Про взлом платежного пароля в Яндекс.Деньги

Про взлом платежного пароля в Яндекс.ДеньгиПомните, я писал полтора года назад, как взломали мой аккаунт на яндексе, с доступом к почте, яндекс-деньгам, и т.д.? И я тогда еще высказывал мысль, что не зная платежный пароль — все равно ничего нельзя бы было сделать, а его утащить не удалось.

Однако, оказалось, что на самом деле мне очень крупно повезло. Потому что сделать- то было как раз очень даже можно, просто хакер, стащивший пароль — еще не прокачаный был. Причем настолько простым и примитивным способом — что аж волосы на голове дыбом встают. Буквально полтора месяца назад появилась следующая информация:

Цитирую.

Пользуйтесь Дарю схему вывода ЯД с письмом
Вообщем,увидел,что данную тему,кто то уже выкинул в паблик и школота продает ее чуть ли не за буханку хлеба,а также кидалы еще и работают по ней.
Вообщем,то что вам говорили про хеш мд5,это все было туфтой,специально,чтоб никто не догадался,но крысы есть везде.
Теперь сам способ:
Заходите на свою яндекс почту и присылаете себе письмо о восстановлении платежного пароля.Переходите по ссылке(она откроется в другой вкладке) и вводите ваш код восстановления.Дальше вам предлагают придумать платежный пароль.Все пока эту вкладку оставляете с пустыми полями.Возвращаетесь во вкладку с почтой.Выходите из своей почты и заходите на ту от которой нужно узнать ПП.Когда вошли в нее,идете во вкладку с пустыми полями для Платежного пароля и вводите любой свой пароль,жмакаете изменить(и волшебство готово.Кратко-происходит подмена куки)Затем смело идете в почту и там уже ПП ваш который вы установили.
Теперь нюансы от блокировки кошельков.
1.Всегда меняйте грязные носки,дедики,старайтесь заходить с одной айпишки на одну почту
2.Вычисляйте в письмах где живет хозяин и подбирайте носок под его регион и только после этого заходите на кошелек(не путать с почтой)
3.Сливать балансы лучше всего либо на заготовленный идентифицированный кошелек,либо в обменке.
4.Если кош активен то айпи хозяина можно глянуть во вкладке безопасность-просмотри журнала посещения.
Ну вроде все,умный поймет,дураку здесь ловить нечего.
В ЛС не даю никаких консультаций.Так что не засоряйте
Благодарность принимаю в любом виде(можете просто установить мне памятник в своем городе=))
Удачи!

Кто не верит — вот ссылка, а вот — скриншот:

Способ взлома платежного пароля

То есть понятно, что узнать его, конечно, было нельзя — но изменить на любой свой, после чего спокойно перевести деньги куда угодно — как делать нечего. И, как видно из поста на этом форуме, широко известно об этой уязвимости стало известно 6-го сентября.  А, как мы помним, буквально через день после этого, 8-го сентября была опубликована база,  состоящая из более, чем миллиона сочетаний логин-пароль к аккаунтам на Яндексе. Соответственно — оставалось только залогиниться, проверить наличие денег на счету, сменить платежный пароль, и вывести деньги.

Яндекс признал наличие этой дыры, и примерно тогда же она и была закрыта, вот скриншот их ответа на хабре (кстати, ответ появился только спустя месяц):

Признание Яндекс.Деньгами дыры

Насколько быстро в сентябре она была закрыта — неизвестно, но учитывая, что до еще и до этого она существовала черти-сколько, а в руках злоумышленников уже была база аккаунтов, причем тоже — черти сколько, то если в этот период у вас все-таки вывели с кошелька деньги, предварительно сменив платежный пароль — теперь вы знаете, кого за это благодарить.

Еще раз подумал, насколько хорошо, что не храню там почти ничего, а использую этот счет, как транзитный, если надо что-то оплатить в интернете — переводя на него необходимую сумму со сбербанковской карты, чтобы лишний раз ее не светить, и затем уже оплачивая с карты, привязанной к этому аккаунту Яндекс денег.

А вот то, что в Яндексе к одному номеру телефона нельзя привязать больше трех аккаунтов — зло.

1
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
2 комментария
  1. А представляете каково тем людям которые мало понимают в том что такое безопасность в сети, какие бывают сайты, вирусы и тд, <b>берут займ на яндекс кошелек</b> и не успев его использовать обнаруживают пропажу. Вот это по истине провал. Теперь у человека нет денег, плюс у него висит <a href=»http://money-creditor.ru/news/polychenie-zaima-vidacha-zaima/zaim-deneg-na-yandeks-dengi.html» title=»получить займ на яндекс деньги» target=»_blank»>займ на яндекс</a>, который он не использовал, дак еще и проценты начисляются. Ладно есть понимающие люди которые могут прогнать на проверку безопасности сайт, ссылку или файл перед скачиванием, но что делать остальным?

  2. Учиться, ни когда не поздно

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Subscribe without commenting

QR Code Business Card