Teddyid, одноразові паролі - марні

Користувачі Яндекс.Денег підтверджують кожну витратну операцію за допомогою одноразового пароля. Це повинно захистити їхні гроші, проте на практиці в багатьох випадках захист не працює.

Яндекс.Деньги пропонують два способи отримання одноразових паролів - SMS і коди з мобільного додатку «Яндекс.Деньги» для iOS, Android і Windows Phone.

Teddyid, одноразові паролі - марні

Якщо користувач вибирає SMS, то коли він робить транзакцію, наприклад переводить 10 рублів на гаманець № 123456, він отримає SMS такого змісту «Пароль: 1234. Переклад на рахунок 123456 10р.». Якщо користувач насправді хотів перевести іншу суму на інший гаманець або зовсім не намагався перекладати ніякі гроші, то він не введе SMS-пароль, і його гроші залишаться з ним. Це приклад, коли другий фактор захисту - SMS-пароль - працює.

Teddyid, одноразові паролі - марні

Teddyid, одноразові паролі - марні

Оскільки про атаки типу MitB відомо вже більше 10 років і їх реалізація гранично проста, а незахищеність Яндекс.Денег по відношенню до MitB видно неозброєним поглядом, цілком ймовірно, що користувачі Яндекс.Денег вже неодноразово піддавалися таким атакам і втрачали гроші.

Я написав Яндекс.Деньги про існуючі вразливості, і ось що отримав у відповідь:

Ми знаємо про існування MitB. Але, в даному випадку, описаний сценарій складно вважати вразливістю сервісу. Як ви розумієте, подібний сценарій можливий не тільки з сервісом Яндекс.Денег, але і з будь-яким сайтом. Ми робимо все можливе, щоб убезпечити платежі на своєму боці, а користувачі за умовами угоди користувача (п.4.21.7) повинні забезпечити безпеку з'єднання і комп'ютера, використовуючи звичайні засоби захисту (антивірус і т.д). Проте, заходи щодо захисту від атак типу MitB нами теж опрацьовуються.

Teddyid, одноразові паролі - марні

Що робити користувачам поки Яндекс.Деньги опрацьовують заходи щодо захисту від атак типу MitB? Якщо ви не можете на 100% бути впевненими, що ні підхопите ніякої троян, то перейдіть на паролі в SMS, якщо зараз підтверджуєте транзакції за допомогою одноразових паролів з програми, а також не використання аварійних кодів. Але більш правильно, якщо Яндекс.Деньги самі не будуть пропонувати користувачам свідомо небезпечні опції: одноразові паролі з програми і аварійні коди.

Я розповів про цю уразливість в Яндекс.Деньгах для того щоб допомогти пересічним користувачам відрізняти реальну багаторівневий захист від security theater. А також застерегти інші сервіси від повторення помилки, яка відома вже більше 10 років. Для них, ми не тільки заявляємо про проблему, а й пропонуємо продукт для надійної двухфакторной захисту.