Главная | Топ кэшбэк сервисов | Все магазины с кэшбэком | Что такое кэшбэк? | Как заработать? | FAQ | Отслеживание посылок
TopCashback.ru - Топ лучших кэшбэк сайтов и сервисов, рейтинг, отзывы, обзоры

Все кэшбэк сервисы | Калькулятор кэшбэка


Интересное / Сайт Letyshops был взломан, украдены пароли и емейлы пользователей

Сайт Letyshops был взломан, украдены пароли и емейлы пользователей


Крупнейший кэшбэк-сервис Letyshops допустил утечку данных клиентов? В конце января 2019, нам стало известно что хакеры взломали сайт Летишопс и украли если не все данные пользователей, то их емейлы и пароли точно. Не совсем известно как это произошло, но на одном из подпольных форумов в интернете появилось сообщение о бесплатной раздаче аккаунтов пользователей кэшбэк-сервиса LetyShops с логинами (email) и паролями, часть базы доступов выложена на форуме, она насчитывает свыше 122 000 взломанных аккаунтов Лети, а остальную часть базы продают за деньги (всего у Летишопс на данный момент более 7 млн. пользователей).

ВАЖНО: из моральных соображений, мы не можем сказать где купить базу логинов и паролей от Летишопс (надеемся на ваше понимание).



Уже ходят слухи о золотых 300 000 тысячах активных пользователей Летишопс, которые составляют львиную долю от дохода компании и больше всего интересуют многих конкурентов Лети. Раннее мы уже писали что в ноябре 2018, украинские спецслужбы провели обыски в офисах Летишопс на Украине и было открыто уголовное дело по 5 криминальным статьям. Возможно эти два события как-то связаны.

Сама база аккаунтов, доступна для скачивания по ссылке на форуме и имеет текстовый формат (публиковать ссылку здесь не будем). Рабочие ли это аккаунты? Да, проверив несколько случайных аккаунтов из этой базы, все аккаунты оказались реальными и многие с денежными балансами.

Как могли взломать Letyshops?

Комментариев от самого cashback-сервиса пока не последовало. Вариантов взлома довольно много. Возможно пароли брутились (подборка паролей через программу Брутфорс) или подбирались через различные базы взломанных емейлов (есть подобные базы которые содержат более 300 млн. емейлов и паролей), но вряд ли кто-то подставлял все эти емейлы к сайту https://letyshops.com чтоб проверить подходит емейл и пароль или нет. Так что с большей долей вероятности, можно утверждать что сайт крупнейшего в России кэшбэк сервиса Letyshops был взломан, поэтому если Вы пользователь Лети, настоятельно рекомендуем использовать кэшбэк сервис ЕПН сменить свои пароли.

На большинстве сайтов, пароли пользователей хранятся в зашифрованном виде (обычно это MD5 хеш), но в интернете можно найти целые базы и даже сервисы, где можно найти незашифрованный пароль, введя его зашифрованный вариант. Возможно был получен доступ к сайту Лети и при вводе логина и пароля, данные пользователей дополнительно пересылались злоумышленникам.

Также есть вероятность что был получен доступ к одному из расширений или плагинов для браузера, где достаточно взломать емейл разработчика к которому привязаны расширения и плагины для браузера Лети, где пользователи тоже вводят свои логины и пароли (в плагины могли внедрить вредоносный код). Учитывая что в расширение Lety встроены функции проверки продавцов на Алиэкспресс от стороннего сервиса, то тудой тоже могли получить доступ. И собственно ещё доступ могли получить если взломали аккаунт приложений для Android или iOS (там тоже можно внедрить свой код и перехватить доступы).

Не исключено что мог быть получен доступ к серверам где хранятся файлы и скрипты Летишопс (взлом сервера), возможно у Лети работает сотрудник который сливает инфу конкурентам, вариантов действительно очень много и проверить их довольно сложно, даже тем кто работает в Letyshops.

База паролей и емейлов пользователей Летишопс

Ниже на фото, база паролей это текстовый файл в котором около 122 000 строк с емейлами и паролями пользователей Лети (чать паролей мы затерли, но специально были оставлены первые пару символов паролей). Как видно на скриншоте, в каждой строке идет сначала емейл, потом двоеточие и пароль от аккаунтов на Летишопс:



Также взяли 3 случайных мыла из скриншота выше, ввели указанные пароли и 1 юзер оказался в нулевым балансом, а у второго 452 рублей на балансе, а у третьего 76 рублей на счету:









Разумеется мы проверили доступ к некоторым емейлам из списка и как оказалось пароли не подходят к их почтовым ящикам, но великолепно подходят к аккаунтам Летишопс. Все примеры в статье реальные и представлены здесь только для ознакомления, ну и как пруф, чтоб никто не думал что этот вброс на самом деле вброс.

Кстати даже если получить доступ к какому либо аккаунту Лети, то для вывода денег в любом случае потребуется смс подтверждение с привязанного номера телефона (особенно при добавлении нового кошелька или карты для выплат), поэтому у злоумышленников не получится ничего украсть у пользователей сайта https://letyshops.com, который не зря самый топовый в рейтинге кэшбэк сервисов

Скорее всего кто-то из конкурентов Лети может сделать спам рассылку по этим украденным емейлам, поэтому если Вы пользователь Летишопс и Вам приходит спам от других кэшбэк сервисов в которых Вы не зарегистрированы, сообщите об этом в техподдержку Лети или отпишитесь тут ниже в комментариях.

В каких кэшбэк сервисах могут быть украдены деньги пользователей?

Недавно исследователь компьютерной безопасности Трой Хант опубликовал статью об утечке 773 млн почтовых аккаунтов пользователей. В массив данных под названием Collection #1 вошли данные об аккаунтах, полученные из самых разных источников. В ней содержатся 773 млн уникальных почтовых адресов и 21 млн паролей к почтам. Сейчас файлы с украденными данными уже вычищены, но их можно найти на популярных хакерских форумах.

Скачав данные базы (и не только эти), мы обнаружили что для одного емейла может быть по 5-10 паролей, видимо украденных с разных аккаунтов форумов, приложений, сервисов, соцсетей и.т.д, тем самым можно узнать все популярные пароли которые использует тот или иной пользователь (вы не поверите, но там есть пароли 99% ваших друзей и знакомых буквально со всех стран). Также существует множество программ типа Брутфорс и скриптов для подбора паролей к почти любым сайтам с помощью данных баз или банального перебора символов.

Мы решили проверить в каких кэшбэк сервисах можно легко украсть деньги с балансов пользователей, имея подобные базы. Как оказалось, больше всего риску взлома подвержены кэшбэк сервисы у которых нет SMS подтверждения при добавлении новых кошельков для выплат или подтверждения выплат по SMS. А также вкусняшкой считаются сайты где не используется каптча при входе на сайт (при вводе логина и пароля). Разумеется тухлый кэшбэк сервис вряд ли кто захочет взламывать, так как денег там не густо, а вот топовые кэшбэк сервисы где более 100 000 пользователей, вполне могут стать жертвой для подобных атак.

Учитывая что привести 1 пользователя в кэшбэк сервис, обходится кэшбэк сервисам в среднем около 1$, поэтому ущерб нанесённый Letyshops составляет не менее 122 000 долларов (злоумышленники могут использовать взломанные 122 000 адресов емейл для рассылки спама и рекламы сторонних кэшбэк сервисов). Если в распоряжении злоумышленников попала полная база пользователей Letyshops (более 7 млн пользователей), то ущерб может составлять более 7 млн долларов, а цена подобной базы может составлять более 500 000 долларов.

Так чтобы Вы понимали, чтобы привлечь 7 млн пользователей на сайт https://letyshops.com, ушло более 4 лет работы и гораздо больше 1 млн долларов инвестиций в проект. На данный момент в штате Летишопс более 190 сотрудников, а также есть офисы в Виннице, Киеве и Москве, а в планах выход на рынок Индии, Южной Америки и Европы. Что свидетельствует о том, что это не только качественный, но и самый популярный кэшбэк сервис на данный момент.

Ещё интересное о кэшбэк сервисах:



В чем подвох кэшбэк сервисов?

Отслеживание почтовых отправлений и посылок по трек номеру

Как обмануть кэшбэк сервис?

Как получить двойной кэшбэк на Алиэкспресс?

Что такое кэшбэк и как это работает?

LetyShops.ru - обзор кэшбэк сервиса

EPN Cashback - Обзор кэшбэк сервиса

На чём зарабатывают кэшбэк сервисы?

Qiwi Bonus - обзор кэшбэк сервиса

Кэшбэк с оффлайн магазинов за сканирование чеков

Glai.in - обзор кэшбэк сервиса

Как и куда лучше вывести кэшбэк?

Почему кэшбэк может быть не начислен?

Smarty.Sale - Обзор кэшбэк сервиса

Cashback.ru - обзор кэшбэк сервиса

Ebates.com - обзор кэшбэк сервиса

В чём смысл кэшбэк сервисов?

AliBonus.com - Обзор кэшбэк сервиса

MegaBonus.com - обзор кэшбэк сервиса

Яманета - обзор кэшбэк сервиса

Как подключить кэшбэк к своему интернет магазину?

Сколько зарабатывают кэшбэк сервисы?

Агрегатор кэшбэк сервисов - TopCashback.ru

Kopikot.ru - обзор кэшбэк сервиса

Как получить кэшбэк Алиэкспресс дважды за один заказ?

Cash4Brands.ru - обзор кэшбэк сервиса

TopCashback.com - обзор кэшбэк сервиса

Сайт Letyshops был взломан, украдены пароли и емейлы пользователей

Какой кэшбэк сервис лучше выбрать?

Как получить кэшбэк на Алиэкспресс через приложение?







Это надо лайкнуть: