51 ответов в данной теме

[PocketMouse (WMID 338370258897 )]

Текс нашел уязвимости
В случае когда "активирован" енам при сохранении ключей предлагается подтвердить операцию вопросом-ответом. Но можно сохранить ключи кликнув меню смены ключей, при этом потребуется только пароль от кипера и даже качпы нету.. В результате злоумышленник удаленным доступом может получить ключи с авторизованного кипера, пользователь может этого даже не заметить, если к примеру выбурить моник.. И далее:

Далее использовав стыреные ключи и авторизовавшись без енам (или напрямую с компа жертвы пропустив воровство ключей) злоумышленник может на сайте https://security.web...ontrollist2.asp подключить к киперу кипер мини или кипер мобайл и через них перевести деньги куда угодно даже если включено подтверждение операций по енам

[RESELLER GROUP (WMID 279199186147 )]

Задал Ваш вопрос Саппорту. Вот его ответ

а что должно произойти с enum-аккаунтом если много раз получать число-вопрос и не вводить число-ответ?

Правильно: он блокриуется. Человек поигрался с опцией,но ни одного чила-ответа не ввел. Сработасистема безопасности енума.

Я не "геймер" с вебмани, гаранту оплачивал, кипер не принял ответы что мидлет выдавал...Короче, отключил я ето чудо пока ,  пусть без меня обкатывается...

[Selfish (WMID 231807315336 )]

Задал Ваш вопрос Саппорту. Вот его ответ

а что должно произойти с enum-аккаунтом если много раз получать число-вопрос и не вводить число-ответ?

Правильно: он блокриуется. Человек поигрался с опцией,но ни одного чила-ответа не ввел. Сработасистема безопасности енума.

Я не "геймер" с вебмани, гаранту оплачивал, кипер не принял ответы что мидлет выдавал...Короче, отключил я ето чудо пока ,  пусть без меня обкатывается...

Возможно вы при проведении платежа  указывали число-ответ, полученное при выборе пункта "Авторизация" в приложении (в телефоне). Чтобы получить число-ответ, необходимое для подтверждения платежа через E-num, нужно выбирать в приложении (в телефоне) пункт "Платёж" и кроме числа-вопроса вводить ещё получателя (кошелёк) и сумму.

[Kold (WMID 634199954015 )]

Возможно вы при проведении платежа  указывали число-ответ, полученное при выборе пункта "Авторизация" в приложении (в телефоне). Чтобы получить число-ответ, необходимое для подтверждения платежа через E-num, нужно выбирать в приложении (в телефоне) пункт "Платёж" и кроме числа-вопроса вводить ещё получателя (кошелёк) и сумму.

Это действительно так? В таком случае не слишком удобно. Если E-num приложение установлено на мобильном телефоне или устройстве с WinMobile, а не на эмуляторе на этом же компьютере, то Copy/Paste не поможет. Придется каждый раз вводить кучу информации руками для получения числа-ответа

[Selfish (WMID 231807315336 )]

Опция "Подтверждение операций через E-num", к сожалению, не действует на трансакции, совершаемые на Кредитной бирже и в Долговом сервисе.

То есть злоумышленник, взломавший Keeper, может перевести средства на предварительно выставленную заявку на Кредитной бирже. Средства транзитом через WMID 015022216732 (CreditStock, Z544711038564) переводятся на кошелёк заёмщика без подтверждения через E-num.

Злоумышленник также может перевести средства через открытый лимит доверия, но только тому корреспонденту, который уже включён в список Keeper'а, так как опция "Подтверждение операций через E-num" действует при добавлении корреспондентов в список.

Возможно следовало бы разрешить вход на https://debt.wmtransfer.com/ и https://credit.webmoney.ru/ только через E-num.

[Firebadge (WMID 142570647614 )]

Возможно следовало бы разрешить вход на https://debt.wmtransfer.com/ и https://credit.webmoney.ru/ только через E-num.

Это уже перебор.

В отношении биржи точно перебор.

Это может просто парализовать работу биржи.

Не зря же даже при неподписанном со стороны кредитора договоре кредит всё равно выдаётся.

Теперь же, при введении этого, с помощью неподтверждения выдачи кредита любой недоброжелатель сможет заблокировать получение набранного кредита своим врагом, выдав минимальную сумму и не подтвердив её перевод.

Любое доброе и полезное начинание можно при желании довести до абсурда.

[PocketMouse (WMID 338370258897 )]

Надо просто добавить возможность отключить у себя все способы авторизации кроме енама, это решит вопрос с дебтом и биржой.
Но все равно если мошенник-хакер грамотный он довольно легко "обойдет" авторизацию енама, и выведет деньги через биржу или кипер мини, надо доработать авторизацию енам.

Думаю можно прилично увеличить безопасность заставив пользователя вводить не только вопрос в проге енама но еще сайт на котором производится авторизация(чтобы не мучать юзера добавить готовый список сервисов вебмани).
Чтобы обеспечить совместимость с прежней версией енама на сайте секурити.вебмани можно добавить кнопку перехода нановую версию авторизации, а в енаме добавить/оставить вкладку с прежней системой...

[nortonz (WMID 404490044504 )]

Текс нашел уязвимости
В случае когда "активирован" енам при сохранении ключей предлагается подтвердить операцию вопросом-ответом. Но можно сохранить ключи кликнув меню смены ключей, при этом потребуется только пароль от кипера и даже качпы нету.. В результате злоумышленник удаленным доступом может получить ключи с авторизованного кипера, пользователь может этого даже не заметить, если к примеру выбурить моник.. И далее:

Далее использовав стыреные ключи и авторизовавшись без енам (или напрямую с компа жертвы пропустив воровство ключей) злоумышленник может на сайте https://security.web...ontrollist2.asp подключить к киперу кипер мини или кипер мобайл и через них перевести деньги куда угодно даже если включено подтверждение операций по енам

 

:!: думаю целесообрзно было бы сделать если включена опция "место хранения ключей енум", то смнить ключи, и/или способ авторизации можно было бы ТОЛЬКО после ввода "числа- ответа", так же как меняется место хранения ключей с "этот компьютер" на "енум".

 

 

p.s. может уже предлагалось но не видел таких предложений :!:

[Павел (WMID 357121354572 )]

02.06.2010 г. WebMoney Keeper Classic обновился. Текущая версия: 3.9.2.0 build 3273 (24311).

[Павел (WMID 357121354572 )]

29.06.2010 г. WebMoney Keeper Classic обновился. Текущая версия: 3.9.2.1 build 3320 (24546).

[RESELLER GROUP (WMID 279199186147 )]

На момент поста обновлено:

Текущая версия: 3.9.2.1 build 3331 (24567) от 11.07.2010  12:43:49

[Grass (WMID 924505084713 )]

Сегодня на кипер пришло сообщение:
Webmoney Notification!

- Сообщаем Вам о выходе Webmoney Keeper Classic 3.9.2.2 от 13.07.2010!

Вам необходимо скачать новую версию Кипера с официального сайта Webmoney по ссылке http://download.wmtranster.com/wmk _  ru.  exe

В новой версии Кипера добавлено большое количество модификаций, делающих работу в системе WebMoney Transfer более удобной. WM Keeper теперь оснащен дополнительными мерами безопасности для предотвращения кражи средств.

Установка приложения обязательна для всех пользователей WebMoney!

- Для пользователей WebMoney.Light необходимо обновить корневой сертификат по ссылке: http://download.wmtr.../WebMoneyCA.exe

Новый сертификат действителен до 13.07.2011г.

---------

Это автоматическое сообщение отправленное роботом, отвечать на него не нужно.




Короче - по указанной ссылке (пробелы в адресе поставлены мной)  - троян!!!

 Будьте бдиительны!

[M_rt (WMID 472367407583 )]

Сегодня на кипер пришло сообщение:

.................

Короче - по указанной ссылке (пробелы в адресе поставлены мной)  - троян!!!

 Будьте бдиительны!

От кого сообщение? Надо бы на этот WMID претензию написать. И куда там ещё (в арбитраж?), что б разобрались?

[RESELLER GROUP (WMID 279199186147 )]

На момент поста обновление:

Текущая версия: 3.9.2.1 build 3332 (24569) от 12.07.2010  20:46:26

 

 

[Павел (WMID 357121354572 )]

16.07.2010 г. WebMoney Keeper Classic обновился. Текущая версия: 3.9.2.1 build 3349 (24582).

[Павел (WMID 357121354572 )]

01.11.2010 г. WebMoney Keeper Classic обновился. Текущая версия: 3.9.2.1 build 3371 (26027).

[RESELLER GROUP (WMID 279199186147 )]

Обновляемся. Уже есть патч для новой версии

Текущая версия: 3.9.3.0 build 3389 (26262) от 13.11.2010  17:47:50

[Друг Банзая Петровича (WMID 410265071088 )]

я бы рекомендовал подождать..пусть пока другие обновятся..мало ли там что глючит ...

[Павел (WMID 357121354572 )]

22.11.2010 г. WebMoney Keeper Classic обновился. Текущая версия: 3.9.3.1 build 3404 (26382). Информации об изменениях и улучшениях пока нет.

[Visa Virtual Card (WMID 348594160348 )]

Это уже давно так ???