+161
Запланирован

Антивзлом аккаунта - доступ к изменению во вкладке "Информация" по СМС

Бezzyбцев Евгений 7 лет назад в Общие вопросы обновлен seoqual 5 лет назад 27
Тут все просто - кидают народ, когда взломают аккаунт и меняют твой телефон и скайп.
Так как эта информация находится на вкладке "информация" - именно к ней и надо закрыть доступ и давать изменения только по смс коду.
Одна из реальных проблем со взломом в этой теме https://www.free-lance.ru/commune/drugoe/5000/obschenie/8358672/moshenniki-voruyut-akkauntyi-kuda-voobsche-smotrit-podderjka-free-lanceru.html

Да хотя бы по мылу.

По мылу - слабовато, т.к. обычно с него взлом аккаунта и начинается.
Я бы предложила завязать на смс-пароль еще и смену пароля (странно, что этого нет изначально).

Или как в банке сделать. А именно, присылать пароли по смс на текущую сессию доступа к сайту.

​Если в аккаунте привязка к мобильному - могли бы считать это заодно верификацией.
Ну, это если нужно подтверждение реальности личности, а не сбор инфы, конечно.

​симки продаются без паспорта - пачками... какое подтверждение личности?

А действовать будет для номеров по всему шарику или как? :)

Ну и симки без паспорта продаются далеко не везде :(
в общем то это касается любых смс привязок, но сделать добровольно опционально можно конечно.. предусмотрев заодно потерю или смену симки например.. знаю полно народу которые меняют их как.. часто в общем.. меняют.. :)

​Если утрачен доступ к телефону, указанному в аккаунте, то сменить его на новый номер могут только менеджеры Службы поддержки после прохождения процедуры идентификации пользователя как владельца аккаунта.

​​Хорошая идея. Поддерживаю. По смс. Можно также не по смс, а через специальный пин-код. Или кодовое слово. Или вопрос-ответ в конце концов. Организация СМС-оповещения стоит денег - вряд ли кому-то из администрации нужны такие расходы. Они прибыли не дают по сути.

как бы если верить тому что они написали в разделе "pro", то с одних только платных аккаунтов выходит 5700000руб. в месяц, а еще реклама, комиссия сделок.
Что? Не хватит 50коп. на смс, юзеру? не каждый же день рассылать ему..
На крайний случай, судя по жадности сайта, сделают этот сервис платным.. че уж тут..

​​​На данный момент изменить/восстановить пароль или сменить номер телефона в аккаунте можно только после ввода кода из смс, которое придет на телефон, к которому привязан аккаунт. И регистрация на сайте теперь осуществляется с указанием номера телефона и через обязательный ввод кода из смс.
Смс бесплатные.

Может вы не так поняли, как сейчас обстоят дела (а обстоят они плохо).
У пользователя узнается пароль к аккаунту (метод: все что угодно - от вирусов и фишинговых сайтов, до скрытых вебкамер, заглядываний через плечо и установки программ-шпионов).
Суть - узнать пароль. Узнал пароль - вошел в аккаунт фрилансеру. И никто его не будет восстанавливать и менять, чтобы не "будить" владельца этого аккаунта.

Далее меняется сайт, скайп, почта, аська, ну а телефон - а зачем его трогать, все равно звонить не будет никто и перепроверять (проверено годами - мне никогда не звонят).

Ну а после смены вышесказанного - кидают кучу заказчиков на хорошие деньги.

Что от вас надо? Закрыть доступ ко всей вкладке "информация" - добровольно и опционально. И если я поставил защиту - то смена скайпа и прочего - только по СМС.

Вы вообще в курсе, что у вас на сайте происходит и как оно работает?
ИЗМЕНИТЬ пароль можно БЕЗ СМС. Более того, у вас нигде НЕТ функции подтверждения СМЕНЫ пароля ПО СМС.

Сайты аля фриланс – это золотая жила для мошенников.
В одном месте собраны люди у которых на компе водятся живые деньги.
Без какого-либо преувеличения можно сказать, что тут сейчас пасуться разводилы со всего мира – сотни их.
А администрация даже не в курсе вообще за то, как можно сменить пароль.
Супер.

А я говорил, что администрации это не надо. Они со структурой сайта то своей незнакомы, и еще лет 5 не будут, а мы просим ТАКИЕ СЕРЬЕЗНЫЕ ТЕХНИЧЕСКИЕ УЛУЧШЕНИЯ.))) Бабок заработать - главная цель. А что кто-то тут пострадает, это не минус в прибыль, да и бог с ним.​ Они даже консультантов убрали, чтобы фрилансеры не доставали - сделали вот этот сервис, так я задал вопрос - потом собственный вопрос не смог найти.)))

Пароль меняется без СМС

Сегодня пару часов назад взломали мой аккаунт фрилансера, началось со взлома почты, вот теперь большие проблемы. Мошенник вымогает деньги.

Тоже взломали пару часов назад. Правда, мне больше повезло, почту не взламывали. Пароль был легкий на фрилансе. Правда быстро среагировала. Изменила пароль.  А до этого момента мошенник уже успел ответить на несколько проектов. Видимо, был сильно увлечен и не заметил как я сменила статус на такого типа"Сейчас я не работаю через фриланс, поэтому если вам пишут о сотрудничестве с моего аккаунта, то пишет мошенник". Через пару минут статус сменился, ноя снова его обновила. Тут же сделала привязку к IP. Правда, из-за глюков системы и сама на данный момент не могу попасть в свой аккаунт. Но надеюсь, помощь по сайту среагирует и снимет привязку к айпишнику и я в скором времени зайду к себе.

​я, думаю, это гуд, все равно мы сайту уже давно номера телефонов слили, так пускай хоть о безопасности позаботятся...

​номера в базе давно, пускай не жлобятся на смс при верификации!!! 2 руками за

Приносим извинения за неточный ответ. Если пользователь авторизован на сайте, он может сменить пароль в Основных настройках, для смены ему понадобится ввести только старый пароль.

Мы обязательно подумаем над тем, как мы можем дополнительно повысить безопасность аккаунтов, в том числе с помощью смс-сообщений.

Не надо "обязательно думать". Вам уже предложили. как это сделать: завяжите на смс-пароль смену ВСЕХ контактных данных.

На данный момент изменить/восстановить пароль или сменить номер телефона в аккаунте можно только после ввода кода из смс, которое придет на телефон, к которому привязан аккаунт.
*фэйспалм*

​Поддерживаю.
В случае потери или кражи телефона заблокировать симку легко, а восстановить может только владелец номера. Почти как в банковской системе.

В Украине с этим делом проще, но все равно добраться до телефона на несколько порядков сложнее, чем до почты (и аккаунта)

Запланирован
Почему за безопасность вашего (акккаунта) должна отвечать администрация, а жертвы взломщиков, попавшие на деньги, опять же, винят администрацию? Каждый за себя, каждый несет ответственность за собственный аккаунт и его безопасность. И соответственно, обманутых в данном случае, заказчиков. Зачем плакать и кого-то винить, если в случившемся виноваты лично вы? Элементарно: платный и хороший антивирусный софт, сложные сгенерированные пароли, осторожность в интернете.

Сервис поддержки клиентов работает на платформе UserEcho