Utilizatorii Yandex confirma fiecare operațiune de aprovizionare, folosind parola de o singură dată. Acest lucru este de a proteja banii lor, dar, în practică, în multe cazuri, protecția nu funcționează.
Yandex oferă două moduri de a obține o singură dată parola - SMS-uri de la „Yandex“ coduri de aplicații mobile pentru iOS, Android și Windows Phone.
În cazul în care utilizatorul selectează prin SMS, atunci când el face o tranzacție, cum ar fi transferurile de 10 de ruble la numărul 123456 pungă, el va primi un SMS de conținutul „parolei este 1234. Transfer la 123456 10p.“. În cazul în care utilizatorul a dorit într-adevăr să transfere o sumă diferită pentru o altă pungă sau nu încerca să transfere nici un ban, acesta nu va introduce SMS-parolă și bani vor rămâne cu el. Acesta este un exemplu în cazul în care al doilea factor de protecție - SMS-parolă - funcționează.
Din cauza tipului de MitB atac cunoscut de peste 10 ani, iar punerea lor în aplicare este extrem de simplu, și vulnerabilitatea în raport cu Yandex.Money MitB vizibile cu ochiul liber, este probabil ca utilizatorii Yandex a fost în mod repetat supuse unor astfel de atacuri, și a pierdut bani.
Am scris Yandex puncte vulnerabile existente, și asta e ceea ce a primit răspuns:
Știm despre existența MitB. Dar, în acest caz, scenariul de mai sus, este dificil să se ia în considerare vulnerabilitatea serviciului. După cum vă puteți imagina, un astfel de scenariu este posibil nu numai cu serviciul de Yandex.Money, dar cu orice site. Facem tot posibilul pentru a proteja plățile pe o parte, iar utilizatorii sub termenii acordului de utilizator (p.4.21.7) ar trebui să asigure securitatea conexiunii și un computer, folosind căile de atac obișnuite (anti-virus, etc.). Cu toate acestea, măsurile de protecție împotriva atacurilor, cum ar MitB am lucrat, de asemenea.
Ce se poate face până când utilizatorii Yandex.Money de lucru privind măsurile de protecție împotriva tipurilor de atacuri MitB? Dacă nu poți fi 100% sigur că nu a luat nici un troian, apoi trece la parolele în SMS-uri, în cazul în care acum sunt de acord cu o tranzacție folosind parole unice de la aplicarea, și să se abțină de la utilizarea codurilor de urgență. Dar, mai adecvat, în cazul în care Yandex ei înșiși nu vor oferi utilizatorilor notorie opțiuni nesigure: parole unice din codurile de aplicare și de eroare.
Am vorbit despre această vulnerabilitate în Yandex pentru a ajuta utilizatorii obișnuiți să distingă reale de apărare pe mai multe niveluri de securitate împotriva teatrului. Și, de asemenea, pentru a avertiza alte servicii de la repetarea erorii care a fost cunoscut pentru mai mult de 10 de ani. Pentru ei, nu declarăm doar problema, dar, de asemenea, oferă produsul de protecție securizat cu doi factori.