У меня взломали аккаунт в перфект - Страница 38

bond777 · 26.08.2015

silenceinmysoul написал(а):
Так ведь суть не в том, что через кипер уводят деньги, а в том, что при использовании кипера нужно включать API, что по себе является своеобразной "лазейкой".

в чём, именно, лазейка тут?
если юзать ПМ через кипер только... а на сайт совсем редко заходить.
вы главное не улавливаете

если в данном случае реальная какая-та лазейка была бы, то уже за все эти годы существования кипера, хоть какой-то хакер но смог бы этим воспользоваться.
а так, я даже и не представляю, как вообще возможно увести деньги с чужого компа, именно, используя кипер, который отдельно от браузеров идёт.
это всё равно, что та же отдельная прога кипера у Вебмани.

АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается, в браузерах. это типа инстант выплаты в проектах и т.п. и т.д

Baldes · 27.08.2015

bond777 написал(а):
в чём, именно, лазейка тут?
если юзать ПМ через кипер только... а на сайт совсем редко заходить.
вы главное не улавливаете
если в данном случае реальная какая-та лазейка была бы, то уже за все эти годы существования кипера, хоть какой-то хакер но смог бы этим воспользоваться.
а так, я даже и не представляю, как вообще возможно увести деньги с чужого компа, именно, используя кипер, который отдельно от браузеров идёт.
это всё равно, что та же отдельная прога кипера у Вебмани.

АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается, в браузерах. это типа инстант выплаты в проектах и т.п. и т.д

Ну вы тоже не забывайте, что кипер - стороннее ПО, а не официальный дистрибутив PM. Вы пользуетесь им чисто на свой страх и риск, полагаясь на порядочность и ответственность разработчика, а также на защиту еге серверов, и при этом приобретаете плохую привычку держать включенный API. Ну а при включенном API деньги легко и просто уводятся, и ни один способ защиты не действует. Расплатились где-то через наведенную фишинговую ссылку, а это так просто попасться. Ну к примеру вводите вы логин и пароль при оплате через шоппинг карту, и бац выдает неверный туринг, сразу насторожитесь? Нет, введете еще раз. А ваши данные, тем временем уже у злоумышленника. И если у вас включен API, все, баланс пропал.

Кстати о кипере, в бытность LR, я его юзал активно, и у меня как-то увели $20K. Не знаю кто там был виноват, но факт остается фактом, был включен API, и операции проходили только через кипер, и деньги ушли. Кипер не просто не панацея, но и существенный фактор риска.

silenceinmysoul · 27.08.2015

bond777 написал(а):
в чём, именно, лазейка тут?

bond777 написал(а):
АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается

Ну вот, вы сами же и написали...какая разница, для чего используется API. Если это функционал включен, то он включен, не важно для оплаты через сайт или для кипера.

Smirnov Nikolay · 27.08.2015

С ним бесполезно спорить, если Бонд сказал, значит так и есть! По другому быть не может. )

bond777 · 27.08.2015

Smirnov Nikolay написал(а):
С ним бесполезно спорить, если Бонд сказал, значит так и есть! По другому быть не может. )

опять фантазируете? лучше за слова свои отвечайте, не пустословьте публично.
на вопросы не отвечаете.
или промолчите лучше лишний раз, не влезая...

добавлено через 10 минут

Baldes написал(а):
Ну вы тоже не забывайте, что кипер - стороннее ПО, а не официальный дистрибутив PM. Вы пользуетесь им чисто на свой страх и риск, полагаясь на порядочность и ответственность разработчика, а также на защиту еге серверов, и при этом приобретаете плохую привычку держать включенный API..

на свой страх и риск, что вполне естественно, пользовались им народ первое время в первый год-два... т.к. вы верно сказали, что:

что кипер - стороннее ПО, а не официальный дистрибутив PM.

но проблем не было ни разу ни у кого с ним, поэтому я и советую им также пользоваться для снижения вероятности краж денег.
и причём тут включённое АПИ?
если проблема с самим пользователем, с его невнимательностью, проблем с безопасностью компа и не пренебрежением настроек безопасности в эпс, если у него уводят деньги, всё-таки.

добавлено через 16 минут

silenceinmysoul написал(а):
Ну вот, вы сами же и написали...какая разница, для чего используется API. Если это функционал включен, то он включен, не важно для оплаты через сайт или для кипера.

ну включен и что?
что это даёт то злоумышленнику, если он всё равно не знает логин-пароль, не имеет доступ к емайлу пользователя...
проблема всегда в самом пользователе, когда деньги уводят.
что уж говорить, когда вот тут даже пользователь не хочет кодовую карту включать, смс использовать, спорит не понять о чём в ответ

не, ну ладно бы за все эти годы периодически были посты от пользователей, что увели деньги, когда включён, юзался был только кипер и на сайт ПМ совсем не заходов не было в это время.
а то ни одного случая такого за все эти годы, а вы тут на пустом месте страшилки развели

добавлено через 19 минут

Baldes написал(а):
Кстати о кипере, в бытность LR, я его юзал активно, и у меня как-то увели $20K. Не знаю кто там был виноват, но факт остается фактом, был включен API, и операции проходили только через кипер, и деньги ушли..

это с ЛибертиРезерв было возможно проворачивать, т.к. там АПИ создавалось с логином паролем, а в ПМ только через ip компа самого пользователя.

уводы раньше денег, именно, через АПИ у пользователей были, именно, в ЛибертиРезерв часто, путём создания левых АПИ в аккаунте у пользователя.

в ПМ АПИ включается не логином-паролем, а посредством того же ip адреса компа пользователя, который прописан в настройках.

Baldes · 27.08.2015

bond777 написал(а):
но проблем не было ни разу ни у кого с ним, поэтому я и советую им также пользоваться для снижения вероятности краж денег.
и причём тут включённое АПИ?
если проблема с самим пользователем, с его невнимательностью, проблем с безопасностью компа и не пренебрежением настроек безопасности в эпс, если у него уводят деньги, всё-таки.

ну включен и что?
что это даёт то злоумышленнику, если он всё равно не знает логин-пароль, не имеет доступ к емайлу пользователя...
проблема всегда в самом пользователе, когда деньги уводят.

не, ну ладно бы за все эти годы периодически были посты от пользователей, что увели деньги, когда включён, юзался был только кипер и на сайт ПМ совсем не заходов не было в это время.
а то ни одного случая такого за все эти годы, а вы тут на пустом месте страшилки развели

это с ЛибертиРезерв было возможно проворачивать, т.к. там АПИ создавалось с логином паролем, а в ПМ только через ip компа самого пользователя.

уводы раньше денег, именно, через АПИ у пользователей были, именно, в ЛибертиРезерв часто, путём создания левых АПИ в аккаунте у пользователя.

в ПМ АПИ включается не логином-паролем, а посредством того же ip адреса компа пользователя.

Проблемы были у меня, как я написал выше. Кстати API у LR было более продвинутое, там можно было выбирать уровни доступа и предельный размер списаний, а также каждое API имело свое имя и пароль, через которые осуществлялся доступ. У PM открытое API разрешает делать все. Есть защита по IP, но не всем удобно ее подключать. Кроме того, если пользоваться сторонним ПО, надо забивать IP сервера с которого будут идти запросы, а не IP своего провайдера.

Факт в том, что PM не оставляет пользователю никакого права на ошибку. Как правильно отметил Arsenay, нет ни защиты временем - транзакции осуществляются мгновенно, ни повторением - транзакции не требуют обязательного повторного подтверждения, ни событием. Особенно это касается операций с открытым API.
Имея логин и пароль, при включенном API получает полный доступ к вашему счету.

bond777 · 27.08.2015

Baldes написал(а):
Проблемы были у меня, как я написал выше. .

это не актуально.
написать сейчас можно что угодно про то, что было когда-то несколько лет назад, что даже не зафиксировано, хотя бы, постом на форуме)
и у вас увели тогда ЛР, как я понял.
а речь конкретно про ПМ.
на данный момент, за несколько лет пользования кипером нет ни одного случая, а именно, поста на форуме, увода денег только с помощью кипера... и это пока то, что есть по факту.

Baldes написал(а):
Кстати API у LR было более продвинутое, там можно было выбирать уровни доступа и предельный размер списаний, а также каждое API имело свое имя и пароль, через которые осуществлялся доступ. .

да фигня эта продвинутость, так понты больше.
когда ЛибертиРезерв существовала. то почему-то постоянно уводы через АПИ были, именно, у Либерти

про ПМ слышно и не было. имеется ввиду, у простых пользователей.

Baldes написал(а):
У PM открытое API разрешает делать все. Есть защита по IP, но не всем удобно ее подключать.

что разрешает делать всё?
АПИ подключается у ПМ посредством соответствия ip компа пользователя, а не как это было у Либерти логином и паролем.
что-то я не слышал случаев тут на форуме, что увод денег ПМ был именно и только из-за включенного АПИ.

а вот случаев увода у ЛибертиРезерв да, было достаточно немало.
просто. видать, из-за этого и сложилась такая боязнь у народа на АПИ, видать

Baldes написал(а):
Факт в том, что PM не оставляет пользователю никакого права на ошибку. Как правильно отметил Arsenay, нет ни защиты временем - транзакции осуществляются мгновенно, ни повторением - транзакции не требуют обязательного повторного подтверждения, ни событием. .

а, разве, не поэтому ПМ нравится народу?

это, наверно, и есть конкурентное преимущество у них... мгновенно и просто.
при этом настройки безопасности предоставляют на более-менее высоком уровне - ip-пинкоды, кодовая карта, смс.
кому обязательно нужно иначе, пользуются другими эпс.

Baldes написал(а):
Имея логин и пароль, при включенном API получает полный доступ к вашему счету.

вот и причём тут АПИ?)
если и так у злоумышленника есть и логин и пароль...

Baldes · 27.08.2015

bond777 написал(а):
что разрешает делать всё?
АПИ подключается у ПМ посредством соответствия ip компа пользователя, а не как это было у Либерти логином и паролем.
что-то я не слышал случаев тут на форуме, что увод денег ПМ был именно и только из-за включенного АПИ.
вот и причём тут АПИ?)
если и так у злоумышленника есть и логин и пароль...

Доступ к счету РМ через API осуществляется при вводе ID и пароля, просто вы забили их в настройках кипера и забыли об этом. Соответствие IP, проверяется только в случае если эта опция прописана при активации API.
Еще раз повторяю, если API активирован, и кто-то имеет ваш логин и пароль, ему до-лампочки ваше мыло, кодовые карты и СМС оповещения, он входит и выводит все имеющиеся у вас средства.

bond777 · 27.08.2015

Baldes написал(а):
Доступ к счету РМ через API осуществляется при вводе ID и пароля, просто вы забили их в настройках кипера и забыли об этом..

ну так логин и пароль нужно сперва увести у пользователя

это первично.
отсюда следует, что без разницы, включено АПИ или нет, нужно следить прежде всего за безопасностью своего компа, использовать желательно максимально настройки безопасности.
что уж говорить, если тут в теме пользователь, который со мной начал спорить странно так, даже не желает кодовую карту и емайл с 2-х этапкой включать

о чём тут можно вообще говорить то...

и да, всё равно, вот не могу понять, каким образом, злоумышленник может увести деньги с помощью включенного АПИ в чужом аккаунте, даже уже зная логин и пароль аккаунта, но не получив доступ в емайл, который привязан к эпс, и не зная кодовой карты также.
ну и что, что включён АПИ... в ПМ АПИ работает только при совпадении ip запроса со стороны компа пользователя, который был прописан в профиле при включении АПИ.
с чужого компа не получится АПИ воспользоваться никак же.
или я, может, чего-то не совсем понимаю...
ну вор знает логин и пароль от аккаунта и всё. что ему это даст без захода в аккаунт то? он даже не в курсе, включено там какое-то АПИ или нет.

это в ЛибертиРезерв да, можно было вообще не заходить в чужой аккаунт, если увести логин и пароль от его АПИ.

возможно, я чего-то и не понимаю в этом вопросе, но для меня определяющим является, что за все эти годы не видел случаев тут на форуме, что именно деньги были уведены у простого пользователя только через кипер или АПИ включенное.
так что, есть ли смысл этим лишним то грузиться?

Baldes · 27.08.2015

bond777 написал(а):
ну так логин и пароль нужно сперва увести у пользователя
это первично.
отсюда следует, что без разницы, включено АПИ или нет, нужно следить прежде всего за безопасностью своего компа, использовать желательно максимально настройки безопасности.
о чём тут можно вообще говорить то...

Уводят пароли и логины множеством способов, это вы понимаете.
Ну килогеры, трояны, фишинговые сайты, зловредные плагины и т.п.
Да, меры безопасности и защиты, которые предлагает ЭПС, в какой-то мере, усложняют злоумышленникам их задачу. Они начинают пробовать, и в первую очередь простукивают API.

и да, всё равно, вот не могу понять, каким образом, злоумышленник может увести деньги с помощью включенного АПИ в чужом аккаунте, даже уже зная логин и пароль аккаунта, но не получив доступ в емайл, который привязан к эпс, и не зная кодовой карты также.
ну и что, что включён АПИ... в ПМ АПИ работает только при совпадении ip запроса со стороны компа пользователя, который был прописан в профиле при включении АПИ.
с чужого компа не получится АПИ воспользоваться никак же.
или я, может, чего-то не совсем понимаю...
ну вор знает логин и пароль от аккаунта и всё. что ему это даст без захода в аккаунт то? он даже не в курсе, включено там какое-то АПИ или нет.

API позволяет упрощенный автоматический доступ к счету пользователя в обход пользовательского интерфейса. Для подключения к счету нужен только логин и пароль. При включенном API никакие системы защиты типа повторного подтверждения, кодовой карты, проверки IP и браузера, СМС оповещения не работают, понимаете?

Человек пользуется кипером, активирует API, и для злоумышленника достаточно только выудить пароль и логин, что и делается вышеперечисленными способами. Если при активации API не задана привязка по IP, а это не всем удобно и не всегда возможно, как я уже объяснял, то доступ к счету открыт, и снять деньги - дело техники.

Естественно, каждый пользователь несет ответственность за обеспечение безопасности своих средств, и исходя из этого сам решает какими способами защиты он будет пользоваться.

bond777 · 27.08.2015

Baldes написал(а):
Они начинают пробовать, и в первую очередь простукивают API.
.

ну хорошо.
тогда почему не слышно за все эти годы тут на форуме ни одного случая увода денег ПМ у просто пользователей посредством АПИ?
а вот с ЛибертиРезерв было достаточно немало случаев периодически.
это ж о чём-то говорит...

или хакеры слепые? их тут на форуме полно тусуется постоянно... они что, не в курсе, что достаточно много пользователей пользуется кипером и уже несколько лет?
почему они не используют кипер и АПИ включенное у этих пользователей для краж денег?
значит, что-то не так, или нет возможности.

я, возможно, с вашей теорией то и согласен... но на практике пока совсем иначе же.

все случаи краж с АПИ раньше встречались, именно, в ЛибертиРезерв же.

werop · 27.08.2015

Я не очень доверяю РМ

bond777 · 27.08.2015

Baldes написал(а):
API позволяет упрощенный автоматический доступ к счету пользователя в обход пользовательского интерфейса. Для подключения к счету нужен только логин и пароль. При включенном API никакие системы защиты типа повторного подтверждения, кодовой карты, проверки IP и браузера, СМС оповещения не работают, понимаете?
.

это я понимаю и в курсе.
поэтому и кипер существует

там не нужны кодовые карты и пин коды.
правда, в кипере можно установить свои пароли на загрузку проги и транзакции.

Baldes написал(а):
Человек пользуется кипером, активирует API, и для злоумышленника достаточно только выудить пароль и логин, что и делается вышеперечисленными способами. Если при активации API не задана привязка по IP, а это не всем удобно и не всегда возможно, как я уже объяснял, то доступ к счету открыт, и снять деньги - дело техники..

так при подключении АПИ там в любом случае нужно задать маску ip доступа, т.е. ip своего подключения интернета.
или я опять что-то не то понимаю?

Crowds · 27.08.2015

bond777 написал(а):
так при подключении АПИ там в любом случае нужно задать маску ip доступа, т.е. ip своего подключения интернета.
или я опять что-то не то понимаю?

По-дефолту там стоит 0.0.0.0 (т.е. разрешены подключения с любого IP)

bond777 · 27.08.2015

Crowds, понял, я что-то не в курсе этого был... я когда давно подключал АПИ для кипера то думал, что это само собой разумеющееся, что нужно маску своих ip- вбивать.
хотя, может раньше так и было в обязательном порядке?

Crowds · 27.08.2015

bond777 написал(а):
Crowds, понял, я что-то не в курсе этого был... я когда давно подключал АПИ для кипера то думал, что это само собой разумеющееся, что нужно маску своих ip- вбивать.
хотя, может раньше так и было в обязательном порядке?

Насколько я помню - всегда там изначально 0.0.0.0 стояло.

bond777 · 27.08.2015

Crowds написал(а):
Насколько я помню - всегда там изначально 0.0.0.0 стояло.

а нулевая маска прокатывает для включения АПИ?
и, разве, для разрешения с любого ip не такой вид должен быть для маски:
*.*.*.* , т.е. звёздочки

Crowds · 27.08.2015

bond777 написал(а):
а нулевая маска прокатывает для включения АПИ?
и, разве, для разрешения с любого ip не такой вид должен быть для маски:
*.*.*.* , т.е. звёздочки

Прокатывает:

0.0.0.0 = *.*.*.*

"Если в качестве адреса отображается 0.0.0.0 , то это означает - "любой адрес", т.е в соединении могут использоваться все IP-адреса существующие на данном компьютере."

Baldes · 27.08.2015

bond777 написал(а):
ну хорошо.
тогда почему не слышно за все эти годы тут на форуме ни одного случая увода денег ПМ у просто пользователей посредством АПИ?

Помилуйте, ну вы же очень активны в этой ветке. Вот только несколько ссылок на посты, где потерпевшие признали, что вывод средств происходил через API, когда он был включен.

https://mmgp.com/showthread.php?t=76388&page=34#post6263730
https://mmgp.com/showthread.php?t=76388&page=38#post6686082
https://mmgp.com/showthread.php?t=76388&page=62#post8395413
https://mmgp.com/showthread.php?t=76388&page=66#post9109753
https://mmgp.com/showthread.php?t=76388&page=70#post9145611

Да, естественно, большинство случаев относятся к взлому кошелей владельцев сайтов, но есть и простые пользователи.

Arsenay · 27.08.2015

Baldes написал(а):
Помилуйте, ну вы же очень активны в этой ветке. Вот только несколько ссылок на посты, где потерпевшие признали, что вывод средств происходил через API, когда он был включен.
.

просто личный опыт его уже подменяет и отрицает факты ...
поэтому бесполезно что-то доказывать тут ))

У меня взломали аккаунт в перфект - Страница 38

ТОП-МАСТЕР

Специалист

ТОП-МАСТЕР

ТОП-МАСТЕР

ТОП-МАСТЕР

Специалист

ТОП-МАСТЕР

Специалист

ТОП-МАСТЕР

Специалист

ТОП-МАСТЕР

МАСТЕР

ТОП-МАСТЕР

МАСТЕР

ТОП-МАСТЕР

МАСТЕР

ТОП-МАСТЕР

МАСТЕР

Специалист

МАСТЕР

Похожие темы