Старый 14.11.2013, 19:04   #1
recfrf
 
Регистрация: 29.07.2010
Сообщений: 40
Репутация: 1
По умолчанию Яндекс-Киви баг?

Недавно у одного обменника, школота увела 200к+ рублей, кому интересно, неоконченная история тут.
К сожалению проверить тему по горячим следам не удалось, из-за глючности киви(невозможность получить реквизиты), а может так и было задумано, тк пострадавший обратился к яндексу, но внятного ответа от них не получил, да и киви был на тех.обсл. некоторое время. Понятно что дырка(если была) была обнаружена абсолютно случайно, такие проебы только так и вылезают, ну и школьники от радости не смогли все сделать красиво.
С того что удалось узнать, процесс выглядел так
Код:
Сначала мы зарегистрировали яндекс кошелёк и qiwi кошелёк. Брали у qiwi виртуальную карту с 0 балансом, её привязали к яндекс кошельку. Потом мы скачали Tor Browser через который мы уже и делали все операции. А теперь по пунктам:
Заходили на обменник и выбирали обмен с яндекса на wmr
Авторизировались через яндекс.
Писали количество денег
Писали свой яндекс кошелёк (с привязанной картой) и писали wmid и r кошелёк.
Ну и дальше уже происходил перевод, при этом на нашем яндекс счету и на карте было денег, недостаточно для такого перевода.
Кто что думает, неужели реален такой проеб со строны яндекскиви? есть мнение, что они в принципе не признаются в том что был какой либо баг, прикрыли дырку и типа это у вас проблемы а мы не причем. Да и как показывает время, самые прикольные баги до того просты, что удивительно как их не находили раньше.

Последний раз редактировалось recfrf; 14.11.2013 в 19:08..
recfrf вне форума   Ответить с цитированием
Старый 14.11.2013, 21:20   #2
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Почему увели у обменника если баг у яндекса? Все через их апи работает же.
tex вне форума   Ответить с цитированием
Старый 14.11.2013, 21:36   #3
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

Перенёс сюда, тема всё же не для "уязвимостей"

По теме:
Не читал 55 страниц истории, но по твоему описанию не понимаю при чём тут яндекс?

Это очень похоже на ситуацию, когда биллинг пишут кодеры различной степени криворукости. Я бы даже сказал что она штатная. Ну загнать счёт в минус это нужно быть уникальным биллинго-писателем, но проблемы (в том числе и нелепые) в такого рода продуктах встречаются довольно часто.
Я разумеется сейчас говорю не о биллинге яндекса, который работает довольно давно, и я уверен, что если бы у них были такого рода ошибки, они бы давно всплыли. Я говорю о биллинге самого обменника. "Школьники", как ты их называешь, заходили на обменник, и осуществляли транзакцию именно через него, я так понимаю с яндексом он работает по API самого яндекса, а как он совершает дальнейшие операции (свои внутренние) по конвертации и обсчитыванию поступления\снятия никто не знает. Или там априори всё отлично и у них багов нет, а искать их нужно у яндекса, который уже вдоль и поперёк прошарили и хакеры и люди по багбаунти?

Или я что то не так понял, и транзакции на обменниках идут как то по другому, без собственного биллинга, а как то "напрямую"?
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 14.11.2013, 23:41   #4
recfrf
 
Регистрация: 29.07.2010
Сообщений: 40
Репутация: 1
По умолчанию

когда платишь яндекс деньгами, тебя перекидывает в любом случае на яндекс, если нормальной картой, то после на страничку банка, потом обратно на яндекс. Я проверял на нескольких обменниках, но не доводил процесс до конца, на реальных картах всегда участвует банк, на киви все идет в пределах яндекса и именно в нем сообщалось что платеж успешный, так говорят виновные. Сейчас, когда киви очнулись, яндекс пишет что денег на счете нет, по логике киви должен говорить что на счете нет денег яндексу, либо он криво говорил, либо яндекс криво понимал ответ. Школьники не в кавычках, им реально по 15 лет, и потратили они бабло на майнкрафт сервер. Насчет багокопателей, вспомни о cgi-php баге, самое примитивное как раз можно и не заметить, все ищут что то сложное. Но я тоже не верю в баг на яндексе или киви, хотя вдруг, этож мега фейл.

Последний раз редактировалось recfrf; 14.11.2013 в 23:52..
recfrf вне форума   Ответить с цитированием
Старый 16.11.2013, 19:11   #5
b30v3r
 
Аватар для b30v3r
 
Регистрация: 22.04.2013
Сообщений: 7
Репутация: 3
По умолчанию

Сложилось впечатление, что тов. soul просто пиарит свой обменник. Ни на один конкретный вопрос на первых 10-ти страница он не ответил, поэтому дальше читать я уже не стал.
b30v3r вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot