Jump to content
Dropped.pl

AfterMarket.pl - uwagi i sugestie

Recommended Posts

A ja cały czas czekam na proste rozwiązanie, aby pokazując domeny na daną frazę na giełdzie, pogrubionym lub innym kolorem pokazywało własne domeny. Skoro można było tak zrobić dla domen zarezerwowanych, to można też chyba zrobić dla domen wystawionych na sprzedaż, co? A to znacznie ułatwi przeglądanie, szczególnie w sytuacji, gdzie połowa domen na daną frazę pokazywanych na giełdzie należy do mnie, ale jednak mając dużo domen, nie znam wszystkich na pamięć, więc muszę co chwila kliknąć. Albo można też wstawić nick sprzedawcy, co ułatwi sprawę.

 

Przykładowo: Pomiędzy nazwą domeny a możliwością jej obserwacji jest tyle miejsca, że nick sprzedawcy na pewno się zmieści

 

kjwucl.png

  • Like 1

Share this post


Link to post
Share on other sites

Support nie reaguje i nie odpowiada na tickety! Zaczynam poważnie obawiać się o bezpieczeństwo moich danych osobowych, jak i bezpieczeństwo utrzymywanych domen w Aftermarket.pl... Niedawno miałem taką sytuację, że klient, który kupił ode mnie domenę wszedł w posiadanie moich pełnych danych osobowych. Aftermarket.pl tak usilnie chroni dane osobowe kupujących, jak i oferentów, ale o swoich najważniejszych klientach, czyli sprzedających już zapomina? Dzisiaj natomiast wchodzę na konto i patrzę, a tu zamiast mojego adresu e-mail, jako login widnieje adres e-mail klik@ppd.pl! Nic nie zmieniałem i nie potwierdzałem żadnych zmian. Zaczynam mieć poważne obawy, a support milczy! Czy w ostatnim czasie mieliście podobne sytuacje związane z bezpieczeństwem Waszych danych osobowych, czy konta i domen utrzymywanych w Aftermarket.pl?

  • Like 2

Share this post


Link to post
Share on other sites

Wczoraj i dzisiaj nie dotarły newslettery

"Najciekawsze domeny do przechwycenia"

Do mnie dotarł zarówno wczoraj, jak i dzisiaj.

"Wybrane domeny do przechwycenia"

Takie coś nie istnieje i nigdy nie istniało.

Share this post


Link to post
Share on other sites

Dzisiaj natomiast wchodzę na konto i patrzę, a tu zamiast mojego adresu e-mail, jako login widnieje adres e-mail klik@ppd.pl! Nic nie zmieniałem i nie potwierdzałem żadnych zmian. Zaczynam mieć poważne obawy, a support milczy! Czy w ostatnim czasie mieliście podobne sytuacje związane z bezpieczeństwem Waszych danych osobowych, czy konta i domen utrzymywanych w Aftermarket.pl?

 

 

Właśnie przed chwilą miałem podobną sytuację, zmiana na klik(@)ppd.pl bez mojej inicjatywy, taraz nie mogę dostać się na swoje konto.

Edited by Pan_Grzegorz

Share this post


Link to post
Share on other sites

Właśnie przed chwilą miałem podobną sytuację, zmiana na klik(@)ppd.pl bez mojej inicjatywy, taraz nie mogę dostać się na swoje konto.

 

Panowie, to o czym tutaj piszecie nie wygląda dobrze... powiem nawet więcej: wygląda bardzo niedobrze.

Nie miałem takiej sytuacji ale jeżeli dwóch użytkowników pisze o takim ( :excl:) błędzie to co mają myśleć inni. Co się dzieje?

  • Like 1

Share this post


Link to post
Share on other sites

Bardzo dziwne jest to co piszecie, wszedłem na konto klik@ppd.pl (na które normalnie nikt się nie loguje, bo to tylko automat klikający potwierdzenia transferu z nask i ignorujący wszystkie inne maile) i faktycznie w ciągu ostatnich dwóch dni przyszło kilkadziesiąt maili z Aftermarket typu "domena wygasła" czy "nowa oferta w aukcji". Niestety (a raczej: na szczęście) nie ma informacji jakich kont dotyczą maile. Nie ma też niestety żadnej informacji typu "adres mail został zmieniony", więc trudno mi zgadnąć jak to odkręcić. W razie gdyby ktoś potrzebował kliknięcia żeby zmienić maila, czy coś takiego, to proszę o kontakt PM i uwierzytelnienie - mam jednak nadzieję że to nie będzie potrzebne, i "się naprawi" tak samo jak "się zepsuło". BTW wydawałoby się, że w systemie nie powinno być dwóch różnych kont przypisanych do tego samego adresu e-mail, skoro tenże adres służy za login? :unsure:

  • Like 4

Share this post


Link to post
Share on other sites

Bardzo dziwne jest to co piszecie, wszedłem na konto klik@ppd.pl (na które normalnie nikt się nie loguje, bo to tylko automat klikający potwierdzenia transferu z nask i ignorujący wszystkie inne maile) i faktycznie w ciągu ostatnich dwóch dni przyszło kilkadziesiąt maili z Aftermarket typu "domena wygasła" czy "nowa oferta w aukcji". Niestety (a raczej: na szczęście) nie ma informacji jakich kont dotyczą maile. Nie ma też niestety żadnej informacji typu "adres mail został zmieniony", więc trudno mi zgadnąć jak to odkręcić. W razie gdyby ktoś potrzebował kliknięcia żeby zmienić maila, czy coś takiego, to proszę o kontakt PM i uwierzytelnienie - mam jednak nadzieję że to nie będzie potrzebne, i "się naprawi" tak samo jak "się zepsuło". BTW wydawałoby się, że w systemie nie powinno być dwóch różnych kont przypisanych do tego samego adresu e-mail, skoro tenże adres służy za login? :unsure:

Przemek, może lepiej dla bezpieczeństwa wyłączyć teraz ten automat klikający?

Share this post


Link to post
Share on other sites

Hm, dobry pomysł, spróbuję ustalić z programistą czy możemy to sprawnie zrobić.

 

[edit] tylko że... on jest używany też do kilku innych rzeczy, więc to może nie być możliwe/wskazane.

Edited by pb

Share this post


Link to post
Share on other sites

Bardzo dziwne jest to co piszecie, wszedłem na konto klik@ppd.pl (na które normalnie nikt się nie loguje, bo to tylko automat klikający potwierdzenia transferu z nask i ignorujący wszystkie inne maile) i faktycznie w ciągu ostatnich dwóch dni przyszło kilkadziesiąt maili z Aftermarket typu "domena wygasła" czy "nowa oferta w aukcji". Niestety (a raczej: na szczęście) nie ma informacji jakich kont dotyczą maile. Nie ma też niestety żadnej informacji typu "adres mail został zmieniony", więc trudno mi zgadnąć jak to odkręcić. W razie gdyby ktoś potrzebował kliknięcia żeby zmienić maila, czy coś takiego, to proszę o kontakt PM i uwierzytelnienie - mam jednak nadzieję że to nie będzie potrzebne, i "się naprawi" tak samo jak "się zepsuło". BTW wydawałoby się, że w systemie nie powinno być dwóch różnych kont przypisanych do tego samego adresu e-mail, skoro tenże adres służy za login? :unsure:

 

Ja nadal mało rozumiem. Co ma wspólnego klik@ppd.pl (skoro jest traktowany jak "zwykły" login) na Aftermarket.pl z tym, że u innych, osobnych użytkowników również on wyskoczył? W jakim sensie jest powiązany ten login z AM w odniesieniu się do tego, że to automaty klikający potwierdzenia transferu z nask + że gdyby ktoś chciał zmienić maila to pisać do Ciebie na PW?

Share this post


Link to post
Share on other sites

Nasz dział techniczny sprawdza opisany problem. Napiszę więcej gdy otrzymam od nich raport.

Edited by Dropped.pl

Share this post


Link to post
Share on other sites

Ja nadal mało rozumiem. Co ma wspólnego klik@ppd.pl (skoro jest traktowany jak "zwykły" login) na Aftermarket.pl z tym, że u innych, osobnych użytkowników również on wyskoczył? W jakim sensie jest powiązany ten login z AM w odniesieniu się do tego, że to automaty klikający potwierdzenia transferu z nask + że gdyby ktoś chciał zmienić maila to pisać do Ciebie na PW?

 

Bo ten mail należy do mnie.

Share this post


Link to post
Share on other sites

Bo ten mail należy do mnie.

 

Wiem. Ale po co ktoś miałby zmieniać maila i do czego go zmieniać? Chodzi o to, że nie rozumiem związku pomiędzy klik@ppd.pl

a logowaniem się do AM.

Share this post


Link to post
Share on other sites

Wiem. Ale po co ktoś miałby zmieniać maila i do czego go zmieniać? Chodzi o to, że nie rozumiem związku pomiędzy klik@ppd.pl

a logowaniem się do AM.

 

W dropped użytkownik loguje się mailem.

Edited by pb

Share this post


Link to post
Share on other sites

W dropped użytkownik loguje się mailem.

 

Chodzi mi dokładnie o to: "W razie gdyby ktoś potrzebował kliknięcia żeby zmienić maila, czy coś takiego, to proszę o kontakt PM i uwierzytelnienie - mam jednak nadzieję że to nie będzie potrzebne, i "się naprawi" tak samo jak "się zepsuło".

Share this post


Link to post
Share on other sites

Wiem. Ale po co ktoś miałby zmieniać maila i do czego go zmieniać? Chodzi o to, że nie rozumiem związku pomiędzy klik@ppd.pl

a logowaniem się do AM.

Ja rozumiem dlaczego ktoś miałyby zmieniać majla akurat na ten, a nie inny, jeżeli stało się tak za pośrednictwem osób trzecich i jak mogłoby to być wykorzystane, oczywiście nie będę tego pisał. (Wiem, że pytałeś o coś innego.)Cały czas mam nadzieję, że stało się to w wyniku jakiego niegroźnego błędu.

Problemem jest to, że AM cały czas jest serwisem niestabilnym i nie gwarantuje bezpieczeństwa domen. To, co trzeba by zrobić niezwłocznie jest zabezpieczenie najważniejszych operacji, takich jak zlecenie wypłaty pieniędzy, zmiana danych do wypłaty, transfer domen i opcji, zmiana cen na giełdzie i zmiana adresu e-mail za pomocą kodu sms. Mogłoby to się odbywać na takiej zasadzie, że np. kod sms odblokowuje te operacja na 30 min-1h, nie musiałby to być obowiązkowe i jeżeli ktoś chce ryzykować to niech nie korzysta z takiego rozwiązania. Jeżeli takie lub podobne rozwiązania nie zostaną wprowadzone, a cały system zabezpieczenia będzie opierał się wyłącznie na hasłach/e-mailach to problemy są tylko kwestią czasu.

Edited by Pan_Grzegorz

Share this post


Link to post
Share on other sites

Chodzi mi dokładnie o to: "W razie gdyby ktoś potrzebował kliknięcia żeby zmienić maila, czy coś takiego, to proszę o kontakt PM i uwierzytelnienie - mam jednak nadzieję że to nie będzie potrzebne, i "się naprawi" tak samo jak "się zepsuło".

 

Nie rozumiem czego nie rozumiesz. Skoro obecnie kontroluję teoretycznie czyjeś konto lub nawet kilka kont (przecież znając mail mogę "odzyskać hasło", zalogować się i zrobić wiele ciekawych rzeczy), to proszę o kontakt gdyby ktoś chciał żebym mu coś na koncie zrobił. :D Ale tak konkretnie chodziło mi o przypadek, gdyby ktoś chciał zmienić ten mail z powrotem na własny - zakładam że taka zmiana musi być potwierdzona kliknięciem w link wysłany na obecny mail.

  • Like 1

Share this post


Link to post
Share on other sites

Nie rozumiem czego nie rozumiesz. Skoro obecnie kontroluję teoretycznie czyjeś konto lub nawet kilka kont (przecież znając mail mogę "odzyskać hasło", zalogować się i zrobić wiele ciekawych rzeczy), to proszę o kontakt gdyby ktoś chciał żebym mu coś na koncie zrobił. :D Ale tak konkretnie chodziło mi o przypadek, gdyby ktoś chciał zmienić ten mail z powrotem na własny - zakładam że taka zmiana musi być potwierdzona kliknięciem w link wysłany na obecny mail.

 

Teraz rozumiem :P

 

Natomiast nie wiemy (jeszcze) na czym polega ten problem i czy faktycznie jest możliwe "teoretyczne kontrolowanie" innych kont... <_<

Po drugie rodzi mi się jeszcze sto pytań w związku z tym dziwnym problemem ale poczekajmy co napisze @Dropped.pl a wtedy ewentualnie zainteresowani będą zadawali pytania.

Share this post


Link to post
Share on other sites

To, co trzeba by zrobić niezwłocznie jest zabezpieczenie najważniejszych operacji, takich jak zlecenie wypłaty pieniędzy, zmiana danych do wypłaty, transfer domen i opcji, zmiana cen na giełdzie i zmiana adresu e-mail za pomocą kodu sms. Mogłoby to się odbywać na takiej zasadzie, że np. kod sms odblokowuje te operacja na 30 min-1h, nie musiałby to być obowiązkowe i jeżeli ktoś chce ryzykować to niech nie korzysta z takiego rozwiązania. Jeżeli takie lub podobne rozwiązania nie zostaną wprowadzone, a cały system zabezpieczenia będzie opierał się wyłącznie na hasłach/e-mailach to problemy są tylko kwestią czasu.

 

Bardzo słuszna sugestia pod którą się w pełni pospisuję.

Share this post


Link to post
Share on other sites

Jeżeli o mnie chodzi to zalogowanie się na konto jest już możliwe./ wcześniej nie było

To jednak nie wyjaśnia sprawy. Chyba wszyscy chcieliby usłyszeć jakieś wyjaśnienia od AM. Jak osoba trzecia zdołała zmienić e-maile kilku użytkowników bez ich wiedzy? Jakie kroki zostaną poczynione, aby uniknąć takich sytuacji w przyszłości?

Edited by Warszawiak
  • Like 3

Share this post


Link to post
Share on other sites

Zgodnie z przeprowadzoną analizą zmiana emaili wynikła w wyniku błędu technicznego w skrypcie zmieniającym email dla konta, zaistniałym w dniu 20 lutego. Błąd ten został już naprawiony i podobne zmieny nie będą się powtarzać. Błąd ten nie spowodował zagrożenia dla domen ani dla środków zgromadzonych na kontach użytkowników.

 

Sugestia dotycząca dodatkowych potwierdzeń operacji jest słuszna. W tej chwili część operacji jest chronionych hasłem drugiego poziomu, postaramy się najbliższym czasie rozbudować system zabezpieczeń aby obejmował także inne operacje.

Share this post


Link to post
Share on other sites

Czy podwójne hasło do konta, czyli podwójne logowanie się, najpierw hasłem nr 1, a następnie nr 2, zwiększyłyby bezpieczeństwo i jak bardzo, czy takie rozwiązania są praktykowane.

 

Potrzebne jest: możliwość zawieszenia przez użytkownika opcji przypominania i loginu do jego konta, a do tego czasu te funkcje należy wyłączyć i opracować kilka rozwiązań o różnym stopniu bezpieczeństwa, np. konieczność potwierdzenia z dwóch różnych maili. Dla nowych kont to pewnie jest przydatna funkcja, ale stali użytkownicy potrzebują bezpieczniejszych rozwiązań i wyboru stopnia bezpieczeństwa.

Share this post


Link to post
Share on other sites

Widzę, że support Aftermarket.pl działa na forum Di.pl w trybie ekspresowym z pominięciem działów technicznych, finansowych i innych od których odpowiedzi przez tickety nie sposób uzyskać. Od dzisiaj zaprzestaję pisania jakichkolwiek ticketów, tylko od razu opisuję sprawę tutaj na forum publicznym. Na forum problem został wyjaśniony, natomiast na ticket nadal nie otrzymałem odpowiedzi, więc sprawa jest jasna i klarowna.

 

Wracając do wyjaśnienia problemu, jak dla mnie jest ono niewystarczające. Brak jakichkolwiek konkretów, standardowa odpowiedź - błąd techniczny. Nadal czuję, że moje dane osobowe, domeny i zgromadzone środki na koncie są zagrożone przez ciągle występujące błędy techniczne w skryptach Aftermarket.pl. Dodam tylko, że to nie pierwsza podobna sytuacja, jaka miała miejsce z moim kontem.

 

Nadal nie otrzymałem wyjaśnienia w sprawie jak kupujący ode mnie domenę mógł wejść w posiadanie moich pełnych danych osobowych i w godzinach wieczornych wykonać do mnie telefon, którego numeru nie miał prawa znać. Dlaczego mi, jako sprzedającemu nie chcecie ujawnić choćby adresu e-mail kupującego, a moje pełne dane osobowe są ujawniane osobie trzeciej bez jakiejkolwiek zgody.

 

Jestem rozczarowany i rozgoryczony powyższymi sytuacjami i tutaj nie wystarczy mi "przepraszamy - błąd techniczny". Oczekuję sensownego wyjaśnienia i stosownej rekompensaty od Aftermarket.pl jeżeli nadal chcecie, abym był Waszym klientem. Powoli zaczynam czuć się jak tester, łącznie wysłałem do Was prawie 200 ticketów i czy ktoś mi kiedykolwiek podziękował za stracony czas na pomoc w naprawie dziur w Waszym serwisie?

 

Przy okazji jeśli chodzi o bezpieczeństwo i dodatkowe zabezpieczenia... Wystarczy załatać dziury w skryptach i nie wykonywać zależnych operacji na pracującym skrypcie oraz wyłapać idiotyczne rozwiązania, jakie do tej pory są zastosowane. Przykład pierwszy z brzegu - przy zmianie adresu e-mail, czyli loginu w serwisie Aftermarket.pl potwierdzenie zmiany z linkiem aktywacyjnym jest wysyłane na nowy adres e-mail. Gdzie tu sens i logika?

  • Like 3

Share this post


Link to post
Share on other sites

Przykład pierwszy z brzegu - przy zmianie adresu e-mail, czyli loginu w serwisie Aftermarket.pl potwierdzenie zmiany z linkiem aktywacyjnym jest wysyłane na nowy adres e-mail. Gdzie tu sens i logika?

Mam nadzieję, że pomyliłeś daty? Do 1 kwietnia zostało jeszcze trochę czasu...

Edited by Warszawiak

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×