Pull to refresh

Comments 20

Я так прикинувшись коллегой восстанавливал доступ к аккаунту коллеги (который использовался для корпоративных целей). Так что это не только в плохую сторону работает (но опять же, возможность подобного не важно в каких целях это очень плохо).
И что, вам предоставили доступ? Ужас какой…
Да, всё успешно (по телефону меняли мобильный телефон и, кажется, отключали 2FA).
Но я замечу, что коллега знал о всех этих действиях (до их начала).
Это ничего не меняет.
Я и не говорю что меняет
заставляет задуматся о коллеге…
Не устаю повторять простую истину:
  • Если у компании есть данные — она будет их использовать.
  • Данные обязательно утекут или будут предоставлены по судебному запросу
Чудесная истина и как с ней жить теперь по-вашему, если банк с вашим счетом -тоже компания и данные по вашей кредитке, cvv и pin тоже обязательно утекут, следуя вашей логике.
А зачем следовать «моей» логике? Почитайте новости, у банков постоянно воруют. Банки — та еще дырень.
А жить просто — оценивать безопасность каждого сервиса при публикации на него ценной информации.
Меня немного смешит и пугает тенденция, когда пользователи «ради удобства» сохраняют данные своих карточек на каждом встречном-поперечном интернет-магазине. Нешто так сложно каждый раз ввести платежные реквизиты заново?
То что вы вводите реквизиты каждый раз заново не гарантирует что они не остаются где-то в недрах магазина…
Верно. Но это уже вопрос доверия к сервису.
А «истина» она не про то, что «сервис плохой», она про то, что пофиг какой сервис — ваши данные все равно утекут.
Поэтому логика простая. Заводим отдельную карточку для подобных платежей, при необходимости что-то оплатить переводим на эту карту деньги через удобный интернет-банк и все.
Таков он человеческий фактор. В поддержку понабирают невнимательных людей, а ведь от них зависят наши персональные данные.
Вообще интересная идея с «маячками», например публично в адрес добавлять несуществующий корпус здания и тогда можно определить откуда взят адрес.
А на подобных сервисах, ввести такое понятие как «ложные признаки» по которым поддержка может определить что с ними общается скорей всего мошенник и реально не выполнять его просьбы, выдавать ложные данные в ответ.
Тогда однажды вам не смогут что-то доставить/зарегистрировать и т.п., где-то да отвалится из-за неправильного адреса, а где-то вы вообще такой ввести не сможете.

А ложные признаки вам же и навредят однажды в срочной ситуации, скажете кличку кота вместо собаки по ошибке в момент вылета когда срочно надо оплатить билет, банк скажет, что карту вам разблокировал, а на самом деле ничего не сделает и никуда вы не улетите, а ведь это может быть последний самолёт.
Расскажу удивительную историю про техподдержку, которая случилась со мной буквально неделю назад. Так получилось, что сейчас я использую один довольно известный российский сервис электронной почты. Когда появилась возможность использовать двухфакторную авторизацию, я сразу привязал мобильный телефон и обрадовался, ведь о безопасности моей почты заботятся.

Неделю назад мне стало приходить большое количество СМС с кодом для авторизации, что выглядит очень странно. Я решил последовать классическому совету и написать в техподдержку. Пришлось ждать ответ довольно долго, но он оказался бесполезен: мне прислали обычную памятку по безопасности аккаунта и посоветовали использовать двухфакторную авторизацию (!). Я повторно задал вопрос:
> Вчера я несколько раз столкнулся со следующей проблемой: я получаю СМС с кодом подтверждения для входа в аккаунт почты, при этом в это время я не делал попыток входа. Что это может значить?


На который я получил замечательный ответ:
К сожалению, однозначного ответа на этот вопрос дать нельзя.


Хорошо, подумал я. Возможно, если я узнаю IP адреса, с которых проводились попытки авторизации, я смогу понять, что стало причиной такого поведения: ошибка приложения на моем устройстве или деятельность злоумышленника. На что я получил замечательный ответ:
Информацию о том, с каких IP адресов осуществлялся вход в Ваш почтовый
ящик, мы можем предоставить только по официальному запросу из уполномоченных правоохранительных органов.


Казалось бы, есть техподдержка, но в этой ситуации она бесполезна.
Amazon и сам как мошенник действует. В прошлом счете визы обнаружил снятые деньги за сервис Amazon Prime, который был даже не был включен для моего аккаунта после этого.

Более того оказалось что такой же charge был сделан на аккаунтe жены и аккаунтe у ее подружки.

Пришлось чатится с сервисом и гневно требовать удалисть данные о карте, — они ведь даже не спрашивали никогда могут ли у себя хранить эти данные. Похоже придется дропнуть аккаунт.
А, простите, автора публикующего не учили, как правильно оформлять переводную статью на хабре?

А то создаётся впечатление, что это его личные приключения.
Уже начал волноваться. Вчера на секунду этот посто промелькнул и исчез. Уж грешным делом подумал, что цензура )
Я переводил какое-то время назад статью, где тоже через дыру в поддержке Amazon, в паре с дырой в поддержке Apple, увели у парня вообще все онлайн аккаунты, и удаленно вайпнули все его девайсы.
habrahabr.ru/post/149179
Aвтор нарушил одно из базовых требований при регистрации домена: всегда использовать private whois (даже если это стоит несколько лишних долларов год). Private whois доступен про регистрации доменов как минимум в зонах com, net, org.

Тем не менее, саппорт Амазона проявил себя не лучшим образом.
Sign up to leave a comment.