четверг, 12 декабря 2013 г.

Автовывод - за и против. Удобство vs безопасность.

Неоднократно слышу вопрос - почему я предпочитаю Пантеон - ведь там нет автовывода (в отличие от FxTrend)?
Поэтому давайте на минуту остановимся на этой теме.
У автовывода бесспорно, есть свои достоинства. Один клик мышкой - и средства уже у вас на аккаунте Ликпея, вебмани и т. д. Это во многом укрепляет и доверие клиентов - ведь в случае каких-то малейших сомнений средства можно вывести очень быстро.
Но есть несколько "но".
То, как реализован автовывод в FxTrend (по крайней мере сейчас) - открывает некоторую уязвимость. Если злоумышленники завладеют доступом к вашему аккаунту в FxTrend (а это
можно сделать, получив доступ к вашей почте, например, а далее можно восстановить пароль к кабинету в FxTrend) они могут вывести средства только на реквизиты, с которых производилось пополнение. То-есть вы вводили, например с кошелька вебмани н-ную сумму - и теперь в кабинете есть лимит - к выводу на ваш кошелек вебмани доступно столько-то средств. Казалось бы - вы защищены. Однако лимит устанавливается не на конкретно ваш кошелек вебмани, а на платежную систему! Хотя ваш кошелек фиксируется и просто так на другие реквизиты вывести средства не получится.
Но злоумышленник может пополнить на любую минимальную сумму счет в FxTrend с той же платежной системы (в нашем примере - вебмани), новый кошелек добавляется к "доверенным" реквизитам (с которых производилось пополнение) и - вуаля - теперь все средства в пределах лимита доступны к выводу на новый кошелек! (То-есть пополнив счет на минимальную сумму с той же ПС, злоумышленник сможет вывести все средства (в пределах доступного лимита, конечно) на свой кошелек в этой ПС.)

В Пантеоне же совсем другая история :). Как меня заверил представитель компании, в случае добавления новых платежных реквизитов, оператор свяжется с клиентом и уточнит, действительно ли ему принадлежит новый кошелек.
Поэтому, вывод в Пантеоне хоть и не так быстр, как автовывод, зато более надежен.
Хотя если говорить про скорость вывода, тут тоже все относительно. Ибо в Пантеоне средства сейчас выводятся на протяжении дня (а последнее время - несколько часов), а в FxTrend автовывод срабатывает тоже не всегда и в таком случае приходится ждать дня 3-4. Кроме того, сумма вывода в Пантеоне за один раз ограничена только лимитами ПС - то-есть за один раз можно вывести суммы большие, чем в FT с помощью автовывода.

О данной уязвимости знают в ФТ и ее давно обещали устранить с вводом смс-авторизации. Правда шла речь о том, что это будет реализовано ориентировочно в октябре 2013 года, а воз и ныне там...
Также справедливости ради, должен отметить, что пользователь сам должен следить за тем, чтобы его почту не взломали - я бы не стал например, сохранять пароль от важных почтовых ящиков в браузере. Стоит остерегаться ходить по всяким левым сайтам и т. д.
Также данная проблема не носит массовый характер - я пока знаю только один случай потерпевшего (у него бедолаги, еще и со штрафом со всех ПАММ-счетов средства вывели)...
Надо отдать должное - администрация ФТ не отмахнулась от произошедшего - на последней конференции говорилось о том, что пострадавшему пользователю украденные средства вернут в виде бонусных средств. Снять он их не сможет, зато доход с инвестиций сможет получать и дальше. Респект :)

В общем, не все то золото, что блестит. Автовывод имеет не только свои плюсы, но и минусы.
И поэтому не могу сказать, что отсутствие автовывода в Пантеоне - это минус. В некотором смысле (кому важна безопасность) - даже плюс.

7 комментариев:

  1. Мне кажется не стоит впадать в паранойю - так же если вы потеряли пароль от кошелька WM - кто вам виноват, если ваши деньги украли? Не ходите по порносайтам и не будет у вас проблем.

    ОтветитьУдалить
  2. Пантеоны молодцы - на форуме чел писал, что поменял почту, ему даже позвонили из компании, чтобы понять он ли это делал. Респект за такой подход к безопасности!

    ОтветитьУдалить
  3. Вот вам и живой пример взлома аккаунта FxTrend http://forum.fx-trend.com/index.php/topic/5760-взлом/

    ОтветитьУдалить
  4. здравствуйте. проинформируйте пожалуйста когда руководство Fr-tr обещает ввести смс подтверждение при входе в ЛК как допустим в приват24. насколько я знаю было обещано ещё осенью 13г. а "воз и ныне там". что за система RSA security token.? которую хотят ввести в Fr-tr?

    ОтветитьУдалить
  5. Здравствуйте!
    Сначала было обещано в октябре, потом на декабрьской конференции говорилось что вот-вот, но пока так и не реализовано. Я так понимаю, что они над этим работают, но когда будет реализовано - непонятно. Возможно, в любой момент.
    RSA secutity token - что-то вроде ключ доступа на флешке. Но я так понял, что пока от этой идеи отказались в пользу смс-подтверждения.

    ОтветитьУдалить
    Ответы
    1. спасибо Денис. с Вами приятно общаться и получать ответы на свои вопросы

      Удалить
    2. Спасибо на добром слове :)

      Удалить