Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 121
ну тут в принципе не массовый 5 сообщений за неделю, не факт что они сам где-то лажанулись и позволили увести их пароль. какой-нибудь троян дома или на работе. Ну а при отсутсвии подтверждения платежа с помощью кода по смс (как в большинстве платежных систем и банков) увести деньги ноу проблем как говориться!
Наверняка по сети ходит хороший троян, уносящий пароли от кошельков. Чего тут удивительного? WM в своё время с таким сталкивались уже (да и сейчас сталкиваются).
Решения простые — смартфон, а лучше — запускать браузер на далеком-далеком FreeBSDшном/Linux'овом сервере и производить операции по VNC (ну или по xrdp).
Решения простые — смартфон, а лучше — запускать браузер на далеком-далеком FreeBSDшном/Linux'овом сервере и производить операции по VNC (ну или по xrdp).
Не только трояны но и парсеры логов, авто чекеры под нас и прочий инструментарий.
Со смартфоном есть тонкость. Если утеряешь смартфон, то потеряешь и кошелёк. Сама программа-то там под паролем, но сразу становится ясно, что есть счёт на Qiwi и мудрый злоумышленник тут же запросит восстановление пароля, который придёт на этот самый смартфон. Да, можно симку заблокировать, но на
то время нужно.
то время нужно.
Хм. А почему не держать симку от кошелька и программу в разных аппаратах)? Или симку вообще положить в стол. Если в кошельке действительно ходят деньги, а не мелочь на оплату мобильника и инета раз в месяц.
Смысл теряется :) Я киви активно использую и на телефоне и дома и на работе — мне два телефона таскать?
Оптимально было бы сделать так, чтобы для восстановления пароля было бы не достаточно телефона. Например требовать подтверждения по e-mail. Сейчас получается, что утеря тефлона равноценна потере кошелька.
Оптимально было бы сделать так, чтобы для восстановления пароля было бы не достаточно телефона. Например требовать подтверждения по e-mail. Сейчас получается, что утеря тефлона равноценна потере кошелька.
Чтобы пользоваться кошельком — не нужно втыкать эту же симку в телефон. Положите дома симку, к которой привязан кошелек, а сами пользуйтесь со своего телефона.
Я просто предложил самый безопасный вариант — вряд ли на телефон, на котором из софта стоит только кошелек, используемый только для работы с кошельком, обновляемым только из маркета сможет попасть троян.
Я просто предложил самый безопасный вариант — вряд ли на телефон, на котором из софта стоит только кошелек, используемый только для работы с кошельком, обновляемым только из маркета сможет попасть троян.
К тому же стоимость аппаратов с андроидом сейчас стала такой, что его можно купить, положить в сейф и использовать только для одной цели без какого-либо ущерба бюджету.
У меня вот Зевс остался, андроид 2.3, одна трещина и его никто за $100 не захотел покупать потому что «дорого».
У меня вот Зевс остался, андроид 2.3, одна трещина и его никто за $100 не захотел покупать потому что «дорого».
Скорее всего пользователи сами виноваты, троянов и вирусов нахватали.
Если не ошибаюсь exUSSR на первом либо в лидерах по процентному соотношению зараженных компьютеров пользователей.
И самое обидно сколько раз не говоришь не делай то, не делай се, пофиг все равно, постоянно заражаются.
Я когда раньше больше пользовался windows, даже антивируса не держал(не сильно мощный комп был, и любые дополнительные тормоза нервировали), и ни разу ничем не заразился, периодически скачивал бесплатные утилиты разовой проверки для профилактики.
Если не ошибаюсь exUSSR на первом либо в лидерах по процентному соотношению зараженных компьютеров пользователей.
И самое обидно сколько раз не говоришь не делай то, не делай се, пофиг все равно, постоянно заражаются.
Я когда раньше больше пользовался windows, даже антивируса не держал(не сильно мощный комп был, и любые дополнительные тормоза нервировали), и ни разу ничем не заразился, периодически скачивал бесплатные утилиты разовой проверки для профилактики.
При чем тут вирус-то? Там, на форуме портала nag.ru, парень конкретно пишет, что у него клиент на iPhone и убунта дома.
Ну я только предположил, а не говорил что это единственная правильная версия.
Украсть пароль под убунтой ещё проще, если этот человек не думает головой.
По сети ходит gxneur, который шлет куда-то кейлог.
Другое дело, что в репозиториях такого нет. Но у нас как… Поставили убунту и пошли на торренты искать под неё софт.
По сети ходит gxneur, который шлет куда-то кейлог.
Другое дело, что в репозиториях такого нет. Но у нас как… Поставили убунту и пошли на торренты искать под неё софт.
Это вы так, чтобы разговор поддержать или реально думаете, что украсть пароль под убунтой проще, чем под виндой?
Да нет, это я основываюсь на почти 6 годах использования убунты. Попенсорц жеж. И архитектура всех приложений и иксов достаточно прозрачна.
В общем отключенному мозгу наличие убунты не поможет.
В общем отключенному мозгу наличие убунты не поможет.
а вы реально думаете что 5 юзеров за 10 дней это эпидемия? Мы не знаем что было у автора поста, но остальные отписавшиеся не внушают доверия.
Офтопик.
А это «На этой странице собрана наилучшая информация в интернете по проблеме «Массовый взлом QIWI-кошельков»» для поисковиков?
А это «На этой странице собрана наилучшая информация в интернете по проблеме «Массовый взлом QIWI-кошельков»» для поисковиков?
> в комментариях открываем горячую линию с жалобами на QIWI
у них что коллапс? или хабр теперь форум? бред.
у них что коллапс? или хабр теперь форум? бред.
А вот интересно новый закон «О национальной платежной системе» прописывает какую не то ответственность платежных систем за потерю денег своего клиента?
Еще раз перечитал топик. Держать на киви-кошельке 485 126,50 рублей — IMHO верх безумства. о.0
Роман Абрамович на мобилу себе откуда по вашему деньги кидает?
Может быть, к кошельку была привязана пластиковая карта? Иначе как вообще можно закинуть через терминал такую сумму?
Лично видел как суммами по 14 тыс человек вводил по пол миллиона.
Есть те, у кого небольшой инет магазин и оплата через QiWi
Есть те, у кого небольшой инет магазин и оплата через QiWi
интересно, сколько он потерял на комиссии? ;)
Если кладешь в личный кабинет от 500 рублей, то комиссии нет
Сам так делаю, получил нал в кассе, принес в терминал, из личного кабинета рассчитался на карты пластиковые с фрилансерами в Украина и Беларусии (комиссия 2% +40 рублей).
На руках есть чек для отчета бухам.
Сам так делаю, получил нал в кассе, принес в терминал, из личного кабинета рассчитался на карты пластиковые с фрилансерами в Украина и Беларусии (комиссия 2% +40 рублей).
На руках есть чек для отчета бухам.
спасибо. :)
я не пользуюсь киви, поэтому был не в курсе.
я не пользуюсь киви, поэтому был не в курсе.
НДФЛ и ЕСН как уплачиваете при таких оплатах по гражданским договорам?
Эти деньги как услуги идут, по факту, если УСН и платить с дохода, то налоговой пофиг на расходы. В любом случае бухи довольны, а в детали я не лезу.
Точнее сказать не могу, так как «не при делах» по бехгалтерии
Точнее сказать не могу, так как «не при делах» по бехгалтерии
Бр-бр-бр, но выплата идет в пользу физлица, если это кивя. И налоговый инспектор будет считать именно так, презумпция виновности налогоплательщика, мать ее за ногу :(.
А, сори, не дочитал, что вы не ловите кайфа от бухгалтерских заширов и приходов. Удачи вам в вашем деле.
Налоговой не пофиг на НДФЛ, даже если налогообложение УСН Доходы.
ммм… а какая им разница? есть расходы, которые не важно куда идут, просто их не получится в налоговую базу как расходы записать.
я заработал 100 рублей, отдал 6% как налоги. как я потрачу 94 рубля — это ни кого не волнует и закон не обязывает меня документировать расходы (за исключением зарплат и т.п.)
я заработал 100 рублей, отдал 6% как налоги. как я потрачу 94 рубля — это ни кого не волнует и закон не обязывает меня документировать расходы (за исключением зарплат и т.п.)
Это не очень верно.
при УСН 6% вы действительно можете почти бесконтрольно производить расходы, но только в пользу ИП и юр. лиц, подтвержденных договорами поставки или оказания услуг.
Ваши перечисления, подозреваю, такими договорами не подтверждены, а посему их будут изначально подразумевать как платежи в пользу физических лиц. Ну а дальше глава 23 НК РФ. Для нерезидентов НДФЛ 30% (исключение догосрочка с гражданами РБ), для резидентов НДФЛ — 13%, страховые пенсионные — согласно НК.
при УСН 6% вы действительно можете почти бесконтрольно производить расходы, но только в пользу ИП и юр. лиц, подтвержденных договорами поставки или оказания услуг.
Ваши перечисления, подозреваю, такими договорами не подтверждены, а посему их будут изначально подразумевать как платежи в пользу физических лиц. Ну а дальше глава 23 НК РФ. Для нерезидентов НДФЛ 30% (исключение догосрочка с гражданами РБ), для резидентов НДФЛ — 13%, страховые пенсионные — согласно НК.
Есть интересный ньюанс, для граждан РБ с догосрочным договором, проживающим на территории РФ НДФЛ составляет 13%, а страховыми пенсионными его начисления не облагаются, так как ПФР не может предоставить механизма обложения. Есть официальное письмо из ПФР. следовательно в РФ есть резон нанимать граждан РБ, налоговое бремя с ФЗП только 13% :)
Это с какого еще фига только в пользу ИП и юрлиц? А себе на хлебушек нельзя что ли потратить собственные доходы?
Так ваши перечисления и будут трактоватсья как перечисления в пользу физлиц, читайте, как ЗП.
Ну буду заводить спор, так как реально в тонкости не посвящен, но бухи довольны и это главное. остальное уже не мои проблемы. И это при ЗАО, аудиторских проверках каждый год и т.п. с учетом того, что иностранный капиталл
Думаю, это интернет-магазин, или другая коммерция.
Но в любом случае — бабло надо было выводить.
Но в любом случае — бабло надо было выводить.
У меня была подобная сумма на Webmoney, клиенты платили ими и затраты оплачивались через WebMoney. Не знаю как в КИВИ, в Webmoney вводить/выводить накладно получается, потому и приходилось держать оборотный капитал там.
Рассказываю. Киви предлагает новый продукт — процессинг платежей для интернет магазинов. Деньги выводятся на киви кошелек.
Для хорошего магазина озвученные деньги можно крутить за день, это раз.
Далее, при приеме платежей с карт, платежная система может отозвать платеж в течение 30 или даже 60 дней. В солидных платежных системах деньги лежать либо на депозите, либо выводятся, но банк тогда кредитует магазин. В любом случае владелец кошелька вынужден держать какую то сумму денег на покрытие возвратов.
Поэтому вашу фразу «держать на киви кошельке XXX рублей — верх безумства» можно прочитать и так «использовать новые сервисы от Qiwi — верх безумства».
Для хорошего магазина озвученные деньги можно крутить за день, это раз.
Далее, при приеме платежей с карт, платежная система может отозвать платеж в течение 30 или даже 60 дней. В солидных платежных системах деньги лежать либо на депозите, либо выводятся, но банк тогда кредитует магазин. В любом случае владелец кошелька вынужден держать какую то сумму денег на покрытие возвратов.
Поэтому вашу фразу «держать на киви кошельке XXX рублей — верх безумства» можно прочитать и так «использовать новые сервисы от Qiwi — верх безумства».
Такие деньги и на карточке виза хранить сыкотно, её потерял и в нужных руках через 20 минут окажется ноль.
Вообще не хватало подтверждения по смс. Хотя палочка о двух концах если потерял телефон один фиг.
Люблю вебмани меня обокрасть нереально.
1) надо файл ключей
2) надо пароль от файла ключей
3) надо пароль от WMID
4) нужен телефон для подтверждения
Вообще не хватало подтверждения по смс. Хотя палочка о двух концах если потерял телефон один фиг.
Люблю вебмани меня обокрасть нереально.
1) надо файл ключей
2) надо пароль от файла ключей
3) надо пароль от WMID
4) нужен телефон для подтверждения
У них теперь подтверждение по смс. Думаю проблема оставленного без присмотра рабочего места может быть этим нивелирована.
Прочитав топик, вспомнил что 22 августа попытавшись зайти в qiwi-кошелек, обнаружил, что пароль, сохраненный в LastPass не подходит. Сделал восстановление пароля. И не придал этому особого внимания, т.к. средства на счет кладу только по мере необходимости
Ну не знаю, похоже у меня совпадение — логин/пароль не верны. Восстановил, сменил — вроде ничего не пропало. Там правда не поллимона, может побрезговали…
Там было массовая принудительная мена паролей пару недель назад — так скорее всего так и должно быть.
Может быть меняют всем, но постепенно?
Или «Если пароль в последний раз менялся более чем… дней назад»?
Или если клиент юзает веб-вариант кошелька, что снижает надёжность?
Я некоторое время назад пароль восстанавливал: тупо и банально застрял на даче, Киви для Андроида после обновления ВДРУГ захотела логин-пароль, а пароль дома на бумажке спрятан — пришлось восстанавливать, так что сейчас всё Ок и смена пароля меня не коснулась…
Ну и уже этак пол-года не юзаю веб-версию и года три как не использую винду…
;)
Или если клиент юзает веб-вариант кошелька, что снижает надёжность?
Я некоторое время назад пароль восстанавливал: тупо и банально застрял на даче, Киви для Андроида после обновления ВДРУГ захотела логин-пароль, а пароль дома на бумажке спрятан — пришлось восстанавливать, так что сейчас всё Ок и смена пароля меня не коснулась…
Ну и уже этак пол-года не юзаю веб-версию и года три как не использую винду…
;)
Для сайта с постоянной аудиторией 2 тысячи пользователей, 5 жалоб за неделю — это действительно много.
Пруф в маленьких циферках рядом с заголовками публикаций на главной, это количество просмотров.
почти на каждом сайте есть счетчик посещений, просмотров. будь то встроенный в двигло, либо внешний. Ваш К.О.
Можно посмотреть на кол-во просмотров в новостях, а можно на ли.ру
gyazo.com/2149ca7b4c28b4831a02c31b0af24bd3
Можно посмотреть на кол-во просмотров в новостях, а можно на ли.ру
gyazo.com/2149ca7b4c28b4831a02c31b0af24bd3
Недавно они всех заставили пароли поменять — видимо были причины.
Месяца 2-3 не заходил в кошелек, сейчас проверил, вошел по старому паролю. Значит вовсе не всех ;)
Только что проверил на другом счёте, на который не заходил месяц — старый пароль не подошёл и после неудачной попытки входа пришла СМС с новым паролем.
Специально, сейчас зашел на старый кошелек, на который не заходил полгода-год. Старый пароль подошел.
Ниже есть официальный ответ от киви, видать вы попали просто в то число ;)
Ниже есть официальный ответ от киви, видать вы попали просто в то число ;)
да, было такое. а поддержка кстати так и не смогла мне внятно сказать — это просто массовый сброс или есть вероятность что чтото из моих данных скомпроментированно.
Судя по всему от того, что происходят кражи произошла еще одна штука: невозможно оплатить услуги кредитной картой, которая привязана (для моего банка точно). После запроса cvv кода с ошибкой редиректит в кошелек и все. В банке заявили, что от QiWi запросов не поступало каких либо (т.е. система сама с собой «варится» и делает вид, что идет ошибка ответа банка, когда как и запроса не было).
втб24, я и товарищ платим с карты через киви почти каждый день, сбоев не было последние недели. Так что по меньшей мере это немассово
Вы еще взятие Триполи приобщите к 5-и ворованным паролям за неделю. Можно подробности, хотя бы номер кошелька в личку, посмотрим что с вашей картой было и на каком этапе.
У меня тоже было несовпадение в этих числах. Сейчас опять всё ОК.
Товарищи, а вас не настораживает тот факт, что перед уводом кошелька на него положили денежку?
Я думаю при потере пароля и телефона служба техподдержки спрашивает последнюю транзакцию и если она верна выдаёт новый пароль =) А последнюю транзакцию злоумышленник сам сделал. Вот вам и профит =) Но думаю ТП уже одумалась и такой глупости не совершает.
Сам очень много и давно пользую КИВИ, клиент запускаю исключительно на яблокофоне. Чертовски удобно и от троянов спасает, а пополняю через банк-клиент банка, в котором у меня сделаны кредитки.
Я думаю при потере пароля и телефона служба техподдержки спрашивает последнюю транзакцию и если она верна выдаёт новый пароль =) А последнюю транзакцию злоумышленник сам сделал. Вот вам и профит =) Но думаю ТП уже одумалась и такой глупости не совершает.
Сам очень много и давно пользую КИВИ, клиент запускаю исключительно на яблокофоне. Чертовски удобно и от троянов спасает, а пополняю через банк-клиент банка, в котором у меня сделаны кредитки.
Добрый день. Если кратко, то:
1. Никакого массового взлома не было. Были подозрительные транзакции, с немногим более ста кошельков, из 7 000 000 активных
2. Cредства по таким транзакциям были заблокированы системой фродмониторинга и возвращены владельцам.
3. Горячая линия для клиентов действует постоянно.
1. Никакого массового взлома не было. Были подозрительные транзакции, с немногим более ста кошельков, из 7 000 000 активных
2. Cредства по таким транзакциям были заблокированы системой фродмониторинга и возвращены владельцам.
3. Горячая линия для клиентов действует постоянно.
Бида, бида! Целых пять взломаных кошельков.
Меня терзают смутные сомнения о «проплаченности» поста представителями других платежных систем.
Меня терзают смутные сомнения о «проплаченности» поста представителями других платежных систем.
Ага, вот зачем они сделали подтверждение платежей по смс…
Сделайте двухуровневую авторизацию, как это сделал Google, и параноики будут спать спокойно.
у меня украли первые 100 баксов намного раньше этой шумихи, комп не компрометировали — у меня, простите, линукс, доступа к нему нет ни у кого. и точно также меня послали в милицию, причем, с предварительной сложной процедурой подтверждения владением телефонного номера, который, к слову, был зареган еще в другом регионе.
в результате, я на киви очень обиделся.
в результате, я на киви очень обиделся.
Тут многие плачутся о том, что паролю не подходят.
Значит, проведено следствие.
Пароли были принудительно изменены всем пользователем около двух недель назад. При первом (после смены) входе (по старому паролю), пишет, что пароль не верный и высылает новый пароль через СМС. С этим паролем можно войти и изменить пароль на более вменяемый. При этом есть большие сомнения, что разумно ставить (вернуть) старый пароль — раз сменили, значит была причина. Если кто-то каким-то чудом СМС не получил (как? Если нет доступа к номеру, на который счёт зарегистрирован, то таким счётом пользоваться вообще опасно), то пароль можно получить через восстановление пароля (придёт в виде СМС).
Значит, проведено следствие.
Пароли были принудительно изменены всем пользователем около двух недель назад. При первом (после смены) входе (по старому паролю), пишет, что пароль не верный и высылает новый пароль через СМС. С этим паролем можно войти и изменить пароль на более вменяемый. При этом есть большие сомнения, что разумно ставить (вернуть) старый пароль — раз сменили, значит была причина. Если кто-то каким-то чудом СМС не получил (как? Если нет доступа к номеру, на который счёт зарегистрирован, то таким счётом пользоваться вообще опасно), то пароль можно получить через восстановление пароля (придёт в виде СМС).
только что вошел по старому паролю, никакой смены не предлагалось
Год назад была у меня с кюви такая же проблема. Причем пароль сменился который был для доступа через терминалы. А этот пароль никак не могли угнать, он ни где ни на компьютере, ни где бы еще не храниться. Только в виде смс в моем телефоне. И это не навороченный смартфон последний модели, что можно было бы его обвинить в заражении и сливе инфы.
Как надоели все эти UPDATE'ы с плачем о слитой карме. Это просто дурной тон. Если все будут жаловаться на слитую карму, то тут пол хабра будет этим слезливым бредом забито.
На самом деле есть проблема. Когда я искал инфу по моей проблеме, потому что ТП меня отфутболила, очень часто натыкался на жалобы что деньги просто уводят, и скажу я вам, таких человек точно не 5. «Горячая линия» у них жесть, что на телефоне, что на имейле сидят боты какие-то, с ними ничего решить невозможно, они даже не могут перенаправить к тем, кто может тебе помочь, только из себя выводят.
А что касается моей проблемы, то только после написания этого комментария, вдруг чудесным образом все деньги вернулись:
qiwi-in-use.livejournal.com/95078.html?view=3462502#t3462502
Вопщем стоило столкнуться с проблемой, мнение о QIWI сразу ухудшилось.
А что касается моей проблемы, то только после написания этого комментария, вдруг чудесным образом все деньги вернулись:
qiwi-in-use.livejournal.com/95078.html?view=3462502#t3462502
Вопщем стоило столкнуться с проблемой, мнение о QIWI сразу ухудшилось.
Шикарный вывод :)
Я цитирую ваш пост:«Когда я ложил через терминал деньги, после 2000руб он начал выплевывать любые купюры. Пришлось ложить три раза. Два первых платежа прошли, а третий даже не появился в отчетах. Когда я посмотрел на квитанцию, оказалось что там указан другой номер, который отличается на одну цифру, хотя я помню что набирал свой (это же мой номер, я его каждый день по 10 раз набираю). После созвона и переписки с ТП оказалось что деньги ушли на другой кошелек, и кошелек этот используется. Владелец кошелька деньги не вернул.»
Вы ошиблись в одной цифре — пополнили чужой кошелек, деньги вам не смотря на это вернули, какая связь с магическим заголовком «Массовый взлом КИВИ-кошельков»?
Я цитирую ваш пост:«Когда я ложил через терминал деньги, после 2000руб он начал выплевывать любые купюры. Пришлось ложить три раза. Два первых платежа прошли, а третий даже не появился в отчетах. Когда я посмотрел на квитанцию, оказалось что там указан другой номер, который отличается на одну цифру, хотя я помню что набирал свой (это же мой номер, я его каждый день по 10 раз набираю). После созвона и переписки с ТП оказалось что деньги ушли на другой кошелек, и кошелек этот используется. Владелец кошелька деньги не вернул.»
Вы ошиблись в одной цифре — пополнили чужой кошелек, деньги вам не смотря на это вернули, какая связь с магическим заголовком «Массовый взлом КИВИ-кошельков»?
Любой человек набирающий over 9000 раз в день свой номер может ошибиться в одной цифре. Раз в год и палка стреляет!
Сделайте пожалуйста такой-же обзор про Яндекс-Деньги. Уверен там негатива раз 10 больше будет чем тут, + там блокировки с невозвратами от яндекса еще — просто наугад делают кажись, и да я киви тоже не пользуюсь, не доверяю авторизациям на сайте по одному паролю:)
Подтверждаю, — тоже был затронут. После того как вошел в кошелек с терминала оплаты, дома уже не смог войти на сайт. Пришлось менять пароль. Тысяча на счету никуда не делась.
Два месяца назад подумывал зарегистрироваться в QIWI, но прочитал оферту и не стал делать этого
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Жалобы на проблемы с QIWI-кошельками