Как пополнить номер из чужой подписки PLAY - инструкция для читов

В начале недели Вы можете прочитать о случаях мошенничества в PLAY. Воры используют знание паролей для учетных записей Play24 и пополняют учетные записи других людей, в результате чего количество подписчиков увеличивается на 150 злотых. Как это возможно?

Механизм мошенничества объяснил один из пользователей форума PLAY. Это может быть способ, которым воры были активны, потому что команде с сайта Trusted Third Party удалось воссоздать условия мошенничества и ... пополнить чужой аккаунт без согласия подписчика.

Необходимо уточнить, что для пополнения чьего-либо заранее оплаченного номера в PLAY необходимо подтвердить эту операцию, введя одноразовый пароль, который отправляется на наш номер Play24. Мошенники, однако, пришли с идеей поменять номер для одноразовых паролей, и таким образом подтверждение пополнения карты будет идти не на наш номер, а на номер, указанный мошенником. В Play24 используется пробел, который должен отправлять информацию об изменении количества одноразовых паролей не только на новый, но и на старый номер. Он этого не делает - он отправляет одноразовый код авторизации только на новый номер, а старый пропускает - есть даже уведомление о том, что что-то изменилось в нашей учетной записи Play24. Отныне вор имеет полный контроль над учетной записью, а подписчик об этом не знает. Самый простой способ использовать это, продавая «левые» пополнения через Интернет.

JanuT из блога Play написал:

Я представляю способ сделать это (избежать проблемы генерации пароля на номер владельца учетной записи):
1. Предположим, что наш номер для одноразовых паролей составляет 777 777 777 (счастливые-несчастные семерки) Я представляю способ сделать это (избежать проблемы генерации пароля на номер владельца учетной записи):   1 ).
2. Давайте предположим, что номер мошенника 666 666 666 (без комментариев ).
3. Читер входит в Play24 (www) - путь, по которому он пропускает логин и пароль.
4. Мошенник входит в закладку «Мой профиль» - без дополнительной авторизации (короче BDA).
5. Мошенник удаляет номер (если он есть - потому что он может отсутствовать) «Выделенный номер для одноразовых паролей SMS», то есть 777 777 777, нажимая маленький крестик справа рядом с номером - BDA (Play24 не подтверждает эту операцию, отправляя код SMS на номер 777 777 777 - это критический момент всей «хитрости» и неисправность лежит на стороне Play / P4 ).
6. В этом поле читер набирает номер 666 666 666, который теперь пуст и подтверждает его.
7. АВТОРИЗАЦИЯ - Play24 отправляет код SMS на НОВЫЙ НОМЕР 666 666 666.
8. Мошенник получает код на свой номер и вводит его в Play24 и утверждает.
9. Play24 предоставит код, и с этого момента номер для авторизации любой операции - это чит номер 666 666 666.
10. Мошенник выполняет любые операции с учетной записью (даже требуя пароль) - он делает столько пополнений, сколько ему нужно, столько номеров, сколько он хочет, и столько номеров подписки, сколько он хочет.
11. Поскольку после выставления счета-фактуры владелец аккаунта узнает об этом, и для подписки существует ограничение в 150 злотых в месяц, то после пополнения (после пополнения) он немедленно удаляет свой номер 666 666 666 из Play24, как описано в п.5.
12. Мошенник выходит из системы.

Вся операция, с момента входа в систему до момента выхода, включая перезарядку трех номеров по 50 злотых, занимает около 100 секунд.

Команде из блога Trusted Third Party удалось несколько раз использовать этот метод, чтобы пополнить число «без ведома» человека, принимающего участие в эксперименте. Метод не работал каждый раз, когда проводился эксперимент, но он оказался действительно эффективным.

В патенте фактически использовались две вещи - отключение системы Play24, но, прежде всего, знание логина и пароля для учетной записи абонента. Вор должен каким-то образом получить такой пароль. Поэтому главное - не использовать один пароль для многих порталов и сервисов - как вы можете видеть, это может привести к ощутимым финансовым потерям.

На самом деле, ничего не произойдет, если вы измените свой пароль Play24 сейчас - на всякий случай. Кстати, вы можете проверить, есть ли у вас активная служба, чтобы пополнить свой счет подпиской. Вы можете отключить его в панели управления сервисом.

Представитель PLAY заверил, что сеть занимается этим делом, и что каждый такой случай будет рассматриваться - не бойтесь сообщать о них. Он также призвал создать сложные, надежные пароли для сайта Play24 и предоставил полезную информацию:

Мы уже знаем больше об этом. Кроме того, вчера нам удалось внедрить дополнительное решение / безопасность. Во время зарядки мы отправляем SMS на номер для оплаты. Если вы заказываете пополнение, у вас есть подтверждение действия, если нет - сообщите нам о ситуации как можно скорее.

В блоге PLAY мы читаем, что не информирование «старого» номера об изменении количества одноразовых паролей имеет свою основу. Посудите сами, является ли это разумным объяснением. Представитель PLAY написал:

В комментариях я прочитал, что вы не понимаете, почему изменение номера на одноразовые пароли не подтверждается в текущем выпуске. Это не пробел или системная ошибка. Ответ очень прост - это результат исследований, проведенных среди клиентов. Если вы потеряете свой телефон, такое быстрое и необходимое изменение будет невозможно. Помните, что первым делом всегда нужно войти в Play24, где мошенники из какого-то источника должны получить ваши логины и пароли.

Несколько изменений были внесены в данный момент. Теперь, даже если кто-то взломает учетную запись Play24 (которая вряд ли узнает пароль), мы будем проинформированы о том, что ему было приказано пополнить телефон из нашей подписки. SMS с паролем будет отправлено на номер, с которого будет начисляться пополнение (на которое будет списана учетная запись), даже если на веб-сайте был установлен другой номер для одноразовых паролей. То же самое относится и к добавлению нового номера к одноразовым паролям - абонент всегда информируется SMS-сообщением. Это очень хорошая идея. Просто этот тип уведомлений должен работать с самого начала этого сервиса, вам не кажется?

источник: Игровой форум , Слушать блог , Доверенная третья сторона

Как это возможно?
Просто этот тип уведомлений должен работать с самого начала этого сервиса, вам не кажется?