Comments 329
Красиво.
С жутким русским акцентом не прокатило :(
Лет ми спик фром май харт… И вонт ту гет бэк акцесс ту май аккаунт Джон Смит… То есть как фак ю?
Вы только представьте, сколько за последнее время саппорты упомянутых в статье организаций получили звонков с просьбой восстановить аккаунт почему-то одного конкретного экстремально забывчивого Мэта Хонана :)
похоже на анекдот про Челночную дипломатию
напомните?
Однажды у Генри Киссинджера спросили:
— Что такое «челночная дипломатия»?
Киссинджер ответил:
— О! Это универсальный метод! Поясню на примере: вы хотите методом челночной дипломатии выдать дочь Рокфеллера замуж за простого парня из русской деревни.
— Каким образом?
— Очень просто. Я еду в русскую деревню, нахожу там простого парня и спрашиваю:
— Хочешь жениться на американской еврейке?
Он мне:
— На*рена?! У нас и своих девчонок полно.
Я ему:
— Да. Но она — дочка миллиардера!
Он:
— О! Это меняет дело…
Тогда я еду в Швейцарию, на заседание правления банка и спрашиваю:
— Вы хотите иметь президентом сибирского мужика?
— Фу, — говорят мне в банке.
— А если он, при этом, будет зятем Рокфеллера?
— О! Это конечно меняет дело!
И такида, я еду домой к Рокфеллеру и спрашиваю:
— Хотите иметь зятем русского мужика?
Он мне:
— Что вы такое говорите, у нас в семье все — финансисты!
Я ему:
— А он, как раз, — президент правления Швейцарского банка!
Он:
— О! Это меняет дело! Сюзи! Пойди сюда. Мистер Киссинджер нашел тебе
жениха. Это президент Швейцарского банка!
Сюзи:
— Фи… Все эти финансисты — дохляки или педики!
А я ей:
— Да! Но этот — здоровенный сибирский мужик!
Она:
— Ооо! Это меняет дело!
— Что такое «челночная дипломатия»?
Киссинджер ответил:
— О! Это универсальный метод! Поясню на примере: вы хотите методом челночной дипломатии выдать дочь Рокфеллера замуж за простого парня из русской деревни.
— Каким образом?
— Очень просто. Я еду в русскую деревню, нахожу там простого парня и спрашиваю:
— Хочешь жениться на американской еврейке?
Он мне:
— На*рена?! У нас и своих девчонок полно.
Я ему:
— Да. Но она — дочка миллиардера!
Он:
— О! Это меняет дело…
Тогда я еду в Швейцарию, на заседание правления банка и спрашиваю:
— Вы хотите иметь президентом сибирского мужика?
— Фу, — говорят мне в банке.
— А если он, при этом, будет зятем Рокфеллера?
— О! Это конечно меняет дело!
И такида, я еду домой к Рокфеллеру и спрашиваю:
— Хотите иметь зятем русского мужика?
Он мне:
— Что вы такое говорите, у нас в семье все — финансисты!
Я ему:
— А он, как раз, — президент правления Швейцарского банка!
Он:
— О! Это меняет дело! Сюзи! Пойди сюда. Мистер Киссинджер нашел тебе
жениха. Это президент Швейцарского банка!
Сюзи:
— Фи… Все эти финансисты — дохляки или педики!
А я ей:
— Да! Но этот — здоровенный сибирский мужик!
Она:
— Ооо! Это меняет дело!
Анекдот анекдотом, но очень много вещей делаются именно так :)
Апофеоз: Полковник Солдатов слушает
Да еще и технично так, без лишних движений.
Мораль сей басни? Используйте двухступенчатую авторизацию на gmail и храните PIN коды для аварийного доступа в случае утери телефона в надёжном месте :)
UFO just landed and posted this here
back up'ы товарищи back up'ы…
Бэкапы гуглового контента на амазоне, бэкапы амазоновского на эппле, бэкапы эпплового у гугла… Блин, не помогает! :(
Согласен
а теперь о морали (больше всего чувак жалеет о потери фото своей дочки)
Mat Honan «I should have been regularly backing up my MacBook. Because I wasn’t doing that, if all the photos from the first year and a half of my daughter’s life are ultimately lost, I will have only myself to blame.»
а теперь о морали (больше всего чувак жалеет о потери фото своей дочки)
Mat Honan «I should have been regularly backing up my MacBook. Because I wasn’t doing that, if all the photos from the first year and a half of my daughter’s life are ultimately lost, I will have only myself to blame.»
А он прям стирает с каким-нибудь перезаписыванием? Иначе же восстановить можно без особых проблем. Хотя если он стирает по-обычному, толку от этих функций маловато.
Возможно пока не стыкался не знаю (
он стирает по обычному, иначе процесс бы занял больше 2-3х часов (250гб) с 2-3 циклами забивания нулями
Если это SSD, то одна «правильная» команда очистки раздела позволяет контроллеру пометить весь раздел как пустой без возможности восстановления данных (которое заключается в чтении данных раздела, игнорируя очищенную файловую таблицу). Аналогично и включённый TRIM делает обычное удаление файлов безопасным по умолчанию. ИМХО, и возможно, я не прав.
Выходит, что электронные носители подвержены угрозам целостности не менее, а еще более чем материальные. У многих в семейных архивах есть фото начала XX века. А представьте себе путь, который должны пройти цифровые фотографии, чтоб дожить до 2112 года?
Бэкапы гуглового, амазоновского и эпплового контента на простом дедовском DVD, а особо важные — на бумаге:)
Простой дедовский ДВД стал слишком мал для современных объёмов при сохранении удобства. На двд-шках можно устроить полноценую систему бэкапов, но довольно геморройно.
В общем, это всё понятно. Тут с другой стороны проблема получается. И бэкапы, вроде есть и удобно в облаке лежат, но не помогает. С дивидишками и винчестерами проблема, на самом деле, похожая — пожар или воры легко избавят вас от бэкапов. А хранение в несгораемом ящике, территориально отдалённо — жутко неудобно. И как раз это, вроде бы, решалось облаком, но оно вона как получается.
То есть сам по себе бэкап не спасает, надо тщательно разрабатывать и поддерживать систему хранения и управления копиями. Для домашнего пользователя задача крайне сложная.
В общем, это всё понятно. Тут с другой стороны проблема получается. И бэкапы, вроде есть и удобно в облаке лежат, но не помогает. С дивидишками и винчестерами проблема, на самом деле, похожая — пожар или воры легко избавят вас от бэкапов. А хранение в несгораемом ящике, территориально отдалённо — жутко неудобно. И как раз это, вроде бы, решалось облаком, но оно вона как получается.
То есть сам по себе бэкап не спасает, надо тщательно разрабатывать и поддерживать систему хранения и управления копиями. Для домашнего пользователя задача крайне сложная.
С ДВД, кстати, как минимум, можно удобно хранить фото. Беглый опрос друзей показал, что абсолютному большинству нефотографов (эти ребята хранят у себя тысячи всяческих равов огромного разрешения, с ними разговор особый) этого хватает, хранить несколько десятков ДВД и перриодически их перезаписывать — можно.
Вот даже с личными видео такое уже не работает.
С рабочей информацией — зачастую совсем неудобно, там многим нужно бэкапиться часто, а ДВД замедляет процесс как бэкапа, так и восстановления.
Вот даже с личными видео такое уже не работает.
С рабочей информацией — зачастую совсем неудобно, там многим нужно бэкапиться часто, а ДВД замедляет процесс как бэкапа, так и восстановления.
С рабочей проще — меньше объём. Весь вопрос в организации — я сейчас стараюсь всё хранить компактно.
А фотки да… ими забито всё что только можно. Хотя д800 дисциплинирует рав 45м, джпг 13м)
А фотки да… ими забито всё что только можно. Хотя д800 дисциплинирует рав 45м, джпг 13м)
DVD отвратительно мало хранятся. При чём время хранения мало зависит от брэнда. Скажем, у меня сейчас не читаются уже многие диски всего лишь 2007-го года записи. А постоянную регулярную перезапись очень мало кто осиливает. Особенно если данных под 250Гб — это придётся всё свободное время на перезапись тратить…
Я пока делаю просто версионный бэкап своего фотоархива на HDD другой машины, но метод тоже далёк от идеала. Хотя бы потому, что обе машины в одном помещении. Случись пожар какой… Всё, 10 лет семейного архива — как ни бывало…
Я пока делаю просто версионный бэкап своего фотоархива на HDD другой машины, но метод тоже далёк от идеала. Хотя бы потому, что обе машины в одном помещении. Случись пожар какой… Всё, 10 лет семейного архива — как ни бывало…
жаль, что у моего деда не было DVD…
Работает ровно до тех пор, пока вы не привлечете внимание злоумышленников другим способом.
Верно. Но вместо «храните PIN коды», можно еще использовать альтернативный (дополнительный) номер телефона. Хотя одно другому не мешает, но снижает стойкость.
Это не мораль сей басни, так как доступа к gmail взломщик не получил.
Тут жесткий провал в проверке безопасности Amazon, как написал ecl http://habrahabr.ru/post/149179/#comment_5040813
Тут жесткий провал в проверке безопасности Amazon, как написал ecl http://habrahabr.ru/post/149179/#comment_5040813
UFO just landed and posted this here
Это все конечно да. Но существует куча кейсов, когда у вас могут угнать аккаунт.
Вот, например, привязан у вас гмэил акк к андроидовскому телефону. Злоумышленнику достаточно отжать этот телефон у вас (например, просто выхватив из рук). При наличии сообщника можно украсть пару акков за 5 минут. И пароль от самого гуглааккаунта не больно-то нужен.
Причем вы на это время будете лишены связи и не сможете вовремя все заблокировать.
Причем в условиях московского метро ситуация не выглядит фантастической.
Вот, например, привязан у вас гмэил акк к андроидовскому телефону. Злоумышленнику достаточно отжать этот телефон у вас (например, просто выхватив из рук). При наличии сообщника можно украсть пару акков за 5 минут. И пароль от самого гуглааккаунта не больно-то нужен.
Причем вы на это время будете лишены связи и не сможете вовремя все заблокировать.
Причем в условиях московского метро ситуация не выглядит фантастической.
Думаю, за то время, пока вор подберет всего-то 6-символьный пин я успею заблокировать аккаунт)
Точнее, не заблокировать, а сменить пароль.
да вы параноик)
Стоп стоп стоп. Понятно, что если вы никогда при людях не вводите пин к телефону. Не читаете твиттер в метро и т.д., то таким способом вас не раскусить.
Но если вы ввели пин и спокойно читаете почту/джаббер или еще что-то, то вы потенциально уязвимы и последствия могут быть весьма плачевными.
Вот я именно об этом.
Для вас возможно найдется и другой способ, посложнее. Нельзя ведь все рассчитать.
Но если вы ввели пин и спокойно читаете почту/джаббер или еще что-то, то вы потенциально уязвимы и последствия могут быть весьма плачевными.
Вот я именно об этом.
Для вас возможно найдется и другой способ, посложнее. Нельзя ведь все рассчитать.
Кстати, года два назад был случай, когда у клиента Альфабанка угнали много денег со счета.
Как? Просто «восстановив» его симку по поподдельному документу.
Как? Просто «восстановив» его симку по поподдельному документу.
Мораль сей басни — используйте свои собственные почтовые серверы.
Красиво все провернул, что тут скажешь :)
Ну явный же косяк у Амазаона, дать привязать карту зная только email без подтверждения привязки письмом, и тут же дать возможность восстановления аккаунта на основе данных свежей карты.
меня больше удивило, что ВОТ ЭТО не вызывало у Amazon'а никакого абсолютно подозрения, причём если привязка и восстановление аккаунта были сделаны в один день — очень странно.
просто суппортяне наверняка разные и история обращений у них перед глазами не светится.
а вообще странно, тот же пейпал для подтверждения карты хотя бы бакс захолдит, а тут по левому номеру вообще восстановили.
а вообще странно, тот же пейпал для подтверждения карты хотя бы бакс захолдит, а тут по левому номеру вообще восстановили.
Они непуганные. Моего знакомого в пиндостане для проверки личности при крупной покупке по кредитке попросили предъявить… страничку в фейсбук.
А другой знакомый успешно ломал ящики крупных российских мейл хостеров простым и незатейливым способом: отправлял себе на несколько адресов 100-500 писем со спамом с подделанными заголовками, а потом жаловался в саппорт, который просто выпиливал ящик под ноль. Всё что оставалось — зарегать адрес заново.
А другой знакомый успешно ломал ящики крупных российских мейл хостеров простым и незатейливым способом: отправлял себе на несколько адресов 100-500 писем со спамом с подделанными заголовками, а потом жаловался в саппорт, который просто выпиливал ящик под ноль. Всё что оставалось — зарегать адрес заново.
Все непуганные. У нас при получении X.509-сертификата в Comodo неком импортном CA сначала требовали добавления компании в yellow pages на каком-то спец.сайте, а когда мы ответили «мы давно отправили заявку, но всё никак не публикуют» (так и есть), то приняли в качестве доказательства существования компании сканы рег.документов и лицензий, т.е. просто картинки, которые мы могли бы и нарисовать… Причем английское название компании, которое мы заявили в сетификате, не совпадает с указанным в русских рег.документах.
Кстати, наверняка светится. Из чего суппортянин делает вполне логичный вывод: чувак зарегал карту, попытался что-то купить и вспомнил, что забыл пароль. Вполне распространенный сценарий.
Думаю амазон не считал операцию по привязке карты такой уж опасной, ну кому хуже если к его аккаунту привязали чужую карту? А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
А бакс захолдить для проверки карты слабо? Хотя это тоже проблемы не решит, можно ведь и виртуалку на бакс сгенерить.
Где-то можно сгенерить виртуалку без привязки к своей личности?
Qiwi с симкой на бомжа или с Украины. Достаточно?
mastercard prepaid
В США — на каждом углу можно купить анонимные Visa и Mastercard
Угу, только активировать их нужно на мобильный номер. То есть начинать нужно таки с анонимной симки.
Нет, на сумму до 500 долларов никакого мобильника не надо. Я пользуюсь этими картами, когда не хочу светить по той или иной причине свой настоящий адрес или имя(можно указать любой адрес и любое имя). Это называется Visa Gift Card (что-то похожее есть и у Мastercard и American Express).
Любопытно, спасибо. Надо будет посмотреть, есть ли такое в Германии. Потому что до сих пор видел только myWirecard и Yuna, которые привязаны к мобильному номеру с любой суммой.
И у Вас gift card работала с AWS? Я как-то пробовал gift карту, aws ее отклонил, поддержка aws сказала что надо карту привязать к реальному адресу. Если у Вас прошел такой номер, поделитесь плиз конкретным типом gift карты.
Конкретно с AWS не проверял, но поддержка права: карта должна быть привязана к какому-то адресу. Именно поэтому на большинстве gift cards (во всяком случае, со всеми gift cards с которыми я имел дело) есть функция привязки карты к реальному американскому адресу. ЗахОдите на соответствующий URL, вписываете там имя-фамилию, почтовый адрес, email. После этого карта по-идее должна работать в ин-те везде, где принимается карта Виза, Ну, почти везде — в крайне редких случаях карта, определяющаяся как gift card (по первым 6 цифрам) может быть отклонена. У меня это произошло только один раз — когда я дал такую карту на intellius.com — они собирают всю информацию (ФИО, адрес, телефон) о тех, кто им платит по реквизитам платежа и пополняют свою базу данных таким образом. Соответственно, оплату gift card-ами не принимают. Но это был единственный случай на моей памяти.
Я пользовался картами TDBank-a ( www.tdbank.com/giftcards/index.html, правда, вроде купить можно только в отделениях банка, но у меня всё равно там есть счет и отделение рядом с домом). Регистрация карты и привязка к почтовому адресу здесь: esecure.tdbank.com/giftcardinfo/index.html
Можете попробовать Vanilla Visa: www.vanillavisa.com/product.html
Эти карты продаются в любой аптеке.
Я пользовался картами TDBank-a ( www.tdbank.com/giftcards/index.html, правда, вроде купить можно только в отделениях банка, но у меня всё равно там есть счет и отделение рядом с домом). Регистрация карты и привязка к почтовому адресу здесь: esecure.tdbank.com/giftcardinfo/index.html
Можете попробовать Vanilla Visa: www.vanillavisa.com/product.html
Эти карты продаются в любой аптеке.
Не панацея. Если злоумышленник создал карту, то скорей всего там была какая-то сумма. Такие карты продаются в сети с различным балансом. Там предоставляется card holder, cvv и дата истечения. Так что проблем зарегистрировать карту с нужным балансом нет никаких.
Разве что, опять же по схеме paypal, при снятии $1 сообщать pin, который потом должен ввести владелец (можно посмотреть в истории операций), но опять же, нет уверенности, что эти данные не смог бы получить злоумышленник. Но во всяком случае — это бы усложнило.
Разве что, опять же по схеме paypal, при снятии $1 сообщать pin, который потом должен ввести владелец (можно посмотреть в истории операций), но опять же, нет уверенности, что эти данные не смог бы получить злоумышленник. Но во всяком случае — это бы усложнило.
Создать/купить Visa Virtual с 5$ не проблема.
> Думаю амазон не считал операцию по привязке карты такой уж опасной
Наверно, но всё равно это не повод разрешать добавлять карты кому угодно. А ведь email, имя и адрес — публичная же фактически информация. По сути так кто угодно может добавить пользователю Амазона свою карту — это очень и очень неправильно. Особенно учитывая, что потом через этот ход можно увести аккаунт.
> А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
Тем хуже, ибо кому как не им?
Амазон промудачили ужасно. Удивительно как для такого немолодого и немаленького сервиса.
Наверно, но всё равно это не повод разрешать добавлять карты кому угодно. А ведь email, имя и адрес — публичная же фактически информация. По сути так кто угодно может добавить пользователю Амазона свою карту — это очень и очень неправильно. Особенно учитывая, что потом через этот ход можно увести аккаунт.
> А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
Тем хуже, ибо кому как не им?
Амазон промудачили ужасно. Удивительно как для такого немолодого и немаленького сервиса.
Меня больше беспокоит то, с какой легкостью эпловская тех поддержка восстановила пароль.
Имхо, если вы забыли свой пароль, то только личный визит должен разрешать ситуацию. Заодно в следующий раз будет не повадно.
Имхо, если вы забыли свой пароль, то только личный визит должен разрешать ситуацию. Заодно в следующий раз будет не повадно.
Ну тут немного несправедливо пенять на Амазон! Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне. Так как в случае взлома — поиметь там особенно нечего. А тот факт что их использовали как промежуточное звено — ну так ни один бизнесмен не будет у себя в бизнесе строить защиту уровня гостайны для сохранения мира во всем мире…
>Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне.
Если система защиты позволяет, пользуясь лишь публично доступными данными, войти в аккаунт, то она никак не может быть достаточной, неважно даже что хранится в сервисе. Вообще с безопасностью на Амазоне никогда не было слишком хорошо, чего стоят транзакции без CVV2 или чего-нибудь вроде Visa Verified.
Если система защиты позволяет, пользуясь лишь публично доступными данными, войти в аккаунт, то она никак не может быть достаточной, неважно даже что хранится в сервисе. Вообще с безопасностью на Амазоне никогда не было слишком хорошо, чего стоят транзакции без CVV2 или чего-нибудь вроде Visa Verified.
От удобства — выгоды больше. Давайте не будем забывать, амазон — одна из самых успешных компаний в мире. Они там максимализмом не болеют. Про него я ниже ответил.
Давайте не будем оправдывать чужое раздолбайство успешностью. Айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.
В аккаунте Амазона есть адреса доставки, части номеров карт (они кстати могут пригодиться для звонков не только в Apple) и вся история заказов. Хоть вам вся эта информация и не кажется ценной, я сильно сомневаюсь, что клиенты Амазон с радостью готовы делиться ей направо и налево. Могу представить себе шум, который бы поднялся, окажись такая база публично доступной.
«Не волнуйтесь, ничего ценного не пропало, там лишь ваши адреса, карточки и списки заказов».
В аккаунте Амазона есть адреса доставки, части номеров карт (они кстати могут пригодиться для звонков не только в Apple) и вся история заказов. Хоть вам вся эта информация и не кажется ценной, я сильно сомневаюсь, что клиенты Амазон с радостью готовы делиться ей направо и налево. Могу представить себе шум, который бы поднялся, окажись такая база публично доступной.
«Не волнуйтесь, ничего ценного не пропало, там лишь ваши адреса, карточки и списки заказов».
> айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.
Ну для платных приложений это 100% нужно чтобы в случае кражи у вас айфона вы не лишились всех денег на своей карте.
Ну для платных приложений это 100% нужно чтобы в случае кражи у вас айфона вы не лишились всех денег на своей карте.
Ну не с радостью и не база… А если поменьше белочек-истеричек и побольше здравого смысла, вон там комментарием ниже я предложил поиграть с более конкретными условиями. Попробуйте. ;)
P.S. А вообще мое отношение к ПД хорошо описано в этом посте.
P.S. А вообще мое отношение к ПД хорошо описано в этом посте.
Вы серьезно полагаете, что кто-то пойдет ковыряться в вашем аккаунте для того, чтобы поддержать разговор? С такими предложениями, пожалуйста, куда-нибудь в журнал Хакер.
Правильный ответ! Никто не будет. Хотя я предлагал только придумать идею. ;) Но так даже понятнее получилось. И никто не будет тратить 3 часа ($50) на его взлом, чтобы так же безрезультатно там побродить… Исходя из этого и строилась защита амазона.
Какая занимательная логика :) С вашим подходом Амазону стоило бы оставить одно поле для емейла, ведь добрые люди никогда не полезут в чужой аккаунт.
Простая аналогия. Я даже фанерную дверь на шпингалете не собираюсь без особой на то необходимости вскрывать, но разве это значит, что такая дверь будет достаточной для защиты квартиры?
Простая аналогия. Я даже фанерную дверь на шпингалете не собираюсь без особой на то необходимости вскрывать, но разве это значит, что такая дверь будет достаточной для защиты квартиры?
Нет, не будет, ибо как монетизировать «работу» по проникновению в чужую квартиру — весьма понятно, а вопрос как монетизировать «работу» по проникновению в аккаунт амазона — остался без ответа, поэтому я и настаиваю на том что «фанерная дверь» в амазон — вполне себе защита.
Есть железная дверь в квартиру против воров. А есть кодовый замок на подъезде против хулиганов. Одно другое не заменяет, а дополняет.
Если в квартире нет ничего ценного, то без железной двери в нее можно обойтись. Но тогда нужен домофон, потому что иначе кто-то придет в квартиру и нагадит.
Если в квартире нет ничего ценного, то без железной двери в нее можно обойтись. Но тогда нужен домофон, потому что иначе кто-то придет в квартиру и нагадит.
Тебя все время несет вокруг да около! где мои 50 долларов??? :) Я хочу деньги за потраченное время. И я не буду гадить у тебя в квартире, даже за фанерной дверью! Прости если это звучит для тебя обидно и тебе приятно думать что каждый в мире мечтает нагадить в твоей квартире и за ценой не постоит! :) Это слишком далекая и неудачная аналогия к этой статье. Все сводится к вопросу — зачем тратить $51 на защиту $50? Ты будешь тратить? Я — нет!
Я не готов тратить время просто для того, чтобы сделать гадость. Но есть довольно много «людей», которые готовы. Посмотрите, сколько заборов исписаны словами из 3х букв, сколько сломанных скамеек и качелей на детских площадках и т.д.
Ты знаешь, в этом отличие России от западного мира, я участвовал в стартапах и там и там. Принципиально разное отличие именно в защите и подходу к социальной инженерии и как следствие часто даже к самой идее.
Вот и здесь и сейчас. Оказывается за сегодня мне конкретно в карму нагадили. И за что? Можно подумать кого-то обидел? Или кто-то вообще в полемику вступил кроме вас двоих? Аргументов-то нет, сказать нечего, а «на те в карму сука, морда мне твоя не нравится». :)
Вот и здесь и сейчас. Оказывается за сегодня мне конкретно в карму нагадили. И за что? Можно подумать кого-то обидел? Или кто-то вообще в полемику вступил кроме вас двоих? Аргументов-то нет, сказать нечего, а «на те в карму сука, морда мне твоя не нравится». :)
Ну да, в Европе я следы вандализма ради вандализма видел куда реже, чем в России. Но всё же видел. Люди везде более-менее одинаковые.
А уж в буржнете хулиганов точно хватает.
PS. Лично я поставил Вам в карму минус не за Вашу точку зрения (я ее не разделяю, но вполне признаю Ваше право так считать), а за манеру выражаться.
А уж в буржнете хулиганов точно хватает.
PS. Лично я поставил Вам в карму минус не за Вашу точку зрения (я ее не разделяю, но вполне признаю Ваше право так считать), а за манеру выражаться.
Опс, а я и не заметил как ice9 пропал, а ты подхватил эту ветку. :)
Совсем уж офтоп, вандализм в чужом городе всегда бросается в глаза. А вот лучше взять подъезды, за 5 лет в Праге не видел ни одного(!) изуродованного, хотя бывают такие конечно, в России, я не могу вспомнить ни одного чистого, хотя наверно есть…
Совсем уж офтоп, вандализм в чужом городе всегда бросается в глаза. А вот лучше взять подъезды, за 5 лет в Праге не видел ни одного(!) изуродованного, хотя бывают такие конечно, в России, я не могу вспомнить ни одного чистого, хотя наверно есть…
Простейший способ монетизации — назаказывать на Амазоне товаров со срочной доставкой. Более изощренный(доступ к емейлам, а затем и к другим сервисам) мог бы быть описан в тексте этого поста.
Пример из жизни. Базы жителей города с ФИО, телефонами и датами рождения достаточно для того, чтобы какие-то неприятные люди начали обзванивать родственников человека, рассказывая, что человек в беде и за него надо заплатить какие-то деньги.
К чему я веду? Плохие люди встречаются, они довольно изобретательны и постоянно работают на тем, как испортить окружающим жизнь тем или иным способом, поэтому я считаю, что лучше сделать одно-два лишних телодвижения, чем читать про себя в новостях.
Пример из жизни. Базы жителей города с ФИО, телефонами и датами рождения достаточно для того, чтобы какие-то неприятные люди начали обзванивать родственников человека, рассказывая, что человек в беде и за него надо заплатить какие-то деньги.
К чему я веду? Плохие люди встречаются, они довольно изобретательны и постоянно работают на тем, как испортить окружающим жизнь тем или иным способом, поэтому я считаю, что лучше сделать одно-два лишних телодвижения, чем читать про себя в новостях.
Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.
Базы данных — это только российская действительность. В прочих странах это или невозможно и точка или они просто доступны каждому и так было всегда и как ни странно это так же ведет к убийству данного способа мошенничества.
Базы данных — это только российская действительность. В прочих странах это или невозможно и точка или они просто доступны каждому и так было всегда и как ни странно это так же ведет к убийству данного способа мошенничества.
>Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.
Не катит объяснять все поступки мошенников рентабельностью. У пострадавшего из поста стерли фотографию и переписку, какая уж тут монетизация.
Не катит объяснять все поступки мошенников рентабельностью. У пострадавшего из поста стерли фотографию и переписку, какая уж тут монетизация.
Ну это становится неинтересным, Вы теряете нить обсуждения — мой исходный коммент о том, что амазон не обязывался стеречь мир во всем мире. Убытков на самом Амазаоне нанесено не было. Рентабельность угона какого-то там твиттера — это заботы твиттера. Вы на своей работе заботитесь о том чтобы в Сирии не было войны? Плохо заботились, а-я-яй! :)
Мошенник и рентабельность — неразделимы! Иначе он умрет с голоду стирая чужие фотки. Это же очевидно!
Мошенник и рентабельность — неразделимы! Иначе он умрет с голоду стирая чужие фотки. Это же очевидно!
Амазон не обязан стеречь мир во всём мире. Амазон обязан стеречь предоставленную ему отнюдь не для публикации приватную информацию.
Представим себе следующую ситуацию: у нас есть 4 амазона, из которых первый показывает всем желающим первые 4 цифры номера, второй — следующие и т.д. При этом каждый из них, по Вашему мнению, прав, а в результате у любого желающего есть номер карты.
Если Вы считаете эту ситуацию нормальной — то опубликуйте, пожалуйста, номера своих карт в ответе на этот комментарий.
Представим себе следующую ситуацию: у нас есть 4 амазона, из которых первый показывает всем желающим первые 4 цифры номера, второй — следующие и т.д. При этом каждый из них, по Вашему мнению, прав, а в результате у любого желающего есть номер карты.
Если Вы считаете эту ситуацию нормальной — то опубликуйте, пожалуйста, номера своих карт в ответе на этот комментарий.
Легко, никакой не секрет!
4058 4441 2740 7677
Теперь Вы представьте, что полдня потратили на доставание этой инфы и уже банально очень хочется кушать. Так что срочно надо поиметь, ладно черт с ним с полтинником, поимейте хотя бы $3 на гамбургер. :)
4058 4441 2740 7677
Теперь Вы представьте, что полдня потратили на доставание этой инфы и уже банально очень хочется кушать. Так что срочно надо поиметь, ладно черт с ним с полтинником, поимейте хотя бы $3 на гамбургер. :)
Отлично. Теперь я знаю номер карты и Ваше имя. Теперь я могу в зависимости от удачи и правил Вашего банка либо с помощью подбора оплатить Вашей карточкой счет, либо хотя бы заблокировать ее. Хотите?
Ну блокировкой сыт не будешь! А оплатить… Конечно, да — это именно то чего я хочу! Надеюсь хоть после этого фиаско, станет понятно как нерентабельно этим заниматься. :)
Карточка, скорее всего, истекает в ближайшие 3 года. CVC код — трехзначный. Итого 3*365*1000 ~ 1 млн. вариантов. Сколько там дается попыток?)
Естественно, лично я делать ничего не буду — мои моральные принципы не дают мне причинять достаточно серьезные неудобства человеку, даже если он сам явно на это напрашивается. Но если Вам попадались только такие люди — Вам очень везло, но рассчитывать на такое везение я бы лично не стал.
Естественно, лично я делать ничего не буду — мои моральные принципы не дают мне причинять достаточно серьезные неудобства человеку, даже если он сам явно на это напрашивается. Но если Вам попадались только такие люди — Вам очень везло, но рассчитывать на такое везение я бы лично не стал.
Есть люди, которые готовы тратить довольно много времени, не получая никакой прибыли — чисто из удовольствия сделать гадость. И это надо учитывать.
Пример в топике — от удаления фоток с чужого айфона злоумышленник никакой прибыли не получил. Но всё же сделал это зачем-то.
Пример в топике — от удаления фоток с чужого айфона злоумышленник никакой прибыли не получил. Но всё же сделал это зачем-то.
Где там? Я вообще без понятия что там дальше может быть! Это Вы пытались доказать что таким образом можно заработать — тут все карты в руки! Просим! Фокус! Я до $100 обещаю быть не в претензии! :)
Разумеется, с огромной вероятностью я не получу профита, а Вы останетесь с заблокированной карточкой.
И тут, как и во многих других случаях, прибыль можно получить только при довольно большом потоке.
Кроме того, информация о номере моей карточки принадлежит мне. Я ее передаю амазону для совершения покупки, а амазон обещает ее никому не сообщать. Какие у меня мотивы не желать распространения этой информации — совершенно неважно.
Если амазон не готов сохранять эту информацию в тайне — пусть сообщает мне об этом, я буду думать, готов ли опубликовать ее.
То же самое относится и к любой другой информации — кто-то может поставить камеру у себя в душе, а кто-то не хочет светить фотки из отпуска. И оба имеют на это полное право.
Если второй человек закачает свои фотки на какой-нибудь dropbox, а тот их выложит в публичный доступ, то объяснения «а что такого секретного в этой информации» от них будут, на мой взгляд, неприемлимы.
И тут, как и во многих других случаях, прибыль можно получить только при довольно большом потоке.
Кроме того, информация о номере моей карточки принадлежит мне. Я ее передаю амазону для совершения покупки, а амазон обещает ее никому не сообщать. Какие у меня мотивы не желать распространения этой информации — совершенно неважно.
Если амазон не готов сохранять эту информацию в тайне — пусть сообщает мне об этом, я буду думать, готов ли опубликовать ее.
То же самое относится и к любой другой информации — кто-то может поставить камеру у себя в душе, а кто-то не хочет светить фотки из отпуска. И оба имеют на это полное право.
Если второй человек закачает свои фотки на какой-нибудь dropbox, а тот их выложит в публичный доступ, то объяснения «а что такого секретного в этой информации» от них будут, на мой взгляд, неприемлимы.
Уже разумнее. Но все что я хотел донести и повторю в последний раз — любая деятельность в том числе охрана и взлом информации стоит денег. Так мир устроен и ждать от него нерентабильности — глупо.
А еще мы не касались обратной стороны медали собственно из-за которой все и произошло — удобство. Конкурентноспособный сервис должен быть удобным! Это когда бежишь домой после пьянки и хочется слить три литра пива и как можно быстрее, а тут бац — дверь, да еще три замка! И в этот момент так мучительно обидно за эту чертову безопасность! :)
А еще мы не касались обратной стороны медали собственно из-за которой все и произошло — удобство. Конкурентноспособный сервис должен быть удобным! Это когда бежишь домой после пьянки и хочется слить три литра пива и как можно быстрее, а тут бац — дверь, да еще три замка! И в этот момент так мучительно обидно за эту чертову безопасность! :)
Здесь Амазон, вероятно, можно прижать за нарушение Privacy Policy, ибо случившееся не попадает под описание того, как они делятся информацией.
И вот теперь вопрос резко разворачивается из плоскости монетизации взлома аккаунта в плоскость нарушения Amazon'ом взятых на себя обязательств (Privacy Policy), что повлекло урон. Тут уже юристы должны сказать, сколько и чего можно с него стрясти.
Также, вы очень зациклены на монетизации — есть еще нефинансовая сторона атак: конкуренция, месть, зависть, религиозные/расовые/проч предрассудки и т.д. В данном случае задача не получить выгоду себе, а нанести как можно больше урона.
Если у человека на Amazon подключена кредитная (а не дебетная карта, или дебетка с овердрафтом) — можно заказать 55 двухдверных холодильников (утрирую, ибо СБ банка или Визы просечет и запросит подтверждения, но суть ясна). А лучше — подписать его на все сервисы Амазона, которые снимают понемногу, но каждый месяц. Будет потом отписываться…
А можно банально заказать чего-то оскорбительного (свинины мусульманам, или Main Kampf ветерану ВОВ/WW2), направленного на дестабилизацию брака (шикарного женского белья размера, отличного от размера жены, например :) ) и т.д. Все зависит от того, что известно о жертве.
И вот теперь вопрос резко разворачивается из плоскости монетизации взлома аккаунта в плоскость нарушения Amazon'ом взятых на себя обязательств (Privacy Policy), что повлекло урон. Тут уже юристы должны сказать, сколько и чего можно с него стрясти.
Также, вы очень зациклены на монетизации — есть еще нефинансовая сторона атак: конкуренция, месть, зависть, религиозные/расовые/проч предрассудки и т.д. В данном случае задача не получить выгоду себе, а нанести как можно больше урона.
Если у человека на Amazon подключена кредитная (а не дебетная карта, или дебетка с овердрафтом) — можно заказать 55 двухдверных холодильников (утрирую, ибо СБ банка или Визы просечет и запросит подтверждения, но суть ясна). А лучше — подписать его на все сервисы Амазона, которые снимают понемногу, но каждый месяц. Будет потом отписываться…
А можно банально заказать чего-то оскорбительного (свинины мусульманам, или Main Kampf ветерану ВОВ/WW2), направленного на дестабилизацию брака (шикарного женского белья размера, отличного от размера жены, например :) ) и т.д. Все зависит от того, что известно о жертве.
я уже объяснял — все это может случится с 0,010% хомячков. Да им будет больно и обидно. Думаю Амазон по итогам погладит их по головке и утешит. Но строить всю защиту из-за подобных рисков — абсурдно и нерентабельно. Проще потом погладить. ;)
Если окажется, что «гладить» каждого хомячка дороже, чем строить защиту — то не проще.
А «погладить» — это потратить деньги на компенсацию, юридические аспекты (отказ от претензий, и т.д.), административные аспекты, PR (дабы остальные хомячки не разбежались) или замалчивание в СМИ и т.д. Компании это обходится гораздо дороже той подачки, которую они выдают пострадавшему. А если таких появится пара сотен? Конкуренты-то не дремлют…
Плюс, в разных странах разные порядки: если дело дойдет до суда, в стоимость компенсации могут включить затраты на «лечение стресса», оскобленное достоинство и еще ХЗ что. В США особо хищные юристы еще могут забацать Class Action, что обернется Амазону в миллионы, а хомячкам в кукиш с маслом.
Ясное дело, что Амазон просчитал (надеюсь) риски при проектировании защиты, но что что-то подсказывает, что а этом кокретном аспекте они прокололись.
В общем, тут ситуация как с Ходжой Насреддином: «Ты прав — и ты прав».
А «погладить» — это потратить деньги на компенсацию, юридические аспекты (отказ от претензий, и т.д.), административные аспекты, PR (дабы остальные хомячки не разбежались) или замалчивание в СМИ и т.д. Компании это обходится гораздо дороже той подачки, которую они выдают пострадавшему. А если таких появится пара сотен? Конкуренты-то не дремлют…
Плюс, в разных странах разные порядки: если дело дойдет до суда, в стоимость компенсации могут включить затраты на «лечение стресса», оскобленное достоинство и еще ХЗ что. В США особо хищные юристы еще могут забацать Class Action, что обернется Амазону в миллионы, а хомячкам в кукиш с маслом.
Ясное дело, что Амазон просчитал (надеюсь) риски при проектировании защиты, но что что-то подсказывает, что а этом кокретном аспекте они прокололись.
В общем, тут ситуация как с Ходжой Насреддином: «Ты прав — и ты прав».
Вы считаете, что люди действуют рационально и предпринимают усилия, чтобы причинить ущерб, только если сами при этом получают какую-то выгоду. Это не так.
Это так, все остальное 0,01% случаев — ими можно пренебречь. Хотя я прекрасно понимаю что 7ярдов*0,00001=700к человек будут очень обижены.
При том, что примерно любой желающий может с помощью этой системы получить доступ к аккаунту — какой вообще смысл что-то защищать?
Классический юношеский максимализм. :) Если строить защиту, то чтобы НИКТО В МИРЕ!!! Стоимость? — не волнует!!! Иначе же они залезут в аккаунт и узнают что я купил планшет на андроиде за $113! Какой ужас! А там еще и адрес есть!? За мной уже выехали! Они подкараулят у дома и отберут мою прелесть! Ааааа! *изображение белочек-истеричек*
Разумеется, уровень защиты должен быть адекватен защищаемым данным. Просто данный уровень защиты очень близок к защите вообще отсутствующей.
А можно ли считать информацию о покупке на амазоне публичной, или нет — отдельный вопрос.
А можно ли считать информацию о покупке на амазоне публичной, или нет — отдельный вопрос.
Информация конечно не публичная, но и ценность ее никакая. Сколько этот хакер потратил времени до пункта «Амазон» в этой истории? Читается сейчас легко, но реально требовало раздумий и гуглений. Ну скажем 2-3 часа, думаю больше, не принципиально. Цена? Ну давай опять допустим — $50. Хочешь, дам вход в свой аккаунт на Амазоне и попробуй с этими данными срубить $50. :)
Человек, прочитавший эту статью, для довольно большого количества людей получит эту информацию за пару минут на человека. И я вполне могу представить ситуацию, когда человек не хочет публично светить свой список покупок.
Каждый человек имеет право сам распоряжаться своими данными. Хотите публиковать свою историю покупок или трансляцию с веб-камеры из своей спальни — публикуйте. Я не хочу, и имею право на то, чтобы эта информация не становилась публичной.
Каждый человек имеет право сам распоряжаться своими данными. Хотите публиковать свою историю покупок или трансляцию с веб-камеры из своей спальни — публикуйте. Я не хочу, и имею право на то, чтобы эта информация не становилась публичной.
Ну не за пару минут, но хоть бы и за пару — дальше что, «где деньги, Зин»? Даже пара минут стоят денег! Я прекрасно понимаю что каждому нравиться мнить себя пупом земли ;) и считать что список его покупок бесценен!!! А уж камера в доме! *параноиков толпами увозят с инфарктом* :) Мы здесь не про хотелки/нехотелки — все это мещанские предрассудки, мы про бизнес — как хакеру заработать реальный грош, а бизнесу его не потерять?
Меня не интересует, кто на чем заработает. Меня интересует, чтобы сайт, которому я сообщил информацию, которую я считаю приватной и который обязался ее не разглашать — ее не разглашал.
Если бы амазон предупреждал «любой желающий может за пару минут получить доступ к вашему аккаунту, потому что по нашему мнению он всё равно никому не нужен» — у меня бы к нему претензий не было, я бы просто им не пользовался. Если это предрассудки — я на них имею полное право. Я совершенно не понимаю, на каком основании Вы, амазон или генеральная ассамблея ООН может решать, можно ли внезапно опубликовать мой список покупок, или нельзя.
Если бы амазон предупреждал «любой желающий может за пару минут получить доступ к вашему аккаунту, потому что по нашему мнению он всё равно никому не нужен» — у меня бы к нему претензий не было, я бы просто им не пользовался. Если это предрассудки — я на них имею полное право. Я совершенно не понимаю, на каком основании Вы, амазон или генеральная ассамблея ООН может решать, можно ли внезапно опубликовать мой список покупок, или нельзя.
ок, весьма понятно. Но мы же не в сказке живем? На амазоне наверно нравится покупать? Дешево там все? ;) А защиту построить денег стоит. А кто за все в конечном итоге платит? ;) Правильно! Боюсь нам придется смеяться над оплаченными микросекундами американского программиста, но раз ты так высоко ценишь свою приватность, то честно скажи сколько ты лично готов заплатить чтобы публичный список покупок стал непубличным/защищенным/очень защищенным. Можно в процентах и помножь на свой годовой бюджет онлайн покупок, черт с ним допустим для начала что он весь в одном амазоне. Если тебе уже стыдно или смешно — можно не отвечать. :)
Я не требую, чтобы проект предлагал условия, которые мне нравятся. Я требую, чтобы проект соблюдал условия, которые предлагает. Если амазон хочет предоставлять всем желающим доступ к моему аккаунту — пусть он об этом предупреждает на этапе регистрации, чтобы я мог решить, хочу ли я им пользоваться на таких условиях.
Амазон — не хочет, где написано иное? И он сделал достаточную защиту. Как мы все видим, он работает годы и никаких массовых взломов не происходит. А ты чересчур драматизируешь ситуацию и позволяешь бросаться фразами «Меня не интересует» — типа пусть весь мир расшибется в лепешку, но чтобы все было согласно моим гипертрофированным ощущениям! А цифры я тем не менее не увидел. ;) Т.е. за реальную оценку «секретов» или смешно или стыдно. :)
P.S. Ох, блин, мне тут друг подсказывает что серьезно оторвались на моей карме. Спасибо вам, хомячки-параноики. :) На что готовы люди ради списка покупок! Камедь.
P.S. Ох, блин, мне тут друг подсказывает что серьезно оторвались на моей карме. Спасибо вам, хомячки-параноики. :) На что готовы люди ради списка покупок! Камедь.
Ок, неудачно выразился. «Амазон хочет предоставлять» следует читать как «амазон предоставляет».
Я не требую, чтобы кто-то брал на себя обязательства делать так, как мне нравится. Я требую лишь выполнения взятых на себя обязательств.
Хорошо, я готов платить лишний 1% от суммы покупок на амазоне, чтобы доступ к моему аккаунту можно было получить, только зная пароль или имея доступ к мылу. Не понимаю, зачем Вам эта информация, ну да ладно.
Я не требую, чтобы кто-то брал на себя обязательства делать так, как мне нравится. Я требую лишь выполнения взятых на себя обязательств.
Хорошо, я готов платить лишний 1% от суммы покупок на амазоне, чтобы доступ к моему аккаунту можно было получить, только зная пароль или имея доступ к мылу. Не понимаю, зачем Вам эта информация, ну да ладно.
*Господи, какой я идиот. :( Я полдня тут распинаюсь о том, что ничего не имеет значения кроме этой самой информации о деньгах на защиту, а он не понял!* :)
Ну так вот если мы возьмем (мне снова придется придумать) годовой бюджет покупок как $1000, то на защиту останется $10 (десять долларов США). Вот это и есть честная цена Ваших секретов, больше платить Вы сами не согласны, т.к. не имеет смысла. Честно говоря в этом месте полностью поддерживаю — я оцениваю свои секреты о покупках ровно в эту сумму.
Какую защиту можно построить на эту сумму — даже обсуждать неинтересно.
Ну так вот если мы возьмем (мне снова придется придумать) годовой бюджет покупок как $1000, то на защиту останется $10 (десять долларов США). Вот это и есть честная цена Ваших секретов, больше платить Вы сами не согласны, т.к. не имеет смысла. Честно говоря в этом месте полностью поддерживаю — я оцениваю свои секреты о покупках ровно в эту сумму.
Какую защиту можно построить на эту сумму — даже обсуждать неинтересно.
Только стоимость организации нормальной секьюрности практически не зависит от количества пользователей. Доход амазона за 2011 год >600 кк долларов. Один процент от этого — 6кк. Думаю, на эти деньги можно придумать систему, не позволяющую любому желающему получить доступ к любому аккаунту.
Неправильно считаете, но тут можно долго упорствовать, я лишь хотел показать что реальная цена секретов — $10, а претензий ну не меньше чем на миллион. ;)
Хм, т.е. разработка хоть чуть-чуть менее идиотской системы безопасности стоит больше 6 млн. долларов? Откуда такие данные?
Когда я арендую за 400 долларов в год сейф в банке, я ожидаю несколько большей секьюрности, чем можно обеспечить чисто исходя из этой суммы. Здесь то же самое.
Когда я арендую за 400 долларов в год сейф в банке, я ожидаю несколько большей секьюрности, чем можно обеспечить чисто исходя из этой суммы. Здесь то же самое.
Т.е цена секретов — $10, а все остальное неадекватная их оценка. Но это даже нормально, это свойственно людям. Плохо когда они с таким видением лезут оценивать коммерческие системы безопасности. Сорри, устал уже, Вы не хотите меня понять, цепляетесь к словам.
Вы считаете, что все должны разделять Ваше отношение к приватности. Это не так.
И 1% — это сумма, которую я готов дополнительно платить, чтобы была нормальная авторизация. Если амазону надо больше денег — то пусть об этом скажет. И я буду думать, платить, забить на секьюрность или перестать пользоваться амазоном.
И 1% — это сумма, которую я готов дополнительно платить, чтобы была нормальная авторизация. Если амазону надо больше денег — то пусть об этом скажет. И я буду думать, платить, забить на секьюрность или перестать пользоваться амазоном.
> Так как в случае взлома — поиметь там особенно нечего
Это в вебмагазине то? Как насчёт купить товаров на 100500 денег? Или это «ничего»?
Там ведь оригинальная кредитка тоже осталась привязанной.
Это в вебмагазине то? Как насчёт купить товаров на 100500 денег? Или это «ничего»?
Там ведь оригинальная кредитка тоже осталась привязанной.
То ли дело paypal, а? Привязываем карту два дня еще и с подтверждением от банка (номер операции)
Шикарно, с амазоном вообще великолепно вышло :) Только вот зачем было все удалять на эплоустройсвах? Чисто из вредности?
как это обычно и бывает, — «Потому что мог»
я вот, честно говоря, тоже этого не понял — всё остальное можно было бы даже простить, но вот вайп устройств мне не понятен и отдаёт каким-то безумством
UFO just landed and posted this here
Может быть, личная неприязнь.
за то что у Мэта был трехбуквенный Twitter, а у злоумышленника нет…
ну хотел ты этот твиттер, получил — зачем человеку жизнь-то окончательно портить удаляя документы и фотографии
побеждать надо тоже уметь — я вот думаю, если бы он не удалил личные данные его поступком скорее бы восхищались (потому что сделано реально красиво) и ругали Amazon\Apple — а так они все выглядят одинаково плохо
ну хотел ты этот твиттер, получил — зачем человеку жизнь-то окончательно портить удаляя документы и фотографии
побеждать надо тоже уметь — я вот думаю, если бы он не удалил личные данные его поступком скорее бы восхищались (потому что сделано реально красиво) и ругали Amazon\Apple — а так они все выглядят одинаково плохо
Знающие люди может подскажут — при удалении данных нет возможности настроить подтверждение по СМС? Иначе завладев данными к учетной записи на me.com можно так просто очищать устройства невинных жертв.
У меня было так же, подобрали пароль от appleID и единственное что смогли сделать, сделали: вайпнули телефон, хорошо телефон почти каждую ночь пока в розетке бэкапится на сервак аппла и потерь не было почти
Мошенник говорит, что это его партнер.
Тот, который фишку с амазоном провернул.
www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
Тот, который фишку с амазоном провернул.
www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
Потому что ему нужен был аккаунт без чужих следов на нем.
Мне кажется или жертве еще повезло?..
После таких случаев порой перестаешь удивляться, почему Webmoney просит скан паспорта для восстановления доступа к кошельку :)
Ага. Было одно время, когда в магазин нельзя было сходить, не предоставив администрации скана паспорта.
Осталось сейчас всем сервисам затребовать сканы — и они будут такой же доступной информацией как email. Я не наезжаю на Webmoney, но ведь явно — сканы паспорта по каждому чиху это не выход, а костыль.
Осталось сейчас всем сервисам затребовать сканы — и они будут такой же доступной информацией как email. Я не наезжаю на Webmoney, но ведь явно — сканы паспорта по каждому чиху это не выход, а костыль.
Тем более скан паспорта делается за 30 минут на любого человека.
Хм, и как вы его сделаете? Если в вебманях есть персональный аттестат, то у них есть вся паспортная инфа, так что сделать паспорт в фотошопе с левыми данными не сильно поможет.
UFO just landed and posted this here
А амазон просто не мог предложить ему войти в аккаунт и добавить карту? Что за бред? Самая главная ошибка. Чего там мелочиться, надо было сразу просить добавить e-mail или сменить пароль.
Дело в том, что в штатах привыкли всё делать по телефону. Это как будто лишний раз удостоверяет личность. Там даже покупки по телефону с кредиткой до сих пор популярны. То есть приходит человек на сайт — видит онлайн форму для покупки и разные способы (в том числе по телефону) и он выбирает по телефону вместо того, чтобы ввести все данные прямо на сайте и не париться со звонками.
ну а в амазоне должен остаться телефон того, кто звонил и так же можно попробовать найти этого злоумышленника (согласен что он мог звонить не с своего номера или с автомата, но попробовать стоит!)
По телефону иногда и у нас удобно покупать и интернет-магазина: не заставляют давать свой email.
Да что там США. Я в Беларуси постоянно покупаю в инет-магазнах по телефону. Потому что заявку оставиш, и жди-гадай, перезвонят когда и перевонят ли вообще. А тут позвонил, обсудил все моменты — уже хоть какая-то определенность с заказом появляется.
Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email
И всё? Круто.
UFO just landed and posted this here
Можно же придумать много иных средств. Да хотя бы попросить сделать тестовую транзакцию с карточки на мизерную сумму в 1$, который потом вернуть. Кто-то помнится так делает при регистрации, то ли PayPal, то ли Google-вская платежная система.
Ну там как минимум должна быть уже имевшаяся кредитка, почему было не спросить последние 4 цифры ее номера перед добавлением новой?
Мой банк спрашивает имя и дату рождения. /facepalm
Проблема — исключительно в существовании оффлайновых способов «восстановления» пароля, которые вечно полагаются на какие-то левые, значительно менее секретные, чем пароль, данные — id, номера договоров, 4 цифры номера кредитной карты и т.п.
И я не понял, как через .me аккаунт он восстановил пароль от gmail.
Не красиво, а заслуженно.
Нельзя переносить всю свою реальную жизнь в виртуальность. Вот такое: «Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки» у меня в принципе невозможно, т.к. фото и доки у меня в отдельных папочках (никак не свзяанных с системными кстати), а вся переписка в TheBat, к тому же, который еще и архивируется сам.
Нельзя региться во всем интернете под одним-единственным ником и мылом. И нефиг светить свое персональное мыло на сайтах — пусть даже личных. На сайтах вполне можно оставлять какой-нибудь адрес, с которого потом просто редирект пробрасывается на персональный адрес.
А если денег дело касается, то у меня вообще все отдельное, которое никак с другим не пересекается!
Буду эту заметку показывать тем, кто раньше меня подкалывал в параноидальности)
Нельзя переносить всю свою реальную жизнь в виртуальность. Вот такое: «Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки» у меня в принципе невозможно, т.к. фото и доки у меня в отдельных папочках (никак не свзяанных с системными кстати), а вся переписка в TheBat, к тому же, который еще и архивируется сам.
Нельзя региться во всем интернете под одним-единственным ником и мылом. И нефиг светить свое персональное мыло на сайтах — пусть даже личных. На сайтах вполне можно оставлять какой-нибудь адрес, с которого потом просто редирект пробрасывается на персональный адрес.
А если денег дело касается, то у меня вообще все отдельное, которое никак с другим не пересекается!
Буду эту заметку показывать тем, кто раньше меня подкалывал в параноидальности)
Вы — таки параноик
Мораль басни — не использовать Amazon.
Мораль басни — не использовать Amazon.
Apple тоже отличились.
Таки да, но кредитка всё-таки это не тоже самое, что email и адрес. А номер кредитки (последние 4 цифры) угадайте откуда он взял…
Ещё цифры можно получить с чеков в ресторанах и банкоматах :)
Но нужно знать жертву и места её обитания.
Но нужно знать жертву и места её обитания.
Нужно устроиться на работу в ресторан, и отказа в потенциальных жертвах не будет.
Меня всегда очень радовало, что в наших кафе-ресторанах часто нужно отдавать карту официанту, который идет с ней неизвестно куда и проводит там по полчаса времени. Откатать за это время дубликат карты (если она без чипа) — нефиг делать.
Меня всегда очень радовало, что в наших кафе-ресторанах часто нужно отдавать карту официанту, который идет с ней неизвестно куда и проводит там по полчаса времени. Откатать за это время дубликат карты (если она без чипа) — нефиг делать.
Ага. А в случае кражи денег, СБ банка обвинит вас в несоблюдении правил пользовании по части «всегда держать карту в поле зрения».
Чего гадать, я статью читал.
А последние 4 цифры далеко не конф. информация, как отметили выше их на чеках всегда печатают. Задача усложняется до проехать по уже известному адресу и выудить подобный чек под любым предлогом.
А последние 4 цифры далеко не конф. информация, как отметили выше их на чеках всегда печатают. Задача усложняется до проехать по уже известному адресу и выудить подобный чек под любым предлогом.
если вы продаете что-либо через ecommerce provider'ов — типа plimus.com shareit.com payproglobal.com — то в отчетах по продажам вы увидите последние 4 цифры карты каждого купившего (а также его ФИО, адрес и телефон).
Не, это еще не парноидальность. Просто такая организация работы.
Параноидальность — это когда любой (!) шаг советуют делать через анонимный прокси, отдельное мыло и т.д. Это уже как-то… через край совсем уж…
Но, если считать, что я не выкладываю никакие свои фотки в инете нигде, за параноидальность, то тогда да, получается я абсолютно ненормальный)
Параноидальность — это когда любой (!) шаг советуют делать через анонимный прокси, отдельное мыло и т.д. Это уже как-то… через край совсем уж…
Но, если считать, что я не выкладываю никакие свои фотки в инете нигде, за параноидальность, то тогда да, получается я абсолютно ненормальный)
Не одни вы, сударь)
Делаю практически так же уже давно, ну… может быть, чуточку параноидальнее)
И считаю, кстати, на сегодняшний день такое поведение вполне резонным.
Однако Мэта винить не хочу, напротив, жаль, что рядом не было человека, способного показать ему пару-тройку простых вещей, несколько осложняющих процесс доступа из вне.
Делаю практически так же уже давно, ну… может быть, чуточку параноидальнее)
И считаю, кстати, на сегодняшний день такое поведение вполне резонным.
Однако Мэта винить не хочу, напротив, жаль, что рядом не было человека, способного показать ему пару-тройку простых вещей, несколько осложняющих процесс доступа из вне.
Хех… Оказывается такие как мы подозрительны для общества!
А домашний клауд бэкапится на внешний хостинг, пожаростоек и тп?
Наверное высекается в камне каждые десять лет :)
В пещере + естественная краска, на всякий случай дополнительная информация для восстановления в виде зарисовок…
Прошу прощения, что не ссылкой и изображением:
ic.pics.livejournal.com/zhezhera/8113156/487869/320.jpg
Прошу прощения, что не ссылкой и изображением:
ic.pics.livejournal.com/zhezhera/8113156/487869/320.jpg
в двоичном коде)
Харда достаточно. Мне не влом пару раз в году потратить пару часов на бэкап.
Дайте угадаю: и паспортов у вас пять, как у Джейсона Борна, чтобы основной не светить?
После прочтения приложения к новому договору от Yota (для LTE): абзаца где «персональные данные могут быть переданы третьим лицам» было бы неплохо.
UFO just landed and posted this here
Обычный и загран — понятно. А остальные? дубликаты утеряных первых двух?
Несколько загранов (неистекших, но страницы забиты визами и штампами) + смена правил транслитерации. Можно вычислить, что Graphite из Украины, не заходя в профиль :)
UFO just landed and posted this here
Буква «ё»?
Зря вы так всех под одну гребенку.
Справедливости ради, вы тоже не защищены от потери своих данных.
Жесткие диски вещь хрупкая. Особенно если в доме дети. Ну и грабителей тоже вещь не настолько редкая, как того хотелось бы.
Я в свое время много делал бекапов на СД-Р болванки. Столько времени в пустую потратил, и часть фотографий потерял.
Справедливости ради, вы тоже не защищены от потери своих данных.
Жесткие диски вещь хрупкая. Особенно если в доме дети. Ну и грабителей тоже вещь не настолько редкая, как того хотелось бы.
Я в свое время много делал бекапов на СД-Р болванки. Столько времени в пустую потратил, и часть фотографий потерял.
Я не параноик, но в моих силах отсечь такие штуки как:
— случайное стирание данных;
— «плохой» выход из строя БП (это когда он все за собой утягивает);
— сдох жесткий диск и/или рейд-контроллер (да, да — данные у меня на рейде);
— домашние уронили шкаф на компьютер;
— интернет недоступен по разным причинам длительное время (нет доступа к облаку).
Причем все эти проблемы убираются без передачи данных кому-то третьему лицу на сохранение!
Жесткие диски вещь действительно хрупкая, поэтому существует табу: ящик с хардами под ключем и никто не имеет права даже КАСАТЬСЯ резервных хардов. Сделайте мощное внушение и всем станет понятно сразу с первого раза. Ящик трогать тоже нельзя без моего предварительного уведомления, т.к. если навернутся все 8 терабайт, то я буду сильно сердиться…
Вот есть только одна фигня — резервный хард можно самому уронить. Но есть фишка — я не пью )))))))))))))
— случайное стирание данных;
— «плохой» выход из строя БП (это когда он все за собой утягивает);
— сдох жесткий диск и/или рейд-контроллер (да, да — данные у меня на рейде);
— домашние уронили шкаф на компьютер;
— интернет недоступен по разным причинам длительное время (нет доступа к облаку).
Причем все эти проблемы убираются без передачи данных кому-то третьему лицу на сохранение!
Жесткие диски вещь действительно хрупкая, поэтому существует табу: ящик с хардами под ключем и никто не имеет права даже КАСАТЬСЯ резервных хардов. Сделайте мощное внушение и всем станет понятно сразу с первого раза. Ящик трогать тоже нельзя без моего предварительного уведомления, т.к. если навернутся все 8 терабайт, то я буду сильно сердиться…
Вот есть только одна фигня — резервный хард можно самому уронить. Но есть фишка — я не пью )))))))))))))
Таки прямо заслуженно?
Какие именно действия жертвы дали вам понять, что он заслужил эти проблемы?
Какие именно действия жертвы дали вам понять, что он заслужил эти проблемы?
Цитирую сам себя: «А если денег дело касается, то у меня вообще все отдельное, которое никак с другим не пересекается»! Заслуженно — от слова заслужил.
Просто так или иначе все мы периодически получаем пинок по жизни. Одни — раньше, другие — позже. Тут главное — сделать правильные выводы: если не думаешь заранее сам, то думает заранее кто-то за тебя. И я когда-то огребал, но, вследствии младого возраста, последствия были малозначительны. Я только выводы сделал, о чем ни разу не жалел)
Просто так или иначе все мы периодически получаем пинок по жизни. Одни — раньше, другие — позже. Тут главное — сделать правильные выводы: если не думаешь заранее сам, то думает заранее кто-то за тебя. И я когда-то огребал, но, вследствии младого возраста, последствия были малозначительны. Я только выводы сделал, о чем ни разу не жалел)
Вы так и не написали, чем он заслужил это.
Если у вас близкий человек в аварию попадет — вы ему тоже скажете, что заслужил?
Если у вас близкий человек в аварию попадет — вы ему тоже скажете, что заслужил?
Сначала я ему помогу.
А если потом выяснится, что он, например, провафлил очередное ТО, то ему попадет. Ибо заслужил — за машиной надо следить, а не спихивать все на «я блондинко», «я не понимаю». А если не понимаешь — учись, тем более если есть кого подергать и натаскаться на элементарные вещи.
Естественно, что в жизни разные случаи бывают. Я не всегда ж так поголовно. Вот тут (см. видео — не для обсуждения, а только для примера), например, что сделаешь?
А если потом выяснится, что он, например, провафлил очередное ТО, то ему попадет. Ибо заслужил — за машиной надо следить, а не спихивать все на «я блондинко», «я не понимаю». А если не понимаешь — учись, тем более если есть кого подергать и натаскаться на элементарные вещи.
Естественно, что в жизни разные случаи бывают. Я не всегда ж так поголовно. Вот тут (см. видео — не для обсуждения, а только для примера), например, что сделаешь?
Заслужил тем, что нельзя пересекать свои личные контакты с финансовыми. По возможности надо разносить.
Неужели непонятно? Я не считал это какой-то загадочной мудростью.
Неужели непонятно? Я не считал это какой-то загадочной мудростью.
«ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями»
то есть они ещё два раза вайпнули iPhone, iPad и MacBook Мэта.
то есть они ещё два раза вайпнули iPhone, iPad и MacBook Мэта.
Облажались и Apple и Amazon что тут скажешь.
вспоминается Баш.
"
ппц в дата-центре безопасность
звоню и говорю «здравствуйте, ребутните пожалуйста наш сервере. сервер такой-то»
идут и ребутают
кто я, от кого я — всем пофиг
* coredump борется с искушением попросить ребутнуть еще один
"
"
ппц в дата-центре безопасность
звоню и говорю «здравствуйте, ребутните пожалуйста наш сервере. сервер такой-то»
идут и ребутают
кто я, от кого я — всем пофиг
* coredump борется с искушением попросить ребутнуть еще один
"
Кстати, это очень распространенный косяк — во всех трех ДЦ где я обслуживался можно было так сделать. Иногда чуть сложнее, иногда чуть проще, но в целом несложно, если четко знать что ребутаешь.
Да, потому что этого достаточно и проблем не создает, а то если посмотреть с другой стороны все можно довести до маразма в известном рассказе про хакера и соль в столовой. :)
Зашел в аккаунт Амазона и почистил там всю информацию на всякий случай :)
У моего друга из Питера похожим образом угнали аккаунты от почты, скайпа, ласт.фм, вконтакта и ещё кучи сайтов. Сам взломщик спалился через ICQ. Мы смогли найти как минимум город и улицу, где он живёт. Это оказалось где-то в Дагестане. Умело воспользовавшись НЛП мы запугали его и он вернул все аккаунты. Мораль такова: используйте разные пароли на разных аккаунтах и не регистрируйте всё на один ящик. Вот такая история.
Похожим образом — через карту, привязанную к Амазону?
НЛП? По аське? Ойбля…
UFO just landed and posted this here
НЛП — это набор шаблонов действий, делая которые с человеком, обычно получаешь один и тот же результат. Никто на науку и не претендует.
UFO just landed and posted this here
>Делая которые с любым человеком обычно получаешь тот же результат?
Не с любым
>Над одним человеком в разном состоянии тоже?
Для этого вводят в нужно состояние
>А если будут делать разные люди, результат будет тот же или другой?
Если разные, владеющие техникой и имеющие опыт, то +- тот же. Если прочитали в книжке, как что-то делать и пытаются сделать, то не факт, что вообще будет результат.
Не с любым
>Над одним человеком в разном состоянии тоже?
Для этого вводят в нужно состояние
>А если будут делать разные люди, результат будет тот же или другой?
Если разные, владеющие техникой и имеющие опыт, то +- тот же. Если прочитали в книжке, как что-то делать и пытаются сделать, то не факт, что вообще будет результат.
Да хоть по телеграфу. Даже то, что на рекламе прохладительных напитков (кока-колы и тд) девушка пьет и бутылка находится в правом верхнем углу, адепты НЛП будут говорить, что это НЛП-прием.
Или те же книги «как бросить курить» Алана Кара и т.д. — все пытаются использовать некоторые приемы, которые НЛПеры будут называть нлп-приемами.
Впрочем те, кто проповедуют гештальт-терапию, могут говорить то же самое:)
Или те же книги «как бросить курить» Алана Кара и т.д. — все пытаются использовать некоторые приемы, которые НЛПеры будут называть нлп-приемами.
Впрочем те, кто проповедуют гештальт-терапию, могут говорить то же самое:)
Мы смогли найти как минимум город и улицу, где он живёт
по IP?
Какое-то нелепо стечение обстоятельств и дырок в безопасности.
Спасибо тебе гугл, что в тебя нельзя вот так вот позвонить и попросить восстановить пароль по всяким левым данным. Пойду ка я, кстати, настрою двухфакторную авторизацию наконец.
UFO just landed and posted this here
Итого морали сей басни:
1) Amazon — решето. Вполне очевидна дырка в системе восстановления доступа.
2) Главная проблема как обычно человеческого фактора. Сотрудник Apple дал злоумышленнику временный пароль невзирая на то, что тот не смог ответить на секретные вопросы. Это прямо написано в статье:
То, что сотрудник Apple этого не сделал ставит Apple в невыгодное положение. Я бы сказал что компани теперь отвалит дядечке нормально денег за такое.
1) Amazon — решето. Вполне очевидна дырка в системе восстановления доступа.
2) Главная проблема как обычно человеческого фактора. Сотрудник Apple дал злоумышленнику временный пароль невзирая на то, что тот не смог ответить на секретные вопросы. Это прямо написано в статье:
In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up.То есть мало того, что надо собрать куски персональной информации, так для подтверждения личности надо ещё ответить на секретные вопросы, которые ты сам и ставил и ответы на которые не публикуются в соцсетях, если только не мозг рака. Логично, что после этого ты получаешь доступ ко всему.
То, что сотрудник Apple этого не сделал ставит Apple в невыгодное положение. Я бы сказал что компани теперь отвалит дядечке нормально денег за такое.
это правильно, поклонники продуктов эппл должны страдать
Вся схема накрылась бы, если бы не было «запасного» емеила.
Записывайте пароли в соответствующие программы, и не понадобится оставлять такие дырки.
Записывайте пароли в соответствующие программы, и не понадобится оставлять такие дырки.
Ребят, кто знает почту Цукерберга?
Год назад по просьбе человека, далёкого от Интернета, полез в веб-панель управления домашним телефоном. Как в таких случаях часто бывает, логин и пароль были записаны на бумажке. Тем не менее, система отказывалась меня пускать. Решил позвонить в службу поддержки – со своего мобильного, который к фиксированному никакого отношения не имеет. Попытка не пытка всё-таки :) Первое, что шокировало – мне назвали логин, спросив только имя и номер телефона, т.е. данные из телефонной книги. Второе – когда пароль с бумажки не подошёл, его охотно сменили. Таким образом, располагая только общедоступной информацией о человеке, оказалось возможным посмотреть все его договора с телефонной компанией и списки разговоров, заказать дополнительные услуги и т.д. Жалею, что тогда не написал им об этой уязвимости.
В каком городе? В Риге?
У нас (Питер) до сих пор так. Звоним интернет-провайдеру, говорим номер договора/ip-адрес/домашний телефон и спрашивают на кого оформлен договор. И дальше они всё рассказывают.
Мне провайдер перезвонил на номер, указанный в договоре, и тогда саказал пароль.
Мелкий провайдер в Московской области.
П
Вроде достаточно неплохой подход, мне кажется везде так или скоро будет.
Мелкий провайдер в Московской области.
П
Вроде достаточно неплохой подход, мне кажется везде так или скоро будет.
Я не понял. По whois получили адрес, имя и e-mail. И рассказали это в Amazon? И прокатило?
А что за двухступенчатая авторизация и где ее включить?
Это когда каждое потенциально небезопасное действие требует введения кода подтверждения в СМС. Есть в большинстве уважающих безопасность клиентов сервисов.
Можно не смс, а цифровой пароль с виртуального токена в телефоне.
Такое я видел только у Blizzard, но мой внутренний параноик побоялся потерять этот токен и я ограничился СМС.
У Гугла токен виртуальный — аппликация на телефоне (см. картинку). У Близзард есть виртуальный токен и реальный, в виде брелка.
semanticseed.com/blog/wp-content/uploads/2011/02/yahoo_logo2.jpg
semanticseed.com/blog/wp-content/uploads/2011/02/yahoo_logo2.jpg
Странно, только что залез в настройки аккаунта и обнаружил, что двухступенчатая авторизация отключена, хотя точно помню что ранее вводил номер телефона. Советую всем еще раз проверить.
Я считаю смартфон как хранилище необходимой для работы информации слишком легко теряемым. СМС в этом плане удобней, заказал у оператора новую симку и вернул свои аккаунты.
ЗЫ Порадовал этот пункт у гугла:
Резервные коды для печати
Внимание! Если у вас не окажется при себе телефона, то войти в свой аккаунт Google вы сможете только с помощью этих кодов. Храните их под рукой, например в бумажнике.
Я считаю смартфон как хранилище необходимой для работы информации слишком легко теряемым. СМС в этом плане удобней, заказал у оператора новую симку и вернул свои аккаунты.
ЗЫ Порадовал этот пункт у гугла:
Резервные коды для печати
Внимание! Если у вас не окажется при себе телефона, то войти в свой аккаунт Google вы сможете только с помощью этих кодов. Храните их под рукой, например в бумажнике.
Спасибо. Попробую.
Я сторонник разумного компромисса между паранойей и удобством.
Я сторонник разумного компромисса между паранойей и удобством.
Мдя. Как идиоты вели себя amazon и apple. Особенно amazon — по публичной информации что-то менять в аккаунте… ужасть.
реКламент → реГламент, да?
Раз фокус удался дважды, то единственным способом заставить Amazon зачесаться было опубликовать статью. Вообще он мне тут видится наиболее уязвимым звеном. Наверное потому что ожидаешь от конторы, оперирующей твоими кредитками, большего. Да и Apple тоже молодцы: «имя, адрес и последние четыре цифры кредитной карты». А если я у коллеги/соседа/товарища подсмотрел номер кредитки?
Раз фокус удался дважды, то единственным способом заставить Amazon зачесаться было опубликовать статью. Вообще он мне тут видится наиболее уязвимым звеном. Наверное потому что ожидаешь от конторы, оперирующей твоими кредитками, большего. Да и Apple тоже молодцы: «имя, адрес и последние четыре цифры кредитной карты». А если я у коллеги/соседа/товарища подсмотрел номер кредитки?
Пожалуйста, добавьте тэг «РЕШЕТО».
Вот интересно, а по судиться с амазоном реально?
Косяк-то на лицо…
Косяк-то на лицо…
Некоторые ошибки Мэта:
1. Не было двухуровневой верификации на gmail
2. Whois давал всю информацию (домашний адрес и email). Как минимум, email при domain registration должен был отличаться от основного (или делать форвардинг на основной), как максимум — делать private registration. В .ru в этом смысле удобно — можно скрыть без проблем всю информацию, но в .com это стоит денег (до 10 долларов в зависимости от регистратора).
3. Все аккаунты завязаны на основной email (или имеют тот же ник перед @). У меня на ebay, amazon и paypal стоят разные емаилы с моего собственного домена (private registration), которые форвардятся на gmail с двухуровневой верификацией.
4. Засветил свой основной gmail адрес на своем сайте
1. Не было двухуровневой верификации на gmail
2. Whois давал всю информацию (домашний адрес и email). Как минимум, email при domain registration должен был отличаться от основного (или делать форвардинг на основной), как максимум — делать private registration. В .ru в этом смысле удобно — можно скрыть без проблем всю информацию, но в .com это стоит денег (до 10 долларов в зависимости от регистратора).
3. Все аккаунты завязаны на основной email (или имеют тот же ник перед @). У меня на ebay, amazon и paypal стоят разные емаилы с моего собственного домена (private registration), которые форвардятся на gmail с двухуровневой верификацией.
4. Засветил свой основной gmail адрес на своем сайте
Двухуровневая аутентификация запрещает остальные способы восстановления пароля?
Дополнительные email'ы становятся бесполезны?
Я слышал другую историю с восстановлением пароля к gmail, суппорт хотел ответа на вопрос «кто вас пригласил в gmail», чего большинство людей не помнит, поскольку инвайты выпрашивались у незнакомых людей в интернетах…
Дополнительные email'ы становятся бесполезны?
Я слышал другую историю с восстановлением пароля к gmail, суппорт хотел ответа на вопрос «кто вас пригласил в gmail», чего большинство людей не помнит, поскольку инвайты выпрашивались у незнакомых людей в интернетах…
Эх, сволочи. Удалили фотографии, видео дочки… Самая большая потеря. Остальное можно восстановить.
Мораль — не пользоваться сервисами(Amazon?), которые позволяют, зная почтовый адрес, восстановить доступ к аккаунту. Либо уж иметь на нем данные, никак не связанные с остальными сервисами.
Давно на хабре не было статей с 100+ рейтингом, а у этой уже 200 вот-вот. Видимо информационная безопасность и взлом самые актуальные темы для читалей хабра, берем на заметку.
если вы продаете что-либо через ecommerce provider'ов — типа plimus.com shareit.com payproglobal.com — то в отчетах по продажам вы увидите последние 4 цифры карты каждого купившего (а также его ФИО, адрес и телефон). Уж на plimus.com точно.
Чую скоро появится спрос на базы типа «ФИО, адрес, телефон и 4 последние цифры карты» — вот для таких дел.
Чую скоро появится спрос на базы типа «ФИО, адрес, телефон и 4 последние цифры карты» — вот для таких дел.
А как же данные паспорта и девичья фамилия матери?)
А «умельца» то нашли?!
Социальная инженерия… Социальная инженерия никогда не меняется.
Ещё более интересный способ использования уязвимости:
1. Получаем пароль от AppleID
2. Восстанавливаем свой айфон\айпад из бэкапа этого AppleID
3. Получаем доступ ко всей истории смс, ко всем приватным фотографиям и рабочим документам.
Дополнительный бонус — через in-app purchases сливаем весь баланс кредитки, привязанной к AppleID, на заранее сделанное приложение.
1. Получаем пароль от AppleID
2. Восстанавливаем свой айфон\айпад из бэкапа этого AppleID
3. Получаем доступ ко всей истории смс, ко всем приватным фотографиям и рабочим документам.
Дополнительный бонус — через in-app purchases сливаем весь баланс кредитки, привязанной к AppleID, на заранее сделанное приложение.
У меня тут на днях в офисе один коллега забыл пароль от ноутбука. А на каждом ноутбуке в нашей компании есть сервисная запись с локальными админскими правами. Я для прикола позвонил в техподдержку и — вуаля, по фамилии сотрудника мне продиктовали пароль к этой учётке! Я минут 5 не мог поверить, что у нас есть такая ДЫРИЩА в безопасности.
Классный пиар двухфакторной авторизации гугла =)
Облака — зло.
Вот такое вот хочется видеть в фильмах про хакеров, а не типичный стереотипный бред…
Меня всегда поражало когда банки, мобильные операторы и прочие для подтверждения спрашивают имя, дату рождения и максимум адрес (по крайней мере на западе в основном так). Хотя вся эта информация впринципе публична, т.к. доступна всем вашим друзьям, знакомым, родственникам, а через них и всему миру так или иначе.
Не знаю, ребят… Меня удивляет, что ни на одном из этапов не фигурирует какое-нибудь кодовое слово или «ответ на секретный вопрос». А между тем такие штуки, по-моему, практически везде запрашиваются — при той же регистрации почтового ящика, например. Вот, недавно новый ящик на Яндексе заводил — точно было… И в банке, когда с колл-центром общаешься, запрашивают кодовое слово — в Альфе точно, в Сбере… Про другие не знаю, не пользовался.
Выходит, все-таки не везде эти кодовые слова используют? Причем лопушат такие солидные конторы как Амазон? Действительно, страна непуганных идиотов…
Выходит, все-таки не везде эти кодовые слова используют? Причем лопушат такие солидные конторы как Амазон? Действительно, страна непуганных идиотов…
А вы попробуйте «не знать» кодовое слово. У большинства компаний в таких случаях как раз очень простая процедура верификации от которой можно и поседеть.
Маме блокировал потерянную карточку Сбера по телефону. Сразу об'яснил кто я и что хочу, она сама не могла позвонить — лежала в больнице. У меня спросили ворох информации: адрес, дата рождения, номер паспорта, что-то ещё. И в итоге заблокировали, но предупредили что необходимо в трёхдневный срок в отделении заявление написать (не знаю что было б если б не писали). Правда было это лет 8 назад.
… и столько человек добавили пост в избранное…
отличный пример синергии Apple и Amazon.
Бывает так напрягалает эта двухэтапная аутентификация, но без нее нынче никак!!!
Это фигня. Несколько лет назад читал баг в сервисном центре не то московского лексуса не то порше. Там можно было забрать машину из сервиса просто придя раньше хозяина и оплатив ремонт. Не предъявляя никаких документов. Видимо им в голову не приходило, что кто то может вот так прийти и заплатить за ремонт чужой машины.
Автор статьи пришел и заплатив несколько тысяч за замену каких то лампочек «угнал» из сервиса машину другана :)
Автор статьи пришел и заплатив несколько тысяч за замену каких то лампочек «угнал» из сервиса машину другана :)
> он больше всего жалеет утеряных фотографиях
это одна из причин, почему я все фотки храню на внешнем устройстве
это одна из причин, почему я все фотки храню на внешнем устройстве
Вывод? Как уберечься от развода телефонных служб Amazon и т.п. доброжелателями?
Как, зная только имя и email человека, злоумышленники получили доступ ко всем его аккаунтам и удаленно уничтожили информацию на всех его устройствах