Перейти к содержанию

RoboForex

slicker18

Автор slicker18,
в Форекс Брокеры

 Поделиться

Рекомендуемые сообщения

andy.lugansk

andy.lugansk

Опубликовано
RoboForex Опубликовано


По сабжу, попробовал зайти в ЛК с ВПС, ввел свой пароль, но меня не пустило, потребовало смс с привязанного тел. и дату рождения.


Провел и себе такой эксперимент.
потребовало 4 последние цифры номера телефона и дату рождения, БЕЗ смсок... Раньше в ЛК с этого ВПС (т.е. по-факту с этой зоны айпи-адресов, ВПС или личный ноут им явно пофик) никогда не ходил, но терминал конектился.

Но я так понимаю - этот опционал включается при заходе в ЛК минимум с айпи другой страны, т.к. при заходах в ЛК с явно разных провайдеров/регионов НО в пределах одной страны - таких запросов никогда не видел.
______________________
Пошел дальше. Предположим, первоначально у злоумышленника только доступ к почте и знание что вы торгуете на робофоре.
Смена пароля - введите мыло и капчу.
На почте ссылка на восстановление доступа.
Ввод нового пароля дважды - сменен.
Телефон не понадобился.
А на вывод у меня всегда требовало ввести цифры с письма которое падало на почту по запросу на снятие - и все.

Итого - доступ к почте - вполне достаточно для обнуления счета.
(в этом примере - смсверификации на вход и сообщения о входе не были включены в ЛК) Изменено пользователем andy.lugansk
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 3,1k
  • Создано
  • Последний ответ

Популярные авторы

Popular Days

Популярные авторы

Популярные посты

pavlus777

1) Подождать, пока брокер перенастроит все системы под санкции. Недельку наверное...  2) Купить криптовалюты через p2p Binance (в понедельник будет видео на сайте) и пополнить криптой. 

Перейти
pavlus777

Инструкция по Binance P2P https://tlap.com/binance-p2p/

Перейти
hvn000

Я бы вам посоветовал не включать компьютер вообще.

Перейти
contur

contur

Опубликовано
RoboForex Опубликовано


Пошел дальше. Предположим, первоначально у злоумышленника только доступ к почте и знание что вы торгуете на робофоре.
Смена пароля - введите мыло и капчу.
На почте ссылка на восстановление доступа.
Ввод нового пароля дважды - сменен.
Телефон не понадобился.
А на вывод у меня всегда требовало ввести цифры с письма которое падало на почту по запросу на снятие - и все.

Итого - доступ к почте - вполне достаточно для обнуления счета.
(в этом примере - смсверификации на вход и сообщения о входе не были включены в ЛК)


Как вариант. Но тут именно надо знать, что я работаю на Робо и т.д., это надо рыть почту. Узнавать.

В моём случае, как говорил, никто ничего не запрашивал на замену. Просто взяли, и вошли. Легко и непринуждённо, имея логин(мыло) и пароль.
Ссылка на сообщение
Поделиться на другие сайты
sent226

sent226

Опубликовано
RoboForex Опубликовано



Пошел дальше. Предположим, первоначально у злоумышленника только доступ к почте и знание что вы торгуете на робофоре.
Смена пароля - введите мыло и капчу.
На почте ссылка на восстановление доступа.
Ввод нового пароля дважды - сменен.
Телефон не понадобился.
А на вывод у меня всегда требовало ввести цифры с письма которое падало на почту по запросу на снятие - и все.

Итого - доступ к почте - вполне достаточно для обнуления счета.
(в этом примере - смсверификации на вход и сообщения о входе не были включены в ЛК)


Как вариант. Но тут именно надо знать, что я работаю на Робо и т.д., это надо рыть почту. Узнавать.

В моём случае, как говорил, никто ничего не запрашивал на замену. Просто взяли, и вошли. Легко и непринуждённо, имея логин(мыло) и пароль.

но все равно номер телефона то сменили?
как без подтверждения на твой номер?
Ссылка на сообщение
Поделиться на другие сайты
contur

contur

Опубликовано
RoboForex Опубликовано



но все равно номер телефона то сменили?
как без подтверждения на твой номер?


Да вот как то так. ХЗ. :-/
Значит кто-то (не буду показывать пальцами) так может.
Добавлено: 09-09-2016 11:39:00

Что то спецы от Робо не спешат с опровержением. Изменено пользователем contur
Ссылка на сообщение
Поделиться на другие сайты
HardTrader

HardTrader

Опубликовано
RoboForex Опубликовано

Совсем запутался.. Допустим утащили у тебя данные для входа с почты, но телефон то как сменить смогли, писали в тех.поддержку или звонили от твоего имени? Нужно значит какую-то дополнительную систему проверки привязать к телефону, если это один из самых важных инструментов для того что-бы вывести деньги со своего счета.. Какое-то, может быть, кодовое слово-вопрос, которое нигде не пишется и не фигурирует, которое может знать, исключительно владелец счета. Хочешь что-то поменять, а тебе, "введите кодовое слово" которое невозможно генерировать или утащить с почты или еще откуда... Стало немного страшно за сохранность своих средств, почистил почту и сменил пароли, от греха по дальше, суммы кратно выше.. На сотрудников не грешу, это скорей единичный случай, компания не стала бы рисковать репутацией ради 160долларов, это смешно.. Ждем ответа от Робо, как, точно, не попасть в такую ситуацию и что конкретно с этой делать, кто виноват.. Лично у меня никогда, никаких проблем с данным ДЦ не было.

  • Лайк 2
Ссылка на сообщение
Поделиться на другие сайты
Manager RF

Manager RF

Опубликовано
RoboForex Опубликовано

Уважаемый contur.
Сотрудники компании имеют чёткие инструкции, обязательные к исполнению в подобных случаях. Все их действия, включая переписку в чате и телефонные звонки, фиксируются, чтобы при необходимости можно было осуществить проверку корректности их выполнения. Данная мера предотвращает любое несанкционированное поведение сотрудников. Мы детально изучили возникшую ситуацию, проверив все имеющиеся данные, и не нашли в действиях работников компании каких-либо нарушений. Процедура смены вашего телефонного номера была проведена корректно и включала в себя следующие шаги по идентификации владельца аккаунта:
1. Наличие доступа к электронной почте, зарегистрированной в системе - Подтверждено.
2. Наличие доступа к Личному кабинету на официальном сайте - Подтверждено.
3. Получение дополнительного документа в виде новой фотографии паспорта - Подтверждено (документы полностью идентичны, подлинность фотографии подтверждается другим ракурсом её съёмки, отличающимся от фото, присланного вами при прохождении верификации).
4. Информация о личных данных, предоставленная клиентом во время телефонного разговора - Подтверждено.

Насколько можно убедиться, требуемый для смены телефонного номера объём персональных сведений даёт возможность осуществить эту процедуру только человеку, досконально с ними знакомому. Именно по этой причине мы всегда рекомендуем нашим клиентам уделять особое внимание хранению личной информации и документов, чтобы исключить доступ к ним посторонних лиц. Несмотря на отсутствие ошибок с нашей стороны при смене реквизитов вашей учётной записи, компания намерена провести детальную ревизию используемых механизмов идентификации клиентов с целью исключения подобных происшествий в будущем.

  • Лайк 3
Ссылка на сообщение
Поделиться на другие сайты
otten

otten

Опубликовано
RoboForex Опубликовано

То есть по вашему выходит, что может быть так - злоумышленник завладел почтой, потом вошел в ЛК, сменил телефон предъявив копию паспорта, и потом вывел средства?
Ревизию механизмов начните с идентификации по одноразовым смс, которые не работают уже неделю.

Добавлено: 09-09-2016 18:30:13

В случае, если именно на почте были дополнительные копии паспорта, то наверное и такое возможно.
В этом случае помимо смены всех паролей, я бы сменил еще и сам паспорт. Изменено пользователем otten
  • Лайк 2
Ссылка на сообщение
Поделиться на другие сайты
Synthvova

Synthvova

Опубликовано
RoboForex Опубликовано


Несмотря на отсутствие ошибок с нашей стороны при смене реквизитов вашей учётной записи, компания намерена провести детальную ревизию используемых механизмов идентификации клиентов с целью исключения подобных происшествий в будущем.



Два с лишним года назад, также в спешном порядке пришлось менять тел.номер. Старый корпоративный номер был оформлен на одну контору, которая схлопнулась, со всеми вытекающими.

Сменив экстренно номер, без возможности пользоваться старым, испытал некоторые неудобства, но только не с РобоФорекс. Я очень легко и непринужденно черес поддержку верифицировал новый номер.

С другими ДЦ обстояло все сложнее.
Например Альпари потребовали копию нотариального заявления на смену тел. номера, закрепленного за личным кабинетом. В других конторах пришлось лично посетить офисы ДЦ, и там уже по заявлению менять тел.номер.

Берите опыт старших братьев, если хоть чуть-чуть дорога репутация!
  • Лайк 6
Ссылка на сообщение
Поделиться на другие сайты
kinokuroman

kinokuroman

Опубликовано
RoboForex Опубликовано
Спойлер


Доброго дня всем!
Не так давно при работе с Робо сложилась у меня одна любопытная и неприятная ситуация. Опишу всё как было, плюс свои мысли по этому поводу.
Утро 5-го сентября не предвещало ничего дурного. Открыл терминал с целью посмотреть, как открылся рынок в понедельник и нет ли гэпов. Плюс там ещё с прошлой недели пара позиций висит открытых. Как они поживают. Посмотрел – всё нормально, без происшествий. Закрыл.
Блтже к вечеру снова открываю терминал и вижу, что соединения с сервером нет и подпись "неверный счёт". Уже интересно! Пробую вручную перелогинится, номер счёта, пароль … - результат тот же. "неверный счёт". Что за нештатка? Надо, думаю, постучатся в чат к суппорту Робо, должны прояснить ситуацию.
Открываю сайт Робо и делаю вход в ЛК. Результат – "неверный логин или пароль". Может поторопился и с паролем накосячил? Ввожу заново, медленно и вдумчиво. Результат вообще порадовал – "пользователь с таким мылом не зарегистрирован в системе". Ещё интересней.
Далее звоню в суппорт Робо и описываю ситуацию. После стандартных вопросов "скажите мыло и номер счёта Дата рождения, как зовут?" меня вкрадчиво так спрашивают: "Всё сходится. А вы случайно вывод средств не заявляли?". Вот тут у меня очко и сжалось. Нет, говорю, не заявлял. Печально, отвечают, значит это сделал кто-то другой. Тот, кто грохнул учётку и вошёл в неё.
Далее посоветовали мне написать на мыло подробное эссе на эту тему. Написал. Ответа не было 9 (часов). Всё это время мне отписывались в чате, что "моим вопросом занимаются и пока не готовы что-либо сказать".
Итог писем и телефонных звонков (со слов специалистов компании). Вход в ЛК был совершён в ХХ:ХХ по Москве лицом, которое имело на руках полностью мыло и пароль. (То есть, подчёркиваю, взлома, как такового, не было. Никто ничего не ломал и не подбирал. Вход был совершён сразу, с первой попытки.) Ещё, как вариант версии, была грохнута моя почта. Откуда потом и было вытащено всё необходимое для входа в ЛК.
Далее, сразу после входа, в данных резко меняются пароли, телефон, мыло и платёжные реквизиты (на Киви). После этого незамедлительно делается заявка на вывод средств со счёта (всё, до последней американской копейки). Заявка проверятся (со слов специалистов), попытка связаться со мной (по уже изменённому номеру), проверка документов. Всё сходится. Заявка выполнена в течении 70 минут. После чего пользователь, естественно, сливается в туман.
Мои претензии они удовлетворить не могут. Так как, цитирую, "пользователь несёт полную ответственность за сохранность конфиденциальной информации и паролей в том числе". То, что третьи лица увидели мои ключи от входа в ЛК, компания Робо не причём. А уже авторизованный в ЛК, само собой, вправе делать там, что душе угодно.
На мой вопрос, а не смутили ли их (специалистов) все эти резкие движения по замене всего и вся (в том числе вывод денег на Киви, когда я пополнялся и выводил только и исключительно на карту банка) и последующий за ним быстрый вывод? Специалисты Робофорекс меня уверили что нет, не смутили. Мало ли какие у человека бывают жизненные обстоятельства. Ну поменял, ну вывел, ну и что тут такого криминального?
Мы, говорят, пробовали с Вами связаться для подтверждения. Вы не брали трубку. Ага, говорю, потому что номер телефона был уже изменён. И как, интересно, выпустили деньги на другую платёжную систему без подтверждения?
Короче, мне посочувствовали, но ничем помочь не могут. Се ля ви.

Что я думаю по этому поводу:
- паролей и ключей я на машине не храню. Записаны отдельным файлом на флэшке. Большинство я помню и держу в голове. На случай амнезии пароли записаны шариковой ручкой в блокноте.
- в браузере пароли не запоминаю
- шариться у меня в столе и блокнот дома листать, кроме меня, некому.
- я никому данных не говорил и не писал.
Первая мысль, что я сам где-то прокололся и притащил к себе на машину какую то заразу, типа Кейлогера, для считывания набранных символов. Чем потом и воспользовались злоумышленники. Маловероятно. Потому как именно на сайт Робофорекс я под паролями заходил архидавно, в начале лета. Не было надобности. Терминал есть, счёт работает – что ещё надо?
Да и потом Каспер-лицензия и фаерволл хоть и не панацея, но всё же снижают вероятность инфицирования.

А потом побеседовал с одним грамотным в сфере компьютерной безопасности товарищем, сложил в голове два плюс два и склонен подумать, что дело ту не обошлось без участия самих специалистов компании Робофорекс. И вот почему я так думаю.
Напомню, что мой ЛК никто, в буквальном смысле, не взламывал. Никто не перебирал пароли с разных ай-пи через прокси, никто не запрашивал новый пароль вместо якобы забытого. Нет. В него просто вошли, как к себе домой. С первого раза.
Где то их увидеть в почте или в ином месте невозможно. Пароль я давно поменял ещё при регистрации. На мыло пароль не приходит, есть только ссылка на смену пароля на сайте Робо.
Даже если взломать моё мыло, это надо знать, что я занимаюсь форекс, что я зарегистрирован у брокера и именно на Робофорекс. То есть это надо рыть почту, читать.
На сайте компании, как и у всех, есть данные для скачивания программ для установки терминалов. Я скачивал программу с сайта Робофорекс. А что мешает умелому и знающему человеку добавить к экзешнику крохотный кусочек исполняемого кода? Да ничего. В итоге хозяин кода видит мой терминал, в котором есть моё мыло, мой счёт и пароль от счёта.
Не стоит говорить, что владельцы сайта имеют полный доступ к администрированию и исходному коду своей системы. Они в буквальном смысле цари и боги на сайте. Они могут всё и знают всё. Расхожая шутка, что брокер видит ордера трейдеров и кто куда стоит – шутка только на половину. И данные о пользователях не являются каким-то большим секретом именно для них. При определённой сноровке нарыть данные от ЛК вряд ли непосильная задача для умелого айтишника компании Робофорекс. Было бы желание.

Посудите сами. Слишком всё чётко, быстро и слаженно происходило. Я б сам так не смог. Но я могу дать голову на отсечение, что я на сайт в ЛК не входил с июня месяца. И никто не мог. По причинам изложенным выше. Пароль я запоминаю, в браузере не храню.
При том уровне проверки, какой установлен в компании, с меня только что справку от психиатра не спрашивали. А тут ровно выводят деньги на Киви без подтверждения по телефону. Киви-кошелька у меня отродясь не было. Только карта, данные которой я загружал на сайт вместе с документами. Вывод средств на платёжную систему, отличную от той, с которой пополнялся депозит – это как минимум должно вызвать подозрения. А вкупе с тотально поменянными данными – у службы безопасности должны возникнуть много вопросов. И звонить мне, звонить.
Ничего этого не было. Если карта банка ещё сверяется с паспортными данными, то на Киви такой ерунды нет. Там тупо привязка к номеру телефона. Который уже изменён на нужный. А на кого зарегистрирован номер телефона? А леший его знает. Сходится – и ладно.

Краткое резюме. С моей точки зрения очень велика вероятность того, что во всей этой истории учувствовал не чистый на руку специалист компании Робофорекс. Вот и всё.

Счёт у меня обнулён. Работать нечем. Дальнейшее сотрудничество с компанией Робофорекс вижу бессмысленным.



Именно поэтому всегда советую и делаю так - все операции с регами мыла, аккаунтов для финансов проводить с выделенной только для этих целей системы на линуксе(можно просто лайв сиди грузить), везде ставить 20 значный пароль и включать на мыле(гугловской) привязку к телефону. Мыло регать для каждого нового аккаунта у брокера свое и использовать его только для этого аккаунта. Все пароли записать на бумажки. Никаких электронных менеджеров паролей. И телефон завести отдельный кнопочный для привязки его к аккаунтам. Вот тогда будет максимальная защита и можно спать спокойно.

А вообще странно что у робо нет подтверждения по смс кодам на смену телефона, вывод средств. Если бы это было, то даже заполучив доступ к почте и ЛК у воришек бы не получилось вывести деньги. Так что подумайте хорошо, стоит ли доверять деньги ДЦ, который не может элементарную безопасность обеспечить.
Изменено пользователем kinokuroman
  • Лайк 2
Ссылка на сообщение
Поделиться на другие сайты
otten

otten

Опубликовано
RoboForex Опубликовано


Спойлер


Доброго дня всем!
Не так давно при работе с Робо сложилась у меня одна любопытная и неприятная ситуация. Опишу всё как было, плюс свои мысли по этому поводу.
Утро 5-го сентября не предвещало ничего дурного. Открыл терминал с целью посмотреть, как открылся рынок в понедельник и нет ли гэпов. Плюс там ещё с прошлой недели пара позиций висит открытых. Как они поживают. Посмотрел – всё нормально, без происшествий. Закрыл.
Блтже к вечеру снова открываю терминал и вижу, что соединения с сервером нет и подпись "неверный счёт". Уже интересно! Пробую вручную перелогинится, номер счёта, пароль … - результат тот же. "неверный счёт". Что за нештатка? Надо, думаю, постучатся в чат к суппорту Робо, должны прояснить ситуацию.
Открываю сайт Робо и делаю вход в ЛК. Результат – "неверный логин или пароль". Может поторопился и с паролем накосячил? Ввожу заново, медленно и вдумчиво. Результат вообще порадовал – "пользователь с таким мылом не зарегистрирован в системе". Ещё интересней.
Далее звоню в суппорт Робо и описываю ситуацию. После стандартных вопросов "скажите мыло и номер счёта Дата рождения, как зовут?" меня вкрадчиво так спрашивают: "Всё сходится. А вы случайно вывод средств не заявляли?". Вот тут у меня очко и сжалось. Нет, говорю, не заявлял. Печально, отвечают, значит это сделал кто-то другой. Тот, кто грохнул учётку и вошёл в неё.
Далее посоветовали мне написать на мыло подробное эссе на эту тему. Написал. Ответа не было 9 (часов). Всё это время мне отписывались в чате, что "моим вопросом занимаются и пока не готовы что-либо сказать".
Итог писем и телефонных звонков (со слов специалистов компании). Вход в ЛК был совершён в ХХ:ХХ по Москве лицом, которое имело на руках полностью мыло и пароль. (То есть, подчёркиваю, взлома, как такового, не было. Никто ничего не ломал и не подбирал. Вход был совершён сразу, с первой попытки.) Ещё, как вариант версии, была грохнута моя почта. Откуда потом и было вытащено всё необходимое для входа в ЛК.
Далее, сразу после входа, в данных резко меняются пароли, телефон, мыло и платёжные реквизиты (на Киви). После этого незамедлительно делается заявка на вывод средств со счёта (всё, до последней американской копейки). Заявка проверятся (со слов специалистов), попытка связаться со мной (по уже изменённому номеру), проверка документов. Всё сходится. Заявка выполнена в течении 70 минут. После чего пользователь, естественно, сливается в туман.
Мои претензии они удовлетворить не могут. Так как, цитирую, "пользователь несёт полную ответственность за сохранность конфиденциальной информации и паролей в том числе". То, что третьи лица увидели мои ключи от входа в ЛК, компания Робо не причём. А уже авторизованный в ЛК, само собой, вправе делать там, что душе угодно.
На мой вопрос, а не смутили ли их (специалистов) все эти резкие движения по замене всего и вся (в том числе вывод денег на Киви, когда я пополнялся и выводил только и исключительно на карту банка) и последующий за ним быстрый вывод? Специалисты Робофорекс меня уверили что нет, не смутили. Мало ли какие у человека бывают жизненные обстоятельства. Ну поменял, ну вывел, ну и что тут такого криминального?
Мы, говорят, пробовали с Вами связаться для подтверждения. Вы не брали трубку. Ага, говорю, потому что номер телефона был уже изменён. И как, интересно, выпустили деньги на другую платёжную систему без подтверждения?
Короче, мне посочувствовали, но ничем помочь не могут. Се ля ви.

Что я думаю по этому поводу:
- паролей и ключей я на машине не храню. Записаны отдельным файлом на флэшке. Большинство я помню и держу в голове. На случай амнезии пароли записаны шариковой ручкой в блокноте.
- в браузере пароли не запоминаю
- шариться у меня в столе и блокнот дома листать, кроме меня, некому.
- я никому данных не говорил и не писал.
Первая мысль, что я сам где-то прокололся и притащил к себе на машину какую то заразу, типа Кейлогера, для считывания набранных символов. Чем потом и воспользовались злоумышленники. Маловероятно. Потому как именно на сайт Робофорекс я под паролями заходил архидавно, в начале лета. Не было надобности. Терминал есть, счёт работает – что ещё надо?
Да и потом Каспер-лицензия и фаерволл хоть и не панацея, но всё же снижают вероятность инфицирования.

А потом побеседовал с одним грамотным в сфере компьютерной безопасности товарищем, сложил в голове два плюс два и склонен подумать, что дело ту не обошлось без участия самих специалистов компании Робофорекс. И вот почему я так думаю.
Напомню, что мой ЛК никто, в буквальном смысле, не взламывал. Никто не перебирал пароли с разных ай-пи через прокси, никто не запрашивал новый пароль вместо якобы забытого. Нет. В него просто вошли, как к себе домой. С первого раза.
Где то их увидеть в почте или в ином месте невозможно. Пароль я давно поменял ещё при регистрации. На мыло пароль не приходит, есть только ссылка на смену пароля на сайте Робо.
Даже если взломать моё мыло, это надо знать, что я занимаюсь форекс, что я зарегистрирован у брокера и именно на Робофорекс. То есть это надо рыть почту, читать.
На сайте компании, как и у всех, есть данные для скачивания программ для установки терминалов. Я скачивал программу с сайта Робофорекс. А что мешает умелому и знающему человеку добавить к экзешнику крохотный кусочек исполняемого кода? Да ничего. В итоге хозяин кода видит мой терминал, в котором есть моё мыло, мой счёт и пароль от счёта.
Не стоит говорить, что владельцы сайта имеют полный доступ к администрированию и исходному коду своей системы. Они в буквальном смысле цари и боги на сайте. Они могут всё и знают всё. Расхожая шутка, что брокер видит ордера трейдеров и кто куда стоит – шутка только на половину. И данные о пользователях не являются каким-то большим секретом именно для них. При определённой сноровке нарыть данные от ЛК вряд ли непосильная задача для умелого айтишника компании Робофорекс. Было бы желание.

Посудите сами. Слишком всё чётко, быстро и слаженно происходило. Я б сам так не смог. Но я могу дать голову на отсечение, что я на сайт в ЛК не входил с июня месяца. И никто не мог. По причинам изложенным выше. Пароль я запоминаю, в браузере не храню.
При том уровне проверки, какой установлен в компании, с меня только что справку от психиатра не спрашивали. А тут ровно выводят деньги на Киви без подтверждения по телефону. Киви-кошелька у меня отродясь не было. Только карта, данные которой я загружал на сайт вместе с документами. Вывод средств на платёжную систему, отличную от той, с которой пополнялся депозит – это как минимум должно вызвать подозрения. А вкупе с тотально поменянными данными – у службы безопасности должны возникнуть много вопросов. И звонить мне, звонить.
Ничего этого не было. Если карта банка ещё сверяется с паспортными данными, то на Киви такой ерунды нет. Там тупо привязка к номеру телефона. Который уже изменён на нужный. А на кого зарегистрирован номер телефона? А леший его знает. Сходится – и ладно.

Краткое резюме. С моей точки зрения очень велика вероятность того, что во всей этой истории учувствовал не чистый на руку специалист компании Робофорекс. Вот и всё.

Счёт у меня обнулён. Работать нечем. Дальнейшее сотрудничество с компанией Робофорекс вижу бессмысленным.



Именно поэтому всегда советую и делаю так - все операции с регами мыла, аккаунтов для финансов проводить с выделенной только для этих целей системы на линуксе(можно просто лайв сиди грузить), везде ставить 20 значный пароль и включать на мыле(гугловской) привязку к телефону. Мыло регать для каждого нового аккаунта у брокера свое и использовать его только для этого аккаунта. Все пароли записать на бумажки. Никаких электронных менеджеров паролей. И телефон завести отдельный кнопочный для привязки его к аккаунтам. Вот тогда будет максимальная защита и можно спать спокойно.

А вообще странно что у робо нет подтверждения по смс кодам на смену телефона, вывод средств. Если бы это было, то даже заполучив доступ к почте и ЛК у воришек бы не получилось вывести деньги. Так что подумайте хорошо, стоит ли доверять деньги ДЦ, который не может элементарную безопасность обеспечить.


Линукс тут не панацея, дыры могут быть и в браузере, и в любом другом софте. В остальном, конечно, шансов словить заразу намного меньше. про кнопочный телефон соглашусь, у самого кнопочный как второй. А на Gmail я кстати настроил смс-верификацию, все работает нормально, всем рекомендую. И чистите корзину с папкой входящих, чтобы не было залежей личной информации.
Ссылка на сообщение
Поделиться на другие сайты
rgoldenberg

rgoldenberg

Опубликовано
RoboForex Опубликовано


Уважаемый contur.
...



уважаемый Manager RF, не смотря на ваш ответ в целом по проблеме, я всё-же повторю (возможно вы не заметили с первого раза) вопрос и одновременно предложение по улучшению системы безопасности таким образом что при любых сценариях развития ситуации ваша компания не имела отношения к проблеме клиента. даже если его свяжут и заставят самостоятельно сменить все данные. по тому как вывод будет только на тот кошелёк или кошельки которые были указаны _до_ пополнения, и доступны к смене только после полного снятия средств например. повторю сообщение.

Спойлер

какая интересная история. а где же уважаемый ManagerRF для вменяемого ответа к претензии?
если мозгами пораскинуть то тут скорее всего даже не айтишник компании виноват а сама компания. представьте, у вас фирма, часть её сотрудников может спокойно воровать деньги у клиентов. есть жалобы. почему не увеличить защиту?
например: сделать доступным только счёт (или несколько если указать до пополнения) с которого было пополнение. настройку можно менять когда деньги полностью выведены на него.
и вариантов много. такие решения не требуют особого ума и времени для необходимости задержек выплаты. а если уж выведено на счёт клиента а с него уже украдено то это как не смотри - вина клиента и робофорекс стали кристально чисты.
но... этого никто не делает. как там говорилось "вы или враг или дурак". и я не думаю что там дураки сидят.

P.S> если что , то это был конкретный вопрос к менеджеру RF о том, почему коль есть такая проблема то компанией не вводится решение по её устранению таким образом что бы не по правилам компании клиент был виноват а фактически. вывод был на счёт клиента, а то что украли там дело уже не RF.



вопрос - почему вам не сделать таким образом или каким-то аналогичным, коих много и в итоге с вас снимается вся ответственность за счёт отсутствия дыр в механизме?
на счёт того что все данные были подтверждены - надо конечно знать структуру компании, но программист с доступом к базе данных или возможно группа людей в разных отделах вполне может это провернуть. это называется механизм с дырами.

P.S> у вас очень избирательная система. тут клиент в примере снимал деньги после смены телефона сразу на левый кошелёк в полном объёме и вы быстро обработали заявку, а я снимаю сейчас на свой обычный счёт с которого пополнял и на который снимал всегда (года полтора-два). и объём то не полный - треть от имеющихся средств. а ваш отдел уже сутки думает снимать всё-таки или не снимать :d но это так. риторика.
P.S.2>в защиту могу сказать что снимали приличные суммы без проблем в итоге-то. от сюда и доверие столь долгое. но всё меняется и последние тенденции вашей компании не радуют. Изменено пользователем chadaevr
  • Лайк 2
Ссылка на сообщение
Поделиться на другие сайты
Synthvova

Synthvova

Опубликовано
RoboForex Опубликовано

Коллеги, вот вы тут ищете дыры в своих компьютерах, а дыры именно в безопасности и защите средств клиента именно в компании РобоФорекс.

Нельзя менять телефон в один день и тут же давать вывод денег.
Блокируйте вывод на две недели, месяц. Вряд ли кто будет против. Смена тел.номера - это крайняя мера, и не такая частая.

Т.к. смс подвержение для входа в кабинет, и на вывод средств - это единственная действенная защита, при отсутствии USB -ключей, подобных е-токину,. то меняйте номера, как в солидных конторах, через нотариально заверенное заявление, или в офисах.

И не стоит прикрываться тем, что все ваши упрощенные формы - это ради удобства клиентов.

Уважаемый Manager RF, сдаётся мне, что в следующий раз, когда произойдёт подобный случай воровства, вам будет сложно всю вину вновь переложить на клиента, если не примете действенные меры защиты.

  • Лайк 4
Ссылка на сообщение
Поделиться на другие сайты
fantech

fantech

Опубликовано
RoboForex Опубликовано

Как вариант блокирование на вывод средств, изменение почты или телефона на несколько дней после смены почты или телефона.
Чтобы в один день нельзя было сменить номер телефона, почту и вдобавок вывести деньги.
Ну и желательно конечно при выводе средств с определенных сумм требовалось подтверждение по смс.

Ссылка на сообщение
Поделиться на другие сайты
kinokuroman

kinokuroman

Опубликовано
RoboForex Опубликовано



Спойлер


Доброго дня всем!
Не так давно при работе с Робо сложилась у меня одна любопытная и неприятная ситуация. Опишу всё как было, плюс свои мысли по этому поводу.
Утро 5-го сентября не предвещало ничего дурного. Открыл терминал с целью посмотреть, как открылся рынок в понедельник и нет ли гэпов. Плюс там ещё с прошлой недели пара позиций висит открытых. Как они поживают. Посмотрел – всё нормально, без происшествий. Закрыл.
Блтже к вечеру снова открываю терминал и вижу, что соединения с сервером нет и подпись "неверный счёт". Уже интересно! Пробую вручную перелогинится, номер счёта, пароль … - результат тот же. "неверный счёт". Что за нештатка? Надо, думаю, постучатся в чат к суппорту Робо, должны прояснить ситуацию.
Открываю сайт Робо и делаю вход в ЛК. Результат – "неверный логин или пароль". Может поторопился и с паролем накосячил? Ввожу заново, медленно и вдумчиво. Результат вообще порадовал – "пользователь с таким мылом не зарегистрирован в системе". Ещё интересней.
Далее звоню в суппорт Робо и описываю ситуацию. После стандартных вопросов "скажите мыло и номер счёта Дата рождения, как зовут?" меня вкрадчиво так спрашивают: "Всё сходится. А вы случайно вывод средств не заявляли?". Вот тут у меня очко и сжалось. Нет, говорю, не заявлял. Печально, отвечают, значит это сделал кто-то другой. Тот, кто грохнул учётку и вошёл в неё.
Далее посоветовали мне написать на мыло подробное эссе на эту тему. Написал. Ответа не было 9 (часов). Всё это время мне отписывались в чате, что "моим вопросом занимаются и пока не готовы что-либо сказать".
Итог писем и телефонных звонков (со слов специалистов компании). Вход в ЛК был совершён в ХХ:ХХ по Москве лицом, которое имело на руках полностью мыло и пароль. (То есть, подчёркиваю, взлома, как такового, не было. Никто ничего не ломал и не подбирал. Вход был совершён сразу, с первой попытки.) Ещё, как вариант версии, была грохнута моя почта. Откуда потом и было вытащено всё необходимое для входа в ЛК.
Далее, сразу после входа, в данных резко меняются пароли, телефон, мыло и платёжные реквизиты (на Киви). После этого незамедлительно делается заявка на вывод средств со счёта (всё, до последней американской копейки). Заявка проверятся (со слов специалистов), попытка связаться со мной (по уже изменённому номеру), проверка документов. Всё сходится. Заявка выполнена в течении 70 минут. После чего пользователь, естественно, сливается в туман.
Мои претензии они удовлетворить не могут. Так как, цитирую, "пользователь несёт полную ответственность за сохранность конфиденциальной информации и паролей в том числе". То, что третьи лица увидели мои ключи от входа в ЛК, компания Робо не причём. А уже авторизованный в ЛК, само собой, вправе делать там, что душе угодно.
На мой вопрос, а не смутили ли их (специалистов) все эти резкие движения по замене всего и вся (в том числе вывод денег на Киви, когда я пополнялся и выводил только и исключительно на карту банка) и последующий за ним быстрый вывод? Специалисты Робофорекс меня уверили что нет, не смутили. Мало ли какие у человека бывают жизненные обстоятельства. Ну поменял, ну вывел, ну и что тут такого криминального?
Мы, говорят, пробовали с Вами связаться для подтверждения. Вы не брали трубку. Ага, говорю, потому что номер телефона был уже изменён. И как, интересно, выпустили деньги на другую платёжную систему без подтверждения?
Короче, мне посочувствовали, но ничем помочь не могут. Се ля ви.

Что я думаю по этому поводу:
- паролей и ключей я на машине не храню. Записаны отдельным файлом на флэшке. Большинство я помню и держу в голове. На случай амнезии пароли записаны шариковой ручкой в блокноте.
- в браузере пароли не запоминаю
- шариться у меня в столе и блокнот дома листать, кроме меня, некому.
- я никому данных не говорил и не писал.
Первая мысль, что я сам где-то прокололся и притащил к себе на машину какую то заразу, типа Кейлогера, для считывания набранных символов. Чем потом и воспользовались злоумышленники. Маловероятно. Потому как именно на сайт Робофорекс я под паролями заходил архидавно, в начале лета. Не было надобности. Терминал есть, счёт работает – что ещё надо?
Да и потом Каспер-лицензия и фаерволл хоть и не панацея, но всё же снижают вероятность инфицирования.

А потом побеседовал с одним грамотным в сфере компьютерной безопасности товарищем, сложил в голове два плюс два и склонен подумать, что дело ту не обошлось без участия самих специалистов компании Робофорекс. И вот почему я так думаю.
Напомню, что мой ЛК никто, в буквальном смысле, не взламывал. Никто не перебирал пароли с разных ай-пи через прокси, никто не запрашивал новый пароль вместо якобы забытого. Нет. В него просто вошли, как к себе домой. С первого раза.
Где то их увидеть в почте или в ином месте невозможно. Пароль я давно поменял ещё при регистрации. На мыло пароль не приходит, есть только ссылка на смену пароля на сайте Робо.
Даже если взломать моё мыло, это надо знать, что я занимаюсь форекс, что я зарегистрирован у брокера и именно на Робофорекс. То есть это надо рыть почту, читать.
На сайте компании, как и у всех, есть данные для скачивания программ для установки терминалов. Я скачивал программу с сайта Робофорекс. А что мешает умелому и знающему человеку добавить к экзешнику крохотный кусочек исполняемого кода? Да ничего. В итоге хозяин кода видит мой терминал, в котором есть моё мыло, мой счёт и пароль от счёта.
Не стоит говорить, что владельцы сайта имеют полный доступ к администрированию и исходному коду своей системы. Они в буквальном смысле цари и боги на сайте. Они могут всё и знают всё. Расхожая шутка, что брокер видит ордера трейдеров и кто куда стоит – шутка только на половину. И данные о пользователях не являются каким-то большим секретом именно для них. При определённой сноровке нарыть данные от ЛК вряд ли непосильная задача для умелого айтишника компании Робофорекс. Было бы желание.

Посудите сами. Слишком всё чётко, быстро и слаженно происходило. Я б сам так не смог. Но я могу дать голову на отсечение, что я на сайт в ЛК не входил с июня месяца. И никто не мог. По причинам изложенным выше. Пароль я запоминаю, в браузере не храню.
При том уровне проверки, какой установлен в компании, с меня только что справку от психиатра не спрашивали. А тут ровно выводят деньги на Киви без подтверждения по телефону. Киви-кошелька у меня отродясь не было. Только карта, данные которой я загружал на сайт вместе с документами. Вывод средств на платёжную систему, отличную от той, с которой пополнялся депозит – это как минимум должно вызвать подозрения. А вкупе с тотально поменянными данными – у службы безопасности должны возникнуть много вопросов. И звонить мне, звонить.
Ничего этого не было. Если карта банка ещё сверяется с паспортными данными, то на Киви такой ерунды нет. Там тупо привязка к номеру телефона. Который уже изменён на нужный. А на кого зарегистрирован номер телефона? А леший его знает. Сходится – и ладно.

Краткое резюме. С моей точки зрения очень велика вероятность того, что во всей этой истории учувствовал не чистый на руку специалист компании Робофорекс. Вот и всё.

Счёт у меня обнулён. Работать нечем. Дальнейшее сотрудничество с компанией Робофорекс вижу бессмысленным.



Именно поэтому всегда советую и делаю так - все операции с регами мыла, аккаунтов для финансов проводить с выделенной только для этих целей системы на линуксе(можно просто лайв сиди грузить), везде ставить 20 значный пароль и включать на мыле(гугловской) привязку к телефону. Мыло регать для каждого нового аккаунта у брокера свое и использовать его только для этого аккаунта. Все пароли записать на бумажки. Никаких электронных менеджеров паролей. И телефон завести отдельный кнопочный для привязки его к аккаунтам. Вот тогда будет максимальная защита и можно спать спокойно.

А вообще странно что у робо нет подтверждения по смс кодам на смену телефона, вывод средств. Если бы это было, то даже заполучив доступ к почте и ЛК у воришек бы не получилось вывести деньги. Так что подумайте хорошо, стоит ли доверять деньги ДЦ, который не может элементарную безопасность обеспечить.


Линукс тут не панацея, дыры могут быть и в браузере, и в любом другом софте. В остальном, конечно, шансов словить заразу намного меньше. про кнопочный телефон соглашусь, у самого кнопочный как второй. А на Gmail я кстати настроил смс-верификацию, все работает нормально, всем рекомендую. И чистите корзину с папкой входящих, чтобы не было залежей личной информации.
Я поэтому и написал, что нужна отдельная система с которой совершать ТОЛЬКО финансовые операции и авторизации в личных кабинетах на ресурсах с финансами.

У меня кстати есть почта одна на гугле, с смс верификацией на каждом новом устройстве при входе. Короче у меня сперли аккаунт Ориджина (игровая платформа) и даже заимели доступ к почте. При этом судя по всему доступ к почте был не с моего компа, потому что воришка удалял письма когда я сидел за своим компом и через эту почту переписывался в саппорте. Делал он это до тех пор, пока я не разорвал сессию и на зашел заново в почту. Теперь у меня возникают сомнения на счет неприсутпности гугловской почты даже если включена авторизация. Получается что воришка упер куки с сессией из моего браузера и смог войти через эту сессию у себя. При этом гугл даже не заметил, что есть параллельная сессия с другого IP адреса.
Ссылка на сообщение
Поделиться на другие сайты
otten

otten

Опубликовано
RoboForex Опубликовано
Спойлер




Спойлер


Доброго дня всем!
Не так давно при работе с Робо сложилась у меня одна любопытная и неприятная ситуация. Опишу всё как было, плюс свои мысли по этому поводу.
Утро 5-го сентября не предвещало ничего дурного. Открыл терминал с целью посмотреть, как открылся рынок в понедельник и нет ли гэпов. Плюс там ещё с прошлой недели пара позиций висит открытых. Как они поживают. Посмотрел – всё нормально, без происшествий. Закрыл.
Блтже к вечеру снова открываю терминал и вижу, что соединения с сервером нет и подпись "неверный счёт". Уже интересно! Пробую вручную перелогинится, номер счёта, пароль … - результат тот же. "неверный счёт". Что за нештатка? Надо, думаю, постучатся в чат к суппорту Робо, должны прояснить ситуацию.
Открываю сайт Робо и делаю вход в ЛК. Результат – "неверный логин или пароль". Может поторопился и с паролем накосячил? Ввожу заново, медленно и вдумчиво. Результат вообще порадовал – "пользователь с таким мылом не зарегистрирован в системе". Ещё интересней.
Далее звоню в суппорт Робо и описываю ситуацию. После стандартных вопросов "скажите мыло и номер счёта Дата рождения, как зовут?" меня вкрадчиво так спрашивают: "Всё сходится. А вы случайно вывод средств не заявляли?". Вот тут у меня очко и сжалось. Нет, говорю, не заявлял. Печально, отвечают, значит это сделал кто-то другой. Тот, кто грохнул учётку и вошёл в неё.
Далее посоветовали мне написать на мыло подробное эссе на эту тему. Написал. Ответа не было 9 (часов). Всё это время мне отписывались в чате, что "моим вопросом занимаются и пока не готовы что-либо сказать".
Итог писем и телефонных звонков (со слов специалистов компании). Вход в ЛК был совершён в ХХ:ХХ по Москве лицом, которое имело на руках полностью мыло и пароль. (То есть, подчёркиваю, взлома, как такового, не было. Никто ничего не ломал и не подбирал. Вход был совершён сразу, с первой попытки.) Ещё, как вариант версии, была грохнута моя почта. Откуда потом и было вытащено всё необходимое для входа в ЛК.
Далее, сразу после входа, в данных резко меняются пароли, телефон, мыло и платёжные реквизиты (на Киви). После этого незамедлительно делается заявка на вывод средств со счёта (всё, до последней американской копейки). Заявка проверятся (со слов специалистов), попытка связаться со мной (по уже изменённому номеру), проверка документов. Всё сходится. Заявка выполнена в течении 70 минут. После чего пользователь, естественно, сливается в туман.
Мои претензии они удовлетворить не могут. Так как, цитирую, "пользователь несёт полную ответственность за сохранность конфиденциальной информации и паролей в том числе". То, что третьи лица увидели мои ключи от входа в ЛК, компания Робо не причём. А уже авторизованный в ЛК, само собой, вправе делать там, что душе угодно.
На мой вопрос, а не смутили ли их (специалистов) все эти резкие движения по замене всего и вся (в том числе вывод денег на Киви, когда я пополнялся и выводил только и исключительно на карту банка) и последующий за ним быстрый вывод? Специалисты Робофорекс меня уверили что нет, не смутили. Мало ли какие у человека бывают жизненные обстоятельства. Ну поменял, ну вывел, ну и что тут такого криминального?
Мы, говорят, пробовали с Вами связаться для подтверждения. Вы не брали трубку. Ага, говорю, потому что номер телефона был уже изменён. И как, интересно, выпустили деньги на другую платёжную систему без подтверждения?
Короче, мне посочувствовали, но ничем помочь не могут. Се ля ви.

Что я думаю по этому поводу:
- паролей и ключей я на машине не храню. Записаны отдельным файлом на флэшке. Большинство я помню и держу в голове. На случай амнезии пароли записаны шариковой ручкой в блокноте.
- в браузере пароли не запоминаю
- шариться у меня в столе и блокнот дома листать, кроме меня, некому.
- я никому данных не говорил и не писал.
Первая мысль, что я сам где-то прокололся и притащил к себе на машину какую то заразу, типа Кейлогера, для считывания набранных символов. Чем потом и воспользовались злоумышленники. Маловероятно. Потому как именно на сайт Робофорекс я под паролями заходил архидавно, в начале лета. Не было надобности. Терминал есть, счёт работает – что ещё надо?
Да и потом Каспер-лицензия и фаерволл хоть и не панацея, но всё же снижают вероятность инфицирования.

А потом побеседовал с одним грамотным в сфере компьютерной безопасности товарищем, сложил в голове два плюс два и склонен подумать, что дело ту не обошлось без участия самих специалистов компании Робофорекс. И вот почему я так думаю.
Напомню, что мой ЛК никто, в буквальном смысле, не взламывал. Никто не перебирал пароли с разных ай-пи через прокси, никто не запрашивал новый пароль вместо якобы забытого. Нет. В него просто вошли, как к себе домой. С первого раза.
Где то их увидеть в почте или в ином месте невозможно. Пароль я давно поменял ещё при регистрации. На мыло пароль не приходит, есть только ссылка на смену пароля на сайте Робо.
Даже если взломать моё мыло, это надо знать, что я занимаюсь форекс, что я зарегистрирован у брокера и именно на Робофорекс. То есть это надо рыть почту, читать.
На сайте компании, как и у всех, есть данные для скачивания программ для установки терминалов. Я скачивал программу с сайта Робофорекс. А что мешает умелому и знающему человеку добавить к экзешнику крохотный кусочек исполняемого кода? Да ничего. В итоге хозяин кода видит мой терминал, в котором есть моё мыло, мой счёт и пароль от счёта.
Не стоит говорить, что владельцы сайта имеют полный доступ к администрированию и исходному коду своей системы. Они в буквальном смысле цари и боги на сайте. Они могут всё и знают всё. Расхожая шутка, что брокер видит ордера трейдеров и кто куда стоит – шутка только на половину. И данные о пользователях не являются каким-то большим секретом именно для них. При определённой сноровке нарыть данные от ЛК вряд ли непосильная задача для умелого айтишника компании Робофорекс. Было бы желание.

Посудите сами. Слишком всё чётко, быстро и слаженно происходило. Я б сам так не смог. Но я могу дать голову на отсечение, что я на сайт в ЛК не входил с июня месяца. И никто не мог. По причинам изложенным выше. Пароль я запоминаю, в браузере не храню.
При том уровне проверки, какой установлен в компании, с меня только что справку от психиатра не спрашивали. А тут ровно выводят деньги на Киви без подтверждения по телефону. Киви-кошелька у меня отродясь не было. Только карта, данные которой я загружал на сайт вместе с документами. Вывод средств на платёжную систему, отличную от той, с которой пополнялся депозит – это как минимум должно вызвать подозрения. А вкупе с тотально поменянными данными – у службы безопасности должны возникнуть много вопросов. И звонить мне, звонить.
Ничего этого не было. Если карта банка ещё сверяется с паспортными данными, то на Киви такой ерунды нет. Там тупо привязка к номеру телефона. Который уже изменён на нужный. А на кого зарегистрирован номер телефона? А леший его знает. Сходится – и ладно.

Краткое резюме. С моей точки зрения очень велика вероятность того, что во всей этой истории учувствовал не чистый на руку специалист компании Робофорекс. Вот и всё.

Счёт у меня обнулён. Работать нечем. Дальнейшее сотрудничество с компанией Робофорекс вижу бессмысленным.



Именно поэтому всегда советую и делаю так - все операции с регами мыла, аккаунтов для финансов проводить с выделенной только для этих целей системы на линуксе(можно просто лайв сиди грузить), везде ставить 20 значный пароль и включать на мыле(гугловской) привязку к телефону. Мыло регать для каждого нового аккаунта у брокера свое и использовать его только для этого аккаунта. Все пароли записать на бумажки. Никаких электронных менеджеров паролей. И телефон завести отдельный кнопочный для привязки его к аккаунтам. Вот тогда будет максимальная защита и можно спать спокойно.

А вообще странно что у робо нет подтверждения по смс кодам на смену телефона, вывод средств. Если бы это было, то даже заполучив доступ к почте и ЛК у воришек бы не получилось вывести деньги. Так что подумайте хорошо, стоит ли доверять деньги ДЦ, который не может элементарную безопасность обеспечить.


Линукс тут не панацея, дыры могут быть и в браузере, и в любом другом софте. В остальном, конечно, шансов словить заразу намного меньше. про кнопочный телефон соглашусь, у самого кнопочный как второй. А на Gmail я кстати настроил смс-верификацию, все работает нормально, всем рекомендую. И чистите корзину с папкой входящих, чтобы не было залежей личной информации.
Я поэтому и написал, что нужна отдельная система с которой совершать ТОЛЬКО финансовые операции и авторизации в личных кабинетах на ресурсах с финансами.

У меня кстати есть почта одна на гугле, с смс верификацией на каждом новом устройстве при входе. Короче у меня сперли аккаунт Ориджина (игровая платформа) и даже заимели доступ к почте. При этом судя по всему доступ к почте был не с моего компа, потому что воришка удалял письма когда я сидел за своим компом и через эту почту переписывался в саппорте. Делал он это до тех пор, пока я не разорвал сессию и на зашел заново в почту. Теперь у меня возникают сомнения на счет неприсутпности гугловской почты даже если включена авторизация. Получается что воришка упер куки с сессией из моего браузера и смог войти через эту сессию у себя. При этом гугл даже не заметил, что есть параллельная сессия с другого IP адреса.



Это лишний раз подтверждает то, о чем я говорю. Лайв-CD с Линухой не панацея, хотя уже пол-пути, так скажем, и этот образ всегда должен быть последним, актуальным. В вашем случае доступ мог быть получен через дырявый браузер. Разумным было бы держать систему в чистоте, следить за сетевым траффиком, пользоваться последними версиями браузера, регулярно принимая обновления безопасности. Для проверки своей собственной системы на последние найденные и публично известные дыры и уязвимости есть готовые бесплатные решения, одно из лучших - Metasploit. Правда иногда их то и начинают использовать во вредительских целях, эксплуатируя найденные уязвимости среди локальных машин общего сетевого доступа, в сети кафе с вайфаем и т.п., примеров где можно "случайно" поделиться паролями - миллион. Изменено пользователем otten
Ссылка на сообщение
Поделиться на другие сайты
kinokuroman

kinokuroman

Опубликовано
RoboForex Опубликовано
Спойлер





Спойлер


Доброго дня всем!
Не так давно при работе с Робо сложилась у меня одна любопытная и неприятная ситуация. Опишу всё как было, плюс свои мысли по этому поводу.
Утро 5-го сентября не предвещало ничего дурного. Открыл терминал с целью посмотреть, как открылся рынок в понедельник и нет ли гэпов. Плюс там ещё с прошлой недели пара позиций висит открытых. Как они поживают. Посмотрел – всё нормально, без происшествий. Закрыл.
Блтже к вечеру снова открываю терминал и вижу, что соединения с сервером нет и подпись "неверный счёт". Уже интересно! Пробую вручную перелогинится, номер счёта, пароль … - результат тот же. "неверный счёт". Что за нештатка? Надо, думаю, постучатся в чат к суппорту Робо, должны прояснить ситуацию.
Открываю сайт Робо и делаю вход в ЛК. Результат – "неверный логин или пароль". Может поторопился и с паролем накосячил? Ввожу заново, медленно и вдумчиво. Результат вообще порадовал – "пользователь с таким мылом не зарегистрирован в системе". Ещё интересней.
Далее звоню в суппорт Робо и описываю ситуацию. После стандартных вопросов "скажите мыло и номер счёта Дата рождения, как зовут?" меня вкрадчиво так спрашивают: "Всё сходится. А вы случайно вывод средств не заявляли?". Вот тут у меня очко и сжалось. Нет, говорю, не заявлял. Печально, отвечают, значит это сделал кто-то другой. Тот, кто грохнул учётку и вошёл в неё.
Далее посоветовали мне написать на мыло подробное эссе на эту тему. Написал. Ответа не было 9 (часов). Всё это время мне отписывались в чате, что "моим вопросом занимаются и пока не готовы что-либо сказать".
Итог писем и телефонных звонков (со слов специалистов компании). Вход в ЛК был совершён в ХХ:ХХ по Москве лицом, которое имело на руках полностью мыло и пароль. (То есть, подчёркиваю, взлома, как такового, не было. Никто ничего не ломал и не подбирал. Вход был совершён сразу, с первой попытки.) Ещё, как вариант версии, была грохнута моя почта. Откуда потом и было вытащено всё необходимое для входа в ЛК.
Далее, сразу после входа, в данных резко меняются пароли, телефон, мыло и платёжные реквизиты (на Киви). После этого незамедлительно делается заявка на вывод средств со счёта (всё, до последней американской копейки). Заявка проверятся (со слов специалистов), попытка связаться со мной (по уже изменённому номеру), проверка документов. Всё сходится. Заявка выполнена в течении 70 минут. После чего пользователь, естественно, сливается в туман.
Мои претензии они удовлетворить не могут. Так как, цитирую, "пользователь несёт полную ответственность за сохранность конфиденциальной информации и паролей в том числе". То, что третьи лица увидели мои ключи от входа в ЛК, компания Робо не причём. А уже авторизованный в ЛК, само собой, вправе делать там, что душе угодно.
На мой вопрос, а не смутили ли их (специалистов) все эти резкие движения по замене всего и вся (в том числе вывод денег на Киви, когда я пополнялся и выводил только и исключительно на карту банка) и последующий за ним быстрый вывод? Специалисты Робофорекс меня уверили что нет, не смутили. Мало ли какие у человека бывают жизненные обстоятельства. Ну поменял, ну вывел, ну и что тут такого криминального?
Мы, говорят, пробовали с Вами связаться для подтверждения. Вы не брали трубку. Ага, говорю, потому что номер телефона был уже изменён. И как, интересно, выпустили деньги на другую платёжную систему без подтверждения?
Короче, мне посочувствовали, но ничем помочь не могут. Се ля ви.

Что я думаю по этому поводу:
- паролей и ключей я на машине не храню. Записаны отдельным файлом на флэшке. Большинство я помню и держу в голове. На случай амнезии пароли записаны шариковой ручкой в блокноте.
- в браузере пароли не запоминаю
- шариться у меня в столе и блокнот дома листать, кроме меня, некому.
- я никому данных не говорил и не писал.
Первая мысль, что я сам где-то прокололся и притащил к себе на машину какую то заразу, типа Кейлогера, для считывания набранных символов. Чем потом и воспользовались злоумышленники. Маловероятно. Потому как именно на сайт Робофорекс я под паролями заходил архидавно, в начале лета. Не было надобности. Терминал есть, счёт работает – что ещё надо?
Да и потом Каспер-лицензия и фаерволл хоть и не панацея, но всё же снижают вероятность инфицирования.

А потом побеседовал с одним грамотным в сфере компьютерной безопасности товарищем, сложил в голове два плюс два и склонен подумать, что дело ту не обошлось без участия самих специалистов компании Робофорекс. И вот почему я так думаю.
Напомню, что мой ЛК никто, в буквальном смысле, не взламывал. Никто не перебирал пароли с разных ай-пи через прокси, никто не запрашивал новый пароль вместо якобы забытого. Нет. В него просто вошли, как к себе домой. С первого раза.
Где то их увидеть в почте или в ином месте невозможно. Пароль я давно поменял ещё при регистрации. На мыло пароль не приходит, есть только ссылка на смену пароля на сайте Робо.
Даже если взломать моё мыло, это надо знать, что я занимаюсь форекс, что я зарегистрирован у брокера и именно на Робофорекс. То есть это надо рыть почту, читать.
На сайте компании, как и у всех, есть данные для скачивания программ для установки терминалов. Я скачивал программу с сайта Робофорекс. А что мешает умелому и знающему человеку добавить к экзешнику крохотный кусочек исполняемого кода? Да ничего. В итоге хозяин кода видит мой терминал, в котором есть моё мыло, мой счёт и пароль от счёта.
Не стоит говорить, что владельцы сайта имеют полный доступ к администрированию и исходному коду своей системы. Они в буквальном смысле цари и боги на сайте. Они могут всё и знают всё. Расхожая шутка, что брокер видит ордера трейдеров и кто куда стоит – шутка только на половину. И данные о пользователях не являются каким-то большим секретом именно для них. При определённой сноровке нарыть данные от ЛК вряд ли непосильная задача для умелого айтишника компании Робофорекс. Было бы желание.

Посудите сами. Слишком всё чётко, быстро и слаженно происходило. Я б сам так не смог. Но я могу дать голову на отсечение, что я на сайт в ЛК не входил с июня месяца. И никто не мог. По причинам изложенным выше. Пароль я запоминаю, в браузере не храню.
При том уровне проверки, какой установлен в компании, с меня только что справку от психиатра не спрашивали. А тут ровно выводят деньги на Киви без подтверждения по телефону. Киви-кошелька у меня отродясь не было. Только карта, данные которой я загружал на сайт вместе с документами. Вывод средств на платёжную систему, отличную от той, с которой пополнялся депозит – это как минимум должно вызвать подозрения. А вкупе с тотально поменянными данными – у службы безопасности должны возникнуть много вопросов. И звонить мне, звонить.
Ничего этого не было. Если карта банка ещё сверяется с паспортными данными, то на Киви такой ерунды нет. Там тупо привязка к номеру телефона. Который уже изменён на нужный. А на кого зарегистрирован номер телефона? А леший его знает. Сходится – и ладно.

Краткое резюме. С моей точки зрения очень велика вероятность того, что во всей этой истории учувствовал не чистый на руку специалист компании Робофорекс. Вот и всё.

Счёт у меня обнулён. Работать нечем. Дальнейшее сотрудничество с компанией Робофорекс вижу бессмысленным.



Именно поэтому всегда советую и делаю так - все операции с регами мыла, аккаунтов для финансов проводить с выделенной только для этих целей системы на линуксе(можно просто лайв сиди грузить), везде ставить 20 значный пароль и включать на мыле(гугловской) привязку к телефону. Мыло регать для каждого нового аккаунта у брокера свое и использовать его только для этого аккаунта. Все пароли записать на бумажки. Никаких электронных менеджеров паролей. И телефон завести отдельный кнопочный для привязки его к аккаунтам. Вот тогда будет максимальная защита и можно спать спокойно.

А вообще странно что у робо нет подтверждения по смс кодам на смену телефона, вывод средств. Если бы это было, то даже заполучив доступ к почте и ЛК у воришек бы не получилось вывести деньги. Так что подумайте хорошо, стоит ли доверять деньги ДЦ, который не может элементарную безопасность обеспечить.


Линукс тут не панацея, дыры могут быть и в браузере, и в любом другом софте. В остальном, конечно, шансов словить заразу намного меньше. про кнопочный телефон соглашусь, у самого кнопочный как второй. А на Gmail я кстати настроил смс-верификацию, все работает нормально, всем рекомендую. И чистите корзину с папкой входящих, чтобы не было залежей личной информации.
Я поэтому и написал, что нужна отдельная система с которой совершать ТОЛЬКО финансовые операции и авторизации в личных кабинетах на ресурсах с финансами.

У меня кстати есть почта одна на гугле, с смс верификацией на каждом новом устройстве при входе. Короче у меня сперли аккаунт Ориджина (игровая платформа) и даже заимели доступ к почте. При этом судя по всему доступ к почте был не с моего компа, потому что воришка удалял письма когда я сидел за своим компом и через эту почту переписывался в саппорте. Делал он это до тех пор, пока я не разорвал сессию и на зашел заново в почту. Теперь у меня возникают сомнения на счет неприсутпности гугловской почты даже если включена авторизация. Получается что воришка упер куки с сессией из моего браузера и смог войти через эту сессию у себя. При этом гугл даже не заметил, что есть параллельная сессия с другого IP адреса.



Это лишний раз подтверждает то, о чем я говорю. Лайв-CD с Линухой не панацея, хотя уже пол-пути, так скажем, и этот образ всегда должен быть последним, актуальным. В вашем случае доступ мог быть получен через дырявый браузер. Разумным было бы держать систему в чистоте, следить за сетевым траффиком, пользоваться последними версиями браузера, регулярно принимая обновления безопасности. Для проверки своей собственной системы на последние найденные и публично известные дыры и уязвимости есть готовые бесплатные решения, одно из лучших - Metasploit. Правда иногда их то и начинают использовать во вредительских целях, эксплуатируя найденные уязвимости среди локальных машин общего сетевого доступа, в сети кафе с вайфаем и т.п., примеров где можно "случайно" поделиться паролями - миллион.
Это было на компе с виндой, на котором я не стесняюсь лазить по всяким помойкам. Мен больше коробит факт того, что смс авторизация нафиг не нужна, если воришка смог зайти с дургого устройства через упертую сессию. Это уже дырка в гугле. Весь смысл смс авторизации из-за этой дырки теряется.

Сейчас еще выяснил, что у гугла можно удалить номер телефона без смс кода. Это же смешно. Попробовал - удалился номер одним кликом, без подтверждения смс кодом. Естественно авторизация через смс отключилась. Смех да и только. Что-то совсем грустно это... Изменено пользователем kinokuroman
Ссылка на сообщение
Поделиться на другие сайты
vostokhost

vostokhost

Опубликовано
RoboForex Опубликовано


Теперь у меня возникают сомнения на счет неприсутпности гугловской почты даже если включена авторизация. Получается что воришка упер куки с сессией из моего браузера и смог войти через эту сессию у себя. При этом гугл даже не заметил, что есть параллельная сессия с другого IP адреса.



При заходе с старыми куками с другой страны (первый раз) гмаил обязательно требует пароль и раз в Nдней опять требует. Работать одновременно с разных мест позволяет. Если первый заход с другой страны, ip по pop-3, то блокирует учетку для нового ip, нужно заходить под старым и разрешать работу.
Ссылка на сообщение
Поделиться на другие сайты
kinokuroman

kinokuroman

Опубликовано
RoboForex Опубликовано



Теперь у меня возникают сомнения на счет неприсутпности гугловской почты даже если включена авторизация. Получается что воришка упер куки с сессией из моего браузера и смог войти через эту сессию у себя. При этом гугл даже не заметил, что есть параллельная сессия с другого IP адреса.



При заходе с старыми куками с другой страны (первый раз) гмаил обязательно требует пароль и раз в Nдней опять требует. Работать одновременно с разных мест позволяет. Если первый заход с другой страны, ip по pop-3, то блокирует учетку для нового ip, нужно заходить под старым и разрешать работу.
В гугле же есть настройка - требовать смс код если с нового устройства заходишь. Ну вот значит это обходится, если юзать ворованную сессию для входа.

Сейчас протестировал майкрософтовскую почту. Там тоже можно удалить номер телефона без смс подтверждения, НО приходит оповещение на телефон об этом.
Ссылка на сообщение
Поделиться на другие сайты
andy.lugansk

andy.lugansk

Опубликовано
RoboForex Опубликовано

Майкрософт не надо вообще смотреть - был у меня лично увод live-учетки, по которой с компов вообще не было заходов и использовалась исключительно как необходимая служба для работы телефона на WP. Т.е. регданные настраивались единожды при первоначальной настроке телефона, и потом не редактировались, и со стороны пользовательских запросов нигде не использовались.

Ссылка на сообщение
Поделиться на другие сайты
kinokuroman

kinokuroman

Опубликовано
RoboForex Опубликовано


Майкрософт не надо вообще смотреть - был у меня лично увод live-учетки, по которой с компов вообще не было заходов и использовалась исключительно как необходимая служба для работы телефона на WP. Т.е. регданные настраивались единожды при первоначальной настроке телефона, и потом не редактировались, и со стороны пользовательских запросов нигде не использовались.

Значит на телефоне троянчик данные и увел.

Я ее просто для теста заценил. А так там слишком много сервисов завязано на учетку, соответственно очень много потенциальных дырок. Хотя в гугле тоже много сервисов.

Пойду теперь резервные коды для гугловских почт распечатаю. А вообще гуглу большой минус, что они даже на телефон смс не шлют об удалении телефона из аккаунта. Вот в яндексе нельзя так просто телефон удалить. Но в яндексе нет смс-кода на вход. Хотя если сделать нормальный 20+ значный пароль, то в принципе и не нужны они.
Ссылка на сообщение
Поделиться на другие сайты
Alexdm

Alexdm

Опубликовано
RoboForex Опубликовано

Мда, если компания подтверждает все происходящее, грош цена такой компании. Нужно пересматривать все аспекты безопасности. Если у одного человека смогли снять ср-ва со счета, тут же подтянется еще 10.

  • Лайк 1
Ссылка на сообщение
Поделиться на другие сайты
qq123

qq123

Опубликовано
RoboForex Опубликовано

Мда реябта, этот ваш welcome bonus. Вот я выполнил все условия, прошел всевозможные верификации, сфоткал паспорт, сфоткал себя с паспортом, сфоткался с поспортом на фоне ковра, и что в итоге? А в итоге система зачислила меня в ряды небонусополучателей. На вопрос саппорту, почему меня зачислили в эти ряды, получил ответ - система так решила :o) Вот такой он, форекс. Покер встречает не так жестко :( Еще это слово, антифрод v:)

Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Специальное предложение


  • Рекомендуемые брокеры

    • ×
    ×
    • Создать...