кто то меня кинул с помощью ЯД - страница 2 - Плагины оплаты и доставки

nevigen Удалите мои претензии к Яндексу если считаете нужным, но тему пожалуйста оставьте, она имеет самое непосредственное отношение к ЖШ. Такое может произойти с любым у кого магазин на ЖШ и установлен модуль ЯД, все модули ЯД от любого разраба никак не защищены от злоумышленников. Может быть кто-то прочитает тему, его осенит и он даст какой-то дельный совет в плане безопасности.

А ТС-у совершенно бестолку куда-то обращаться. Ни Яндекс, ни полиция ему не помогут, ему вообще никто не поможет. Ну допустим Яндекс выдаст владельца кошелька полиции, и что? Он скажет, да, мне пришли какие-то деньги 6800 руб, я не знаю от кого и почему. И такой его ответ не дает никакого основания для изъятия у него этих денег. Он же их не украл, правильно? Мало ли кто ему их подарил. Ему пришли какие-то деньги, он их потратил, и все, какие к нему вопросы?
Логов с сервера нет. А даже если бы и были, это все равно ничего не доказывает кто конкретно это сделал. Чел зашел через впн, поменял реквизиты... да заход был под его аккаунтом, но это же не значит что заходил именно он. Он скажет, может сам ТС и зашел под моим аккаунтом чтобы меня потом обвинить. И все, ничего не докажешь. И такое может произойти с любым из нас! Неужели вы этого не догоняете? К любому из нас вот так могут зайти под супер админом, увести деньги за заказ, и вы ничего не сможете сделать!

ок.
ну подождем. тема пока повисит.
реально интересно узнать "героя"....

А логи фтп у хостера есть?  И вообще давали какие доступы, кроме админки?

dmitry_stas Подождите.. я торможу что ли?) Там для подтверждения права на домен надо закинуть файл на сервер... из админки джумла разве можно файл закинуть? При условии что в файле configuration.php у меня пусто ftp значения.

Похоже до меня дошло... даже если в джумла так нельзя, то в админках других CMS наверняка можно. Короче это не выход да?

Ну так и что тогда делать? Как не допустить такого у себя? Как себя обезопасить? У кого какие мнения на этот счет? Это ведь актуальная уязвимость, хорошо что ТС ее озвучил. Я например даже не подозревал что так могут сделать, хотя уязвимость вот она, прям на поверхности лежит, как говорится только слепой не увидит))

Из админки можно. Если поставить некоторые расширения, получаете доступ к файлам. Это первый вариант. Второй: прописываете непосредственно в шаблоне подтверждение.

Ну допустим Яндекс выдаст владельца кошелька полиции, и что? Он скажет, да, мне пришли какие-то деньги 6800 руб, я не знаю от кого и почему. И такой его ответ не дает никакого основания для изъятия у него этих денег. Он же их не украл, правильно? Мало ли кто ему их подарил. Ему пришли какие-то деньги, он их потратил, и все, какие к нему вопросы?

Неосновательное обогащение, ст. 1102 ГК РФ. Обязан всё вернуть.

....
Неужели вы этого не догоняете? К любому из нас вот так могут зайти под супер админом, увести деньги за заказ, и вы ничего не сможете сделать!

1. не клюбому. а только к тем кто дал его (доступ)! вы сами дали супера, хотя уровни прав есть ооочень разные в жумле.
2. даже без захода могут "увести"
3. делать надо до того, а не после. этим как вы знаете отличается умный от мудрого.
4. если кошелек идентифицирован шансы есть. потому что средства обычно зачисляются за что-то.... и от кого-то. любая транзацкия имеет отпраивтеля и он может уточнить за что и когда и кому отправлял. а вот куда попали и на каком основании уже вторая часть дела (если еще есть назначение и/или коментарий к платежу вообще чудесно, например "оплата заказа №4443 на сайте тыужепапа.орг")

тема висит.
обсуждение юридических аспектов, требований к сервисам приема оплат на данном форуме, не считаю целесообразным.
если есть юридические предпосылки (не предположения) тогда если есть возможность вам помогут/подскажут где и как можно получить информацию для ее предсотавления в органы. если ее возможно получить.

если удостоверитесь в том кто изменил кошелек получателя, можно тут сообщить его ник или мейл или ЯДкошелек... чтобы и другие знали что связыватся с ним "дороговато"...

П.С. надеемся вы изменили данные доступа уже все ? админку, фтп и т.д.

Можно ли в Я.кассе к одному домену привязать несколько аккаунтов?

Можно ли в Я.кассе к одному домену привязать несколько аккаунтов?

пипец ! есть ли жизнь на марсе ? ведь ЖШ родом оттуда ?!
харош флудить.

Удалите тогда пост. Вы же держите тему в ЖШ. Хотя нет проблем с работой модуля и ЖШ.
Изменили идентификатор ИМ в Я.касса в модуле- вопрос к админу сайта.
Я.касса пропустила привязку одного ИМ к двум аккаунтам Я.кассы- это вопрос к Я .касса.

речь скорее не о Я.Кассе, а о ЯД.
якассу тут бы сразу было понятно там только юрики и подключение иное.

Я.касса пропустила привязку одного ИМ к двум аккаунтам Я.кассы- это вопрос к Я .касса.

дубль 2 еще раз: нет возможности в яндексе (как и в любом другом платежном сервисе) сделать привязку интернет-магазина к аккаунту. вернее, возможность есть. толку от нее нет.

вернее, возможность есть. толку от нее нет.

Я не разбирался в вопросе, но правильно ли я понимаю, что если я получаю доступ (правомерный или не очень) к сайту с установленным магазином (неважно каким), одновременно регистрирую аккаунт в Яндексе, то могу подтвердить права владения этим магазином, просто разместив файл или метатег на подконтрольном сайте, и Яндекс не учтет, что права уже были ранее подтверждены на другом аккаунте? Если так, то тогда достаточно поменять реквизиты в настройках платежного модуля, и оплата за товар пойдет на другой кошелек. Так?

почти у яндекса (как и у всех остальных платежных сервисов) вообще нет такого механизма привязки магазина к аккаунту. аккаунта к магазину - есть. а наоборот - нет. ибо это нереализуемо.

Я не разбирался в вопросе, но правильно ли я понимаю, что если я получаю доступ (правомерный или не очень) к сайту с установленным магазином (неважно каким), одновременно регистрирую аккаунт в Яндексе, то могу подтвердить права владения этим магазином, просто разместив файл или метатег на подконтрольном сайте, и Яндекс не учтет, что права уже были ранее подтверждены на другом аккаунте? Если так, то тогда достаточно поменять реквизиты в настройках платежного модуля, и оплата за товар пойдет на другой кошелек. Так?

Тут просто столько напутали и намешали в кучу и думают, что если в вебмастере подтверждаешь метатегом, то так будет или должно быть с яндекс-деньгами.

почти у яндекса (как и у всех остальных платежных сервисов) вообще нет такого механизма привязки магазина к аккаунту. аккаунта к магазину - есть. а наоборот - нет. ибо это нереализуемо.

Все очень просто: ни одна платежная система (не считая платежных карт) не несет ответственности за хищение паролей, подмену и т.п. В картах немного по другому. Платежи тормозятся как раз для таких случаев. Привязка идет к юр лицу. Шифрование ключами. (но ключи тоже можно спереть)
Топик плавно переходит в обсуждение платежных систем.

Тут просто столько напутали и намешали в кучу и думают, что если в вебмастере подтверждаешь метатегом, то так будет или должно быть с яндекс-деньгами.

В Яндексе как и в других системах есть подтверждение, но не мета тегом. Посылается запрос с магазина на платежный агрегатор в ответ приходит ответ на платеж. При подтверждении производится оплата. Но если создать свой кошелек и эти данные внести в магазине, то процесс точно такой же.  Поэтому супер админ может менять кошельки как хочет. Проверки на наличие магазина нет. Держите коды доступа в секрете....

Идите от платежа и задавайте вопросы Яндексу. При открытии кошелька идет проверка. При привязке к магазину, тоже. Все вопросы к Яндексу....

В Яндексе как и в других системах есть подтверждение, но не мета тегом. Посылается запрос с магазина...

Я не техническую сторону работы API обсуждал, а подтверждение владения сайтом у Яндекса. Это разные вещи. Причем мой вопрос прямо связан с вопросом ТС - если я имею возможность подтвердить владение сайтом в другом аккаунте Яндекса, то, имея доступ к самому сайту, могу подделать платежные реквизиты. В результате магазин ТС просто будет работать с левым кошельком, который вообще можно оформить на дропа. @dmitry_stas как раз и сказал, что такой привязки нет.

Кроме того, имея доступ к сайту, мне ничто не мешает, например, прописать свою собственную платежную систему, не обязательно Яндекс-деньги. И в часы активных продаж запустить ее. Таким образом некоторое время клиенты будут оплачивать товар на мою систему, и концов в этом случае уже не найдешь.

Есть и другие варианты, раскрывать которые я не хочу. Меня лишь интересует, что произошло в данном случае, кто и куда увел деньги. Давайте не будем засорять тему.

Чет всех куда-то не туда понесло.
Факт 1 ТС с этим ничего не сделает. Даже если бы были все логи доказать что это сделал конкретный человек практически не реально.

Факт 2 Яндекс и так пошёл на уступки, по факту они не должны были говорить куда ушла транзакция  (это вообще законно? ) тоже относится и к органам. Подобными случиями занимается собственная сб. И то если злоумышленик с головой, то фиг что найдут и макс что ему будет вынужденное увольнение по собственному и то он может подать на вас в суд.

Факт 3 кто вообще сказал что что-то меняли в адмике?  Если расширение ставил человек то легко можно прописать чтобы каждая 100 транзакция шла на другой кошек.


Итог. Первое что нужно сделать это разобраться с клиентами и отдать им заказ, не забудьте извиниться.

Втрое проверить сайт на вредоносный код.

Третье если вы стали кого подозревать, то лучше расстаться с этим человеком, но обязательно мирно.

Третье пользуйтесь яндекс кассой там юрики.

P.S 6800р вы или зарплату не платите или я хз ибо из-за такой суммы рисковать работой и репутацией, да ещё и так топорно... это же всплывает сразу.

глянул логи, глянул модуль, к сожалению ничего оттуда не вытянешь. модуль написан мягко говоря странновато, с какой то своей логикой процесса оплаты, проверки оплаты, и так далее. пишет много логов, но то, что надо - как раз не пишет. единственное, что могу точно сказать по тому файлу что вы выслали - для модуля оплаты у вас используется какая то варезная копия. об этом свидетельствует как минимум
вполне возможно что причина именно в этом. не буду утверждать этого, не вижу всей картины целиком, там много файлов участвует, не 1. но факт остается фактом, вполне может быть что это принцип работы...

Ну вот и повод убрать из команды, того кто это ставил. 

вроде вторник ?
говрили что до вторника по любому решится вопрос.
решился ?