Не обязательно бесплатно, как выясняется. И не понял, как кто-то на продукте кто-то может зарабатывать, если продукт — к примеру сайт защиты пострадавшим от домашнего насилия?
Личность владельца при регистрации домена не подтверждается и данные не проверяются. И нужно пройти процедуру идентификации: онлайн, по электронной почте или по факсу, можно привезти лично или отправить почтой требуемую форму. Вероятно, вы всё-таки какие-либо документы загружали.
А оформление «Заявления на передачу прав online» требуется именно для передачи прав, а не смены регистратора.
По просьбе ЯД добавлен апдейт к посту. В апдейте более компетентный сотрудник дала вполне конкретную информацию, которую упёршийся veitmen не желает замечать. А именно:
Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013.
Без всяких «теоретически» и даже без «могла». «Получили возможность». Но даже без этого апдейта, вы правы, достаточно слова «могла». Даже возможность утечки, которую не допустила отнюдь не СБ, это уже очень и очень серьёзно. Но я думаю, что уже все необходимые меры приняты и наведён шорох. Может будет наведён и порядок.
Вы, видимо, плохо понимаете русский язык. Сотрудник ЯД написала: с Вами бы связались юристы Вы бы (лично Вы — совершенно точно) об этом узнали
Лично я. Не компания, не юридическое лицо. А лично я.
Вы влезли с глупым комментарием, что узнали бы по логам. Но, повторяю, в ЯД по логам лично обо мне (а речь сотрудник вела лично обо мне!) в ЯД никогда бы не узнали, если бы я не захотел. Узнали бы о компании, да. Но на каком этапе произошла утечка ключа и к кому он утёк — доказать никогда бы не смогли, как не смогли бы доказать и вину компании, кому они передали ключ. Вина — только на ЯД, что они дали доступ (замечу, не только по нашему ключу, как вы тут неправильно поняли — читайте апдейт к посту!). И они этого, замечу, не отрицают.
Вам стоит признать, что вы ошиблись.
А что до договора, то вы его вообще видели? Я его читал. Пожалуйста, лично Вы сообщите мне пункт в нашем договоре с Яндекс.Деньги (хехе) какой именно пункт был бы нарушен, если бы я выгрузил и если бы использовал предоставленные мне статистикой ЯД данные. Не знаете? Не читали наш договор с ЯД? Тогда разговор считаю закрытым.
Это вы сейчас — как маленький. В логах написано моё имя? Они бы узнали по логам, что для аутентификации использовался сертификат нашей компании и некий IP, возможно китайского прокси, с которого был доступ. Заметили это они бы не сразу, далеко не сразу, если бы вообще заметили. Так что, повторяю, кто конкретно выгрузил все данные по ключу нашей компании — они бы никогда не узнали. Доступ к ключу имеет ограниченный круг лиц в компании, да. Но это не только я лично один, но и отдел обработки платежей, теоретически, старшие администраторы компании и администраторы офиса, а так же их руководство тоже могли бы получить доступ к ключу. Разумеется, и я тоже. Более того, сертификат пересылался по обычной почте. И утечка могла быть допущена при передаче. Эти почтовые серверы… ну вы понимаете.
Вот Вы упорный. Уже сотрудница ЯДа написала, что: Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
А Вы продолжаете настаивать, что такая ошибка коснулась только меня. Внимательнее читайте комментарии оппонента, я час назад специально для вас этот момент отметил.
Если бы я хотел, чтобы данные утекли — я (лично я) бы никогда не написал этот пост на Хабре. И вы бы (не лично вы, а сотрудники Яндекс.Денег) никогда бы не узнали, кто конкретно выгрузил все данные по ключу нашей компании. А скорее всего, вы бы даже никогда и не заметили бы, что данные были выгружены. Вы же не заметили, что кто-то получил доступ к тем платежам, к которым не должен был получить, верно?
Да, возможно это была бы юридическая проблема. Возможно юристы вашей компании связались бы с юристами нашей компании. Но была бы проблема для компании, а не для меня лично. Так что лично со мной, совершенно точно, Ваши юристы бы никогда не связались.
Ну что за мода у вас вести дискуссию, я не пойму. Вы легко умудряетесь достигнутые другим сотрудником ЯД мир и дружбу разрушить такими примитивными намёками… Я в вас лично окончательно разочаровался, пожалуйста, не надо мне писать.
Ещё раз извините, что не буду в очередной раз писать вам, что такое личная информация пользователей и что у нескольких мерчантов (и вы это подвердили) был доступ ко статистике всех платежей. Преувеличивать опасность утечки нечего, она и так значительна.
Но вы меня победили, я не хочу с вами что-либо обсуждать.
Погрозить пальчиками юристов клиенту, высказывающему претензии — отличный ход, браво, сотрудник Яндекс.Денег!
Простите, но я впредь остерегусь вам лично отвечать. Мало ли что.
Статистика содержала номера телефонов, емейлы, номера кошельков, товары и услуги вообще всех платежей за длительный период, сделанных через Яндекс.Деньги. Это опасно, в том числе и для пользователей. Пожалуйста, перестаньте утверждать очевидную нелепость. Выше этот вопрос подняли и обсудили, предложив несколько вариантов использования скомпрометированной статистике платежей Яндекс.Денег.
> Я читала все комментарии Дмитрия... >Коммерческий отдел разбирается, Вам вернут деньги (???), если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе (???).
Я же дал точную цитату слов Дмитрия: А по кейсу «с мая» разберемся, очень любопытно.
Вы не читали комментарии Дмитрия. Ни о каком возврате денег, тем более в течение недели речь не шла. Вы не правильно поняли как саму проблему, так и ситуацию. Извините, если это выглядит переходом на личности, это не переход на личности.
5. И дополню. Kirby тут подтвердила, что возможность получить те же данные была не только у меня: Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
И, по её словам, в их логах видно, что они доступ не получали. Вопрос только как часто ротируются эти логи и можно ли верить им.
Возможно, я слишком агрессивен, да. И проблема для меня была решена действительно через несколько часов после публикации — после этого я перестал следить за комментариями. А тем временем, сотрудник Kirby в паблике начала пассажи на тему «хотела бы всё-таки дождаться автора, чтобы он подтвердил, что мы не динамили его неделями». Это вынудило меня вмешаться, чего у меня, откровенно говоря, никакого желания не было делать. Мне просто не нравится, когда передёргивают мои слова, пытаются на меня перевести стрелки и делают вид, что ничего не произошло. Тогда как произошло. И именно осознание опасности допущенной утечки — это и есть «почва под ногами». Мне так кажется, что вы тоже поняли важность данных, к которым был доступ. Так что же продолжаете меня спрашивать про почву?
Не вижу что тут обсуждать. Технические моменты можно продолжить здесь в другой ветке.
Вроде как тут принято идентифицироваться по никам? ОК, вы не знакомы с этим сотрудником ЯД, какое это имеет значение вообще, верно?
Если вам интересно обсудить технические детали — давайте сделаем это в одной ветке. Только без «блинов».
1. Пожалуйста, ещё раз перечтите один из вариантов официального ответа сотрудников ЯД: Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
Стало понятнее? Это раз.
2. Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.
3. Мы с вами видим логи? Нет, и не увидим. Стал бы сообщать нам сотрудник ЯД, если бы выяснилось, что десятки мерчантов просматривали записи? Нет.
4. Технически, система позволяла простому мерчанту увидеть все платежи, это и есть дырища, об этом я и пытаюсь донести свою мысль. А Kirby пишет, что «утечки не произошло». Мол, ничего страшного. А утверждать такое, на мой взгляд, нелепо.
Не обязательно бесплатно, как выясняется. И не понял, как кто-то на продукте кто-то может зарабатывать, если продукт — к примеру сайт защиты пострадавшим от домашнего насилия?
А оформление «Заявления на передачу прав online» требуется именно для передачи прав, а не смены регистратора.
Несколько мерчантов (меньше пяти) получили на несколько часов возможность просмотра не предназначенной для них информации по причине ошибки в новом релизе статистики от 17.09.2013.
Без всяких «теоретически» и даже без «могла». «Получили возможность». Но даже без этого апдейта, вы правы, достаточно слова «могла». Даже возможность утечки, которую не допустила отнюдь не СБ, это уже очень и очень серьёзно. Но я думаю, что уже все необходимые меры приняты и наведён шорох. Может будет наведён и порядок.
с Вами бы связались юристы
Вы бы (лично Вы — совершенно точно) об этом узнали
Лично я. Не компания, не юридическое лицо. А лично я.
Вы влезли с глупым комментарием, что узнали бы по логам. Но, повторяю, в ЯД по логам лично обо мне (а речь сотрудник вела лично обо мне!) в ЯД никогда бы не узнали, если бы я не захотел. Узнали бы о компании, да. Но на каком этапе произошла утечка ключа и к кому он утёк — доказать никогда бы не смогли, как не смогли бы доказать и вину компании, кому они передали ключ. Вина — только на ЯД, что они дали доступ (замечу, не только по нашему ключу, как вы тут неправильно поняли — читайте апдейт к посту!). И они этого, замечу, не отрицают.
Вам стоит признать, что вы ошиблись.
А что до договора, то вы его вообще видели? Я его читал. Пожалуйста, лично Вы сообщите мне пункт в нашем договоре с Яндекс.Деньги (хехе) какой именно пункт был бы нарушен, если бы я выгрузил и если бы использовал предоставленные мне статистикой ЯД данные. Не знаете? Не читали наш договор с ЯД? Тогда разговор считаю закрытым.
Пожалуйста, думайте, прежде чем писать комментарии. Надеюсь, после моего объяснения вам стало понятнее, что сотрудники Яндекс.Денег никогда бы не узнали, кто конкретно выгрузил все данные по ключу нашей компании. Это просто технически невозможно.
Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
А Вы продолжаете настаивать, что такая ошибка коснулась только меня. Внимательнее читайте комментарии оппонента, я час назад специально для вас этот момент отметил.
Да, возможно это была бы юридическая проблема. Возможно юристы вашей компании связались бы с юристами нашей компании. Но была бы проблема для компании, а не для меня лично. Так что лично со мной, совершенно точно, Ваши юристы бы никогда не связались.
Ну что за мода у вас вести дискуссию, я не пойму. Вы легко умудряетесь достигнутые другим сотрудником ЯД мир и дружбу разрушить такими примитивными намёками… Я в вас лично окончательно разочаровался, пожалуйста, не надо мне писать.
Но вы меня победили, я не хочу с вами что-либо обсуждать.
Простите, но я впредь остерегусь вам лично отвечать. Мало ли что.
>Коммерческий отдел разбирается, Вам вернут деньги (???), если я правильно понимаю, о чём идёт речь. Насколько я понимаю, на этой неделе (???).
Я же дал точную цитату слов Дмитрия: А по кейсу «с мая» разберемся, очень любопытно.
Вы не читали комментарии Дмитрия. Ни о каком возврате денег, тем более в течение недели речь не шла. Вы не правильно поняли как саму проблему, так и ситуацию. Извините, если это выглядит переходом на личности, это не переход на личности.
Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза. Но не делала. Всё это видно в логах.
И, по её словам, в их логах видно, что они доступ не получали. Вопрос только как часто ротируются эти логи и можно ли верить им.
Не вижу что тут обсуждать. Технические моменты можно продолжить здесь в другой ветке.
Если вам интересно обсудить технические детали — давайте сделаем это в одной ветке. Только без «блинов».
Я поговорила со всеми разработчиками, говорят вот что. Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
Стало понятнее? Это раз.
2. Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.
3. Мы с вами видим логи? Нет, и не увидим. Стал бы сообщать нам сотрудник ЯД, если бы выяснилось, что десятки мерчантов просматривали записи? Нет.
4. Технически, система позволяла простому мерчанту увидеть все платежи, это и есть дырища, об этом я и пытаюсь донести свою мысль. А Kirby пишет, что «утечки не произошло». Мол, ничего страшного. А утверждать такое, на мой взгляд, нелепо.