поста, то при чём тут Ваша Альфа? Что она есть, что её нет — итог один.
Круто! Детективная история на Хабре продолжается! :) Надеюсь, удачно завершится!

P.S. Даже в Яндексе аудиторию Хабра называют «хабровчане», черт, блин, побери!(
Чувствуется, хабравчане раньше распутают дело, чем «специалисты»
придумают кучу вариантов, конечно, раньше. И так и будут висеть версии без доказательств.
Факты нам не доступны…
и я о том же. Как можно распутать историю, не зная фактов? Приятно, конечно, чувствовать себя Шерлоком Холмсом…
Яндекс НИКОГДА не признает своих ошибок, даже если все рунет будет тыкать на них — факт.

Почему факт? Ну, если они их признают, то их рейтинг спустится до такого минимума, что он придется попросту закрыть какие-то из сервисов (Яндекс.Деньги, например) так как люди перестанут ими пользоваться…

Это мое мнение
Вы неправы. Факт наличия данной уязвимости никто не оспаривал. Уязвимость закрыли. Я всего лишь объясняю Вам, что она не тех масштабов, о которых говорите Вы. Эта уязвимость давала возможность злоумышленнику читать чужую почту и удалять чужие письма, но не менять пароли и не пользоваться деньгами.
Я говорю вам еще, еще и еще раз — ни одна платежная система НИКОГДА не признает что у него уводили деньги через какую-то дыру в системе безопасности (если она была, конечно). НИКОГДА! Это будет обозначать ее полную потерю репутации и крах.

P.S. Я не говорю что у вас где есть еще одна дыра — не владею этой информацией. И я не обвиняю вас на 100% что у меня украли мои деньги по вашей вине. И я нигде не заявлял что у меня украли платежный пароль, путем увода cookie (об этом я вам уже писал). Со всеми предложениями/вопросами в ваш адрес стараюсь быть осторожным чтобы не обвинить вас в чем-то без доказательств (в принципе, я вас еще нигде не обвинял, на мой взгляд).
понимаете, было бы о чём говорить, если бы дыра была. Только вот её нету и говорить не о чем.
Я, кстати, не думаю, что стоило бы молчать, ЕСЛИ БЫ она была. Я как-то не верю в метод «не признавать реальность».
> понимаете, было бы о чём говорить, если бы дыра была. Только вот её нету и говорить не о чем.
Может показаться что этой фразой вы (как представитель яндекса) снимаете с себя всю вину, пользователь сам «потерял» все деньги.
Сохранность паролей — действительно ответственность пользователя. Вы сами комментарием ниже пишете о том, что куки не помогли бы украсть деньги — и правильно пишете. Данная история с XSS не имеет отношения к краже денег у данного пользователя, потому что для кражи денег и смены пароля надо было украсть пароль пользователя, куки не хватило бы. Поскольку нам известно, что злоумышленник смог сменить пароли и украсть деньги — мы можем быть уверены, что он украл именно пароли пользователя, а не куки. Так вот, когда у него уже есть пароли — ну зачем ему ещё и куки? Да незачем.
Я конечно не знаком с тонкостями устройства системы безопасности яндекс.денег, но думаю что просто одной XSS и украденных с помощью неё кукисов не достаточно чтобы после этого с легкостью увести все деньги. Значит было что-то ещё… Удачи в решени вопроса, слежу за ситуацией с вами.
Убийца находится в этой комнате! В смысле злоумышленник тоже читает хабр=)
Расскажу кратко и свою, не очень радостную историю. ЯД вывели через обменник в WM, WM (из Интернет-клуба) обналичили через обменник. Обращался в милицию. На официальный запрос (!!!) из милиции Яндекс.Деньги предоставил информацию через 14 (!!!) дней, когда стали известны данные от Яндекса — был отправлен запрос по внутренней почте WM о дальнейшей судьбе денег и все данные были предоставлены в течение пары часов (!!!). Но из-за такой задержки Яндекса не удалось поймать преступников, причём очень помогли бы записи с камер Интернет-клуба, но они хранились в течение 5 (!) дней… Был бы Яндекс порасторопнее — преступники были бы пойманы… :( Учись, Яндекс!
UFO just landed and posted this here
> Почему вы так решили?
Потому что пока Яндекс «думал 2 недели» — деньги вывели в обменике.
На незнакомые сайты нужно ходить чистым браузером в анонимном режиме.

В идеале — телнетом (-:
«New Incognito Window» в Google Chrome, очень удобно, кстати.
Сталкивался ранее с этим человеком, мой сайт хотел сломать:)))) Вот его данные(если погуглить можно много чего найти):

80980840841
80972131787
arscoolpost@mail.ru

зовут арсений
google -> '80980840841' -> click 1, click 2, click 3…
Avast: ALLERT TROJAN!!!

T_T
как-то познакомился с девушкой в одной из соц.сетей. оставила номер на 8 809. стало любопытно, что за оператор в нашей сети с таким кодом. оказалось — секс по телефону.
так что, 809 — это уже заведомо развод на бабки.
+380980840841
так устроит?:)
Sign up to leave a comment.

Articles