Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2008-09-16 06:41:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Mythos - MYTHOS
Entry tags:abuse, lj, vzlom

прислали якобы скан паспорта
История со взломом [info]barros@lj очень странная
http://streletsky.livejournal.com/1202.html

В суппорт Яндекса прислали якобы скан паспорта
(отфотошопленный) и получили пароль от его почты.

Когда умер [info]rodiki, его же-же был
немедленно подвергнут суспенду от Abuse, по стуку от
каких-то мразей. Брат [info]rodiki (желавший сохранить
память о покойном) провел немало времени в поиске
пароля от убитого дневника, с целью переноса записей
в LJR. Яндекс стоял горой, только лично покойному,
с предъявлением паспорта, иначе обращайтесь в суд.
По случаю, Дима [info]kaledin приятельствует
с одной симпатичной дамой из топ-менеджмента Яндекса,
и мы с ним пытались воспользоваться административным
ресурсом для благой цели, но тоже безуспешно. Симпатичная
дама сказала, что если Яндекс будет нарушать свои
правила, Яндексу грозят неприятности и даже
судебное преследование, и нарушать их они ни
для кого не станут, даже для покойного [info]rodiki
с целью сохранения журнала. И предложила нам
обратиться в суд.

Проведя недели две в поисках, [info]alexander_r70
(брат [info]rodiki) обрел пароль к брату
в кэше какого-то знакомого и обошелся без
Яндекса. Я думаю, похожую историю может
рассказать [info]anticompromat, также не
сумевший выцепить из Яндекса свою почту.

В Германии аналогичный трюк вполне сработал
http://labas.livejournal.com/369313.html
но в Яндексе, по идее, не должен. Удивлен
безмерно. Если кто-то знает детали, пожалуйста,
поделитесь.

Вообще, взломы делаются в 3/4 случаев
через "контрольный вопрос". Были случаи,
когда взломщик и хозяин аккаунта менялись
аккаунтом по нескольку раз, хозяин жаловался
в администрацию mail.ru, получал аккаунт назад,
менял пароль, но контрольный вопрос остался
тем же, и пароль через полчаса доставался
негодяю; и так несколько дней подряд.

Особенно учитывая, что многие пишут
в контрольный вопрос лабуду типа
"девичья фамилия матери", а у взломщиков
есть доступ к личному делу, заведенному
в гебе на жертву взлома (или к ментовским
базам данных, один хуй). Вообще лучше всего
не держать никакой почты на бесплатных серверах,
кроме мусорной, для всяких регистраций.
Но если уж очень хочется, забейте в
контрольный вопрос-ответ что-то типа
IGIjig97y6p9uH:OIJH:987p9yhikgvhFYFD
96y87tyiuygo87to8gilgliugui, потому что под
стрессом вы можете и не вспомнить, что кроме
пароля следует поменять вопрос-ответ.

Привет

Апдэйт от [info]kukutz, сотрудника Яндекса.
"Злоумышленник не только прислал поддельный скан
паспорта с верной датой рождения, но и правильно
ответил на секретный вопрос.

Для восстановления пароля нужен или провалидированный
мобильный телефон, или правильно ответить на контрольный
вопрос, а потом убедить службу поддержки, что это
действительно ты."



(Добавить комментарий)


[info]666
2008-09-16 06:30 (ссылка)
получал аккаунт назад,
менял пароль, но контрольный вопрос оставался
тем же, и пароль через полчаса доставался
негодяю; и так несколько дней подряд.


а можно про несколько дней подряд подробнее?
это очень поучительно

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 06:31 (ссылка)
да я не помню уже
кажется, как раз с Мальгиным и было

(Ответить) (Уровень выше)


[info]ded_mitya
2008-09-16 06:35 (ссылка)
Не ходите, девки, в Яндекс,
нихуя хорошего.

(Ответить)


[info]illyn.livejournal.com
2008-09-16 07:37 (ссылка)
Когда ломали Игоря Петрова Лабаса - тоже присали на немецкий почтовый сайт поддельный "паспорт".

(Ответить) (Ветвь дискуссии)


[info]illyn.livejournal.com
2008-09-16 07:38 (ссылка)
Ой. Повторяюсь, там сразу написано об этом.

(Ответить) (Уровень выше)


[info]varsava
2008-09-16 09:03 (ссылка)
Кстати это очень интересный вопрос, IGIjig97y6p9uH:OIJH:987p9yhikgvhFYFD
96y87tyiuygo87to8gilgliugui? Я им часто задаюсь.

(Ответить)


[info]kukutz
2008-09-16 09:42 (ссылка)
Злоумышленник не только прислал поддельный скан паспорта с верной датой рождения, но и правильно ответил на секретный вопрос.

В большинстве систем достаточно только ответа.

Как можно было бы улучшить эту процедуру, на твой взгляд?

(Ответить) (Ветвь дискуссии)


[info]mcparker
2008-09-16 10:26 (ссылка)
нотариально заверенные скриншоты?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 10:29 (ссылка)
Какая разница, фотошопить паспорт или нотариально заверенную копию паспорта?

(Ответить) (Уровень выше)


(Анонимно)
2008-09-16 10:41 (ссылка)
Как в gmail - если даже ответил правильно на секретный вопрос, ссылку на ресет пароля присылается только через 5 дней и только с условием, что в это время в аккаунт никто не заходил.

(Ответить) (Уровень выше)


[info]russkiy
2008-09-16 11:02 (ссылка)
Номер мабильного телефона. На который пароль скидывать смсом, а все контрольные вопросы и паспорта запретить. Если пациент провафлил не только пароль, но и телефон - туда ему и дорога.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 13:07 (ссылка)
У нас так и сделано.

Для восстановления пароля нужен провалидированный мобильный телефон.

И только для тех, кто не хочет или не может пользоваться мобильным телефоном - им нужно сперва правильно ответить на контрольный вопрос, а потом убедить службу поддержки, что это действительно ты.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]russkiy
2008-09-16 13:37 (ссылка)
Ага, я посмотрел сходил, пока суть да дело, а то никогда у вас ничего не заводил. В принципе, разумная вполне система. Идеально было бы вообще только на телефон пароль отдавать, хотя и понятно, почему это не так.

В чем заключается процесс убеждения службы поддержки, вот что интереснее всего.

(Ответить) (Уровень выше)


[info]emdin
2008-09-16 11:46 (ссылка)
Прикреплять к мобильному телефону. Сервис, который сделает возможность контроля за ящиком через мобильный телефон, немедленно получит меня в качестве постоянного платного клиента.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 13:06 (ссылка)
У нас так и сделано.

Для восстановления пароля нужен провалидированный мобильный телефон.

И только для тех, кто не хочет или не может пользоваться мобильным телефоном - им нужно сперва правильно ответить на контрольный вопрос, а потом убедить службу поддержки, что это действительно ты.

(Ответить) (Уровень выше)


[info]prool
2008-09-16 12:35 (ссылка)
Мои предложения (цитата):

"Поэтому выбирайте нормальных "провов",
например или мегакрупных, где разговор с клиентом один "приходите с паспортом в
офис в приемные часы" или мелких, где можно добиться, чтобы оба менеджера лично
знали вас в лицо."

Ref: http://prool.livejournal.com/1106031.html

(Ответить) (Уровень выше)


[info]tiphareth
2008-09-16 13:04 (ссылка)
а, занятно, спасибо
а Прибыловского как тогда поломали - тоже поддельным сканом
паспорта?

>Как можно было бы улучшить эту процедуру

Нотариально заверенное заявление
по почте потребовать?

Секретные вопросы, как показывает опыт,
это security hole, сканы паспорта вообще
делаются на раз. Уж точно имеет смысл потребовать
личной явки владельца почты, мере когда человек
за историю работы пользовался московскими IP
больше половины времени. Для остальных,
нотариально заверенное заявление пусть шлют,
действительно.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 13:07 (ссылка)
Миша, я не знаю, кто такой Прибыловский.

Про бумажную нотариалку надо думать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 13:13 (ссылка)
Довольно известный в правозащитной среде деятель
(издательство и центр Панорама), в же-же был
[info]anticompromat@lj. Был взломан через Яндекс,
судя по всему - тоже секретный вопрос.

Неплохо бы добыть эти ложные сканы паспортов,
использованные для взлома, и опубликовать, коль
скоро факт взлома Бережного официально типа установлен.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 13:21 (ссылка)
Не можем публиковать, по ряду причин. Извини.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 13:28 (ссылка)
А можно, ради любопытства, причины? Пжлст

Все-таки ситуация конкретно уголовная,
пользователи страдают

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]russkiy
2008-09-16 13:40 (ссылка)
Если яндекс рассматривает паспорт как паспорт, то есть документ, то его подделка - чистая уголовщина, без вопросов.

Другой вопрос, можно ли рассматривать скан паспорта как паспорт. По-моему, нифига.

(Ответить) (Уровень выше)


[info]kukutz
2008-09-16 17:24 (ссылка)
Написал ответ, а Макось решила перезагрузиться.

Нет, нет в природе приличной ОС.

Так вот, я досконально всех причин не знаю, всё-таки не юрист и в саппорте не работаю, но смысл в том, что:

а. дело уголовное, публиковать улику явно не стоит
б. саппорту крайне трудно понять, первый заявитель прислал фальшивый паспорт или второй. Может, цель этой многоходовки в том, чтобы выманить скан настоящего паспорта. Я-то знаю, что Бережной настоящий, потому что спросил у него факт, интернетами не зафиксированный, а у саппорта такого способа нет.

Ну и наверняка это не все причины.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 17:26 (ссылка)
в. Таки ещё причину вспомнил. Закон о личных данных (не помню точного названия) запрещает делиться личными данными пользвателя (в т.ч. паспортными) без его разрешения.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 21:02 (ссылка)
Ну, Бережной как раз все разрешит с удовольствием,
и вышлет заверенное нотариально, либо сам зайдет, это
не проблема совершенно. Насколько я понял из его коммента,
он в этом очень заинтересован. Ну и все мы,
в принципе.

> дело уголовное, публиковать улику явно не стоит

Именно как раз стоит. Мальгин решил вот не публиковать
(имея в руках обьемистое досье секретной инфы
на негодяя, которую он почему-то никому не дает), и
ничего хорошего из этого не вышло. Адвокаты тупо
шароебятся по левым провайдерам, выискивая торквемадий
IP, который у всех давно есть еще с той истории, как
его поломали. Причем до того тупые, по слухам, что
делается жутко.

>Я kukutz, а не kukuts

Ага, поправил, спасибо

Такие дела
Миша

(Ответить) (Уровень выше)


[info]kukutz
2008-09-16 17:25 (ссылка)
p.s. Я kukutz, а не kukuts =)

(Ответить) (Уровень выше)


[info]nickalex
2008-09-16 13:30 (ссылка)
я не знаю, кто такой Прибыловский.
Вот в этом и корень всех бед, на самом деле.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 17:21 (ссылка)
Извенитию

(Ответить) (Уровень выше)


[info]anticompromat
2008-09-16 17:06 (ссылка)
а вот я после взлома и скан паспорта прислал (как просили), и контрольный вопрос, и линк на опубликованный взломщиками мой почтовый архив, и свои телефоны, и готов был лично явиться с паспортом - но мне мой адрес отказались возвращать, из-за чего я так и не смог восстановить свой аккаунт в ЖЖ.
В.Прибыловский (адрес был anticompr@yandex.ru)
для взломщиков - все удобства, а людям...






(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 17:20 (ссылка)
О, большое спасибо за фактическую информацию, я попробую разобраться, что к чему.

(Ответить) (Уровень выше)


[info]dima_l
2008-09-16 18:46 (ссылка)
я уж им и жопу показывал, и унитаз из дому приносил, а все равно туалетной бумаги не дают ((С))

(Ответить) (Уровень выше)


[info]http://users.livejournal.com/_wep_/
2008-09-16 10:00 (ссылка)
Имею вопрос любопытствующего дилетанта: а взломы с использованием шпионов-вирусов всяких, засланных целенаправленно на комп (домашний, рабочий) интересующего персонажа бывают? Или это сказки?

(Ответить) (Ветвь дискуссии)


[info]kukutz
2008-09-16 10:12 (ссылка)
Бывают. Работают, как правило, тоже через социальную инженерию, то есть человеку присылают файл, который он запустит с весьма большой вероятностью (изучив его интересы, в письме файл описываают максимально интересно).

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]http://users.livejournal.com/_wep_/
2008-09-16 10:18 (ссылка)
А внедрить такую программу совсем втихаря можно? Т. е. например, Вы располагаете адресом компа и в моменты, когда он в сети, каким-то образом внедряете без того, чтобы пользователь что-то запускал левое?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 10:27 (ссылка)
В общем случае - нет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]bigturtle
2008-09-16 11:02 (ссылка)
Ну, вообще-то XP до SP2 буквально состоит из дыр в IE и повсюду. Те же, кто использует пиратские копии ее обновить не могли. Ну и результат...

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 17:21 (ссылка)
Это как раз частный случай =)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]russkiy
2008-09-16 20:57 (ссылка)
Ничего себе частный

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 21:14 (ссылка)
XP не-SP2 реально мало.

(Ответить) (Уровень выше)


[info]bigturtle
2008-09-17 03:18 (ссылка)
А это - другой частный случай;)

(Ответить) (Уровень выше)


[info]http://users.livejournal.com/_wep_/
2008-09-16 12:35 (ссылка)
Спасибо.

(Ответить) (Уровень выше)


[info]emdin
2008-09-16 11:45 (ссылка)
Можно придумать вполне логичный, но неберущийся контрольный вопрос.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 12:53 (ссылка)
...а через 5 лет он невозбранно возьмется из-за изменившихся обстоятельств.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]emdin
2008-09-16 12:58 (ссылка)
В смысле? Как новые обстоятельства могут повлиять на некий факт из моего прошлого?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kukutz
2008-09-16 13:08 (ссылка)
Появится новая соцсеть про этот вид обстоятельств =)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]emdin
2008-09-16 13:11 (ссылка)
Про фасон рубашки моего прошлого начальника? -)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2008-09-16 13:14 (ссылка)
через 5 лет сам забудешь
тогда уж проще сразу 7ыпоиучл;очлкбжкутйч
;ойчилытгп897улкйб

(Ответить) (Уровень выше)

ну например:
[info]tiphareth
2008-09-16 13:15 (ссылка)
напишешь в же-же смешной случай, который
прольет свет на содержание ответа
либо кто-то из друзей напишет

(Ответить) (Уровень выше)