Не пользуйтесь Yandex-деньгами
Безопасность 05.10.2007
Реально офигел от дырявости виртуальной денежной системы Yandex.Деньги:-)
Народ, настоятельно рекомендую не пользоваться!
С ребятами на работе хотели оплатить покупку Yandex.Деньгами и с удивлением обнаружили, что ЛЮБОЙ, кто в нашей сети, может зайти на money.yandex.ru и попасть без авторизации прямо в кошелек человека, который в данный момент залогинен там из нашей сетки.
Понимаете о чем я?
P.S. история получила продолжение.
Написали в Яндекс. Засуетились очень резко. Закрыли сейчас доступ к интерфейсу и сейчас проверили, смотрим,
подключили ребята сертификаты, дыру вроде закрыли... вроде...
05.10.2007 в 10:45
Он по IP что ли смотрит?
05.10.2007 в 10:53
Да. Сейчас стали проверять Webmoney. Была мысль, что у нас ?люз куки отдает неправильно, но нет. Реально дырка у Я?и.
05.10.2007 в 10:55
)))думаю, кто то на этом хоро?енько лапку нагрел))
10.10.2007 в 11:18
[...] Про?ло несколько дней с момента обнаружения косяка с Я.Деньгами, как сегодня обнаружили такую же дыр почте Yandex-а. Т.е. дыра была исправлена ли?ь частично. Заходя из корпоративной сети на ya.ru, вы можете лицезреть почту человека, который в это время залогинен там из ва?ей сети. [...]
17.10.2007 в 23:24
С почтой согласен, такое часто можно увидеть в интернет-кафе. Но с ЯД не согласен, да можно зайти в кошелек, но чтобы произвести операции с деньгами нужно ввести ПЛАТЕЖНЫЙ ПАРОЛЬ. Так что не думаю, что можно что-либо сделать с чужими деньгами.
28.10.2007 в 19:03
ну вполне возможно, что и так... Я сам, к счастью, этой системой не пользуюсь. Но непонятна позиция Яндекса в отношении своего продукта.
На мой взгляд, присутствует очевидный косяк, т.к. попробуйте войти в mail.ru или webmoney или в gmail.
Никто из вашей сети не сможет зайти и увидеть ваш кошелек/почту/админку блога.
Если есть очевидные проблемы с безопасностью сервиса не вижу смысла указывать пользователю на то, что у него сеть так настроена:-) Нужно признать и исправить ошибки, имхо.