а я вот вообще не думаю, что данный XSS имеет отношение к нашей истории. Я полагаю, что это просто совпадение.
Совершить кражу с одними только куками невозможно.
ну, это Вы пишете, что Вы не смогли. Но Вы не пишете, почему — а я как раз объяснила, почему: потому что это в принципе невозможно в ситуации с кражей куки.
доказательством того, что пишущий нам человек и есть владелец счёта, может быть разве что третий пункт. Беда в том, что нам не очень хочется доказывать в суде, что мы отдали данные кому-то по той причине, что у него айпи совпал с тем, с которого совершались все платежи. Мы действительно не имеем права распространять конфиденциальную информацию. Мы просто соблюдаем законы, ничего более.
А почему Вы тут не написали, что эта штука ворует только cookie, причём только на вход в яндекс, но не платёжную? И что даже если бы была украдена платёжная cookie, то совершить по ней платёж было бы нельзя — можно было бы только посмотреть Вашу историю платежей? Я же Вам всё это писала в личку.
1. Каким образом вы «проводили расследование»? Прочитали сообщение и copypaste из инструкции?!
— Конечно, не только. Проверили, с какого айпи совершён платёж и куда ушли деньги, а дальше — можно ли их вернуть. Как выясняется, можно ли вернуть — это конфиденциальная информация. Иногда, кстати, очень обидно: за десять минут становится ясно, что дело на 100% для милиции и мы ничего уже сделать не можем — и вот сидим и думаем, сейчас напишем пользователю — он решит, что мы ничего не делали :( а мы просто уже знаем результат.
2. Почему мне, владельцу аккаунта, не дают никакой информации о том, как сменили мой пароль от аккаунта, с какого ip заходили, пытались ли как-то злоумышленники восстановить мой платежный пароль?
— Потому что мы такую информацию не пересылаем по электронной почте. Вам уже в предыдущих топиках это объясняли другие хабровчане.
3. Были ли попытки ввода неверного платежного пароля?
— Это не имеет значения.
4. Почему платежный пароль НЕ менялся после взлома? (Был изменен только пароль на аккаунт + дополнительный e-mail...)
— Это распространённый способ действия. Я не была в голове у злоумышленника, но предполагаю, что он просто не стал заморачиваться. Один пароль на вход поменял -и хватит.
5. Почему эта информация является «СВЕРХКОНФИДЕНЦИАЛЬНОЙ» (да-да, капсом), которая доступна ТОЛЬКО сотрудникам Яндекса и милиции?!
— Вот даже и не знаю, как объяснить, почему информация конфиденциальная. Вот почему ФИО владельца аккаунта конфиденциальная информация? А сумма его последнего платежа за МТС почему конфиденциальная информация, может, там всего 10 рублей, тоже мне секрет?
ну да, но мы же Вам об этом с самого начала сказали — что должны именно они :)
Наши рекомендации помогали составить люди с опытом работы в правоохранительных органах.
Про последние платежи забыла ответить в первом же топике, простите, пожалуйста.
Блок называется «Повторить последние платежи». Там только платежи, доступные для повтора. Платежи в обменники для повтора недоступны, как и некоторые другие виды платежей — зависит от настроек «магазина» (обобщённое наименование контрагентов).
Я вот только не совсем поняла.
***
1. Нужно написать заявление о краже в районное Управление Внутренних Дел (УВД) (по месту вашего проживания) на имя начальника этого районного УВД.
2. К заявлению приложить «объяснение» в котором нужно четко изложить когда был создан кошелек, для каких целей использовался, когда приходили деньги, когда уходили деньги. Указать с кем связывался по поводу возврата денег. Давали ли кому-нибудь пароли от кошелька.
3. Приложить скриншот с историей заходов, а так же скриншоты с деталями всех несанкционированных переводов. Как мне сказали, скриншоты заверять у нотариуса НЕ НУЖНО.
***
Это очень близко по тексту к тому, что мы Вам прислали с самого начала. Вы нам не поверили, да?..
смешно написала «по запросу тому, кто не знает, как писать запрос». Имела в виду — если сотрудник пишет или звонит и говорит «не знаю, как вам писать официальный запрос», мы даём ему подробные рекомендации.
погодите, а чего не хватает? :)
Давайте попробую ещё раз :)
Мы сдаём милиции все данные, которые есть в нашем распоряжении — например, айпи-адреса, куда ушли деньги и так далее. На следующем шаге (куда ушли деньги) милиция также выясняет айпи-адреса и прочее. И дальше уже милиция разбирается, смогут ли они по этим данным найти живого человека в оффлайне или не смогут.
Ситуации бывают очень разными. Бывают случаи, когда «следов» очень много, бывают — когда почти нет. К каким относится данный случай, я говорить не вправе.
А вот это уже конфиденциальная информация. Я знаю ответ на эти вопросы, но сообщать, как я его получила и какой этот ответ, к сожалению, правда не имею права. Ответ был в нашем распоряжении ДО того, как началось обсуждение «локалхоста».
цепочка состоит из одного шага: деньги находятся в системе Webmoney. Остальные вопросы стоило бы задать Webmoney. Однако по опыту я знаю, что в данном случае пользователю нужно именно обращаться в милицию, арбитраж ему сейчас не поможет.
наше расследование было проведено до того, как этот топик вообще появился. Оно закончено. Всё, теперь уже только милиция может помочь. У нас для милиции всё готово.
Совершить кражу с одними только куками невозможно.
— Конечно, не только. Проверили, с какого айпи совершён платёж и куда ушли деньги, а дальше — можно ли их вернуть. Как выясняется, можно ли вернуть — это конфиденциальная информация. Иногда, кстати, очень обидно: за десять минут становится ясно, что дело на 100% для милиции и мы ничего уже сделать не можем — и вот сидим и думаем, сейчас напишем пользователю — он решит, что мы ничего не делали :( а мы просто уже знаем результат.
2. Почему мне, владельцу аккаунта, не дают никакой информации о том, как сменили мой пароль от аккаунта, с какого ip заходили, пытались ли как-то злоумышленники восстановить мой платежный пароль?
— Потому что мы такую информацию не пересылаем по электронной почте. Вам уже в предыдущих топиках это объясняли другие хабровчане.
3. Были ли попытки ввода неверного платежного пароля?
— Это не имеет значения.
4. Почему платежный пароль НЕ менялся после взлома? (Был изменен только пароль на аккаунт + дополнительный e-mail...)
— Это распространённый способ действия. Я не была в голове у злоумышленника, но предполагаю, что он просто не стал заморачиваться. Один пароль на вход поменял -и хватит.
5. Почему эта информация является «СВЕРХКОНФИДЕНЦИАЛЬНОЙ» (да-да, капсом), которая доступна ТОЛЬКО сотрудникам Яндекса и милиции?!
— Вот даже и не знаю, как объяснить, почему информация конфиденциальная. Вот почему ФИО владельца аккаунта конфиденциальная информация? А сумма его последнего платежа за МТС почему конфиденциальная информация, может, там всего 10 рублей, тоже мне секрет?
К сожалению. Информация о работе службы безопасности конфиденциальна.
Наши рекомендации помогали составить люди с опытом работы в правоохранительных органах.
Блок называется «Повторить последние платежи». Там только платежи, доступные для повтора. Платежи в обменники для повтора недоступны, как и некоторые другие виды платежей — зависит от настроек «магазина» (обобщённое наименование контрагентов).
***
1. Нужно написать заявление о краже в районное Управление Внутренних Дел (УВД) (по месту вашего проживания) на имя начальника этого районного УВД.
2. К заявлению приложить «объяснение» в котором нужно четко изложить когда был создан кошелек, для каких целей использовался, когда приходили деньги, когда уходили деньги. Указать с кем связывался по поводу возврата денег. Давали ли кому-нибудь пароли от кошелька.
3. Приложить скриншот с историей заходов, а так же скриншоты с деталями всех несанкционированных переводов. Как мне сказали, скриншоты заверять у нотариуса НЕ НУЖНО.
***
Это очень близко по тексту к тому, что мы Вам прислали с самого начала. Вы нам не поверили, да?..
У нас есть инструкция для пользователя по обращению в милицию, её пользователю направили сразу же.
У нас есть инструкция для милиции, её высылают по запросу любому сотруднику милиции, который не знает, как написать запрос.
И то, и другое писали люди с опытом работы не только с правоохранительными органами, но и в правоохранительных органах.
Давайте попробую ещё раз :)
Мы сдаём милиции все данные, которые есть в нашем распоряжении — например, айпи-адреса, куда ушли деньги и так далее. На следующем шаге (куда ушли деньги) милиция также выясняет айпи-адреса и прочее. И дальше уже милиция разбирается, смогут ли они по этим данным найти живого человека в оффлайне или не смогут.
Ситуации бывают очень разными. Бывают случаи, когда «следов» очень много, бывают — когда почти нет. К каким относится данный случай, я говорить не вправе.