Уязвимость Yandex money или как восстановить платежный пароль

    image

    Добрый день, Хабр!

    Хочу поведать вам историю, как легко и без особых усилий можно было восстановить платежный пароль от Яндекс.Денег.

    Недавно я наткнулся на объявление, в котором предлагались услуги вывода Яндекс.Денег за определенный процент, не имея платежного пароля. Поискав в интернете, я наткнулся на тему, в которой и описывался данный способ восстановления платежного пароля.

    image

    Как видите способ был очень простой.

    Я написал в службу поддержки Яндекс, после чего уязвимость была закрыта, но ответа я так и не получил.
    Поделиться публикацией

    Похожие публикации

    Комментарии 79

      +71
        +12
        Яндекс. Найдется всё.
          0
          Ещё бубенцы приделать, и будет самое то.
          +25
          Вот так всё просто, оказывается.
          А я почти год не могу восстановить пароль т.к. для этого нужно привязать телефон, а телефон без платёжного пароля можно привязать только по письменному заявлению, которое нужно заверить и отправить в Питерский офис.
          Другими словами — я в печали.
            +2
            Дежавю. Только у меня кошелек валяется с 2009 :(
              +2
              С 2006 :(
                0
                Несколько лет назад ЯД объявил амнистию для таких кошельков.
                Можно было создать новый кошелек на почту, где кошелек уже был.
                  0
                  И как это работает?
              +7
              Аналогично. Поэтому Яндекс.Деньги для меня умерли.
                +3
                Аналогично — чтобы вывести деньги нужен пароль, который давно забыт и всё такое. В итоге из-за 550р надо ехать в офис, делать привязку и прочие танцы с бубном. Бред.
                  +6
                  Сотрудникам Яндекса не читать
                  Им осталось сделать списание с идл-аккаунтов, например, по 50 рублей в месяц «за обслуживание счёта» как делают сейчас некоторые мобильные операторы — это же золотая жила!
                    +18
                    А это и так есть, тут недавно было.
                    тыц
                      +8
                      0
                      Не бойтесь, скоро эти деньги Яндекс скушает — они уже делали рассылку о том, что после двухлетнего простоя вводится абонентская плата.
                      UPD: Надо было читать то, что сотрудникам Яндекса нужно было не читать :)
                        0
                        Если я правильно помню, там достаточно заходить в аккаунт, чтобы этого не произошло. Но если честно — уже всё равно. 550 рубле конечно не копейки какие-то, но гемора из-за них предостаточно (и это еще хорошо мне — я москвич, работаю относительно недалеко от офиса и таки могу собраться с силами и доехать. Вариант «отсылать по почте» для регионов, с нашей-то почто выглядит просто нелепо)
                          0
                          Мне лично предлагали потратить, пополнить, либо зайти и «отложить». Я просто перевёл на другой, активный кошелёк.
                      +1
                      Та же история. Пропали мои кровные 500р. Письмо на восстановление даже не приходит, техподдержка несет ахинею. Деньги вообще самый ужасный сервис Яндекса.
                        0
                        Самый ужасный — это Маркет. Деньги это так, мелочь по карманам тырят…
                        0
                        То же самое, поменяли пароль уже мне, деньги увели. Восстановить уже второй год не могу.
                        +2
                        Детский сад
                          0
                          Могли бы заработать денежку, направив инфу о баге им другим способом:
                          Конкурс «Охота за ошибками»
                            +9
                            Отправил, ждал очень долго уязвимость закрыли а ответа я так и не дождался.
                              +48
                              Один из вариантов ответа Яндекса в утрированной форме.
                              — Ну мы этот короче, сами её нашли, а потом вы рассказали нам о ней и мы короче её уже в это время закрывали...

                                +6
                                Совпадение 99%…
                                  +4
                                  Недавно прилетело как раз подобное…
                                  на самом деле они отвечают так
                                  Здравствуйте.

                                  Спасибо, мы уже знаем об этой технической проблеме. Хорошие новости – специалисты уже это чинят.

                                  Назвать точный срок, когда всё придет в норму, мы не можем. Но делаем всё возможное, чтобы проблема решилась как можно скорее.

                                      +1
                                      Жлобы!
                                      +1
                                      Выглядит как хамство со стороны Яндекса.
                                      Человек нашел баг, но не побежал его продавать на черном рынке, а пришел в Яндекс.
                                      Выполнил свою часть условий по публичной оферте от Яндекса.
                                      Или нельзя трактовать их предложение нести им баги за деньги как публичную оферту?
                                      А если можно, то итересно, есть ли вариант засудить Яндекс?
                                        –2
                                        А кто сказал, что этот человек первым пришел в Яндекс?
                                        Он что, единственный исследователь багов на планете?
                                          +1
                                          Это сказало отсутствие инфы о баге в changelog.
                                            0
                                            А чем Яндекс докажет, что и вправду знал о баге? Может у него просто бюджет, выделенный на вознаграждения, закончился, и они там решили до нового финансового года всех отшивать?
                                            В любом случае, усилия не только 1-го нашедшего достойны вознаграждения, если не забывать цель, с которой эти вознаграждения вообще были обещаны — чтобы как можно больше людей искали баги и несли их в Яндекс.
                                              0
                                              К тому же Яндекс наверняка получит горы статей типа «success story о том как я получил 100k от Яндекса» и еще больше людей ринутся искать баги. Для Яндекса одни только плюсы, а затраты на фоне найденных багов будут казаться мизерными.
                                                0
                                                Для Яндекса тут одни минусы.
                                                Представляете, если в каждом их продукте найдут по паре серьезных и по десятку мелких багов? Да еще и в «этих ваших инторнетах» всем расскажут?

                                                Это ж им РАБОТАТЬ придется!

                                                А ведь найдут, не сомневайтесь… Их есть.
                                                +2
                                                Предлагаю схему обогащения:
                                                1. Вы находите баг в Яндексе
                                                2. Собираете максимальное количество друзей и знакомых
                                                3. Каждый пишет в Яндекс «Я нашел баг»
                                                4. Каждый получает вознаграждение.
                                                  0
                                                  Баги ищутся в сервисах Яндекса. Так что сам Яндекс может по своим логам более-менее определить кто и как именно исследовал определенный сервис.

                                                  Кроме того, у меня есть идея как Яндекс мог бы доказать, что про баг ему уже было известно.
                                                  Для этого нужно открыто публиковать MD5 (или эл. подпись?) для описаний багов, включая id нашедшего и время сообщения о баге.
                                                  Если идет повторное «открытие» бага — то показывать второму человеку, нашедшему баг, полный текст описания бага от первого, чтобы он мог убедиться, что Яндекс уже знал о баге. И выплачивать второму 1/2 суммы.
                                                  Третьему нашедшему — показывать сообщения 1-го и 2-го и давать 1/4 суммы.
                                                  И т.д.

                                                  В результате и сумма выплат будет ограничена, и никто не будет подозревать Яндекс в невыполнении своих обязательств по выплате денег, и труды всех участников поиска багов будут вознаграждены, и описания уязвимостей попадут только к тем, кто и так про них уже знает.

                                                  Кроме того, запросто может так оказаться, что фраза «мы уже знаем об этой технической проблеме» не совсем отражает реальность. В ряде случаев человек сможет возразить Яндексу, что он нашел некоторые нюансы, отсутствующие в уже имеющихся у Яндекса описаниях уязвимости, которые, например, значительно облегчают эксплуатацию уязвимости, добавляют новый вектор атаки и пр.
                                      +3
                                      Ага, размечтались )
                                      company.yandex.ru/security/faq.xml

                                      Там черным по белому написано, что за баги в яндекс деньгах выплат нет.
                                      Видимо это совершенно несущественный сервис, баги в котором не стоят беспокойства…
                                        +5
                                        В Яндекс.Деньгах от Яндекса — только бренд.
                                          0
                                          Дело в том что сервис Яндекс деньги для них не критичный сервис
                                          Цитирую: Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Диск, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.
                                          Источник
                                            +7
                                            Дело в том, что сервис Яндекс.Деньги — не сервис Яндекса вообще.
                                              0
                                              Распространили на сервис свой бренд, но не хотят принимать полную ответственность за его функционирование?

                                              Удивительное отношение, которое при определенной подаче материала может повредить репутации Яндекса.
                                              Ему пользователи доверяют самое дорогое — деньги, а он какой-то «Мой Круг» считает на порядок важнее.
                                                0
                                                Яндекс.Деньги — подразделение Сбербанка. Уже давно Сбер перекупил этот сервис со всей командой разработки. Так что жлобство в отношении выплат и баги — это нормальная практика. Просто вспомните, что это Сбер, а не Яндекс :) habrahabr.ru/company/yandex/blog/163183/
                                                  +2
                                                  Но это все еще не Сбербанк.Деньги, а сервис на поддомене Яндекса. С прозрачной авторизацией, словом Яндекс в названии и всем прочим. Довод «Ну Яндекс.Деньги же это не Яндекс, а отдельное ООО» применялся и до сделки со Сбербанком, так что не, не катит уже. :)
                                                    0
                                                    Ааааа, тогда причины понятны.
                                                    Переименовали бы тогда, если не хотят ответственность нести.
                                        +2
                                        Как-то очень сумбурно все описано.
                                        Там получается в экшене смены платежного пароля просто не было никаких проверок и все телодвижения со вторым аккаунтом просто чтобы форму саму увидеть?
                                          +2
                                          Совершенно верно нужна была лишь форма смены пароля
                                            0
                                            стало быть нужно просто отправить пост запрос с определенными параметрами? или нужен некий валидный токен, который не проверяется на принадлежность к изначальному аккаунту?
                                          +8
                                          ez
                                            +1
                                            Я так понимаю, данная методика уже не работает?
                                            А жаль. 900 рублей на кошеле пропадают. :(
                                              +7
                                              Видимо стоит добавить опрос на тему будете ли вы пользоваться Яндекс деньгами. Добавить вариант нет не буду т.к. утерян пароль и зоново заводить там кошелёк не намерен. Пусть подавятся остатками. Видимо новый фин директор у них. После такого отношения не охотой писать отзывы и предложения пт улучшению их сервисов.
                                                0
                                                Причем тут новый директор, у них уже давно эти приколы с паролями :)
                                                Но посудите, если быть совершенно честным перед собой — это же вы потеряли пароль.
                                                Если карту кредитную потеряете, вы же не будете ожидать, что вам ее по почте вместе с пинкодом отправят? :)
                                                К тому же теперь у них можно номер телефона ввести и будет абсолютно привычная двухфакторная авторизация, как в любом интернет банке.
                                                  +1
                                                  Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя.
                                                    0
                                                    Что-то вы сами себе противоречите…
                                                    Если пароль не утерян, то какая проблема привязать телефон?

                                                    P.S. И зачем вообще получать не утерянный пароль на не привязанный телефон? )
                                                      0
                                                      Он не утерян. Его не было никогда.
                                                      Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
                                                        –1
                                                        так а в чем проблема то? Вы зарегали почту не зарегали кошелек и теперь не можете его зарегать?
                                                          0
                                                          Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон или прислав нотариально заверенную копию паспорта.
                                                          Никаких адекватных способов решить эту проблему не предложено.
                                                            0
                                                            >>А жаль. 900 рублей на кошеле пропадают. :(
                                                            >>Пароль не теряли. Просто изначально не привязали телефон. А без привязки телефона — пароль получить нельзя
                                                            >>Он не утерян. Его не было никогда.
                                                            >>Внезапно раньше можно было зарегистрировать почту не создавая кошелька.
                                                            >>Проблема в том, что на Яндекс Кошельке лежат деньги, к которым доступ можно получить только сходив к ним на поклон

                                                            Простите, но я вообще нифига не понял :)
                                                              0
                                                              Если я по шагам опишу ситуацию — вы мне поможете или это будет напрасная трата времени как в случае с саппортом Яндекса? :)
                                                                –2
                                                                Ну если вы не теряли пароля платежного, а его не было, если вы не вводили телефона — то там явно можно что-то сделать, попробуйте там во всякие настройки позаходить, например. Не могли же они просто сами задать вам какой-то пароль, не сказать его вам и тупо отказать в использовании сервиса.
                                                                  –2
                                                                  Вот как вариант — если вы регались когда еще не было платежного пароля, вам как вариант его могли сделать таким же как и основной, например.
                                                                –1
                                                                Кстати про потерю пароля я не вам писал :)
                                                                  0
                                                                  Как это не мне? Я влез в чью-то личную переписку?? Странно, не заметил.
                                                  +5
                                                  Это была не уязвимость, а фича.
                                                    +3
                                                    Ох, помню, я намучился с этими восстановлениями. Два раза ездил в офис Яндекс.Денег, который был совершенно неудобно для меня расположен… Причем в первый раз спросил девушку на ресепшене: «Вы уверены, что предоставленных данных достаточно для получения доступа к кошельку, и второй раз приезжать не надо будет?» Девушка ответила, что уверена. Приезжаю домой, войти в кошелек не получается, звоню в поддержку, говорят, что надо подъехать и привезти еще что-то.

                                                    Деталей не помню, почему именно так получилось, и рыться в почте искать не хочется. Что-то связанное с тем, что я и пароль забыл, и номер телефона сменил. Но я тогда был вне себя от бешенства, потому что жил километрах в 40 от офиса, и дорога через дичайшие московские пробки занимала часа 3-4.
                                                      0
                                                      Яндекс партнерится со Сбербанком.
                                                      Не понимаю почему бы им не сделать авторизацию кошельков через отделения сбера, они же есть в каждой дыре. К тому же у них есть все необходимое для работы с персональными данными.
                                                        –1
                                                        Зачастую работники Сбербанка не отличаются повышенным IQ. Порция периодически появляющихся IT-шников, «говорящих о каких-то Яндекс.Деньгах» только забьет им голову еще больше.
                                                      +1
                                                      Я тоже слышал эту легенду с полгода назад, но живых свидетелей ее использования не застал. Ходили слухи, что всем кто отправит ее в поддержку присылали банку варенья и пачку печенья. У кого есть доказательства существования дыры?
                                                        +13
                                                        зато все разработчики яндекса художники-математики и решают очень сложные задачи
                                                          +2
                                                          Для меня яндекс-деньги умерли, как и репутация компании. В начале было удобно с ними работать, но понемногу начали закручивать гайки — то там лимиты, то сям. В конце концов ввели обязательную верификацию, без которой уже и международная карта не работала, и ограничений было чуть менее, чем у постороннего человека. Но делать нечего — решил по их правилам отправить заверенное нотариусом заявление (между прочим не бесплатное), так как для других стран это был единственный способ пройти проверку. С тех пор я мог наблюдать, как в режиме реального времени сгорали переводы, которые не мог получить непроверенный пользователь, а техподдержка всё так же отвечала, что письма всё нет и делать ничего не хотим и не будем. Не знаю, кто виноват, слоупочта или всеобщая безответственность, но письмо за полгода так и не дошло, а отсылать повторное с таким отношением к клиенту желание не возникает.
                                                            0
                                                            А что значит «сгорали переводы»? Мне казалось, что переводы сверх лимита накапливаются в очереди поступлений.
                                                              0
                                                              Не сверх лимита, просто переводы от других пользователей — если личность получателя не подтверждена, где-то через месяц вся сумма автоматически возвращается отправителю.
                                                                0
                                                                Раньше такой фигни не было, да.
                                                            +1
                                                            Тут недавно вспомнил, что у меня на кошельке валяются 100р и оплатил ими покупку книжки, на что мне весело сказали, что транзакция не прошла. Попробовал пару раз, пишет ЯД ошибку и все (то ли пароль неверный, то ли еще чего ему не нравилось). Ну нет так нет, оплатил через киви. Через неделю захожу в почту яндекса, а они мои 90р таки куда то списали… после такого уж точно не стоит говорить о надежности и держать там хоть что-то желание отпало окончательно.
                                                              0
                                                              Получив однажды письмо счастья от Яндекса, решил что при любой возможности буду «иметь» Яндекс деньги.
                                                              С большим удовольствием юзал дыру!

                                                              i.imgur.com/P7rGmgD.png
                                                                0
                                                                Жаль, что закрыли. У меня 600 рублей тоже зависло на старом кошельке.
                                                                  0
                                                                  Почитал я тут, почитал…

                                                                  Кажется, как для репутации, так Яндексу было бы куда дешевле заплатить «за дыру» награду, чем получать свою порцию заслуженных упоминаний «в контексте».

                                                                  Впрочем, мало кто из гиков с ними уже дело хотят иметь, с учетом сегодняшних правил ЯД, так что, может, решили «заработать» (в смысле, не потратить) хоть награду, поскольку репутация ЯД на Хабре и так уже никакая?

                                                                  Жаль, начинали-то так хорошо!
                                                                    +7
                                                                    Уязвимость была закрыта в сентябре — сразу после того, как нам стало о ней известно. Первый сообщивший об уязвимости через программу «Охота за ошибками» пользователь в ближайшее время получит вознаграждение, и он оповещён об этом. К сожалению, это был не автор поста.

                                                                    Обращаем внимание пользователей, что описанный сценарий смены пароля был возможен только для уже скомпрометированных аккаунтов Яндекса: для того, чтобы воспользоваться уязвимостью, мошеннику нужно было знать действующий логин и пароль на Яндексе, который раньше уже каким-то образом к нему попал.
                                                                      +3
                                                                      Ну это то то после попадания в паблик 10000000 логин: пасс яндекес почт ( habrahabr.ru/post/235949/ ) только ленивый не имел возможность взлохматить чей то кошелек!
                                                                        0
                                                                        sarcasm>Ну они же сами виноваты, что их логины/пароли попали в паблик! /sarcasm>
                                                                      +6
                                                                      Минутка драмы:

                                                                      У меня пол года назад с ЯД похитили 13.7 тыс рублей таким способом — пароль к аккаунту брутфорснули, платежный пароль был слишком сложен — и его сменили похоже именно этим способом. В службу поддержки написал через 2 часа после хищения (Запрос 2014042533015111) — но там по горячим следам ничего сделать не смогли и только развели руками.

                                                                      Затем я воспользовался своим хабраположением, и в конце статьи «Внутренности карты Яндекс.Денег — MasterCard PayPass» попросил связаться напрямую со мной представителей техподдержки и службы безопасности ЯД. Они мне отписали. Им я рассказал, что все проверено вдоль и поперек — вирусов нет, платежный пароль увести не могли… Да и если бы увели — зачем его менять, если можно напрямую слить деньги и все? В почте и телефоне никаких уведомлений о смене платежного пароля не было (почта выгребается каждую минуту, уведомление сложно успеть удалить) — а потому у меня подозрения и были на баг или доступ злоумышленника к базе (чтобы просто поменять хэш). Но в проблеме тогда разбираться не стали, остановились на том, что у меня просто украли платежный пароль — а ведь могли проблему обнаружить и исправить еще пол года назад.

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое