Новая тема   Ответить

 piskin
SmoothOpXXX писал:

Я потом откомментирую, но выводы из этого следуют простые:
1) Если система построена НОРМАЛЬНО, то инсайдер ничего не сможет сделать. Вор может сделать ВСЕ, если компьютер клиента затроянен КРОМЕ СМС/пинкалькулятора.
2) Если система построена ненормально, то против инсайдера ничего не поможет. Посему защищаться от вора смысла нет, так как слабое место - инсайдер.

Короче, спасет только то, что оторвано от компьютера - СМС, одноразовые коды, пинкалькулятор. И только в случае, если нет инсайдера. А если он есть...

В общем, Епасс - это для рисковых.

 JM
Лемит есть на перевод на сутки на один акк т.е. я могу послать 500 на акк cheater1, затем 500 на акк cheater2 и т.д.

почему не катит блокировка по IP потмоучто из зараженной машины делаеться сокс очень быстро ;(
по той же причине и не катит привязка к железу как у WM....... и прочие там прибамбасы...... даже блин получаеться что и SMS непройдет если подменят вам IP, что очень просто........ единственное что удасться эт предотварить кучу краж те украдут ток 1 раз......

Последний раз редактировалось: JM (09/02/09 в 00:07), всего редактировалось 1 раз

 Poddub
Насчет GFY - думаю топик создать все же не помешает, и не надо ничего ждать.
Вот кстати топик насчет недавнего глюка с двойными транзакциями:
gfy.com/showthread.php?t=885308

 SmoothOpXXX
Poddub, спасибо, читаю
но ей-богу, имхо постить там еще рано
хотя бы понедельника дождаться надо, ТС разблокировали в субботу акк, посмотрим, что завтра скажет Майкл

Ziegfrid, я тоже уверена, что в разговоре с епасс ни в коем случае не надо их обвинять насчет инсайдера, лучше действительно просто сказать насчет возможности дыры в самом епассе, опереться на факт лимитов и факт переводов p2p и, если очень понадобится, привести прецедент 2007 года (с намеком на то, что тогда бабло вернули, хотя из системы оно уже ушло). Пусть разбираются сами, сейчас главное, чтобы ТС вернули деньги, а потом можно подискутировать на тему безопасности (уже на гофаке с Майклом :-)

 KriZiS
да как пить дать на епасе гдень вебшел замаскированный висит.
ведь имея доступ к базе можно делать практически все.

если уж втихоря умудряются базы с биллингов тягать на протяжении долгого времени, и причем постоянно апдейты продают свежие, то на такую сладкую контору как епас грех не взять в свои руки.
Хотя и админы вроде там должны быть грамотные но почему то такое распиздяйство присутствует.

С КГ пея тоже базу стягивали, и с капиталаколекта с его мега секурностью, что не тока базу слили а еще и сканы доков некоторых слили.

А админы тоже люди банальный человеческий фактор делает из пецальной дырочки дырень.

а в инсайд и т.п. это бред не верю. Все намного проще.
Ебут их базу просто потиху да и всех делов.

 Crow
Тож думаю так же. зачем инсайдера впутывать? группа работает, ломает.

 futrem
А какая альтернатива епасу есть на данный момент?

 limit
Goldtrix писал: первое што пришло в голову, хотябы сломать логин и пасс на холдера
Goldtrix писал: Нод настроеныж, обновлён.
Goldtrix писал: До взлома в п2п стояло 10 транзакцый в день, максималка за одну 1,500$. Деньги украдены даже не за день, а за 8 минут.

Sent $XXX.00 to lele2222 Internal Notification Jan 23, 2009 4:12 PM
Sent $X,XXX.00 to lele2222 Internal Notification Jan 23, 2009 4:11 PM
Sent $X,XXX.00 to RAULGOMEZ32 Internal Notification Jan 23, 2009 4:10 PM
Sent $X,XXX.00 to RAULGOMEZ32 Internal Notification Jan 23, 2009 4:09 PM
Sent $X,XXX.00 to michaelandrews345 Internal Notification Jan 23, 2009 4:07 PM
Sent $X,XXX.00 to TiffanySaunders5656 Internal Notification Jan 23, 2009 4:06 PM
Sent $X,XXX.00 to rebeccamanning3374 Internal Notification Jan 23, 2009 4:05 PM
Sent $X,XXX.00 to michaelmeiley Internal Notification Jan 23, 2009 4:03 PM

Hашёл ешо одну странность! !, первая транзакцыя на 5$ была сделана 16 января (16 Jan 2009 16 Jan 2009 p2p michaelmeiley $-5.00 $0.30 ), т.е. за неделю до полной бомбордировки. Почему он в тот же день на снял всё, но засветился ?

Последний раз редактировалось: limit (09/02/09 в 11:13), всего редактировалось 1 раз

 shamit
наверно хотел посмотреть как часто ты баланс смотреш

 limit
Необдуманно с ево стороны. Еслиб я заметил, деньги снял бы и доложыл бы в епас. Ему куда лучшеб было снимать всё за раз.

 Don_Korleone
А может и обдуманно. Посмотрел на сколько ты быстро реагируешь на левые транзакции, ну вернее как быстро ты заметишь. Ведь даже 5 баксов, которые ты не отправлял, ты должен был заметить, а раз быстро не заметил, то вероятность того, что ты сразу увидишь увод всех денег мала, а значит есть дополнительное время на вывод денег и заметание следов.

 Ziegfrid
limit писал:
Ну аккаунт холдера может ему совсем не интересен был. Интересны были бабки. Но не факт, что данные эти тоже не слили - меняй пароли везде.
А вот с транзакцией на 5 баксов, видимо была проба. А дальше была подготовка счетов, чтобы было куда снимать. Вот тут кстати один момент, кто-то пробовал больше лимита дневного переводить на разные счета (лимита суммы, а не количества транзакций)? Возможно и работает это. Тогда это объяснило бы почему за один день снялись деньги и почему на разные счета.

 Trafmaster
limit писал:
Это как раз говорит, что работал неподготовленный человек. И инсайдеру, и взломщику эта транзакция не нужна. Инсайдер и так может инфу получить, а взломщику палится раньше времени нет резона, так как пароли в любой момент могут сменить. Почему же тогда все-таки снял 5$?
Думаю это был неопытный взломщик, который получив пароль, не был готов и не знал точно, что с ним делать и чтобы проверить как это работает перевел 5$ для пробы. Потом еще неделю готовился - искал счета, куда безопасно перевести все деньги сразу. И когда нашел, сразу же все вывел и обналичил.

 Trafmaster
Я думаю что имеено к первому переводу владельцам epass нужно присмотреться повнимательней - на кого открыть счет, где живет. Возможно взломщик кинул пробные деньги на свой персональный epass, а потом уже начал искать безопасные счета.

 CraZ
можно вместо отдельного компа поставить виртуал машину, и юзать её чисто для транзакций, вообщем как отдельный комп, тока меньше гемора.

 Hollywood
Вы когда карту засовывает в банкомат, смотрите внимательно, так как вариант со скимерами не стоит исключать!

 Goldtrix
Hollywood писал:

слепец-молодец, ты когда пишешь ответ в топике, сначала прочитай его.

 Hollywood
Цитата:

Не переживай, я прочитал. Ну сорри, что про скимеры упомянул.

 kotbazilio
Ziegfrid писал:
так у ТС, 1500 лимит на транзакцию стоял, шо тут объяснять

 Ziegfrid
kotbazilio писал:
Ты уверен, что сумма по p2p переводам тоже 1500? Лимит на карту да, тут без вопросов. А вот лимит по переводам между акками, я не уверен что там не на одну транзакцию лимит (и ограничивается только количеством этих самых тразакций).

 SmoothOpXXX
limit, как дела, что говорит Майкл?

Последний раз редактировалось: SmoothOpXXX (10/02/09 в 02:07), всего редактировалось 1 раз

 kotbazilio
Ziegfrid писал:
limit писал:

 Ziegfrid
kotbazilio писал:
Перечитай еще раз...
Максималка за одну. В епасс дословно написано - Single Transaction Amount - берем 1500
Number of Transactions - допустим 10.
Я не уверен, поэтому и спрашиваю не могло ли быть так.

 kotbazilio
Ziegfrid писал:
ну да, Single Transaction Amount - 1500, это означает что для одной транзакции максимальная сумма 1500.
это максимальная сумма не в день, а для одной транзакции
например, если в сутки сделать 3 транзакции по максимуму суммы, то будет 1500х3=4500
или ты чтото другое имел в виду?

 Ziegfrid
kotbazilio писал:
Именно это я и имел ввиду. Если это так, то и нечему удвиляться, что за один день так много вывели. Мы с тобой об одном видимо говорили только не поняли друг друга.
Тогда все еще проще. Дыра в епасс конечно может и существуют, но скорее было так:
1. Заражен ТС (вернее комп)
2. Деньги спизжены.
3. Потерты следы заражения (хотя ТС мог их и просто не найти)
4. ТС сам переставляет винду, чем подчищает оставшееся.
Если предположение верно о 1500 за одну транзакцию (я просто не пробовал честно скажу), то можно с деньгами начинать прощаться - и сидеть надеяться на чудо. Хотя это и очень печально.