Прийшов час осідлати справжнього Буцефала🏇🏻Приборкай норовливого коня разом з Newxel🏇🏻Умови на сайті
×Закрыть

Udemy взломали ... опять

Здравствуйте

Если кто-то покупает курсы на Udemy.com, то советую удалить способы оплаты. Похоже, что сервис дырявый как решето. Массово уводят аккаунты. Саппорт некоторым не отвечает неделями.

medium.com/...​losing-money-fbf7586f2d83

П.С. Я уже узнал после пробы нескольких курсов, что многие курсы там (даже бестселлеры) очень так себе по качеству. Можно не объяснять )

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

по стандартам безопасности номера карт они не должны хранить..

Хранят и номер, и срок действия, и т д. Наверное, где-то при оплате старой картой не снял галочку, чтобы не сохраняло. Новые действующие карты не сохранены.

рас****яи только....таких сладких ищут многие

Я тебя удивлю, но это нынче не обязательно, есть разовое подтверждение транзакционного пароля. При этом достаточно знать только его, и по нему банк даёт добро на оплату только в адрес конкретного получателя.

Так что может быть и не хранят. Другой вопрос, какого хера банки не дают интерфейс клиенту чтобы инвалидировать эти токены, не обращаясь к получателю?

Хранят. Не нужно повторно вводить номер карты, дату и прочее

i.piccy.info/...​ion_2020_05_03_044116.jpg

Возможно хранят частично, чтобы сам клиент мог опознать свою карту, какой именно платит. Полностью хранят только те, кто хочет слить это дело налево.

А ты считаешь, до туда хотя бы слухи о стандартах безопасности доходят?

по стандартам безопасности

Это по каким именно стандартам?

Нету там требования не хранить номера карт. Есть требование не хранить CVV/CVC.

Нельзя хранить данные верификации (cvv, cvc2...). Номер, срок, имя хранить можно

По поводу сервиса — мой совет, всё же добить этих клоунов. Я обычно таких беру измором, доведя до суицида пару-тройку сотрудников саппорта.

Почему так: я оттачиваю умение общаться с нехорошими людьми в нехороших обстоятельствах через посредников. Такое нередко полезно. По итогу с «нехорошими» людьми всегда решают через тех или иных посредников — таков уж закон природы. Даже если нехороших людей надо выпилить, это тоже умные люди обычно решают через посредников.

В твоём случае, есть саппорт. Задача — пробить эскалацию конфликта. Для этого нужно понимать мотивацию саппорта — ему ни жарко ни холодно от твоей проблемы, но невозможность её решить его раздражает. Как правило, сотрудники там молодые, ещё не умеющие в бюрократию, и потому проявляющие эмоции. Любое проявление любых эмоций — тебе на руку.

Вероятность выигрыша в 30% считай хорошей. Твоя задача — просто отточить умение и не более. В конце концов, ты не много проиграешь, даже если ничего не случится. Для успеха тебе нужно РАЗДЕЛИТЬ проблему от эмоций, сформировав её как компактную сущность. Лучше всего e-mail. Выгода в том, что его очень просто перекинуть. Невыгода — что легко потерять в долгом ящике. Выгода — что всегда можно ещё добавить сверху кучки. Дополнительный якорь — печатный материал и/или ролик на Ютубе.

По материалу: действуй как рекламщик. Твоё дело — зацепить. Потому используй картинки, используй крупный шрифт, очень крупный шрифт, это работает. Не стесняйся с символикой, можешь там скелета добавить или череп с костями, всё чтобы выглядело убедительно для сотрудника саппорта что это серьёзно, что его НЕ НАКАЖУТ за то что потревожил по мелочам.

Ну и если хочешь немножко уметь в хакерство, можешь забрать обратной свой акк. А то и не совсем свой. Можешь даже попробовать админку себе выдать, если дам дыры широко известные и давно не обновлялись.

PS. А карту отвязать проще, чем тебе кажется. Перевыпусти пластик по причине стирания магнитной полосы или нечитаемости чипа. При этом CVV меняется.

ниже отписался, что через Х часов после отправки им письма со ссылкой на статью, внезапно они ответили и уже все восстановили без ранее обязательных данных для восставновления.

До этого не отвечали ни в какую почти неделю

Вчера написал статью на медиуме. Отправил ссылку в письме Udemy.

До этого не отвечали. А перед этим не захотели восстанавливать акк без отправки данных банковских карт.

Через Х часов они прислали письмо с извинениями и со ссылкой на сброс пароля. Еще и кинули бонусов на счет. Правда, огромный список курсов в избранном и корзина пустые.

После такого простого увода аккаунта уже стремно что-то покупать там

Вывод: хайп часто помогает.
www.youtube.com/watch?v=q4ZtPZdDxq8

П.С. В аккаунте в методах платежа была сохранена лишь 1 карта, которая закончилась еще в 18 году. Поэтому воры не смогли ничего купить за мой счет )

Не хайп, а пиар. До хайпа они ещё не допрыгались, был бы хайп, хакеры бы полстраны чинуш подписали на какую-нить гей-толерантность и курсы ватки одновременно.

А покупать можешь. Просто карту отвяжи. Или с виртуальной карты. В конце концов, у тебя ж нет цели мир переделать? Бери то что тебе надо, остальное как бы и не сильно твои проблемы. Если там есть нужный тебе курс — какие причины его не взять?

Если там есть нужный тебе курс — какие причины его не взять?

В любой момент могут обратно украсть аккаунт. Это происходит у них годамию И, вдруг, в след раз не сдадутся и не восстановят аккаунт

А ты не тыкай больше фишинговые ссылки.
Хочешь убедиться — открой то письмо, и посмотри куда на самом деле вела та ссыль под кнопкой. И больше никогда не тыкай никаких ссылок в письмах. Если тебе куда-то надо, войди через парадный вход.

Там правильные ссылки на udemy. Не фишинг.

Я и толком перейти никуда не успел. Там разница между письмами о смене пароля и потом емейла всего несколько минут.

Там как с книгами- зависит от авторов. Хорошие курсы там есть.
Насчёт стыренных аккаунтов, ну, увы. Хацкеров бояться — в инет не ходить.

Так дело ж не в хацкерах, а в том что не фиксятся примитивнейшие дырки, которым уже бес знает сколько лет, потому что считается будто раз написанная платформа не нуждается в том же апдейте.

Исправление, как правило, обойдётся дешевле, чем работа саппорта на обслуживание даже одного кейза. Не говоря уж о том, во что выскакивает потеря клиентов, потеря репутации...

По поводу самих курсов — взял бы да ткнул народ мордочкой в хороший курс, который прошёл сам. Даже если он там один на всю платформу, будь тем кто умеет из бочки дёгтя достать ложку мёда.

Даже нет подтверждения смены пароля и почты через ссылку в письме владельцу аккаунта. Эпик.

мне для старта понравились курсы по AWS.
У Амазона в документации сознательно разложены грабли с мелким шрифтом и звёздочками,
и ещё эта примесь маркетингового буллшита, покрытого терминологическим туманом.

Возможно, но как-то мне редко попадаются норм курсы. Хотя я покупал бестселлеры.

Юдеми еще рисует рейтинг не по среднему арифметическому отзывов, а по какой-то своей особой формуле.

Например, для интереса когда-то купил этот курс www.udemy.com/...​te-java-developer-course Там какой-то капец творится помимо того, что часто не понятно, что препод говорит даже его же соотечественникам из Австралии.

В итоге забил на курс и больше узнал из книги.

я не воспринимаю эти курсы как «от и до» и не жду от курсов много, как когда-то от учителя в школе.
Полную картину я получаю из разных источников, и курс — просто один из них.
Курс хорош чтобы быстро охватить пониманием картину, и понять куда грести.
Потом книги и практика. Но практика важнее. Пишешь, наступаешь на грабли, ищешь причину.

Мне непонятно, зачем нужен сертификат. Мне он не нужен, на работе — тоже.
Книги создают «тёплую ванну» понимания. Читаешь, всё складно. Можно читать долго-долго.
Когда начинаю писАть — вот тут и приходит понимание чего стОят мои знания.

Тру. Лише на практиці закріплюється теорія. Тому почитав і одразу давити кнопки.

Ні, синку, це фантастика. В реалі мозок так не працює, в ньому нема магії побудови структури інформації методом Ctrl-V, сама інформація в ньому зовсім інакша. Я б сказав, що за структурою це кеш.
І все, чого ти зможеш добитися дурним вивченням теорії — це інвалідація кешу практики (багатьох практик, до речі, з усіх питань), а після — інвалідації самої теорії. Бо треба розуміти, як працює кеш, і що саме є критерієм релевантності.

Ну, поскольку текст твой, может ты разъяснишь схему?

Я это вижу так: Тебе присылают письмо, в котором сообщают, что некто, например ты, только что поменял пароль. И предлагают нажать на кнопку если это не ты — верно? Дальше читаю «I did it right away», то есть ты таки ПОШЁЛ по фишинговой ссылке.

Проблема видишь ли в том, что пароль на этом этапе как раз таки не менялся, менялся email. Но вопрос, как сгенерилась ссылка — таким способом, что злоумышленник о ней ничего не знает, а сам сервер присылает её тебе? Но так, что перенаправление идёт уже не к серверу.

Мне представлятеся, что это вектор XSS эксплойта. Такими сильно грешили разные платформы при установке на NGINX. В чём западло: по дефолту NGINX обслуживает IPшник, а не доменное имя. Соответственно запрос на ЛЮБОЙ домен, прилетающий на этот IPшник, будет обслужен сайтом. Кривой скрипт сайта НЕ ПОСМОТРИТ, на каком домене стоит он сам, и использует домен, взятый из адреса (читай, подсунутый злоумышленником). Соответственно, на машине злоумышленника, доступной по его доменному имени извне, уже будет развёрнут даже не такой же сайт, а просто такая же голая платформа (CMS). Да или просто логгер запросов. Он получает запрос, парсит из него нужную разовую ссылку, и меняет пароль или мыло уже на целевом ресурсе.

Как видишь, никакой изобретательности, думать не нужно, всё вполне осуществимо роботом-пауком. Достаточно знать твой e-mail. А вот доставать пары e-mail — ресурс уже сложно... только если e-mail не является логином. Тогда малейший глюк плагинов CMS или ненастроенные по-дефолту включёные фичи позволят невозбранно посмотреть логины всех юзеров, и соответственно атаковать их почту.

Решение для тебя: если у тебя есть домен и хост, способный отлогировать запросы, пошли запрос на смену своего мыла. То есть уведи обратно свой эккаунт. Можешь заодно и все другие. Глядишь, какой-то окажется админским.

Ссылка кнопки в таких письмах ведет на support.udemy.com/hc/en-us

Я не очень понял большинство описанных механизмов )

Не в «таких», а в том конкретном. И не только саму ссылку смотри, там ещё JS-обработчик может быть присобачен, может быть перекрытие одной ссылки другой, и ещё много-много разных фенечек. Включая редирект самого сайта, если он уязвим по XSS.

Я теж не зрозумів. Можливо щось наплутано, типу не сайт, а сервер.

На всякий случай напомню, что отсвечивать в интернете своими дебетками, и тем более их сохранять, в принципе не стоит. Интернет — только кредитка. Если не принимают кредитку (тогда вообще лучше не связываться с таким сервисом), то хотя бы обмазаться paypal’ом.

А почему? Какая разница между дебетовой и кредитной картами?

А почему? Какая разница между дебетовой и кредитной картами?

Потому что дебетовая карта напрямую связана с твоим банковскими счётом. Если у тебя украли деньги с дебетовой карты, то это все равно, что их вытащили из твоего кармана. Ты, по сути, предоставлен сам себе и вынужден разруливать ситуацию напрямую с вендором (Udemy, в данном случае). Да, банк может помочь, но это может занять недели, а то и месяцы. И все это время ты сидишь без денег.

Кредитка — это лимитированные деньги заемщика. Укатили деньги с кредитки, значит украли у заемщика. Кидаешь dispute или заявляешь про fraud и, с вероятностью 99%, вопрос решится в положительную сторону вообще без твоего участия. С вендором будет разбираться заёмщик, а транзакция заблокируется (по кредиткам они отложенные и проходят кучу проверок).

К тому же кредитки, как правило, обмазаны разными плюшками по безопасности типа гарантии возврата или починки товара за счёт заемщика.

Хорошие кредитки дают не только лишь всем, само собой. Но программисты, как правило, кредитоспособны.

Ты не поверишь, любая карта связана со счётом. А «напрямую» или «накривую» — юриспруденция таких понятий не ведает.

Спекулировать на эту тему можно сколько угодно. Но вычищенный через дебетку банковский счёт и disputed баланс на кредитке — это проблемы принципиально разного характера с несравнимо разными шансами на позитивный исход для жертвы.

как насчёт виртуальных карт?

Подписаться на комментарии