Так куда в итоге писать? — если мне известно о явно некорректном(баг\фича?) поведении системы Альфа-Бизнес онлайн(Россия)?
Я писал письмо — через почту с банком — попросил передать текст в СБ, но мне ответили, что то типа «не, это ошибка не у нас и т.д.», хотя, любой программист заметил бы, что проблема явно присутствует и на стороне Альфа-Банка тоже — поскольку вообще позволяет создать ситуацию явно некорректного поведения совсем не хитрым образом. Это может быть как и банальная проблемка с декодированием юникода и до blind sql injection. Копать глубоко не стал, дабы не "догнали и еще раз не вознаградили". Если здесь есть компетентный представитель — пишите в личку сообщение с подтверждением принадлежности к компании.
Получается Barebone с доставкой = 5 816,12 руб.
+ 300Mbit Wifi = 10$ ~350 руб.
+ HDD 2.5'' 1TB = ~ 2000 руб.
+ RAM 4GB = ~ 1400 руб
И того: 9500 руб
На маркете в эту стоимость что-то похожее есть, но как минимум — без двух LAN портов
Поставить туда XBMC Ubuntu (судя потому, что такие конфигурации продают готовые — ОС ставится норм) — + Пульт ДУ(от старой приставки) готовый медиаплеер.
+ поставить софт для хранения бэкапов (поэтому хочу hdd на 1тб, а не ssd, кстати он не будет перегреваться?)
+ торрентокачалку
+ два порта лан — как замена старому роутеру (если не заморачиваться с установкой хаба внутрь, то сверху на двусторонний скотч прилипить хаб +500руб.)
Я себе подыскиваю железку для замены медиаплеера(мучаюсь с дохленьким Toucan W), но это вообще мега вещь получается.
Никогда не заказывал на алиэкспресс… им нужно написать в примечании к товару, что хочу + вайфай 300mbit и 10 раз купить товар, который у них там по 1$?
Какие-то там комиссии будут еще сверху?
Очень интересный аппарат! Я правильно понимаю, что он нормально потянет одновременно работая роутером, торрентокачалкой и медиаплеером? Вы являетесь обладателем этой штуки?
Также вопрос по данному пункту пользовательского соглашения. Получается в бэкэнде использовать яндекс.карты запрещено?
Опишу конкретный кейз:
Допустим я делаю раздел бэкэнда для сайта, например… управление списком точек продаж. Для удобства контентщику — я вставляю яндекс карты, с поиском, чтобы он тыкнул на карту и координаты зафиксировались.
Это бэкэнд, и он по определению имеет ограниченный доступ. Таким образом использование яндекс.карт нарушает данный пункт и формально я должен быть забанен?
Спасибо за ответ.
Ожидание не так страшно, как многократное пересказывание своей истории, номеров счетов и других данных сотрудникам техподдержки на каждом уровне :( Очень хотелось бы, чтобы тех поддержка могла как-то фиксировать информацию от уровня к уровню и идентифицировать того же абонента по номеру.
Про 5 цифр, не исключаю, что мы просто не поняли друг друга с сотрудником техподдержки, хотя конечно эти 5 попыток — фактически последняя надежда не усугубить все.
По сценарию взлома — если бы можно было отследить историю — дату\время изменения платежного пароля, возможно стало бы понятнее, когда… что-то произошло. До этого платежный пароль вводился в системе только 8 дней назад — деньги можно было давно увести.
Очень странное совпадение… моя попытка оплатить и увод денег через 20 минут.
Почему вообще они смогли сделать платеж? Я же ввел несколько раз пароль неправильно? Кажется — аккаунт должно было заблокировать.
Еще странность, что злоумышленник действует под айпишником обычной домашней сети.
После восстановления пароля — первым делом перешел на SMS-пароли.
Сейчас задумался об идентификации аккаунта.
Смс-подтверждение(одноразовые пароли) это первое, что я включил, как удалось восстановить платежный пароль.
Наверное также стоит верифицировать аккаунт, чтобы не доказывать если что, что ты не верблюд.
Основная цель моего сообщения — для таких как я сам — показать, что вот денежки раз и «тютю заграницу» и никто Вам уже точно не поможет.
Яндекс неоднократно предлагал привязать телефон, но увы… было видимо лень(
Сумму денег там украли несерьезную, будем считать повезло.
У меня как раз сегодня в 7 утра по Москве украли деньги с яндекс.денег(
И я просто понятия не имею как это могло случится. ((( Пароль я этот «почти» нигде не использую больше, но уж точно не использую где-то сразу сочетание двух(ведь у меня сменили и основной и платежный пароль).
Хронология событий и предпринятые действия
(время Московское)
В 06:40 я пытаюсь оплатить домены, попадаю на яндекс, но мой платежный пароль не срабатывает. 5
раз и я в бане. Подумал я, что заработался… все-таки ночь не спал. Пошел завтракать…
В 08:00 решил повторить попытку оплатить домены… и опа… я деавторизован в самом яндексе. Пытаюсь авторизоваться под основным паролем — не пускает. Восстановил через секретный вопрос, сменил. Чуя неладное — попадаю в money.yandex.ru и… денег нет, осталось 16 с копейками рублей.
В истории вижу платеж совершен сегодня в 07:09 через paymaster.ru.
Пытаюсь просмотреть детали платежа — требует ввести платежный пароль. Он естественно не подходит, жму восстановить — пишет «Служба безопасности Яндекса заблокировала… тралала обратитесь вот ссылка». Заполняю форму.
Параллельно звоню в paymaster.ru — там мне ничем помочь не могут, пока не появится специалист «через час звоните».
Звоню в Яндекс.Деньги:
Поднимает трубку специалист — рассказываю ситуацию, задает вопросы, говорит — щас переключу на старшего специалиста. Время 9 утра, видимо специалист старший еще не доехал до работы… 25 минут ожидания на проводе… повесил трубку.
Жду 10 утра, звоню в paymaster… появился специалист… Отвечаю на вопросы, что нет, я не совершал платежи, не пополнял мобильник и про ваш сайт до сегодняшнего утра не знал.
У меня из данных точное время платежа, точная сумма. — но по этим данным они найти не могут мой платеж, нужен номер транзакции. Он есть в деталях платежа, который закрыт платежным паролем, который сменили мошенники и яндекс не дает мне его сменить самому.
Где-то там приходит ответ по почте от яндекса, уточняют данные.
Параллельно — звоню в яндекс.деньги. Повторно рассказываю всю ситуацию… переключают на старшего специалиста… долго жду — «алло». Описываю ситуацию еще раз… девушка что-то говорит, я не особо расслышал, но кажется она что-то пошла уточнять, я пытаюсь коечто спросить, но в трубке тишина… тишина длится 5-10 минут, надоело — вешаю трубку.
В параллель с разговором приходит письмо
По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.
Кроме того, Ваш счёт не идентифицирован, поэтому Ваш случай не подпадает под условия закона 161-ФЗ о возмещении ущерба.
Ок, в этом я особо и не сомневался.
В этот момент на сайте яндекс. деньги происходит что-то невообразимое. то пропадает баланс, то предлагает мне продолжить регистрацию кошелька… видимо ресетили там мой аккаунт… решил пока не трогать, наверное что-то делают.
Но мне все еще нужен номер транзакции, чтобы дальше выяснить — что случилось с деньгами. Звоню опять… попадаю на первого специалиста… описываю ситуацию… перекидывают на старшего… уже быстрее подходит… опять описываю ситуацию. Прошу номер транзакции из деталей платежа — не дают, с правилами сервиса не спорю.
Случается чудо… есть возможность восстановить платежный пароль… но нужно ввести код… девушка по телефону говорит 5 цифр. уточняю всего 5 или не менее 5ти(так написано на странице). Говорит ровно 5 — это меня очень сильно сбило с толку… после нескольких попыток ввел свой очень старый пароль больше 5 цифр и… ура подошло.
Лезу в детали — нашел номер транзакции и IP адрес
IP-адрес с которого совершен платеж: 78.137.24.136 Черкассы, Украина. McLaut ISP
(Немного радуюсь, что хотя бы IP не мой собственный… было бы очень сложно кому-либо что-то доказывать.)
Звоню в paymaster.ru — выясняю, что деньги ушли на телефон — Киевстар, ничего сделать они не могут, пишите в Webmoney.Telepay.UA (подсказали куда что нажать — чего писать). Отправил, пока ответа нет.
Параллельно связываюсь через ВК с Киевстаром (на сайте ниодного email?! ). Дают мне линк на форму обратной связи(плохо я видимо её искал). Отправил, пока ответа нет.
Думаю — как провайдеру написать… контакты не нахожу. Что еще сделать не представляю… позвонить на номер Киевстара?
Меня смущает очень одно. В 06:40 я пытался ввести платежный пароль и он не подошел. Хотя вводил я его скорее всего правильно. в 07:09 злоумышленник увел мои деньги. Совпадение ли? Мне кажется эти события связаны и именно в 06:40 каким-то образом угнали мой пароль, а далее совершили платеж.
Я проверил историю посещения сайтов в хроме:
В 06640 с сайта 2domains я четко попадаю на roboxchange.com он меня переадресовывает на яндекс.деньги. Домены везде верные — это точно не фишинг.
С сертификатом проблем не выскакивало, я бы уж точно заметил.
Попинговал money.yandex.ru, проверил hosts вроде везде ок все.
Пароли сменил, прадва не понятно есть ли в этом толк, т.к. как же именно меня взломали не понятно.
Параноик во мне говорит, что это MITM в 06:40, но логически очень сомневаюсь. Какие есть идеи?
Если верить вики — расстояние от Марса до Земли:
Минимальное: 55 760 000 км
Максимальное: 401 000 000 км
с = 299 792, 458 км / с — скорость света
путем не хитрых вычислений, получаем пинг:
минимальный 186 секунд
максимальный 1337 секунд
Т.е. пинг от 3 до 22 минут, в зависимости от «времени года».
И это теоретический предел при идеальных условиях — типа вакуума и т.д. В реальных видимо несколько хуже все.
Конечно, если вдруг ученые разбирутся с квантовой телепортацией или чем-то подобным, то все возможно))
Я писал письмо — через почту с банком — попросил передать текст в СБ, но мне ответили, что то типа «не, это ошибка не у нас и т.д.», хотя, любой программист заметил бы, что проблема явно присутствует и на стороне Альфа-Банка тоже — поскольку вообще позволяет создать ситуацию явно некорректного поведения совсем не хитрым образом. Это может быть как и банальная проблемка с декодированием юникода и до blind sql injection. Копать глубоко не стал, дабы не "догнали и еще раз не вознаградили". Если здесь есть компетентный представитель — пишите в личку сообщение с подтверждением принадлежности к компании.
Насколько будет буквальной фраза «Чуваки, чет я вайфай потерял»?
+ 300Mbit Wifi = 10$ ~350 руб.
+ HDD 2.5'' 1TB = ~ 2000 руб.
+ RAM 4GB = ~ 1400 руб
И того: 9500 руб
На маркете в эту стоимость что-то похожее есть, но как минимум — без двух LAN портов
Поставить туда XBMC Ubuntu (судя потому, что такие конфигурации продают готовые — ОС ставится норм) — + Пульт ДУ(от старой приставки) готовый медиаплеер.
+ поставить софт для хранения бэкапов (поэтому хочу hdd на 1тб, а не ssd, кстати он не будет перегреваться?)
+ торрентокачалку
+ два порта лан — как замена старому роутеру (если не заморачиваться с установкой хаба внутрь, то сверху на двусторонний скотч прилипить хаб +500руб.)
Я себе подыскиваю железку для замены медиаплеера(мучаюсь с дохленьким Toucan W), но это вообще мега вещь получается.
Никогда не заказывал на алиэкспресс… им нужно написать в примечании к товару, что хочу + вайфай 300mbit и 10 раз купить товар, который у них там по 1$?
Какие-то там комиссии будут еще сверху?
beta.hstor.org/files/449/af4/731/449af4731dbf40d7be9bce27178ab984.png
Получается в бэкэнде использовать яндекс.карты запрещено?
Опишу конкретный кейз:
Допустим я делаю раздел бэкэнда для сайта, например… управление списком точек продаж. Для удобства контентщику — я вставляю яндекс карты, с поиском, чтобы он тыкнул на карту и координаты зафиксировались.
Это бэкэнд, и он по определению имеет ограниченный доступ. Таким образом использование яндекс.карт нарушает данный пункт и формально я должен быть забанен?
Ожидание не так страшно, как многократное пересказывание своей истории, номеров счетов и других данных сотрудникам техподдержки на каждом уровне :( Очень хотелось бы, чтобы тех поддержка могла как-то фиксировать информацию от уровня к уровню и идентифицировать того же абонента по номеру.
Про 5 цифр, не исключаю, что мы просто не поняли друг друга с сотрудником техподдержки, хотя конечно эти 5 попыток — фактически последняя надежда не усугубить все.
По сценарию взлома — если бы можно было отследить историю — дату\время изменения платежного пароля, возможно стало бы понятнее, когда… что-то произошло. До этого платежный пароль вводился в системе только 8 дней назад — деньги можно было давно увести.
Очень странное совпадение… моя попытка оплатить и увод денег через 20 минут.
Почему вообще они смогли сделать платеж? Я же ввел несколько раз пароль неправильно? Кажется — аккаунт должно было заблокировать.
Еще странность, что злоумышленник действует под айпишником обычной домашней сети.
После восстановления пароля — первым делом перешел на SMS-пароли.
Сейчас задумался об идентификации аккаунта.
Наверное также стоит верифицировать аккаунт, чтобы не доказывать если что, что ты не верблюд.
Основная цель моего сообщения — для таких как я сам — показать, что вот денежки раз и «тютю заграницу» и никто Вам уже точно не поможет.
Яндекс неоднократно предлагал привязать телефон, но увы… было видимо лень(
Сумму денег там украли несерьезную, будем считать повезло.
И я просто понятия не имею как это могло случится. ((( Пароль я этот «почти» нигде не использую больше, но уж точно не использую где-то сразу сочетание двух(ведь у меня сменили и основной и платежный пароль).
В 06:40 я пытаюсь оплатить домены, попадаю на яндекс, но мой платежный пароль не срабатывает. 5
раз и я в бане. Подумал я, что заработался… все-таки ночь не спал. Пошел завтракать…
В 08:00 решил повторить попытку оплатить домены… и опа… я деавторизован в самом яндексе. Пытаюсь авторизоваться под основным паролем — не пускает. Восстановил через секретный вопрос, сменил. Чуя неладное — попадаю в money.yandex.ru и… денег нет, осталось 16 с копейками рублей.
В истории вижу платеж совершен сегодня в 07:09 через paymaster.ru.
Пытаюсь просмотреть детали платежа — требует ввести платежный пароль. Он естественно не подходит, жму восстановить — пишет «Служба безопасности Яндекса заблокировала… тралала обратитесь вот ссылка». Заполняю форму.
Параллельно звоню в paymaster.ru — там мне ничем помочь не могут, пока не появится специалист «через час звоните».
Звоню в Яндекс.Деньги:
Поднимает трубку специалист — рассказываю ситуацию, задает вопросы, говорит — щас переключу на старшего специалиста. Время 9 утра, видимо специалист старший еще не доехал до работы… 25 минут ожидания на проводе… повесил трубку.
Жду 10 утра, звоню в paymaster… появился специалист… Отвечаю на вопросы, что нет, я не совершал платежи, не пополнял мобильник и про ваш сайт до сегодняшнего утра не знал.
У меня из данных точное время платежа, точная сумма. — но по этим данным они найти не могут мой платеж, нужен номер транзакции. Он есть в деталях платежа, который закрыт платежным паролем, который сменили мошенники и яндекс не дает мне его сменить самому.
Где-то там приходит ответ по почте от яндекса, уточняют данные.
Параллельно — звоню в яндекс.деньги. Повторно рассказываю всю ситуацию… переключают на старшего специалиста… долго жду — «алло». Описываю ситуацию еще раз… девушка что-то говорит, я не особо расслышал, но кажется она что-то пошла уточнять, я пытаюсь коечто спросить, но в трубке тишина… тишина длится 5-10 минут, надоело — вешаю трубку.
В параллель с разговором приходит письмо
Ок, в этом я особо и не сомневался.
В этот момент на сайте яндекс. деньги происходит что-то невообразимое. то пропадает баланс, то предлагает мне продолжить регистрацию кошелька… видимо ресетили там мой аккаунт… решил пока не трогать, наверное что-то делают.
Но мне все еще нужен номер транзакции, чтобы дальше выяснить — что случилось с деньгами. Звоню опять… попадаю на первого специалиста… описываю ситуацию… перекидывают на старшего… уже быстрее подходит… опять описываю ситуацию. Прошу номер транзакции из деталей платежа — не дают, с правилами сервиса не спорю.
Случается чудо… есть возможность восстановить платежный пароль… но нужно ввести код… девушка по телефону говорит 5 цифр. уточняю всего 5 или не менее 5ти(так написано на странице). Говорит ровно 5 — это меня очень сильно сбило с толку… после нескольких попыток ввел свой очень старый пароль больше 5 цифр и… ура подошло.
Лезу в детали — нашел номер транзакции и IP адрес
IP-адрес с которого совершен платеж: 78.137.24.136 Черкассы, Украина. McLaut ISP
(Немного радуюсь, что хотя бы IP не мой собственный… было бы очень сложно кому-либо что-то доказывать.)
Звоню в paymaster.ru — выясняю, что деньги ушли на телефон — Киевстар, ничего сделать они не могут, пишите в Webmoney.Telepay.UA (подсказали куда что нажать — чего писать). Отправил, пока ответа нет.
Параллельно связываюсь через ВК с Киевстаром (на сайте ниодного email?! ). Дают мне линк на форму обратной связи(плохо я видимо её искал). Отправил, пока ответа нет.
Думаю — как провайдеру написать… контакты не нахожу. Что еще сделать не представляю… позвонить на номер Киевстара?
Меня смущает очень одно. В 06:40 я пытался ввести платежный пароль и он не подошел. Хотя вводил я его скорее всего правильно. в 07:09 злоумышленник увел мои деньги. Совпадение ли? Мне кажется эти события связаны и именно в 06:40 каким-то образом угнали мой пароль, а далее совершили платеж.
Я проверил историю посещения сайтов в хроме:
В 06640 с сайта 2domains я четко попадаю на roboxchange.com он меня переадресовывает на яндекс.деньги. Домены везде верные — это точно не фишинг.
С сертификатом проблем не выскакивало, я бы уж точно заметил.
Попинговал money.yandex.ru, проверил hosts вроде везде ок все.
Пароли сменил, прадва не понятно есть ли в этом толк, т.к. как же именно меня взломали не понятно.
Параноик во мне говорит, что это MITM в 06:40, но логически очень сомневаюсь. Какие есть идеи?
Минимальное: 55 760 000 км
Максимальное: 401 000 000 км
с = 299 792, 458 км / с — скорость света
путем не хитрых вычислений, получаем пинг:
минимальный 186 секунд
максимальный 1337 секунд
Т.е. пинг от 3 до 22 минут, в зависимости от «времени года».
И это теоретический предел при идеальных условиях — типа вакуума и т.д. В реальных видимо несколько хуже все.
Конечно, если вдруг ученые разбирутся с квантовой телепортацией или чем-то подобным, то все возможно))
Вот я об этом и говорю, особой нужды нет, но стоило бы дешевле — покупал бы ведь.