> Вам объяснили что проблема только с Вами.
Неверно. Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я. А это не то же самое.
Как видите, они убедили хотя бы вас одного, что ничего страшного не произошло. Не сочтите за труд, перечтите комментарии в обсуждении, где объясняется, как квалифицированный маркетолог может использовать данные о всех платежах через ЯД за неизвестный (но, видимо, большой) период времени.
Шантаж — это придумали вы и это смешное использование такой ценной информации.
Да, доступа к кошелькам нет. Но можно проанализировать, на какие услуги и какие пользователи тратят средства. Узнать, сколько получают и за какие услуги конкуренты. Если вы не понимаете, насколько это ценная и опасная информация — я пас объяснять. Я — понимаю. Потому и действовал жёстко и быстро для закрытия дыры.
Моя позиция жёсткая, да. Но вдумайтесь, почему? Потому что хотя была обнаружена серьёзная проблема, ЯД пытается делать вид, что ничего страшного не произошло. «Утечки не произошло». Утечка произошла, техническая возможность у других мерчантов увидеть то же, что и я, как стало понятно, была. Но ещё более жёсткая позиция у меня, потому что сотрудники Яндекс.Денег пытаются мне указывать, что я поступил неправильно, сдвигая стрелки в мою сторону.
На самом деле, для меня вопрос был закрыт, сразу после того, как grachevamar представилась в личной переписке, представилась директором по развитию ЯД, извинилась и поблагодарила за правильные оперативные действия по закрытию проблемы. Затем, меня вполне устроил её ответ относительно возникшей ситуации и предпринятых мер. На этом для меня была поставлена точка уже через несколько часов после публикации поста.
Но нет, сначала димулька_9 (спасибо, что его устранили от обсуждения) затем Kirby начали решать проблему в паблике, причём решать её за мой счёт. А вот это, извините, не может не поставить в жёсткую позицию, которая, извините, имеет серьёзную почву под ногами.
Затем, что я — пользователь Яндекс.Денег. И я хочу, чтобы реально предприняли реальные меры по увеличению безопасности транзакций. То, что произошла утечка — реальная проблема, не пытайтесь убедить, что это не так. Вы пишите: «Мы проверили логи — утечки не произошло. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.»
То есть, техническая возможность доступа у других мерчантов была. И это было, по-видимому, намного больше двух часов. А это — серьёзная уязвимость и показатель отношения к безопасности данных транзакций. Воспользовался ли кто-нибудь ещё обнаруженной «фичей»? Даже если вы знаете, что кто-то воспользовался, вы этого не опубликуете. Потому что это означало бы, что кладезь маркетинговой информации, включая емейлы, телефоны и кошельки активных покупателей попал не в те руки. Тут уже объясняли ценность и опасность этой информации, можете ознакомиться с мнением хабрапользователей.
Раз вы так ставите вопрос: «зачем Вы продолжаете задавать десятки вопросов в комментариях» я не буду больше ни о чём вас спрашивать и тем более — отвечать вам.
Я не хотел этого делать, для меня вопрос, поднятый в посте давно закрыт. Но вы меня вынуждаете подтверждать свои слова, пытаясь оставить за собой последнее слово. Ваши сотрудники дали несколько вариантов произошедшего.
1. технически — ваш ключ неправильно обрабатывал фильтр «все магазины» — вместо всех магазинов, обслуживаемых на вашем договоре, отдавал более широкую выборку.
изменен сценарий генерации ключей — изменены участвующие роли и добавлено выполнение дополнительных проверок сгенеренного ключа. (с) grachevamari
Это из паблика. В личной переписке мне так же подтвердили, что проблема была именно в выданном мне сертификате-ключе, а не в системе.
Там не написано, что я не могу использовать эти данные с личных целях, верно? Мне для того и передают данные о плательщиках, чтобы я их обрабатывал. Верно? Это мне договор разрешает. Следовательно, я мог их «обработать» и даже без публикации в общем доступе. Попытка ЯД свести к тому, что никакой опасности утечка не представляла — не правда, представляла и ещё какую.
Особенно милы бегания сотрудников ЯД за моими комментариями с минусами — и отсутствие конкретных ответов. Смех.
Вы же специалист по соцсетям? Прочтите все комментарии Дмитрия. В одном из них он написал, цитирую: А по кейсу «с мая» разберемся, очень любопытно. Отвечу.
Ответа так и нет. Пока мне по почте свалились только данные нового аккаунт менеджера и извинения Директора департамента электронной коммерции.
> А по поводу пиара автора — я думаю что просто это стало последней каплей, нет тут никакого пиара
Спасибо. Именно последняя капля и полное отсутствие доверия к быстрой реакции сотрудников — и необходимость срочного принятия мер. Поэтому Хабр. Я очень редко пишу и появляюсь на Хабре (несложно проверить) так что обвинения в кармадрочерстве или чём-то подобном смешны и нелепы. Снижение доверия к топикастеру, которое нет-нет — да мелькнёт в комментариях Kirby — возможно и правильный путь выхода из ситуации, не буду её за это винить.
Моя задача была — привлечь внимание к проблеме (безопасность и работа менеджеров). Я свою задачу выполнил. Теперь сотрудники ЯДа могут выполнять свою.
Мне кажется, я вполне однозначно высказался и кто хотел понять — поняли.
Меня динамили по другим вопросам месяцами ваши сотрудники. Именно поэтому я сначала распорядился позвонить и написать вам об обнаруженной дырище. А когда немедленной реакции не последовало (а я уверен до сих пор, что её последовать и не могло) — я выложил информацию в паблик. Замечу, никакой личной информации выложено не было. Если кто-то ещё мог воспользоваться этой «фичей» из мерчантов — он наверняка ей воспользовался и без меня.
Пост на Хабре помог закрыть доступ к сервису очень быстро, так что свою цель пост достиг. Я считаю, что действовал абсолютно правильно — подобные «фичи» надо закрывать немедленно, а не ждать, пока раскачаются вечно медлительные сотрудники ЯДа.
Пост и реакция сотрудников ЯД отлично демонстрирует, какой бардак творится у вас в ЯД с менеджерами. В личной переписке мне сообщил сотрудник, какие меры будут предприниматься — в целом, звучит убедительно, если удастся, конечно.
> Проблема была не в механизме генерации ключей, а в одном конкретном сертификате одному конкретному магазину. Как автор пишет и выше, его даже не перевыпускали, просто поправили.
Сертификат нельзя «просто поправить». Если не понимаете, о чём пишите — попросите отвечать в комментариях компетентного специалиста.
Вот не надо врать! У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет. С юридической точки зрения я мог выкачать всё полностью — так как Яндекс.Деньги предоставили такую возможность. И мог использовать в своих целях. Мог? Мог.
Мне категорически не нравится, что Яндекс.Деньги пытается сделать вид, что ничего страшного не произошло. А ваши заверения, что «не повторится» звучат, как минимум, неубедительно.
Поправка: это вы говорите, что она не произошла. Техническая возможность была (вы это не отрицаете) и проверить, что утечки не было мы не можем. Вдумайтесь, что произошло бы, если бы я простейшим скриптом слил данные о всех платежах и опубликовал?
1. Я мог выкачать все данные всех платежей? Да. Утечка данных была допущена. Сотрудники нашей компании, будь они менее щепетильны, могли воспользоваться дырой и загрузить все абсолютно платежи за весь доступный период. Так? Так.
2. Вы правы «в течение последних недель, когда я получал свой ключ». Эта примитивная операция заняла даже не несколько недель, а несколько месяцев. Хотя достаточно пары часов.
3. Вы договоритесь, что писать в паблике. Один ваш сотрудник говорит, что проблема была именно с нашим ключом. Вы же сейчас говорите, что «расширенная возможность», как вы называете дырищу в безопасности была замечена только мной. И мы все должны поверить вам на слово? У вас тысячи мерчантов, и я не верю, что только у меня хватило мозгов выбрать «ВСЕ» в списке платежей.
4. Где извинения в паблике перед Вашими клиентами за допущенную утечку личных данных? Утечка была допущена и, как бы вам не хотелось подать под другим соусом — очень серьёзная утечка.
Вот написано красиво, да.
Но почему сотрудники Яндекса вновь и вновь сваливают свои обязанности на клиентов — и при этом не умеют и не хотя думать?
1. Посмотрите время комментария, 9:20. Логично, что я звонил сразу до этого комментария (примерно в 9:05-9:15). Проверьте телефонные звонки, в которых спрашивают Дмитрия, вряд ли их много. Не сочтите за труд сами проверить работу вашего же саппорта.
У вас же, как сообщается, «записываются телефонные переговоры».
2. На месте Дмитрия grachevamari тоже написала в личку. Но при этом вела себя вежливо и адекватно, а не высказывала претензии и не хамила. А таких димулек9 нужно держать подальше от клиентов.
3. Хотелось бы знать, что и как нарешал ваш коммерческий отдел. А то выше в переписке Дмитрий понаобещал разораться и тишина. Яндекс.деньги.стайл.
Спасибо, звучит вполне убедительно.
Передайте мою благодарность менеджеру, который выписывал ключ и разработчикам, допустившим подобный эпикфейл. Если менеджеру простительно, то разработчики явно заняты не своим делом.
Сегодня с утра проверил — сервис работает, как и должен, показывает только платежи нашей компании. Сертификат (ключ доступа) не перевыпускали. Спасибо grachevamari за адекватную реакцию. Было бы у вас поменьше dimulka_9-ек — глядишь, и таких проблем тоже не было бы.
dimulka_9, заявивший себя сотрудником Яндекс.Денег высказал мне в личке претензии, что я не позвонил ему лично (откуда, простите, я мог знать, что надо звонить лично ему?) Цитирую:
Что Вам мешает взять и позвонить на прямой номер Яндекс.Денег и спросить меня? Я вот уверен, что должны соединить без проблем. Согласен, это не будет так красиво, как написать пост на Хабре, но уверен, что намного эффективнее.
Я позвонил на прямой номер Яндекс.Денег, опубликованный на сайте: 8 800 555 80 99. Спросил Дмитрия Даниленко. Соединить ожидаемо отказались. Позвонил второй раз, и человек с явно нерусским акцентом и проблемами с дикцией, мило тыкал мне, заикался, но, после моих объяснений и пары минут ожидания продиктовал номер: +74957392325.
Милая девушка выслушала, попробовала соединить, но сказала, что, видимо Дмитрий ещё не подошёл, она не знает, со скольки у вас начинается рабочий день и когда вы появитесь в офисе.
Итого — я потратил 10 минут, сделал три звонка, за звонок в Москву заплатил из своего кармана — но проблему так и не решил. Вот поэтому, Дмитрий, пост на хабре эффективнее вашей службы поддержки. А вы — высказывая претензии в личке — действуете непрофессионально и грубо.
UPD: Странно, что он не высказал претензию, что я сам не устранил утечку данных о всех платежах Яндекс.Денег.
Неверно. Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я. А это не то же самое.
Как видите, они убедили хотя бы вас одного, что ничего страшного не произошло. Не сочтите за труд, перечтите комментарии в обсуждении, где объясняется, как квалифицированный маркетолог может использовать данные о всех платежах через ЯД за неизвестный (но, видимо, большой) период времени.
Шантаж — это придумали вы и это смешное использование такой ценной информации.
Да, доступа к кошелькам нет. Но можно проанализировать, на какие услуги и какие пользователи тратят средства. Узнать, сколько получают и за какие услуги конкуренты. Если вы не понимаете, насколько это ценная и опасная информация — я пас объяснять. Я — понимаю. Потому и действовал жёстко и быстро для закрытия дыры.
На самом деле, для меня вопрос был закрыт, сразу после того, как grachevamar представилась в личной переписке, представилась директором по развитию ЯД, извинилась и поблагодарила за правильные оперативные действия по закрытию проблемы. Затем, меня вполне устроил её ответ относительно возникшей ситуации и предпринятых мер. На этом для меня была поставлена точка уже через несколько часов после публикации поста.
Но нет, сначала димулька_9 (спасибо, что его устранили от обсуждения) затем Kirby начали решать проблему в паблике, причём решать её за мой счёт. А вот это, извините, не может не поставить в жёсткую позицию, которая, извините, имеет серьёзную почву под ногами.
То есть, техническая возможность доступа у других мерчантов была. И это было, по-видимому, намного больше двух часов. А это — серьёзная уязвимость и показатель отношения к безопасности данных транзакций. Воспользовался ли кто-нибудь ещё обнаруженной «фичей»? Даже если вы знаете, что кто-то воспользовался, вы этого не опубликуете. Потому что это означало бы, что кладезь маркетинговой информации, включая емейлы, телефоны и кошельки активных покупателей попал не в те руки. Тут уже объясняли ценность и опасность этой информации, можете ознакомиться с мнением хабрапользователей.
Раз вы так ставите вопрос: «зачем Вы продолжаете задавать десятки вопросов в комментариях» я не буду больше ни о чём вас спрашивать и тем более — отвечать вам.
1. технически — ваш ключ неправильно обрабатывал фильтр «все магазины» — вместо всех магазинов, обслуживаемых на вашем договоре, отдавал более широкую выборку.
изменен сценарий генерации ключей — изменены участвующие роли и добавлено выполнение дополнительных проверок сгенеренного ключа.
(с) grachevamari
Это из паблика. В личной переписке мне так же подтвердили, что проблема была именно в выданном мне сертификате-ключе, а не в системе.
2. Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы. Мы видим, что Вы просмотрели несколько сотен строк истории операций. Это всё. Никто, ни один мерчант, больше ни одной строки не сгенерировал и не увидел (даже после Вашего поста). Сейчас механизм выдачи и генерации ключей, разумеется, изменён.
© Kirby
Это тоже из паблика. То есть, была проблема именно в системе статистики. Но, как вы утверждаете, заметил только я. Но, как честный человек, не воспользовался.
Кто из сотрудников ЯД пишет неправду? Ваша версия звучит правдивее, готов признать.
Особенно милы бегания сотрудников ЯД за моими комментариями с минусами — и отсутствие конкретных ответов. Смех.
А по кейсу «с мая» разберемся, очень любопытно. Отвечу.
Ответа так и нет. Пока мне по почте свалились только данные нового аккаунт менеджера и извинения Директора департамента электронной коммерции.
Спасибо. Именно последняя капля и полное отсутствие доверия к быстрой реакции сотрудников — и необходимость срочного принятия мер. Поэтому Хабр. Я очень редко пишу и появляюсь на Хабре (несложно проверить) так что обвинения в кармадрочерстве или чём-то подобном смешны и нелепы. Снижение доверия к топикастеру, которое нет-нет — да мелькнёт в комментариях Kirby — возможно и правильный путь выхода из ситуации, не буду её за это винить.
Моя задача была — привлечь внимание к проблеме (безопасность и работа менеджеров). Я свою задачу выполнил. Теперь сотрудники ЯДа могут выполнять свою.
Меня динамили по другим вопросам месяцами ваши сотрудники. Именно поэтому я сначала распорядился позвонить и написать вам об обнаруженной дырище. А когда немедленной реакции не последовало (а я уверен до сих пор, что её последовать и не могло) — я выложил информацию в паблик. Замечу, никакой личной информации выложено не было. Если кто-то ещё мог воспользоваться этой «фичей» из мерчантов — он наверняка ей воспользовался и без меня.
Пост на Хабре помог закрыть доступ к сервису очень быстро, так что свою цель пост достиг. Я считаю, что действовал абсолютно правильно — подобные «фичи» надо закрывать немедленно, а не ждать, пока раскачаются вечно медлительные сотрудники ЯДа.
Пост и реакция сотрудников ЯД отлично демонстрирует, какой бардак творится у вас в ЯД с менеджерами. В личной переписке мне сообщил сотрудник, какие меры будут предприниматься — в целом, звучит убедительно, если удастся, конечно.
Сертификат нельзя «просто поправить». Если не понимаете, о чём пишите — попросите отвечать в комментариях компетентного специалиста.
Мне категорически не нравится, что Яндекс.Деньги пытается сделать вид, что ничего страшного не произошло. А ваши заверения, что «не повторится» звучат, как минимум, неубедительно.
2. Вы правы «в течение последних недель, когда я получал свой ключ». Эта примитивная операция заняла даже не несколько недель, а несколько месяцев. Хотя достаточно пары часов.
3. Вы договоритесь, что писать в паблике. Один ваш сотрудник говорит, что проблема была именно с нашим ключом. Вы же сейчас говорите, что «расширенная возможность», как вы называете дырищу в безопасности была замечена только мной. И мы все должны поверить вам на слово? У вас тысячи мерчантов, и я не верю, что только у меня хватило мозгов выбрать «ВСЕ» в списке платежей.
4. Где извинения в паблике перед Вашими клиентами за допущенную утечку личных данных? Утечка была допущена и, как бы вам не хотелось подать под другим соусом — очень серьёзная утечка.
Но почему сотрудники Яндекса вновь и вновь сваливают свои обязанности на клиентов — и при этом не умеют и не хотя думать?
1. Посмотрите время комментария, 9:20. Логично, что я звонил сразу до этого комментария (примерно в 9:05-9:15). Проверьте телефонные звонки, в которых спрашивают Дмитрия, вряд ли их много. Не сочтите за труд сами проверить работу вашего же саппорта.
У вас же, как сообщается, «записываются телефонные переговоры».
2. На месте Дмитрия grachevamari тоже написала в личку. Но при этом вела себя вежливо и адекватно, а не высказывала претензии и не хамила. А таких димулек9 нужно держать подальше от клиентов.
3. Хотелось бы знать, что и как нарешал ваш коммерческий отдел. А то выше в переписке Дмитрий понаобещал разораться и тишина. Яндекс.деньги.стайл.
Передайте мою благодарность менеджеру, который выписывал ключ и разработчикам, допустившим подобный эпикфейл. Если менеджеру простительно, то разработчики явно заняты не своим делом.
Что Вам мешает взять и позвонить на прямой номер Яндекс.Денег и спросить меня? Я вот уверен, что должны соединить без проблем. Согласен, это не будет так красиво, как написать пост на Хабре, но уверен, что намного эффективнее.
Я позвонил на прямой номер Яндекс.Денег, опубликованный на сайте: 8 800 555 80 99. Спросил Дмитрия Даниленко. Соединить ожидаемо отказались. Позвонил второй раз, и человек с явно нерусским акцентом и проблемами с дикцией, мило тыкал мне, заикался, но, после моих объяснений и пары минут ожидания продиктовал номер: +74957392325.
Милая девушка выслушала, попробовала соединить, но сказала, что, видимо Дмитрий ещё не подошёл, она не знает, со скольки у вас начинается рабочий день и когда вы появитесь в офисе.
Итого — я потратил 10 минут, сделал три звонка, за звонок в Москву заплатил из своего кармана — но проблему так и не решил. Вот поэтому, Дмитрий, пост на хабре эффективнее вашей службы поддержки. А вы — высказывая претензии в личке — действуете непрофессионально и грубо.
UPD: Странно, что он не высказал претензию, что я сам не устранил утечку данных о всех платежах Яндекс.Денег.