«Яндекс.Такси»: как мой аккаунт купили и что с этим сделал «Яндекс»
Всем привет!
Расскажу небольшую историю о том, как я уже три месяца катаюсь одновременно в двух городах России. И Яндекс это, конечно же, совсем не смущает.
Все началось в середине августа этого года: ночью мне позвонил таксист и спросил, когда я выйду. Я не совсем понял, куда я должен выйти, ведь такси я не заказывал. В полудреме я ответил, что такси я не вызывал. Водитель сбросил трубку, а я подумал, что случилась переадресация. Спустя пару недель звонок повторился. Скрипт тот же, однако я успел уточнить детали заказа. Выяснилось, что меня ждут в другом городе. Я, почему-то, опять забил на ситуацию и подумал, что сервера Яндекса совсем сошли с ума и переадресация идет всем подряд.
Сегодня в новостях прочитал про историю со «взломом Яндекса» и заказом более 100 такси на Кутузовский. И тут я решил свериться со своими заказами в Яндексе.
Вот, что удалось выяснить:
1. Я регулярно езжу в двух городах. Однажды был случай, когда я ехал одновременно в двух местах.
2. В чужих поездках я не могу посмотреть, какой картой они оплачены:
3. Я могу удалить любую поездку из истории. Кто еще их мог удалить – неизвестно. Поэтому, сколько их было на самом деле – я также никогда не узнаю.
Немного вводных о моем аккаунте в Яндекс.
1. Двухфакторная аутентификация
2. Одноразовые пароли
Это означает, что никто, кроме меня, не мог авторизоваться.
Но, если покопать в Гугле/Яндексе, можно найти следующее:
1. Продажа аккаунтов Яндекс.Такси – очень популярная история (реально, вбейте в поисковой строке: купить аккаунт Яндекс такси).
В основном их покупают для:
– бесплатных поездок (в долг, со скидкой, с оплатой с чужой карты)
– поездок, когда нужно не светить свой адрес (как я понимаю, таким инструментом могут пользоваться люди, которые занимаются не очень законной деятельностью)
2. Авторизоваться в Яндекс.Go проще простого: как пишут в инструкциях, нужно авторизоваться с помощью специального ПО для андроида в Яндекс.Картах и после этого зайти в Яндекс.Go – авторизация произойдет мгновенно. Я аккаунт не покупал, схему не проверял.
Конечно же, после нахождения всей информации, я позвонил в Яндекс. Меня попросили (зачем-то) предоставить данные моих банковских карт, коды транзакций, даты и время всех списаний. А еще, чтобы они быстрее разобрались с проблемой, написать им в поддержку в приложении.
И я написал:
После получаса выяснений, мне так и не смогли ответить что произошло:
По итогу, Яндекс ничего не сделал.
И... я сам нашел причину. В моем аккаунте действительно было авторизовано странное устройство. С марта 2022, как раз с тех дат, когда слили базы Яндекс.Еды.
К сожалению, я его сразу же удалил, но описание такое, что даже сам Яндекс внес это в список «непонятных устройств».
Рекомендую каждому прочитавшему проделать следующий скрипт, чтобы проверить безопасность своего аккаунта:
1. Проверьте истории заказов и покупок. Яндекс.Еда, Лавка, Маркет и конечно же, Такси. Еще можно проверить Драйв.
2. Зайдите в список авторизованных устройств. Его можно посмотреть только с десктопа в Яндекс.Паспорте. Любые сомнительные устройства – смело удаляйте. А еще лучше нажать кнопку «Выйти на всех устройствах».
3. Поставьте двухфакторку и отвяжите все запасные и очень запасные номера телефонов и почты. Через них легко восстановить доступ.
4. Не храните карты, документы и вообще ничего личного в Яндексе))) Оплата в такси – по карте, на которой обычно мало денег, а каждый возникший «долг» внимательно проверяйте.
Что делать бесполезно:
– писать в поддержку Яндекса в приложении
– смотреть историю входов в аккаунт (устройства появились, а входы – нет, это как?)
– вообще пользоваться Яндексом!
Кто пользовался моим аккаунтом и зачем – неизвестно. Интересно также то, что Яндекс с этим ничего (опять) не делает.
Ага, типичный яндекс. Чтобы зарегать аккаунт привяжите номер телефона, дополнительный имейл, банковскую карту, двухфакторную авторизацию и отпечаток жопы.
А потом какието левые кеки ходят в этот акк как себе домой. Зато если сам например доступ к номеру телефона потеряешь, ничего не восстановишь, даже отпечаток жопы не поможет.
Весело про жопу))
Комментарий удален модератором
Жопа с Яндекс.ID. Я много лет апп не обновлял — все чики-пики было. А сейчас переехал на новый тел и при первом вызове такси Я.Go меня залогинил абсолютно по всех приложения Я, хотя например, Едой я никогда не пользовался и акка у меня там не было. А т.к. акк создался с Я.Go, то теперь мой логин во все приложения Я, та-дам, номер моего телефона.
Комментарий удален модератором
Вспомнил, что недавно увидел поездки из родного города, хотя не помню, что давал кому-то доступ в аккаунт, да и адреса были адекватные.
Благодаря автору проверил заказы и нашёл 2 свежих, ну точно не моих, заказов. Залез в настройки безопасности и нашёл то самое "неопознанное устройство".
Статью в топ!
Проанализировал лишние заказы и понял, что это заказы моего отца, по совместительству, бывшего владельца моего устройства. Аккаунт на телефоне мой, у него свой, но его заказы сыпятся всё равно мне. Почистил кэш и данные приложения, теперь лишние заказы не отображаются, похоже, это баг с авторизацией.
Сервис Яндекс.Взгляд смотрел, возможно, как раз в тот период, но ничего более сказать не могу
Да! У меня было точно такое же устройство! Спасибо за комментарий!
Нормальные карты я бы точно к Яндексу привязывать не стал, лучше всего выпускать какую-нибудь одноразовую виртальную киви и класть на нее 500р, иначе в случае чего вы останетесь и бещ денег и без карты, а поддержка скажет что вы сами виноваты и деньги вам не веренем. Это Яндекс, детка
Думаю, этот совет полезен для любых онлайн сервисов :)
вариант еще проще - у них яндекс пэй появился - пополняешь по сбп и даже карту привязывать не надо. да и еще кэшбэк 3% дадут) очень "вовремя" они
Сейчас можно просто счет внутренний пополнять и все с него списывать
5. Перестаньте пользоваться Яндексом.
На каждый сервис есть замена.
Комментарий удален модератором
И конечно, безупречная.
С учётом отваливания зарубежных сервисов вроде Netflix и Spotify, а также покупкой Delivery Club, адекватная замена есть далеко не на каждый сервис.
этот пункт должен быть на первом месте)
Кстати дельный совет
А я сам не пользуюсь, Но вот внизу на скамеечке у парадной сосед рассказывал, что ему как-то нужно было воспользоваться сервисом такси, Так он решил зарегистрироваться с помощью бесплатных сервисов по отправке SMS. и вот он нашёл телефон, вбил его, дождался подтверждающей SMS и ... зашёл в аккаунт. Каково же было его удивление, когда он обнаружил там несколько поездок да ещё и в разных городах.
Но это всё-таки сервис бесплатных телефонов и SMS, А в Вашем случае - двухфакторка. вот тут вопрос...
В моем городе есть блинная, это не сеть, просто 4 ларька, так вот у них есть приложение в котором нельзя авторизоваться через виртуальные номера, просто не заработает. А яндекс, гигантская компания не может решит эту задачу.
Если честно, совсем не понял о чем ваш комментарий) Какие бесплатные телефоны и SMS и чужие поездки?)
Привет!
Я из Яндекс Такси, мы проверили информацю по вашему вопросу, ваш аккаунт был использован другим человеком для удобства, здесь нет ничего плохого, дело в том что аккаунтов стало слишком много и мы подключили функцию шеаринга, чтобы тратилось меньше энергии и экология планеты восстанавливалась, спасибо вам и всего вам доброго.
Просьба не писать посты по темам в которых вы не разбираетесь.
Иван, Вы понимаете, что автор заблуждается? Расскажите…
просьба удалить интернет в котором вы не разбираетесь
просьба не писать комментарии в которых вы не разбираетесь
Хорошо, Иван Анонимов. Пойду выброшу свой диплом программиста, ведь я не мог писать диплом на тему, в которой не разбираюсь
Нагибай их с помощью юристов. На посты в интернетиках им давно похуй.
Комментарий недоступен
У них можно купить и аккаунт каршеринга.
А в кабинете директа неоднократно обнаруживал новых менеджеров на моем аккаунте, хотя я их не приглашал, да и они не представлялись. Их ещё потом удалить очень трудно, долго и нудно.
Спасибо за подсказку. Примерно год назад через утекший логин/пароль от неиспользуемого почтового ящика на ЯМ сперли примерно 3 т.р. через яндекс.еду, хотя я на этом сервисе не регистрировался. Был аккаунт на такси. Просто они автоматом расшаривают карты привязанные к одному сервису на все остальные. Тогда же поменял пароль и включил двухфакторку. А сейчас проверил яндекс.паспорт и нашел привязанные 3 телефона оператора из Казахстана. Удалил.
Уровень яндекса падет стремительно и ежедневно, что уже нет сил.
А монополизация заставляет пользоваться услугами *овно-качества.
Слава Богу есть замена в виде кристально чистого сервиса у Самоката, Деливери (с адскими багами в прилоге, но адекватной поддержкой), НЕ 2гис (спасибо, что Якарты держат уровень), но вот с такси после ухода Ситимобиль стало все плохо.
Яндекс в такси на радостях задрал цены до уровня минибоингов, посадив управлять ими в экономе как минимум каскадеров-любителей. Боязно за жизнь, я уже не говорю про деньги и гордость.
Т.е. эконом как сегмент такси просто вымер, его можно сравнить разве что с хоррор-квеструмами (тут подешевле выходит, зато впечатления менее позитивные). Смысл писать "комфорт", если комфорт это ПРОСТО ТАКСИ. А Эконом это "я запрыгиваю в маршрутку на ходу без денег и меня размазывают по туннелю"
Я могу загибать пальцы всей семьи, когда меня в такси: облили, обматерили, высадили на обочине, отказались при мне и развернулись.
Вам может показаться, что я хамовая грубиянка с внешним видом лесорубки, но нет. Это уровень "эконом" в России, такие дела.
Вывод: индрайвер с рандомными частниками стал выглядеть намного безопаснее "Энконома в великом Яндексе".
У них вообще дичь с авторизацией, но благо у меня в другую сторону) прикупил новый телефон в Европе, симку оставил в России, и не мог авторизоваться в Яндекс Музыке со своим паролем, просит смс и все на этом, двухфакторку не подключал. В итоге привязал соц. сеть через мак без кода, на телефоне без проблем во всех приложениях Яндекса авторизовался без смс через вк :) прикол в том, что на другом телефоне при входе через вк снова просил код, привязал гугл и зашёл через него без кода 🤣
Вот с этого места подробнее, что значит "привязал гугл"?
Вот поэтому я и не доверяю двухфакторке с смс-сообщениями. Очень ненадёжно: нет или не работает связь и вы в пролёте. Плюс были уже истории со перехватывающими смс спецслужбами, это очень ненадёжный канал, там данные проходят практически в открытом виде. Мошенники не освоили перехват наверное только потому, что хватает жертв и без таких заморочек. А если вы не пользовались номером полгода (уехали, попали в больницу, потеряли, мало ли что может случиться), то номер уйдёт другому человеку. С большой вероятностью он сможет войти в ваш аккаунт (угадайте, как восстанавливается пароль?), и в любом случае у вас будет куча головной боли.
У меня была история в Москве в 2018 году, я привязал новую карту к Яндекс такси и через час у меня списали около 400 рублей, в информации о платеже было Яндекс такси Казахстан, естественно я сразу позвонил в банк и сотрудники мне заблокировали карту, деньги потом вернули. Теперь понятно, как такие вещи происходят)
Жесть
Явно в одном месте и если это одно место взломать то ты потеряешь все пароли. Кстати года 3-4 назад наткнулся на крупный слив паролей Яндекса, нашел там и свою учётку и свой пароль. пароли у меня на всех сайтах разные ) помойка Яндекс сливает и не парится
-
яндекс : *привяжите карту к аккаунту такси*
я : * яндекс иди нах*
Не понимаю зачем привязывать аккаунт к яндекс такси, у меня только телефон привязан