Всем добрый вечер господа. Случилось тут со мной принеприятнейшая история. Захотел поделиться. Активно пользуюсь услугами каршеринга -зарегистрирован в 11 компаниях, чтобы не было проблем с поискам ближайшей машины. Ну да ладно, не туда. В общем вчера, в понедельник (23.04.2018) с утра приходит письмо на почту что на одном из сервисов мой аккаунт заблокирован, захожу в него и вижу то, что на вышеуказанном фото, т.е. кто-то круто покатался аж 3600 рублей. (Сразу оговорюсь что данной компанией пользуюсь крайне редко и в принципе средний чек выходит рублей на 350 и сумму не списали потому что на тот момент не было столько денег на привязанной к аккаунту карте) Я конечно знаю что понедельник день тяжёлый, но это как то уж совсем. Звоню в техподдержку пишу туда же письмо и выясняю что я арендовал машину с 14:00 22.04.2018 и завершил аренду 23.04.2018 в 02:00 ночи. После моих объяснений что 22.04.2018 я выходил из дома только чтобы погулять с ребёнком и в аптеку, а в 5:00 23.04.2018 утра проснулся на работу и был приятно удивлён, у меня приняли притензию и сказали что Вам перезвонят. Сегодня 23.04.2018 мне позвонил менеджер данной компании и после долгой и приятной беседы, он мне высказал следующие предположение: что из-за того что в разных сервисах у меня одинаковые логин с паролем, то какой-то недобросовестный менеджер другой каршеринговой компании путём ввода данных решил покататься под моим аккаунтом в их компании, после чего посоветовал мне сменить пароли чтобы во всех одиннадцати сервисах они были разные. Это Вам друзья мои лайфхак как себя обезопасить. В общем заявка моя в СБ компании перед которой у меня теперь долг, после действительно приятной с беседы с менеджером было предложенно сотрудничество, благо такая возможность у меня есть, притензий к данной компании у меня пока нет, обещали объективно разобраться. Короче, если всё получится и у меня будет на руках трек поездки , а также еслиВам будет интересно чем всё закончится, то возможно скоро будет ещё один пост, но уже с названиями компаний и возможно даже с фотографиями лиц, которые катались под моим аккаунтом. Так что ждём-с. А я пока отвязываю банковскую карту от всех каршеринговых компаний и удаляю на хер все их приложения. Берегите себя.

• Лучшие сверху
• Первые сверху
• Актуальные сверху

51 комментарий

Все пароли хешируются. (или у них в IT индусы?) Что за лапшу тебе вешают на уши?

Не лапша. Техподдержка вероятно права. Старо как мир

Откуда у менеджера могли взяться пароли пользователей?!

Это зависит от тупизны программистов

удивитесь, но даже сервисы с миллионной аудиторией не всегда хешируют т.к. это ресурсоемко.

что за бред? маломайский md5 ресурсы жрет не больше чем запрос в бд

Лично с другом, из чисто спортивного интереса в 11 классе ломанули админку от кабинета информатики, выкачав с компа md5 пароля и прогнав его через базы.
а) Он был очень далек от qwerty , довольно длинный и не имеющий в основе никакого слова
б) Сомневаюсь, что у ТС пароль сложнее
Я к чему, md5 не панацея

а теперь прибавьте время поиска md5 хэшей по БД (больше в сравнении с голыми паролями) и помножьте все это на миллион пользователей. По этой же причине крупные сервисы не удаляют данные, а всего лишь дропают пути к дате. Даже столь, казалось бы, малые выигрышы в скорости обработки одной операции оборачиваются гиганской экономией времени и ресурсов при выполнении миллионов операций.

Зачем искать хэши по базе? есть же пара, пароль и логин/емейл. Сначала находим юзера по лоигну/емейлу, и уже в языке сравниваем тупо хеш пароля из базе с тем хешом который мы получили от пароля введенного юзером и все.
Не удаляют данные по другим причинам, это целостность базы, для статистики и т.д.

Да да хешируются: менял пароль в скайпе а оно мне нельзя использовать пароль который вы уже использовали . Или я тупой или таки хеш + соль не должный сойтись будь он дважды уже использован . Толи у них под хешем подразумевается XOR . Короче кругом сплошное наебалово . P.s. не надо гнать на индусов наши свитчеры в ойти такое чебучат методом копипасты со стаковерфлова — что волосы на жопе шевелятся .

И таки где он хранит старую соль ? Я таки считаю что любая привязка «зашквар» .

А как ты думаешь они проверяют пароль на правильность при логине? Если бы они всегда были недоступные к сравнению, ты бы войти не смог.

Не на всех одинаковые. Только там где его можно придумать самому, это как минимум 5 компаний ко орые я знаю.

Разве помимо логина и пароля нет привязки к номеру мобильного телефона?

Каршеринг — ау?!

Пока вы тут смахиваете снег со своего автомобиля, карта российских городов, в которых доступен каршеринг, пополняется новыми точками.

В октябре «Делимобиль» пришёл в Уфу, а в ноябре — уже в Нижний Новогород. Казань окружают?

Ну а если Вы хотите возмутиться, почему казанцы до сих пор не могут воспользоваться поминутным автоматизированным прокатом автомобилей, просто вспомните, как долго и мучительно в начале 2000-ых в Татарстан заходил «Билайн».

Смотрите видео: ТОП 7 ПРОДАВАЕМЫХ АВТО В РОССИИ 2017! ПОПУЛЯРНЫЕ АВТО В РФ