Пятёрочка
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
Luara, это я видел, но в пятёре нельзя карту привязать и проверить в интернет-магазине (впрочем может её можно привязать в моб.приложении, надо глянуть) ещё я подозреваю, что смс-код находят подбором, уж больно он паршивый, и на сайте нет капчи(думаю и в приложении её нет), злоумышленники прикрутили плагин и он по быстрому перебирают варианты
Нет для войны оправданий и причин!
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
представитель ответил, говорит что у них всё зашибись виноват кто-то другой
ну и мой ответный комент:
да, похоже крадут номера моб.телефонов именно по ним восстанавливаются пароли и приходят смс-кодыСветлана Наговицына @BAISAD, как происходит могу только догадываться, но посмотрев мобильное приложение прихожу к мысли, что крадут не номер карты, а номер телефона и затем восстанавливают пароль, для того, что бы восстановить пароль нужен четырёхзначный цифровой смс-код, его злоумышленник получает путём подбора с помощью специальной программы, ни на сайте, ни в мобильном приложении, нет ни капчи и никаких других ограничений на ввод неверных смс-кодов, т.е. по сути мошенник ограничен только временем действия смс-кода, именно поэтому у некоторых пострадавших смс-код приходит по нескольку раз. Если всё прошло успешно и программа угадывает смс-код, то злоумышленник меняет пароль, генерирует в мобильном приложении штрихкод и бежит тратить чужие баллы
Отправлено спустя 9 минут 46 секунд:
надо наверно как-то написать пятёрошным долбо... чтоб исправили косяки с восстановлением паролей
1) поставить на странице восстановления паролей капчу
2) сделать ограничение на ввод неверных смс-кодов (например три неверных ввода, продолжение через 5 минут)
3) смс-код сделать не таким убогим, увеличить его на два-три знака, а лучшее ввести туда буквы, например сгенерированный пароль присланный для мобильного приложения был вполне нормальным
Нет для войны оправданий и причин!
- Rahmatich
- Призолов Гуру
- Сообщения: 5453
- Зарегистрирован: Пт авг 13, 2010 8:36 am
- Откуда: Казань
- Благодарил (а): 873 раза
- Поблагодарили: 3917 раз
Пятёрочка
canabis, ну так вся эта херь не первый день и даже не первую неделю творится. и народ и на горячку им звонит и в обратку долбит, но что-то так ничего ине меняется.
вчера вообще чувак на горячей линии сказал, что "возможно коды приходят, потому что у них сайте ведутся технические работы" - то ли панику не хочет наводить то ли что
Отправлено спустя 4 минуты 15 секунд:
но кстати вчера после звонка на горячку, когда в очередной раз стал пытаться восстановить пароль, стало выдавать что-то типа "приходите завтра". то ли они что-то там прикрыли то ли что... и мне интересно, у кого в итоге на тот момент был доступ в кабинет - у меня или у взломщика
вчера вообще чувак на горячей линии сказал, что "возможно коды приходят, потому что у них сайте ведутся технические работы" - то ли панику не хочет наводить то ли что
Отправлено спустя 4 минуты 15 секунд:
но кстати вчера после звонка на горячку, когда в очередной раз стал пытаться восстановить пароль, стало выдавать что-то типа "приходите завтра". то ли они что-то там прикрыли то ли что... и мне интересно, у кого в итоге на тот момент был доступ в кабинет - у меня или у взломщика
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
Отправил сообщение здесь https://www.x5.ru/ru/Pages/About/Brands ... yaterochka внизу Свяжитесь с нами, Жалоба директору по безопасности.
Вот моё сообщение:
З.ы. у меня ещё ничего не украли но я уже баюсь
З.ы. разместил аналогичное сообщение на форуме где "повальная кража баллов"
Вот моё сообщение:
Просьба всем неравнодушным сделать аналогичное. т.е. написать директору по безопасностиУ нас на форуме у пользователей повальная кража баллов с карт пятёрочки. Я считаю, что уязвимость связанна с восстановлением пароля, для смены пароля всего лишь нужно ввести номер телефона и подобрать смс-код. В связи с этим возникли пожелания к сайту и мобильному приложению выручай-карты от пятёрочки:
1) поставить на странице восстановления паролей капчу
2) сделать ограничение на ввод неверных смс-кодов (например три неверных ввода, далее продолжение возможно только через 3 минуты)
3) по возможности сделать смс-код не таким убогим(там всего 4 цифры), увеличить его на два-три знака, а лучшее ввести туда буквы, так например сгенерированный пароль присланный для мобильного приложения был вполне нормальным
З.ы. у меня ещё ничего не украли но я уже баюсь
З.ы. разместил аналогичное сообщение на форуме где "повальная кража баллов"
Нет для войны оправданий и причин!
- Rahmatich
- Призолов Гуру
- Сообщения: 5453
- Зарегистрирован: Пт авг 13, 2010 8:36 am
- Откуда: Казань
- Благодарил (а): 873 раза
- Поблагодарили: 3917 раз
Пятёрочка
ну если только в каких акциях. периодически названивают же всякие - то халву впаривают, то медицинские услуги какие-нибудь, с недавнего времени уже билеты в театр начали. и понятно, когда они обращаются по имени, которое на авито указано, но в последнее время всё больше по имени с акций
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
Rahmatich, у тебя два имени? - ааа знаю знаю татарское и русское?
Ну а если серьёзно, ты считаешь, что кто-то с какой-то акции слил базу номеров я если честно подозревал, что кто-то в обменнике предлагает оплатить на мобилу или киви, а затем потрошит пятёрочку
Ну а если серьёзно, ты считаешь, что кто-то с какой-то акции слил базу номеров я если честно подозревал, что кто-то в обменнике предлагает оплатить на мобилу или киви, а затем потрошит пятёрочку
Нет для войны оправданий и причин!
- Rahmatich
- Призолов Гуру
- Сообщения: 5453
- Зарегистрирован: Пт авг 13, 2010 8:36 am
- Откуда: Казань
- Благодарил (а): 873 раза
- Поблагодарили: 3917 раз
Пятёрочка
canabis, ну дык стандартная практика - левое имя на авито, чтобы знать, откуда спамщики берут свою базу.
с недавнего времени появились ещё всякие опросы на анкетке и др., где после опроса по магазинам просят указать номера карт магазинов х5 и номер телефона. но конкретно данный номер и данную карту никогда не указывал. ещё мог бы подумать на кассира, потому что только сходил в магазин и пробил покупку по данной карте - через минут 20 началось всё это. но и кассир этот попадается не впервые, да и баллы обычно списываются в других городах. читал, что у народа уже списывают в Сочи, Казани, Сызрани и т.д. неужели кто-то покупает взломанные данные?
с недавнего времени появились ещё всякие опросы на анкетке и др., где после опроса по магазинам просят указать номера карт магазинов х5 и номер телефона. но конкретно данный номер и данную карту никогда не указывал. ещё мог бы подумать на кассира, потому что только сходил в магазин и пробил покупку по данной карте - через минут 20 началось всё это. но и кассир этот попадается не впервые, да и баллы обычно списываются в других городах. читал, что у народа уже списывают в Сочи, Казани, Сызрани и т.д. неужели кто-то покупает взломанные данные?
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
кстати похоже проблему решили, на сайте после 5 неверных и в моб.приложении после 3 неверных пишут - "вход заблокирован. запросите код повторно"
ну или они стали следить за моей подопытной картой
ну или они стали следить за моей подопытной картой
Нет для войны оправданий и причин!
- canabis
- Призолов Гуру
- Сообщения: 12891
- Зарегистрирован: Пн май 22, 2006 1:49 am
- Откуда: Страна Священных Скреп Российских
- Благодарил (а): 1067 раз
- Поблагодарили: 2578 раз
Пятёрочка
Rahmatich, говорят можно, нельзя только крепкий алкоголь с мрц, причем говорят что разницу между мрц и магазинной ценой вроде как можно оплатить баллами
Нет для войны оправданий и причин!
- Rahmatich
- Призолов Гуру
- Сообщения: 5453
- Зарегистрирован: Пт авг 13, 2010 8:36 am
- Откуда: Казань
- Благодарил (а): 873 раза
- Поблагодарили: 3917 раз
Пятёрочка
собственно из-за шампанского и были сомнения - по градусам они с вином то почти одинаковы, но выходит, что на шампанское есть мрц, а на вино нет?