×Закрыть

Зламали профіль Upwork і вивели всі кошти

В мене трапилась прикра але повчальна історія:

Нещодавно зламали Апворк акаунт і пошту (як потім виявилось) і вивели звідти всі гроші.

Все почалось з того, що вчора ввечері я не змогла зайти в свій акк. Подумала одразу на кривий Апворк, в якого часто вилізають всілякі косяки.

Написала в саппорт, розповіла, що не можу зайти в акк — попросили вислати підтвердження особистості (паспорт і скрін з ір-адресою). Через кілька годин все полагодили. Я рада заходжу на сторінку, дивлюсь сповіщення, і бачу, що, виявляється, вчора я успішно здійснила виплату всіх своїх коштів на свій пейпал (якого в мене ніколи не було, бо всі ми знаємо, що в Україні він не працює) зареєстрований на мій мейл. В мене один-єдиний Пейонір від часу початку роботи.

Тут-то я й зрозуміла, що одним Апворком діло не обійшлось — хакнули і мейл. Але, при тому, я спокійно ним користувалась, нічого не підозрюючи — ніякі сповіщення про підозрілу активність нікуди мені не приходили. Тільки в розділі, де показуються пристрої, з яких заходили на мейл, відобразився невідомий пристрій без ір-адреси. І пару днів перед тим відімкнули додатковий захист пошти (підтвердження через смс-код).

Написала про це також в Апворк Саппорт — сказали, що напишуть в Пейпал і попробують щось зробити. Також пробувала написати прямо в саппорт Пейпалу, але вони сказали, шо працюють тільки з клієнтами. Прийшлось зареєструватись і надіслати репорт вже безпосередньо на сайті. Сказали, що дадуть відповідь протягом 24 год.

Паролі я всюди поміняла. Комп на віруси прогнала. Для мейлу додала ще один захист.

Чесно, я взагалі не могла подумати, що таке буває. Дуже прикро, бо хоч і суму вкрали не колосальну, але, виходить, працювала я задарма десь місяць.

Хто стикався з чимось подібним? Що порадите робити?

LinkedIn

Лучшие комментарии пропустить

Хто стикався з чимось подібним? Що порадите робити?
Мне ломали icloud и ставили девайсы в режим потеряшки (то есть блокировали) и предлагали разблокировать за бабло. Пароль был рандомный 16-значный. Удалось восстановить доступ, только потому что в почту не влезли благодаря двухфакторной аутентификации — обычно в таких случаях воруют и ее.

Могу посоветовать:
1. Двухфакторная аутентификация везде, где только может быть. Можете даже завести отдельную симку/телефон для этого дела (недавно был кейс на форуме — у чела отжали телефон, а вместе с телефоном и гугл аккаунт, саппорт естессно молчит).
2. Не держать много денег на апворке/пайонире. Пайонир ведь тоже могут взломать.
3. Не использовать 3rd-party клиенты для почты. Только вебморда или на крайняк что-нить проверенное типа яблопочты/аутлука.
4. Не записывайте пароли в гуглдоках/яблозаметках/текстовых документах на десктопе и тд.

Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Аккуратность с публичными точками доступа. Недавно в кафешке к вифи подключился и понеслась «невозможно подтвердить/проверить сертификат», добавляем? ага щас. а ктото добавляет ...

Исходя из описания, нельзя не исключать банальнейшего: никто специально не взламывал почту, просто автор где-то в месте общего пользования залогинился на свою почту, и забыл вылогиниться. Некоторые почтовые сервера, некоторые социальные сети дают возможность держать сессию открытой продолжительное время, допускают несколько одновременно открытых сессий. А дальше, имея доступ к почте, можно взломать и Апворк.

ещё вариант — вводить логин/пароль (даже в своём смартфоне) в публичном месте, где натыкано камер и любой мальчик, ответственный за обслуживание этих камер, от нефиг делать может их просматривать и далее уже дело техники...

нет таких камер нигде. не верьте голливуду. на камере безопасности и лицо то не всегда опознать, а уж цифры на смартфоне — без шансов.

антивирус и фаервол -какой у вас стоял?
Или у вас Линукс, а у Линукса- " вирусов нет"?

В мене один-єдиний Пейонір від часу початку роботи.
Тоже не особо защищенный, кстати ))

Ну, в Україні вивід з Апворку за допомогою платіжних систем — це історія про два стільці :)

Насколько я помню, при смене или добавлении нового платежного средства на Апворке около 3ех дней(или 1недели) нету возможности выводить деньги. Разве не было такого? когда деньги вывели?

Не чула пр таке. Акк не працював день-півтора.
а перша активність (вимкнення додаткового захисту пошти) відбулось за 3 дні до того.
я вже сама не знаю, скільки та особа тусувалась на моїй пошті і апворк-акку

ну когда я менял метод вывода — попал в тако грейс период. Собственно да, нужно постоянно держать руку на пульсе.

Сочувствую, вы пробовали еще связаться с поддержкой пейпала?

Разве почта не уведомляет о неопознаных логинах?

почта была взломана, может и уведомляла

В тому й вся фішка — шо я не отримала ніяких абсолютно сповіщень — ні про підозрілу активність, Ні про зміну пошти на апворку, ні про створення пейпал-акаунту, ні про вивід коштів — ні-чо-гі-сінь-ко. Просто «магія» якась

Не получили, или тот, кто взламал и апворк и почту просто сразу удалял письма?

Писала в пейпа добу назад, якраз. Сказали, що протягом доби отримаю відповідь. Але отримала лишень сповіщення, що вони прийняли мій запит на розгляд.

Про двухфакторную аутентификацию уже писали, но вот немного больше инфы о ней:
— СМС лучше, чем ничего, но довольно-таки слабая защита.
— программные токены, например, Google Authenticator, нормальное решение, но могут быть вопросы с рутоваными девайсами.
— надежнее всего использовать токены — физические девайсы для генерации ОТР, они никак не взаимодействуют с внешним миром.

Мало сервисов сейчас предлагают физические токены, но есть один лайфхак. Большинство токенов работают по алгоритму TOTP (Time-Based OTP, RFC 6238). Можно заказать TOTP-токен у производителя и попросить службу поддержки подключить его к вашему аккаунту. Если служба поддержки не реагирует можно найти перепрошиваемые токены, например, такие как у нас:
www.securitylab.ru/...time-passwords/281747.php

Яку суму вивели, якщо не секрет?

Думаю, деяким тут вона здасться смішною, тому не буду краще оголошувати.
Але на ті гроші _я_ могла спокійно жити місяць-два, і ще кудись зганяти.

На апворку встановлюється автоматичний вивід. Безглуздо їм не користуватися. Мінімум апворт встановлює, здається, $100. Думаю, у автора був автоматичний вивід.
Особисто порадив би мати принаймні дві адреси: для надійних сервісів та для вконтактів і спаму. Та проводити логін з тих соціалок, які не віддають имейл в явному вигляді (Жп і Твітер віддають; Твітер — з маніпуляціями, але віддає)

Та проводити логін з тих соціалок, які не віддають имейл в явному вигляді (Жп і Твітер віддають; Твітер — з маніпуляціями, але віддає)

что имеется ввиду под «в явном виде»?

Нет, с oauth2 все отдается, но ФБ, например, ни с какими настройками ничего, кроме имени (и всякой остальной неважной информации), серверу, запрсившему авторизацию, не присылает. Имя-фамилия — все. Некоторые в ФБ без мыла регистрируются. По номеру телефона. Адреса не будет принципиально.
В Твитере нужно симитировать дополнительный запрос от залогиневшегося пользователя. Все отдаст. G+ И LinkedIn без церемоний возвращают имейлы.

И LinkedIn без церемоний возвращают имейлы

постороннему отдаст, что ли?

эмм..
stackoverflow.com/...oauth-retrieve-user-email
Вроде как можно, но нужно указать это дополнительно в разрешениях

Я не про свой профиль, а про чужой.
Плюс ко всему, это нужно явно указать (отдавать емаил)

Я понял, Дмитрий наверное имел ввиду до того, как пользователь согласится.. С утра сложно соображать )

Пользователь всегда соглашается. Вы разве — нет? ) Ему при авторизации первый раз выводится список того, что приложение хочет получить. Если там нет чего-то вроде «список контактов», я, например, не ищу подвоха в том, что адрес кому-то уйдет. Наверное, двухфакторная авторизация и отдельные ящики для разных регистраций успокаивают.
Да и хочется авторизоваться. Момент как с тем «нигерийским принцем: если нашелся такой человек, который со всем соглашается, то — это «наш человек». Выхлоп будет больше.
Я не утверждаю нисколько, что у автора так и было! Просто один из вариантов утечки. Чтобы взламывать нужно знать по-крайней мере кого.

Я уже запутался. Вы говорите о случаях, когда человек пытается авторизироваться на каком-то левом сайте с помощью своего социального профиля?

Яка сумна історія.

Хто стикався з чимось подібним? Що порадите робити?
Мне ломали icloud и ставили девайсы в режим потеряшки (то есть блокировали) и предлагали разблокировать за бабло. Пароль был рандомный 16-значный. Удалось восстановить доступ, только потому что в почту не влезли благодаря двухфакторной аутентификации — обычно в таких случаях воруют и ее.

Могу посоветовать:
1. Двухфакторная аутентификация везде, где только может быть. Можете даже завести отдельную симку/телефон для этого дела (недавно был кейс на форуме — у чела отжали телефон, а вместе с телефоном и гугл аккаунт, саппорт естессно молчит).
2. Не держать много денег на апворке/пайонире. Пайонир ведь тоже могут взломать.
3. Не использовать 3rd-party клиенты для почты. Только вебморда или на крайняк что-нить проверенное типа яблопочты/аутлука.
4. Не записывайте пароли в гуглдоках/яблозаметках/текстовых документах на десктопе и тд.

а тут в соседнем топике советуют выводить как можно реже, чтобы не попадать на транзакционных издержках ;)

хоч і суму вкрали не колосальну
Еще бы! Чем по мелочи у дизайнеров дергать, лучше сразу много у помидоров увести же! 😂

Ну с пайонера много за раз не выведешь)) Смысла копить там нет, разве что чтобы был запас еще в одном месте.

(недавно был кейс на форуме — у чела отжали телефон, а вместе с телефоном и гугл аккаунт, саппорт естессно молчит).

что у мешает у мобильного оператора перевыпустить симку?

В 10 вечера это сделать сложно. В отличии от смены пароля и номера телефона в гугл аккаунте в это же время.

что у мешает у мобильного оператора перевыпустить симку?
Воры в течении 15 минут отвязали номер телефона от почты емнип.
хм, так телефон же залочен...
Разве?

так может проще тогда залочить, чем носить ещё один телефон для двухфазной авторизации (который тоже отжать/украсть могут)?

Телефоны щас любят лочить отпечатком пальца. Если чуваку дали по голове и вырубили, нет никакой проблемы приложить его палец и разлочить телефон)

Это да. Только врядли нарика будет интересовать эта почта, это уже если целенаправленно за почтой (или другой инфой на телефоне) охотятся.

Забавный факт про канадских операторов gsm — Rogers и Bell, у них в офисе можно взять бесплатно Blank SIM, а через сайт под своим аккаунтом (который естественно можно взломать) можно сделать трансфер номера с любой симки на любую, старая становиться «не обслуживается» через 10 минут после смены. Таким образом зароутить на себя чужие СМС нефиг делать. Я поразился этой мегадыре, где всё расчитано на честность. Изначально это сделано, чтобы пользователь мог сам менять nano/micro/standard SIM для своих телефонов.

почему мегадыра, аккаунт же надо взломать...

Потому что у леммингов один логин и пароль на всё.

Потому что у леммингов один логин и пароль на всё.

куча интернет-банкингов имеют логин/пароль. И двухэтапная авторизация спасает в большинстве случаев от этого :)

Эй! Я не лемминг. Пароли были разные и не совсем простые

кстати, какие преимущества даёт «непростой» пароль там, где ограничено по времени число попыток? Его же всё равно перебором не подберёшь...

разве тот же гугл лочит только один IP при неправильно введённом пароле ?

Я не работаю в Гугле и не знаю этих подробностей. Но скорее всего да, потому как в противном случае, для того чтобы заблокировать любой акк его просто нужно было бы немного побрутить.

Я не работаю в Гугле и не знаю этих подробностей.

Ну взагали, это же тупо, ясное дело, что сменить ИП проге-брутфорсеру — плёвое дело. Смысл этого временного ограничения теряется

Ну почему же? Это все время и накладные расходы.

Это все время и накладные расходы.

для кого время? Для проги-брутфорсера, которая автоматически меняет ИП из какого-то там списка и та обезьяна, которая в этот момент этой прогой кэруе, даже не понимает что такое ИП и как оно вообще работает?

ну да. Числодробилки, IP-адреса, интернет — не бесплатны и конечны.

ИП-адреса можно по кругу спустя сколько-то там минут, всё остальное не ограничено ресурсами :)

Да ладно? Можете достать процессорного времени больше чем его есть у всех компьютеров на земле? =)

Можете достать процессорного времени больше чем его есть у всех компьютеров на земле? =)

Зачем? Пропускная способность инета у самого гугла установит потолок в Х запросов в секунду. И даже если бы не было этого аспекта — то было бы ограничено, образно говоря, процессорным временем серваков гугла.
Это же не хеш брутфорсом перебирать.

ну так да, а вы пишете

всё остальное не ограничено ресурсами

Я имел ввиду, что брутфорс прерываться не будет из-за того, что на ИП адрес выделено Х попыток в У минут

Для проги-брутфорсера, которая автоматически меняет ИП из какого-то там списка
Единственная мелочь — все эти адреса должны принадлежать или быть проксированы брутфорсеру. ;)
Что в общем случае требует наличия ботнета эдак на пару миллионов устройств, а это пара десятков тысяч $$ минимум.
В общем случае, конечно, учет IP в счетчике неуспешных аутентификаций сейчас считается багом и недавно за это зачморили какой-то из эпловских сервисов (те быстро исправили), но это не критичный баг (как для обычного юзера, а не гиганского облачного провайдера).

В нашем случае на 99% сначала была сломана почта, отсюда нужно и плясать. Кстати ТС не указала — на каком провайдере она была, а жаль.

Единственная мелочь — все эти адреса должны принадлежать или быть проксированы брутфорсеру. ;)

я так понимаю, на каких-то хакерских ресурсах их можно надёргать за меньшую, нежели пару десятков тыщ $$, сумму

В общем случае, конечно, учет IP в счетчике неуспешных аутентификаций сейчас считается багом и недавно за это зачморили какой-то из эпловских сервисов (те быстро исправили), но это не критичный баг (как для обычного юзера, а не гиганского облачного провайдера).

имеется ввиду блокировка на Х минут после У неудачных попыток? По-моему, вполне логично, защита «от дурака», желающего попасть в чью-то почту из близких знакомых по каким-то шаблонам.

я так понимаю, на каких-то хакерских ресурсах их можно надёргать за меньшую, нежели пару десятков тыщ $$, сумму
Аренда ботнета ж. На такое количество устройств — тысяч 40-50 в месяц. Ради взлома апворка девушки явно не имеет смысла.
имеется ввиду блокировка на Х минут после У неудачных попыток?
В общем случае да. Конкретно — блокировка происходила при неудачных попытках с одного адреса, с разных адресов счетчик попыток не работал. Про задержку между попытками в статье сказано не было, возможно и была, но для PoC и занесения в базу CVE это сейчас почему-то неважно.

Сейчас это не важно. Какой почтовый провайдер у вас? Gmail? Yahoo? Mail.ru? ...?

Гмм, он неплохо защищен.

Похоже, что что-то скоммуниздило его пароль у вас с компа или телефона. Брутфорсить гмэйл практически нереально.

а ТС — це що? А то я простий смертний дезігнер, і не дотягую до рівня ваших знань. І треба надолужувати.

топик стартер, в данном топике — Вы :)

А, тю. Буду знати)
Провайдер мені невідомий — я зараз трошки не в Україні

Но скорее всего да, потому как в противном случае, для того чтобы заблокировать любой акк его просто нужно было бы немного побрутить.

хм, логично. И защиты, похоже, от этого нет. Процесс брутфорса зафиксировать можно, но нельзя идентифицировать среди этого брутфорсинга того, кто реально пытается зайти в систему.

Эээм, но ведь ничего же не мешает при излишнем интересе к какому-то адресу поставить задержку незаметную для пользователя, скажем в 1-2 секунды, но фатальную даже для бесконечно мощной числодробилки?

так даже задержка не имеет смысла (с ней разве что не подберёшь за разумное время). Толку с того, что понятно, что это брутфорс? Его же невозможно отличить от попытки входа реального пользователя, среди непрекращающегося потока брутфорса

а зачем отличать? Просто на все логины бахнуть задержку, или только на те, на которые были попытки ввода неправильного пароля.
Необязательно делать убер-защиту же. Достаточно сделать такой способ взлома нецелесообразным.

Просто на все логины бахнуть задержку,

т.е. ломают почту Васи, а я не могу попасть в свою?

или только на те, на которые были попытки ввода неправильного пароля.

опять же, где-то там пытаются ломать (или имитируют, чтобы я не попал) мою почту и я не могу в неё попасть?

почему не сможете? Просто получите небольшую задержку между введенным паролем и сообщением о том, что пароль неправильный.

почему не сможете? Просто получите небольшую задержку между введенным паролем и сообщением о том, что пароль неправильный.

т.е. если ответа не было за время, которое выделено на вход при правильном пароле — ответ можно дальше не ждать и пробовать следующий пароль :) Надо тогда задержку если и правильный

ну и капчу никто не отменял=)

ну и капчу никто не отменял=)

в общем, мы пришли к тому, что пофиг какой пароль (главное, чтоб не совсем qwerty) на почте, можно сделать так, чтобы брутфорсом даже примитивный нельзя было подобрать :)

несогласен. Если пароль словарный и/или содержит малое количество символов то ни задержка, ни капча не поможет. Нет смысла закрывать бронедверь на веревочку.

несогласен. Если пароль словарный и/или содержит малое количество символов то ни задержка, ни капча не поможет. Нет смысла закрывать бронедверь на веревочку.

я же говорю, если не совсем примитивный. Но разницы между паролем вышеупомятнутым Вами hardpassword123 и H^3fg5v$6f!f)(V4Bfs’r3^v не особо много

Много.

hardpassword123 — «словарный» пароль.

H^3fg5v$6f!f)(V4Bfs’r3^v
нет и будет подбираться символ за символом..

Та я понимаю разницу между словарным или посимвольным перебором.
Но он не совсем «словарный» и не идёт, образно говоря, первым в списке словаря. В том то и речь, что с нормально обеспеченной защитой со стороны сервиса с помощью капчи и алгоритмов анализа ИП и т.д. вероятность того, что словарик до него дойдёт — почти нулевая, как и с жёстким брутфорсом.
Это имея на руках хеш первый подобрать — плёвое дело, а второй — нужно много процессорного времени.

А если идет 50 запросов в секунду с разных IP, ответ будет через допустим 2 секунды всем? Или будет очередь, и если это моя почта, то я буду ждать всю очередь?

Хотя, как вариант, сделать так же фильтр приоритетов, если IP совпадает с тем, с которого уже были удачные заходы, то высший приоритет, а дальше по географической отдаленности.

И вроде как это сделано, почти на всех известных сервисах сейчас пишут «подозрительная активность, попытка входа с другой страны, введите код в смс, или ответьте на секретный вопрос»

«Дрессировщик питонов» +100500

1. Посмотреть какая из ваших учетных записей утекла можно здесь: haveibeenpwned.com.
2. Уже сказали, но это важно: нужно настроить и использовать 2FA на почтовых эккаунтах. gmail, outlook позволяют это сделать.
3. Регулярно проверять логи активности эккаунтов. Например, MSA показывает попытки логина с датой и географией.

проверить свою почту тут
gooligan.checkpoint.com
если есть, то проблема в вас и вашей неосведомленности т.к. только ленивый про это не писал.
что можно сделать дабы повторно избежать этого?
— поставить всюду двухфакторную аутентификацию
— использовать дополнительную почту, которая будет привязана к основной для оповещения про подозрительную активность(например та же смена оповещений про несанкционированный доступ)
— не использовать одинаковые пароли
— использовать максимально сложные пароли(например использовать для генерации pwgen 16)
— раз в месяц менять пароли
— хранить пароли в зашифрованном виде
— смотреть что вы ставите на мобильные устройства
— смотреть кому выдаете рут права(если они есть)
— следить за такими моментами как выше по ссылке

YOUR ACCOUNT WAS NOT BREACHED каже менi gooligan
щодо решти — написала. висновки зробила.
паролі в мене мали один схожий елемет, але, в цілому, були доволі різні. І явно не qwerty.
але от тикніть мені пальцем на людину, яка раз в місяць міняє паролі (бажано, шоб вона не була параноїком)

она перед вами.
лучше перебдеть, чем недобдеть. особенно в случаях где есть деньги или важная информация. вам этот опыт обошелся еще не так дорого.

Ну гаразд. Взагалі, я розумію, це цілком раціонально насправді. Просто заміна паролів — штука часто напряжна, але треба хоча б раз в 2-3 міс себе пересилювати

поменять пароли раз в месяц это от силы час. потерять месячную ЗП это потерять месяц.

Частая смена паролей ведет к записыванию паролей где попало. Читал на хабре вроде, было исследование, что когда заставляли сотрудников часто менять пароли, безопасность в целом падала, так как пароли записывали на бумажках возле монитора, в телефоне, в смс, в соц сетях сообщением себе или в блокноте, в файликах на рабочем столе..

именно для этого я ниже написал

— хранить пароли в зашифрованном виде
если нет желания запоминать, то для этого есть специальные утилиты аля «связка ключей»

Это все правильно, я не спорю. Но не применимо к обычным людям. Пишу как системный администратор с более 10 лет опыта

Важко вигадати алгоритм зміни паролю на зручний для згадування? Наприклад, до тексту додавати число найближчого дня народження родини, до того, щоб числа змінювати на 1=! 0=o 5=s etc. Всяке вигадати можна, лише б дисципліна у тому питанні була.

Я вам говорю о том, как оно есть, а вы о том, как это могло бы быть :) Реально работающий вариант только один, четкая система с штрафами и увольнениями за нарушение безопасности, с постоянным аудитом всех сотрудников.

в коворкинге/пабе/еще где-то лоигинилась не по ХТТПС и сниффером украли пароль, например.
или сисадмин в конторе фильтрует трафик.

але от тикніть мені пальцем на людину, яка раз в місяць міняє паролі (бажано, шоб вона не була параноїком)

Каждый кто работал в больших аутсорсингах, знает, что регулярная смена пароля — это требование, почти повсеместное, и если этого не сделать — просто заблокируется корпоративная учетка sso.

Так это насилие, а вопрос был про собственную инициативу.

Для меня важно осознавать, что я сделал все, что было в моих силах.

Не всё. Ой не всё. Вы не меняете пароли каждый день, не вводите их сочетание с биометрией. Наверняка не используете knock или doorman для включения системы доступа только после предварительной секретной посылки. Не отключаете самые важные системы от соединения с Internet вообще, передавая данные только на временных носителях и с тщательной проверкой. И это всё перечисленное вполне по силам обычному человеку, и тем более фирме, которая что-то разрабатывает.

Надеюсь, я понятно объяснил, что во всём должны быть мера, норма и предел?

Да, именно. Компромисс между удобством и безопасностью.

смотреть что вы ставите на мобильные устройства

+ смотреть, что уже установлено на мобильном устройстве.

Low-cost phones surreptitiously install and reinstall unwanted apps.

такие вещи быстро находят и выпиливают на 4пда. на моей памяти(может из ~300 устройств) такое было всего два раза и в совсем уже левых\бюджетных китайцах

китайский ноунейм андроид это лотерея в плане секьюрити.

Хотя к не-бюджетным китайцам тоже есть вопросы: Lenovo Superfish Adware Vulnerable to HTTPS Spoofing

В качестве рекламы :)
play.google.com/...ry.privacydashboard&hl=en

P.S. Нас всех сейчас пересадили на Blackberry Priv, вся рабочая среда установлена на андроиде, который запущен в виртуальной машине под андроидом. Т.е. обычный телефон доступен для взлома, только там ничего нет, ну кроме того, что ты сам добавишь. Но что самое интересное, сделано удобно, жизни не мешает.

Как впечатления от Priv в целом?

Неплохо, но греется при нагрузке и клавиатура — бесполезный груз, виртуальная гораздо удобнее. А так по тактильным ощущениям очень приятно лежит в руке, экран отличный.

— раз в месяц менять пароли
У нас параноидальное секьюрити в организации и то, заставляют менять пароли только раз в квартал. А вообще многим организациям типа апворка стоит поучиться паранойе у стима, сменил пароль — попадаешь в чистилище на 2 недели, добавил новую машину — она в чистилище без прав и т.д. По крайней мере у тебя есть две недели, чтобы раздуплиться что кто-то ещё сидит рядом.

Двухфакторную авторизацию я увидел впервые в ворд оф варкрафт, а где-то года через 3 она появилась в клиент банках Украины.

Що порадите робити?
Первым делом включить двухфакторную аутентификацию на почте.

Зроблено.
І попередній раз вона була, але якось відімкнули.
Але тут, схоже, цілеспрямовано йшли наступом на Апворк.

І попередній раз вона була, але якось відімкнули.

Возможно с одного из ваших компьютеров утекли сессионные куки в которых уже был относительно свежий MFA клейм. Как такое возможно? Зависит от системы. Самое простое объяснение: где-то подхватили вирус\руткит.

Ну, може навіть телефон взламали. В мене Sigma Mobile — український закос чи то під Кетерпіллар, чи то під ще якийсь куленепробивний телефон. Система там явно не з кращих. Що ж, треба буде і його підчистити.

sigma mobile хитрожопые. сделали название схожее с обычной сигмой из японии, которая делает инструменты. на самом деле это скорее всего ОЕМ. вполне возможно, что это какой-то Blackview серии BV

старые андроиды это писец, их начали массово ломать. Будет еще хуже

а какой именно?)
если PQ33, то система там kitkat 4.4.2 AOSP, распространенный билд. относится к «некастомным». но присутствует в прошивке пара китайских апк, которые выпиливаются только получив root.

простіший — PQ16
До речі, хто може підказати якийсь неважкий антивірус на мій збідований телефон?

в коворкинге/пабе/еще где-то лоигинилась не по ХТТПС и сниффером украли пароль, например.
или сисадмин в конторе фильтрует трафик.

те же Gooligan собирают токены доступа. От этого 2FA не спасёт, только паранойя, Nexus, регулярные security check-up и смена пароля.

Була недавно новина що зламано більше 1 мільйона аккаунтів gmail, через уязвимість в Android.
З таким не стикався.Ну вихід один напевне, надіятись що саппорт апворка допоможе.

Мне яхо сообщил, что их почту взломали и просили поменять свой пароль дабы не случилось страшное.

Подписаться на комментарии