Hungry_Hunter
@Hungry_Hunter

XSS уязвимость Rambler почты

Несколько дней назад у меня украли старинную почту на рамблере и сменили пароли на 10+ сайтах, в том числе на хабре.
К сожалению так сложилось, что к ней были привязаны достаточно много важных сайтов и ICQ.
Хакер получил доступ с помощью XSS, и требовал денег. А именно 1000 руб.
Денег я заплатил, но в итоге как и ожидалось, ничего он не вернул. Ну да бог с ними.
За эти 3 дня я восстановил доступ к ICQ, почте и почти всем сайтам, на которых были изменены пароли.

Но вот сегодня весь день боремся с ним за мой аккаунт sape.
Он меняет пароли и пытается вывести деньги со счета.

Делает он это следующим образом:
— Ставит в моей почте редирект писем на свой ящик
— Запрашивает восстановление пароля в sape
— Меняет пароль, делает заявку на вывод. Сумма смехотворная 160 руб.

Я меняю ящик, на который пересылаются письма на свой, отключаю пересылку, но через какое-то время он снова меняет и ставит свой мейл.

Вопрос: Как он это делает? Причем пароль я так понимаю он сменить на рамблере не может, иначе давно бы уже сменил.
В sape я уже заказал смену почтового ящика. Но все же очень хочется узнать как он это делает.

PS. Сменил пароль на почте зайдя с другого компьютера. На старом до сих пор висит старая сессия и я могу пользоваться почтой.
Это просто кашмар какой-то! Ну кто так делает?

Позвонил в рамблер, попросил сбросить все сессии. Ждем что будет дальше.

Так же я планирую написать заявление в милицию.

У меня есть:
— Его IP (Киев и Днепропетровск). Скорее всего VPN
— Номер телефона +380 зарегистрированный порядка месяца назад.
— WMID, зарегистрированный порядка месяца назад, с формальным аттестатом с BL под сотню.

Вопрос: Куда лучше пойти со всем этим делом?

PS. Стоит ли написать статью о том, как быстро восстановить утраченные доступы к рамблер почте?
Многие жалуются, что занимает это месяцы.
  • Вопрос задан
  • 8735 просмотров
Решения вопроса 1
Hungry_Hunter
@Hungry_Hunter Автор вопроса
Как и предполагалось, помог звонок в рамблер с просьбой сбросить все текущие сессии.
В личном кабинете этой функции нет, собственно как и всего остального, даже привязки к телефону.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
prabhu
@prabhu
А вы не думали на счет трояна с кейлогером на вашем ПК?
Ответ написан
Lisio
@Lisio
Загрузись с live-cd диска, с убунтой например, и попробуй провести те же операции.
Ответ написан
@cexmet
или это тонкий стеб, или идиотизм. какие еще сессии? совершенно очевидно что это троян у вас на компе.
откуда такая детская наивность в отношении касперского? в мире не сущетсвует антивирусов, дающих 100% гарантии. и врядли когда-нибудь такие появятся.

лично для меня дальнейшие действия очевидны:
1. реинстал системы
2. установка обновлений, антивируса, файрвола
3. установка программ с офф сайтов (то что на диске, может быть уже заражено)
4. последовательная смена паролей ко всем ресурсам. секретные вопросы тоже неплохо бы сменить.

ну и на будущее — плагины NoScript для фф или хром, избегать хождений по левым сайтам, ссылкам из почты.
Ответ написан
DenisOgr
@DenisOgr
Developer
Заходим в рамблер почту на двух компьютерах в одну и ту же почту.
На одном из компьютеров меняем пароль к почте.
И о чудо — на втором залогиненом до этого компьютере из почты не выкидывает, позволяет читать письма.
Таким образом будучи авторизованым в моей почте, после смены мною пароля, хакер так и остался авторизованым в ней.


Странно.
Я на своих сайтах проверяю логин и хеш пользователя в сессиях с логином и хешем что в БД каждый раз, когда загружаю страницу.
А почему они так делают? В чем прикол?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы