У меня взломали аккаунт в перфект - Страница 38

[bond777]

Так ведь суть не в том, что через кипер уводят деньги, а в том, что при использовании кипера нужно включать API, что по себе является своеобразной "лазейкой".

в чём, именно, лазейка тут?
если юзать ПМ через кипер только... а на сайт совсем редко заходить.
вы главное не улавливаете
если в данном случае реальная какая-та лазейка была бы, то уже за все эти годы существования кипера, хоть какой-то хакер но смог бы этим воспользоваться.
а так, я даже и не представляю, как вообще возможно увести деньги с чужого компа, именно, используя кипер, который отдельно от браузеров идёт.
это всё равно, что та же отдельная прога кипера у Вебмани.

АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается, в браузерах. это типа инстант выплаты в проектах и т.п. и т.д

 

[Baldes]

в чём, именно, лазейка тут?
если юзать ПМ через кипер только... а на сайт совсем редко заходить.
вы главное не улавливаете
если в данном случае реальная какая-та лазейка была бы, то уже за все эти годы существования кипера, хоть какой-то хакер но смог бы этим воспользоваться.
а так, я даже и не представляю, как вообще возможно увести деньги с чужого компа, именно, используя кипер, который отдельно от браузеров идёт.
это всё равно, что та же отдельная прога кипера у Вебмани.

АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается, в браузерах. это типа инстант выплаты в проектах и т.п. и т.д

Ну вы тоже не забывайте, что кипер - стороннее ПО, а не официальный дистрибутив PM. Вы пользуетесь им чисто на свой страх и риск, полагаясь на порядочность и ответственность разработчика, а также на защиту еге серверов, и при этом приобретаете плохую привычку держать включенный API. Ну а при включенном API деньги легко и просто уводятся, и ни один способ защиты не действует. Расплатились где-то через наведенную фишинговую ссылку, а это так просто попасться. Ну к примеру вводите вы логин и пароль при оплате через шоппинг карту, и бац выдает неверный туринг, сразу насторожитесь? Нет, введете еще раз. А ваши данные, тем временем уже у злоумышленника. И если у вас включен API, все, баланс пропал.

Кстати о кипере, в бытность LR, я его юзал активно, и у меня как-то увели $20K. Не знаю кто там был виноват, но факт остается фактом, был включен API, и операции проходили только через кипер, и деньги ушли. Кипер не просто не панацея, но и существенный фактор риска.

 

[silenceinmysoul]

в чём, именно, лазейка тут?

АПИ уязвимость, бывает, используется, если АПИ к сайтам подключается

Ну вот, вы сами же и написали...какая разница, для чего используется API. Если это функционал включен, то он включен, не важно для оплаты через сайт или для кипера.

 

[Smirnov Nikolay]

С ним бесполезно спорить, если Бонд сказал, значит так и есть! По другому быть не может. )

 

[bond777]

С ним бесполезно спорить, если Бонд сказал, значит так и есть! По другому быть не может. )

опять фантазируете? лучше за слова свои отвечайте, не пустословьте публично.
на вопросы не отвечаете.
или промолчите лучше лишний раз, не влезая...

добавлено через 10 минут

Ну вы тоже не забывайте, что кипер - стороннее ПО, а не официальный дистрибутив PM. Вы пользуетесь им чисто на свой страх и риск, полагаясь на порядочность и ответственность разработчика, а также на защиту еге серверов, и при этом приобретаете плохую привычку держать включенный API..

на свой страх и риск, что вполне естественно, пользовались им народ первое время в первый год-два... т.к. вы верно сказали, что:

что кипер - стороннее ПО, а не официальный дистрибутив PM.

но проблем не было ни разу ни у кого с ним, поэтому я и советую им также пользоваться для снижения вероятности краж денег.
и причём тут включённое АПИ?
если проблема с самим пользователем, с его невнимательностью, проблем с безопасностью компа и не пренебрежением настроек безопасности в эпс, если у него уводят деньги, всё-таки.

добавлено через 16 минут

Ну вот, вы сами же и написали...какая разница, для чего используется API. Если это функционал включен, то он включен, не важно для оплаты через сайт или для кипера.

ну включен и что?
что это даёт то злоумышленнику, если он всё равно не знает логин-пароль, не имеет доступ к емайлу пользователя...
проблема всегда в самом пользователе, когда деньги уводят.
что уж говорить, когда вот тут даже пользователь не хочет кодовую карту включать, смс использовать, спорит не понять о чём в ответ

не, ну ладно бы за все эти годы периодически были посты от пользователей, что увели деньги, когда включён, юзался был только кипер и на сайт ПМ совсем не заходов не было в это время.
а то ни одного случая такого за все эти годы, а вы тут на пустом месте страшилки развели

добавлено через 19 минут

Кстати о кипере, в бытность LR, я его юзал активно, и у меня как-то увели $20K. Не знаю кто там был виноват, но факт остается фактом, был включен API, и операции проходили только через кипер, и деньги ушли..

это с ЛибертиРезерв было возможно проворачивать, т.к. там АПИ создавалось с логином паролем, а в ПМ только через ip компа самого пользователя.

уводы раньше денег, именно, через АПИ у пользователей были, именно, в ЛибертиРезерв часто, путём создания левых АПИ в аккаунте у пользователя.

в ПМ АПИ включается не логином-паролем, а посредством того же ip адреса компа пользователя, который прописан в настройках.

 

[Baldes]

но проблем не было ни разу ни у кого с ним, поэтому я и советую им также пользоваться для снижения вероятности краж денег.
и причём тут включённое АПИ?
если проблема с самим пользователем, с его невнимательностью, проблем с безопасностью компа и не пренебрежением настроек безопасности в эпс, если у него уводят деньги, всё-таки.

ну включен и что?
что это даёт то злоумышленнику, если он всё равно не знает логин-пароль, не имеет доступ к емайлу пользователя...
проблема всегда в самом пользователе, когда деньги уводят.

не, ну ладно бы за все эти годы периодически были посты от пользователей, что увели деньги, когда включён, юзался был только кипер и на сайт ПМ совсем не заходов не было в это время.
а то ни одного случая такого за все эти годы, а вы тут на пустом месте страшилки развели

это с ЛибертиРезерв было возможно проворачивать, т.к. там АПИ создавалось с логином паролем, а в ПМ только через ip компа самого пользователя.

уводы раньше денег, именно, через АПИ у пользователей были, именно, в ЛибертиРезерв часто, путём создания левых АПИ в аккаунте у пользователя.

в ПМ АПИ включается не логином-паролем, а посредством того же ip адреса компа пользователя.

Проблемы были у меня, как я написал выше. Кстати API у LR было более продвинутое, там можно было выбирать уровни доступа и предельный размер списаний, а также каждое API имело свое имя и пароль, через которые осуществлялся доступ. У PM открытое API разрешает делать все. Есть защита по IP, но не всем удобно ее подключать. Кроме того, если пользоваться сторонним ПО, надо забивать IP сервера с которого будут идти запросы, а не IP своего провайдера.

Факт в том, что PM не оставляет пользователю никакого права на ошибку. Как правильно отметил Arsenay, нет ни защиты временем - транзакции осуществляются мгновенно, ни повторением - транзакции не требуют обязательного повторного подтверждения, ни событием. Особенно это касается операций с открытым API.
Имея логин и пароль, при включенном API получает полный доступ к вашему счету.

 

[bond777]

Проблемы были у меня, как я написал выше. .

это не актуально.
написать сейчас можно что угодно про то, что было когда-то несколько лет назад, что даже не зафиксировано, хотя бы, постом на форуме)
и у вас увели тогда ЛР, как я понял.
а речь конкретно про ПМ.
на данный момент, за несколько лет пользования кипером нет ни одного случая, а именно, поста на форуме, увода денег только с помощью кипера... и это пока то, что есть по факту.

Кстати API у LR было более продвинутое, там можно было выбирать уровни доступа и предельный размер списаний, а также каждое API имело свое имя и пароль, через которые осуществлялся доступ. .

да фигня эта продвинутость, так понты больше.
когда ЛибертиРезерв существовала. то почему-то постоянно уводы через АПИ были, именно, у Либерти
про ПМ слышно и не было. имеется ввиду, у простых пользователей.

У PM открытое API разрешает делать все. Есть защита по IP, но не всем удобно ее подключать.

что разрешает делать всё?
АПИ подключается у ПМ посредством соответствия ip компа пользователя, а не как это было у Либерти логином и паролем.
что-то я не слышал случаев тут на форуме, что увод денег ПМ был именно и только из-за включенного АПИ.

а вот случаев увода у ЛибертиРезерв да, было достаточно немало.
просто. видать, из-за этого и сложилась такая боязнь у народа на АПИ, видать

Факт в том, что PM не оставляет пользователю никакого права на ошибку. Как правильно отметил Arsenay, нет ни защиты временем - транзакции осуществляются мгновенно, ни повторением - транзакции не требуют обязательного повторного подтверждения, ни событием. .

а, разве, не поэтому ПМ нравится народу?
это, наверно, и есть конкурентное преимущество у них... мгновенно и просто.
при этом настройки безопасности предоставляют на более-менее высоком уровне - ip-пинкоды, кодовая карта, смс.
кому обязательно нужно иначе, пользуются другими эпс.

Имея логин и пароль, при включенном API получает полный доступ к вашему счету.

вот и причём тут АПИ?)
если и так у злоумышленника есть и логин и пароль...

 

[Baldes]

что разрешает делать всё?
АПИ подключается у ПМ посредством соответствия ip компа пользователя, а не как это было у Либерти логином и паролем.
что-то я не слышал случаев тут на форуме, что увод денег ПМ был именно и только из-за включенного АПИ.
вот и причём тут АПИ?)
если и так у злоумышленника есть и логин и пароль...

Доступ к счету РМ через API осуществляется при вводе ID и пароля, просто вы забили их в настройках кипера и забыли об этом. Соответствие IP, проверяется только в случае если эта опция прописана при активации API.
Еще раз повторяю, если API активирован, и кто-то имеет ваш логин и пароль, ему до-лампочки ваше мыло, кодовые карты и СМС оповещения, он входит и выводит все имеющиеся у вас средства.

 

[bond777]

Доступ к счету РМ через API осуществляется при вводе ID и пароля, просто вы забили их в настройках кипера и забыли об этом..

ну так логин и пароль нужно сперва увести у пользователя
это первично.
отсюда следует, что без разницы, включено АПИ или нет, нужно следить прежде всего за безопасностью своего компа, использовать желательно максимально настройки безопасности.
что уж говорить, если тут в теме пользователь, который со мной начал спорить странно так, даже не желает кодовую карту и емайл с 2-х этапкой включать
о чём тут можно вообще говорить то...

и да, всё равно, вот не могу понять, каким образом, злоумышленник может увести деньги с помощью включенного АПИ в чужом аккаунте, даже уже зная логин и пароль аккаунта, но не получив доступ в емайл, который привязан к эпс, и не зная кодовой карты также.
ну и что, что включён АПИ... в ПМ АПИ работает только при совпадении ip запроса со стороны компа пользователя, который был прописан в профиле при включении АПИ.
с чужого компа не получится АПИ воспользоваться никак же.
или я, может, чего-то не совсем понимаю...
ну вор знает логин и пароль от аккаунта и всё. что ему это даст без захода в аккаунт то? он даже не в курсе, включено там какое-то АПИ или нет.

это в ЛибертиРезерв да, можно было вообще не заходить в чужой аккаунт, если увести логин и пароль от его АПИ.

возможно, я чего-то и не понимаю в этом вопросе, но для меня определяющим является, что за все эти годы не видел случаев тут на форуме, что именно деньги были уведены у простого пользователя только через кипер или АПИ включенное.
так что, есть ли смысл этим лишним то грузиться?

 

[Baldes]

ну так логин и пароль нужно сперва увести у пользователя
это первично.
отсюда следует, что без разницы, включено АПИ или нет, нужно следить прежде всего за безопасностью своего компа, использовать желательно максимально настройки безопасности.
о чём тут можно вообще говорить то...

Уводят пароли и логины множеством способов, это вы понимаете.
Ну килогеры, трояны, фишинговые сайты, зловредные плагины и т.п.
Да, меры безопасности и защиты, которые предлагает ЭПС, в какой-то мере, усложняют злоумышленникам их задачу. Они начинают пробовать, и в первую очередь простукивают API.

и да, всё равно, вот не могу понять, каким образом, злоумышленник может увести деньги с помощью включенного АПИ в чужом аккаунте, даже уже зная логин и пароль аккаунта, но не получив доступ в емайл, который привязан к эпс, и не зная кодовой карты также.
ну и что, что включён АПИ... в ПМ АПИ работает только при совпадении ip запроса со стороны компа пользователя, который был прописан в профиле при включении АПИ.
с чужого компа не получится АПИ воспользоваться никак же.
или я, может, чего-то не совсем понимаю...
ну вор знает логин и пароль от аккаунта и всё. что ему это даст без захода в аккаунт то? он даже не в курсе, включено там какое-то АПИ или нет.

API позволяет упрощенный автоматический доступ к счету пользователя в обход пользовательского интерфейса. Для подключения к счету нужен только логин и пароль. При включенном API никакие системы защиты типа повторного подтверждения, кодовой карты, проверки IP и браузера, СМС оповещения не работают, понимаете?

Человек пользуется кипером, активирует API, и для злоумышленника достаточно только выудить пароль и логин, что и делается вышеперечисленными способами. Если при активации API не задана привязка по IP, а это не всем удобно и не всегда возможно, как я уже объяснял, то доступ к счету открыт, и снять деньги - дело техники.

Естественно, каждый пользователь несет ответственность за обеспечение безопасности своих средств, и исходя из этого сам решает какими способами защиты он будет пользоваться.

 

[bond777]

Они начинают пробовать, и в первую очередь простукивают API.
.

ну хорошо.
тогда почему не слышно за все эти годы тут на форуме ни одного случая увода денег ПМ у просто пользователей посредством АПИ?
а вот с ЛибертиРезерв было достаточно немало случаев периодически.
это ж о чём-то говорит...

или хакеры слепые? их тут на форуме полно тусуется постоянно... они что, не в курсе, что достаточно много пользователей пользуется кипером и уже несколько лет?
почему они не используют кипер и АПИ включенное у этих пользователей для краж денег?
значит, что-то не так, или нет возможности.

я, возможно, с вашей теорией то и согласен... но на практике пока совсем иначе же.

все случаи краж с АПИ раньше встречались, именно, в ЛибертиРезерв же.

 

[werop]

Я не очень доверяю РМ

 

[bond777]

API позволяет упрощенный автоматический доступ к счету пользователя в обход пользовательского интерфейса. Для подключения к счету нужен только логин и пароль. При включенном API никакие системы защиты типа повторного подтверждения, кодовой карты, проверки IP и браузера, СМС оповещения не работают, понимаете?
.

это я понимаю и в курсе.
поэтому и кипер существует там не нужны кодовые карты и пин коды.
правда, в кипере можно установить свои пароли на загрузку проги и транзакции.

Человек пользуется кипером, активирует API, и для злоумышленника достаточно только выудить пароль и логин, что и делается вышеперечисленными способами. Если при активации API не задана привязка по IP, а это не всем удобно и не всегда возможно, как я уже объяснял, то доступ к счету открыт, и снять деньги - дело техники..

так при подключении АПИ там в любом случае нужно задать маску ip доступа, т.е. ip своего подключения интернета.
или я опять что-то не то понимаю?

 

[Crowds]

так при подключении АПИ там в любом случае нужно задать маску ip доступа, т.е. ip своего подключения интернета.
или я опять что-то не то понимаю?

По-дефолту там стоит 0.0.0.0 (т.е. разрешены подключения с любого IP)

 

[bond777]

Crowds, понял, я что-то не в курсе этого был... я когда давно подключал АПИ для кипера то думал, что это само собой разумеющееся, что нужно маску своих ip- вбивать.
хотя, может раньше так и было в обязательном порядке?

 

[Crowds]

Crowds, понял, я что-то не в курсе этого был... я когда давно подключал АПИ для кипера то думал, что это само собой разумеющееся, что нужно маску своих ip- вбивать.
хотя, может раньше так и было в обязательном порядке?

Насколько я помню - всегда там изначально 0.0.0.0 стояло.

 

[bond777]

Насколько я помню - всегда там изначально 0.0.0.0 стояло.

а нулевая маска прокатывает для включения АПИ?
и, разве, для разрешения с любого ip не такой вид должен быть для маски:
*.*.*.* , т.е. звёздочки

 

[Crowds]

а нулевая маска прокатывает для включения АПИ?
и, разве, для разрешения с любого ip не такой вид должен быть для маски:
*.*.*.* , т.е. звёздочки

Прокатывает:

0.0.0.0 = *.*.*.*

"Если в качестве адреса отображается 0.0.0.0 , то это означает - "любой адрес", т.е в соединении могут использоваться все IP-адреса существующие на данном компьютере."

 

[Baldes]

ну хорошо.
тогда почему не слышно за все эти годы тут на форуме ни одного случая увода денег ПМ у просто пользователей посредством АПИ?

Помилуйте, ну вы же очень активны в этой ветке. Вот только несколько ссылок на посты, где потерпевшие признали, что вывод средств происходил через API, когда он был включен.

https://mmgp.com/showthread.php?t=76388&page=34#post6263730
https://mmgp.com/showthread.php?t=76388&page=38#post6686082
https://mmgp.com/showthread.php?t=76388&page=62#post8395413
https://mmgp.com/showthread.php?t=76388&page=66#post9109753
https://mmgp.com/showthread.php?t=76388&page=70#post9145611

Да, естественно, большинство случаев относятся к взлому кошелей владельцев сайтов, но есть и простые пользователи.

 

[Arsenay]

Помилуйте, ну вы же очень активны в этой ветке. Вот только несколько ссылок на посты, где потерпевшие признали, что вывод средств происходил через API, когда он был включен.
.

просто личный опыт его уже подменяет и отрицает факты ...
поэтому бесполезно что-то доказывать тут ))