Взломали аккаунт на www.mainlink.ru

Я не слежу за всеми темами на форуме, но раз уж тут появилась такая ветка, то давайте по существу отвечу.

1) За нашу историю крыса была только один раз, человека уволили, причем спалился на том, что партнерку у клиентов к себе привязывал. В логи все системные изменения в интерфейсе ведутся.

Вы можете открыть историю в старом интерфейсе - https://old.mainlink.ru/xmy/security/ Там все операции есть. После того инцидента фиксируются все изменения даже в админке.

По адресу 193.124.65.179 облачный хостинг и вход был на несколько аккаунтов, где денег на балансе больше на порядок чем у вас, т.е. у порядка десяти аккаунтов, которые были пробиты, пароли оказались засвеченными.

2) Конкретно по вашему аккаунту тут ситуация следующая.

В интернете полно баз, по котором осуществляется регулярная пробивка данных. Пары логин-пароль, email-пароль уже можно встретить на большом кол-ве сайтов и пробивай скока хошь. У нас всю прошлую неделю шел перебор с разных ботнетов, до 500 запросов в секунду доходило. Я неоднократно писал и в новостях писали - меняйте пароли, добавляйте пароль от кошельков отдельный, не оставляйте все как есть. То, что вы не знали про пароль от кошельков или сделали его таким же как для входа (в старом интерфейсе такое можно было сделать, в новом строго отдельный пароль), это упущение. В правилах системы указано о том, что хотя бы раз в месяц надо заходить и проверять свои данные, и читать новости системы, потому что мы не стоим на месте.

На вашем аккаунте даже по хешу пароль был простой и если вы где-то его светанули - то срочно надо менять. И пароль от кошельков не был установлен. Тот, кто получил доступ к аккаунту - просто воспользовался незащищенным аккаунтом и далее уже пошел вывод. Кстати на указанный киви кошелек ушло около 2т руб с 4 разных аккаунтов, мы его 7.10 блокнули, но кому-то не повезло.

Вопрос безопасности неоднократно освещался в нашем топике, в новостях, это проблема не одного пользователя, а комплексная.

Да и последние месяцы ломают довольно много, у нас в базе счет на заблокированные ip и подсети уже исчисляется сотнями тысяч.

В системе кошелек уже не изменить без доступа к почте. Но если у вас поменяли email, значит злоумышленник мог пробить еще и вашу почту. Так что проблема в комплексной слабой защите.

3) Вообще от вашего подробного изложения и жалоб закрадываются другие нехорошие мысли про казачка. Но я опущу эту тему.

В данный момент у вас доступ восстановлен, но пожалуйста, поменяйте пароли и сделайте их сложными.

Еще раз почту меняли 2 раза! 1.Взлом аккаунта 2.По моей просьбе. В логах я этого не нашел от слова совсем. Ни по первому случаю, не по второму. Логично предположить, что почту менял, тот у кого есть доступ админа или у вас серьезная дыра в безопасности и взломали не меня а вашу систему. Доказательства в виде скрина по своему мылу я в вашу поддержку отправил. "Мы по картинкам типа наличие взлома определить не можем." ответила ваша поддержка. К слову пароль к почте на порядок сложнее.

---------- Добавлено 09.10.2019 в 14:38 ----------

Да и зачем почту менять, если у тебя к ней доступ есть? Объяснить можете. Зачем лишние телодвижения?

orlove, я так полагаю у вас пароль был из разряда 111111 или qwerty , тогда вы сам себе злобный буратино

qwerty111111?

P.S. вообще не понимаю людей, которые годами не меняют пароли к системам, которыми пользуются

Поскольку для вас видимо обсуждение этого вопроса важно в публичном поле, то давайте решать вашу проблему публично.

Замена email производилась через старый интерфейс, там строчка в журнал по смене данных аккаунта не добавляется.

orlove 07.10.2019 01:16:37 Вход Old MainLink 195.201.29.42

После этого все пошло-поехало.

Сегодня в старом интерфейсе мы поставили на запрет изменение данных.

Повторюсь, у вас был очень простой пароль, по старому хешу он очень легко конвертится:

https://hashtoolkit.com/reverse-md5-hash/b75bd008d5fecb1f50cf026532e8ae67

Нет, не такой :) И пароль никто не подбирал и почту мою не ломал. Доказательства я поддержке отослал, они это проигнорировали.

---------- Добавлено 09.10.2019 в 14:57 ----------

Ответить можете зачем почту в аккаунте поменяли? Я могу. Потому что доступа к моей не имели, да даже бы если и имели данных получить не смогли потому как там редирект на yandex.ru настроен. По поводу строки. Она добавляется когда это делают через интерфейс, специально пробовал вот : Подтверждение email по email 08.10.2019 13:38:34 80.237.104.122

Все детали указывают, что у вас либо дыры, либо кто-то крысятничает.

PS: "дело не в деньгах, дело в безопасности у вас и почему вашей поддержке на это наплевать"

По логам у вас входы со следующих адресов:

15874929 orlove 07.10.2019 01:15:55 Вход ML4 193.124.65.179

15872018 orlove 06.10.2019 23:37:42 Вход ML4 89.223.47.200

15834455 orlove 08.09.2019 16:19:56 Вход ML4 80.237.104.12

15564175 orlove 28.06.2019 10:50:12 Вход MainLink 2 38.95.110.74

Причем первый в июне месяце из Омерики. Вы находились там в это время?

---------- Добавлено 09.10.2019 в 15:05 ----------

Смена Email по email в новом интерфейсе была реализована к 04.09:

https://www.mainlink.ru/News/Obnovleniya-v-novoj-sisteme-ot-4-sentyabrya-2019g

До этого email в интерфейсе изменялся без подтверждений на старую почту.

А у вас в аккаунте уже до этого кто-то спокойно заходил и мониторил доходы.. Видимо ждали, когда увеличится баланс.

https://haveibeenpwned.com/Passwords 63 234 раза!!! 😂

это надо умудриться использовать пароль из старого учебника по работе с бд :D

Возможность пользоваться vpn и прокси никто не отменял.

Т.е. замену почты можно было сделать без подтверждения? Здорово. Серьезный прокол в безопасности. Почту поменяли во время взлома это точно, записи в логах нет, вот если бы еще старую после вывода поставили я бы вообще ничего доказать вам не мог и вы бы возможно были правы. Но видимо мозгов не хватило. Смена почты была точно 07.10 ночью, так как меняли на почту с ресурса (Где страницу закроешь и нет его) когда уже необходимо было подтверждение со старого мыла. Еще раз повторяю почту никто мою не взламывал. А мониторить такие доходы :) просто смешно. Лучше задайтесь вопросом кто у вас обладает правами на смену мыла в аккаунтах клиентов.

если смешно - то зачем топик?

вы сами себе злобный буратино используете скомпрометированные пароли, не используете предоставленные системы защиты, непонятно зачем используете vpn/прокси причём явно используемые совсем не в белых целях

а потом удивляетесь что вас взломали

Я отвечу зачем топик. Поддержка mainlink.ru проигнорировала все попытки показать что у них есть дыры в безопасности, поэтому попробовал достучаться другим способом. Что из этого получилось вы сами видите. Хотя я больше чем уверен что никто пароли не подбирал. Все факты налицо. Начиная с замены мыла в аккаунте. Без этого все остальные операции не было бы возможности сделать. А теперь простой вопрос зачем это делать если есть доступ к почте "жертвы"?

Извините, зачем обвинять другого человека не зная его и его деятельности от слова совсем. Я могу привести миллион причин для чего люди используют прокси и vpn для белых целей.