Руслан Пустовойтов
Беспредел лечится только публичностью, ч.т.д.
Это малореально, а вот публичность с доказательной базой это очень болезненный инструмент. Тиньков так обжегся со своей СБ, у которой тоже был карт бланш, что сидит сейчас в сторонке и поскуливает, но уже без денег и заново пытается заработать репутацию.
Ну и объективно, учитывая кол-во клиентов сбера пока ситуация не критическая)
Вы не учитываете простой факт - руководителю не нужен скандал, потому что он работает не за зарплату, а за премию и она существенно отличается от премии рядового сотрудника. Поэтому если вы сядите на стул и вызовите, его ответсвенность резко возрастает.
Бардак, конечно, знатный. А если вызвать полицию и сидеть пока не выдадут деньги ? Почему-то у меня теплится надежда, что руководитель офиса, постарается замять скандал и приложит усилия, чтобы разрулить ситуацию с безопасниками.
Фух, а то я уж напрягся)
А так да, хотели заработать с двух сторон, и с вас и с агенств. Но не получилось, браузеры стали по умолчанию лезть вначале на 443. В самих операторах это делалось тихо, понимают, что можно сломать страницы легко и жалобы уже были.
Этим сейчас все операторы балуются. Просто у мегафона видимо более правильно выстроены бизнес процессы и внедрение прошло быстрее, чем у других монстров. По идее, такие добавки возможны только в http, или у вас в https тоже ?
Добейтесь от мегафона скриншота заявки, который они отправляют в теле2 и посмотрите нет ли там ошибки. Был на vc недавно случай похожий - ошибка формальная была, в незначимых данных и из-за нее отклоняли. Это делается специально.
Это уже кое что, но все равно мало. Вот у Тинька как пошла волна по 115-му, по-моему половина клиентов вывела деньги и оставила номинальные счета на поиграться и годовой отчет это очень хорошо показал. А тут как-то вяло. Так не научить мастодонта шевелиться и не заниматься играми в постоплату.
Странно, что никто особо не накидывает, создается впечатление, что топикстартеру просто не повезло и вцелом все нормально.
Ну так проведите эксперимент, еще раз через мтс, какой-нибудь подобный магазин, с которым у маркетологов из флоктори заключен контракт на рекламу, перебирайте несколько магазинов, чтобы точно получить письмо. Потом смените провайдера и повторите процедуру.
А в целом, снифом трафика и вставкой рекламы в прямо в страницу занимаются сейчас все из большой 4-ки. Вам осталось только разобратьс, кто же цепляет почту.
А кто у вас провайдер интернета был в момент ввода поиского запроса ?
Упростим ситуацию, человек работает в России на съемном жилье. Работодатель обязан или вручить повестку или составить отказ. Отказ возможен без подписи сотрудника ? Неужели МО не заставит работодателей воздействовать на работника угрозой ?
Может кто объяснить, вот допустим сижу я в казахстане, работаю на российскую компанию, по месту регистрации в России приносят повестку, меня там нет, отправляют ее работодателю, который должен уведомить меня, и, по идее, отстранить от работы, разве нет ? Или здесь надежда на то, что военкомат не знает где человек работает ? Но это же не серьезно. Про отсрочки тоже не будем.
При чем здесь мир, ведь курс на дату обработки не отличается на 30% от курса на дату авторизации. На лицо обман со стороны банка.
Походу выводить нужно все, пока еще можно
Но это именно то место, которое всякий банк охраняет особенно щепетильно и персонал, обслуживающий этот шлюз имеет зарплату не 50к, вы же понимаете, что нормальный инженер не полезет в это мараться.
Может быть у вас есть своя версия ?
Пуш сообщение перехватывается на пути от сервера к клиенту. Никакой дыры или вины клиента в этом нет. Просто много подкованных людей устремилось в эту область и пока не будет оставлена без денег критическая масса клиентов, банк не пошевелится об усложнении процесса привязки нового устройства.
Автор, а расшифровку приведенных банком служебных сообщений вы получили ? Что это, если авторизация покупок, то это не интересно, вам нужен момент привязки чего-то там к вашей карте.
Вы упоминали, что перед взломом вам позвонили, вы взяли трубку, видимо это - снятие трубки и является неким моментом, когда злоумышленники получили некий идентификатор вашего обмена с серверами банка. Иначе нет смысла привлекать к себе внимание. А далее вы сказали, что был вал сообщений, это вы ведь про push сообщения говорили ? Возможно, что здесь уже расчет был на пропуск вами одного важного уведомления о привязке. Вот этот мешок пуш сообщений и надо запросить у банка, т.к. по странному стечению обстоятельств, они не сохраняются на устройстве пользователя, видимо, чтобы ему никогда не докопаться до истины в таких вот случаях. Это еще не дыра в безопасности, но как минимум козырь в руках банка, пользователь ничего не сможет доказать не имея этих сообщений. И поискать в этом мусоре важное сообщение о привязке.
После вашего пересказа произошедшего я долго думал, как это технически может происходить и пришел к выводу, что звонок играет ключевую роль в этом процессе. Т.к. и звонки и пуш сообщения идут у оператора в виде пакетов данных. Получив идентификатор из звонка, далее, на основе фильтра из этого идентификатора, перехватывается пуш сообщение с кодом привязки. Естественно для этого нужен физический доступ к трафику вашего звонка и пуш сообщения. Но изюминка в том, что доступ нужен на границе сети, там, где сотовый оператор уже почти ничего не защищает, т.е. доступ может бвть у широкого круга лиц. Плюс сейчас весь трафик активно прослушивается госорганами и их всевозможными субподрядчиками, т.к. сами госорганы только бумажную работу проводят, ничего не стоит перехватить ваш трафик на таких точках.
Олегу еще нужно правильно вопрос задать, я, например, не знал, что это сверхлимит, начал общение с понятия максимальный лимит. Операторы не заинтересованы выключать сверхлимит, поэтому первые минут десять включают дурака и рассказывают про одобренный лимит, и только потом, а ну да, есть такой сверхлимит, но вы его нигде не видите, верьте нам и расслабтесь. Долгие вопросы как же так, самое важное свойство карты после ставки и не видно, а вот так, верьте нам еще на час моих вариаций на тему напишите мне официальный ответ, что этот лимит не будет активирован без моей ПЭП, послали лесом. Такой банчок.
Где-то два часа заняло общение в чате, пока удалось заставить оператора рассказать про этот сверхлимит, выключить его, понять, что он нигде не отображается и может быть включен снова по воле банка без подписи через код из смс.С другой стороны, светить зарплатный банк и основную карту в современном мире не нужно, как и устанавливать мобильное приложение, чтобы потом вместо смс пуши приходили, а банк развел руками. Поэтому Тинькоф просто выполняет свою ограниченную функцию - ежедневные бытовые расчеты, с нею он справляется. Если за это пришлось немного заплатить один раз, это терпимо.
Алексей а можете скриншоты какие-нибудь предоставить ? Ртк пошел по пути билайнов с мтсами десятилетней давности ?