Помните, я писал полтора года назад, как взломали мой аккаунт на яндексе, с доступом к почте, яндекс-деньгам, и т.д.? И я тогда еще высказывал мысль, что не зная платежный пароль – все равно ничего нельзя бы было сделать, а его утащить не удалось.

Однако, оказалось, что на самом деле мне очень крупно повезло. Потому что сделать- то было как раз очень даже можно, просто хакер, стащивший пароль – еще не прокачаный был. Причем настолько простым и примитивным способом – что аж волосы на голове дыбом встают. Буквально полтора месяца назад появилась следующая информация:

Цитирую.

Пользуйтесь Дарю схему вывода ЯД с письмом
Вообщем,увидел,что данную тему,кто то уже выкинул в паблик и школота продает ее чуть ли не за буханку хлеба,а также кидалы еще и работают по ней.
Вообщем,то что вам говорили про хеш мд5,это все было туфтой,специально,чтоб никто не догадался,но крысы есть везде.
Теперь сам способ:
Заходите на свою яндекс почту и присылаете себе письмо о восстановлении платежного пароля.Переходите по ссылке(она откроется в другой вкладке) и вводите ваш код восстановления.Дальше вам предлагают придумать платежный пароль.Все пока эту вкладку оставляете с пустыми полями.Возвращаетесь во вкладку с почтой.Выходите из своей почты и заходите на ту от которой нужно узнать ПП.Когда вошли в нее,идете во вкладку с пустыми полями для Платежного пароля и вводите любой свой пароль,жмакаете изменить(и волшебство готово.Кратко-происходит подмена куки)Затем смело идете в почту и там уже ПП ваш который вы установили.
Теперь нюансы от блокировки кошельков.
1.Всегда меняйте грязные носки,дедики,старайтесь заходить с одной айпишки на одну почту
2.Вычисляйте в письмах где живет хозяин и подбирайте носок под его регион и только после этого заходите на кошелек(не путать с почтой)
3.Сливать балансы лучше всего либо на заготовленный идентифицированный кошелек,либо в обменке.
4.Если кош активен то айпи хозяина можно глянуть во вкладке безопасность-просмотри журнала посещения.
Ну вроде все,умный поймет,дураку здесь ловить нечего.
В ЛС не даю никаких консультаций.Так что не засоряйте
Благодарность принимаю в любом виде(можете просто установить мне памятник в своем городе=))
Удачи!

Кто не верит – вот ссылка, а вот – скриншот:

То есть понятно, что узнать его, конечно, было нельзя – но изменить на любой свой, после чего спокойно перевести деньги куда угодно – как делать нечего. И, как видно из поста на этом форуме, широко известно об этой уязвимости стало известно 6-го сентября.  А, как мы помним, буквально через день после этого, 8-го сентября была опубликована база,  состоящая из более, чем миллиона сочетаний логин-пароль к аккаунтам на Яндексе. Соответственно – оставалось только залогиниться, проверить наличие денег на счету, сменить платежный пароль, и вывести деньги.

Яндекс признал наличие этой дыры, и примерно тогда же она и была закрыта, вот скриншот их ответа на хабре (кстати, ответ появился только спустя месяц):

Насколько быстро в сентябре она была закрыта – неизвестно, но учитывая, что до еще и до этого она существовала черти-сколько, а в руках злоумышленников уже была база аккаунтов, причем тоже – черти сколько, то если в этот период у вас все-таки вывели с кошелька деньги, предварительно сменив платежный пароль – теперь вы знаете, кого за это благодарить.

Еще раз подумал, насколько хорошо, что не храню там почти ничего, а использую этот счет, как транзитный, если надо что-то оплатить в интернете – переводя на него необходимую сумму со сбербанковской карты, чтобы лишний раз ее не светить, и затем уже оплачивая с карты, привязанной к этому аккаунту Яндекс денег.

А вот то, что в Яндексе к одному номеру телефона нельзя привязать больше трех аккаунтов – зло.