Created by potrace 1.13, written by Peter Selinger 2001-2015 LOGO

Осторожно, мошенники!

Игорь Бахарев
01 Декабря 2011, в 11:06, в Важное
статус заказов интернет магазин В связи с возникшим у Яндекса непредвиденного индексирования заказов некоторых интернет магазинов УЖЕ активизировались мошенники. Вот примерное письмо мошеннического содержания: МАГАЗИНЩИКИ, конечно все мы взрослые и неглупые люди, но всё же - НЕ ОБРАЩАЙТЕ ВНИМАНИЕ НА ПОДОБНЫЕ ПИСЬМА и ПРЕДЛОЖЕНИЯ Пример мошеннического письма: Маркшейдер (marksheider@gmail.com): Добрый день, Вероятно, Вы уже в курсе, что скрипт интернет-магазина, который Вы применяете, подвержен утечке информации: доступна информация о заказах, сделанных в магазине, причем доступна всему интернету, при поиске через яндекс с определенными параметрами запроса. Вот ссылки на новость: 1. http://hitech.newsru.com/article/25jul2011/shopoleak 2. http://www.argumenti.ru/incident/2011/07/117280 3. http://lenta.ru/news/2011/07/25/eshops/ и т.д. Разумеется, через некоторое время программисты Яндекса прикроют уязвимость со своей стороны (хотя, для них это не уязвимость, а нормальное функционирование поисковой машины, которая индексирует всю доступную ей информацию). Со стороны скрипта интернет-магазина уязвимость останется, а надо заметить, яндекс – не единственный поисковик, так что шанс того, что информация будет общедоступна – сохраняется, а глюк WebAsyst ShopScript, который применяется в Вашем интернет-магазине – сохраняет уязвимость. Не стоит говорить, что репутация интернет-магазина – один из весомых критериев при выборе места для покупки. Предлагаю устранить текущую неполадку в максимально оперативном режиме – в течение завтрашнего дня (26 июля) всего за 250$. Для выполнения работ мне потребуется доступ к сайту. Готов подписать и выслать сканированную версию соглашения о конфиденциальности. P.S. Я не имею никакого отношения к разработчикам магазина, который вы используете. Пишите: marksheider@gmail.com Сергей Отправлен 02.11.2011 в 13:30 Глюк был у Яндекса, который слишком много себе позволяет. Статус заказа в вебасисте показывался при переходе по ссылке, в которой в конце приписывался уникальный хэш код. Ссылка эта высылалась покупателю, чтобы он мог отследить свой заказ и его обработку. Вопрос. Как яндекс узнавал про эту ссылку? А узнавал скорее всего из метрики или из других систем статистики. Albert Muhutdinov Отправлен 06.08.2011 в 19:22 Вообще, закрытые адреса в robots не защищены от прямого попадания на них простыми людьми. То есть закрывать в любом случае нужно все на уровне движка. А тут тема такая: если владелец инет-магазина получит то, что в письме, программист выполнит честно свою работу и получит деньги, все останутся довольны. Ну а проблема такого владельца останется лишь в том, что он разбирается не во всех особенностях своего бизнеса. И к тому же, нет понятия “работа не стоит этих денег” – раз заплачено, значит стоит :) Не защищая этого программиста, высказываю свою точку зрения. Mirolubow Vladimir Отправлен 29.07.2011 в 13:12 глюка нет, есть незаполненные роботсы. кстати, у ассиста вышла обнова. Gallus Отправлен 27.07.2011 в 11:08 А реально, есть глюк в вебасисте? Mikhail Sedov Отправлен 25.07.2011 в 20:55 Ну я бы на месте владельца всё-таки ссылки эти позакрывал, перегенерировал хеши для открытия, выслал обновленные ссылки по незакрытым заказам. Ведь в выдаче яндекса не находятся одновременно имя, емейл, адрес и список покупок, а по ссылке всё как на ладони. Согласен, работа не стоит 250 уе, даже по самым шикарным тарифам – это около 10 часов работы. Не думаю, что там выйдет больше 15 минут, особенно при таком конвейерном подходе. А с прямыми руками можно и нужно делать и самому. Mirolubow Vladimir Отправлен 25.07.2011 в 20:33 | В ответ автору Mikhail Sedov. человек, имеющий отношение к интернет коммерции, должен разбираться в таких простых вещах. в добавок руководитель интернет магазина. в горячке выбрасывать 250$ нет смысла, всё равно не поможет ничего, пока яндекс из выдачи не уберет. а самые интересные ссылки засвечены не только на хабре ;) Mikhail Sedov Отправлен 25.07.2011 в 20:24 | В ответ автору Mirolubow Vladimir. По-правильномунадо людей, разбирающихся что и как делать в Shop-Script (я не про robots.txt, а сам просмотр заказа) попросить написать доходчивый туториал, где шаг за шагом объяснить что можно сделать. Например как разрешить просматривать заказ без пароля только в течение суток, как убрать яндекс.метрику со страницы заказа, как защитить страницу заказа простым сгенерированным пин-кодом, … Mikhail Sedov Отправлен 25.07.2011 в 20:17 Представьте себя на месте владельца интернет-магазина, засветившегося в выдаче? Я бы уже поседел, если любой человек мог посмотреть, что клиенту Васе из Урюпинска, пр. Ленина, д.39, кв. 1 отправился страпон. А теперь представьте вам звонит сам Вася. Как вы объясните, что данные перестанут выдаваться яндексом через неделю, когда сайт будет переиндексирован? Как вы объясните, если ссылку на Васин заказ кто-то засветил в тех же комментах на хабре? Надо закрыть просмотр заказов без входа. Я не работал с данным движком, и не знаю убирается эта функциональность в админке, или требуется лезть в пхп. И если требуется – не каждый владелец это сможет сделать. К сожалению уровень компьютерной грамотности горазно ниже, чем вы думаете. Даже robots.txt это уже высшая математика для многих. Mirolubow Vladimir Отправлен 25.07.2011 в 20:09 | В ответ автору Mikhail Sedov. не надо ни на чем зарабатывать, берете robots.txt b и прописываете в disallow: файлы отвечающие за страницы заказа. это не стоит 250$. И не надо давать ПОЛНЫЙ доступ к магазину! Mikhail Sedov Отправлен 25.07.2011 в 20:00 Не думаю. Человек просто хочет по-быстрому заработать денег на однотипной работе.

Комментарии к статье

comments powered by HyperComments