Пишу данный текст, чтобы привлечь внимание общественности к проблеме уязвимости безопасности GG PokerOK. Также хотелось бы получить ответы на мои вопросы от официальных лиц сайта. Если вкратце, я считаю, что на данном покерном сайте работают лица, действующие в сговоре с мошенниками, уводя ваши балансы в неизвестном направлении. Для данных мошеннических действий ими используется конфиденциальная информация об игроках (которой владеет только рум, и я думаю никто из вас не хотел бы чтобы ее распространяли направо и налево), а также они используют некоторые уязвимости в системе безопасности.

Теперь к деталям. Осторожно, будет много букв

ВВОДНАЯ ЧАСТЬ

Более-менее активно начал играть МТТ на GG PokerOK с апреля этого года, всего задепозитил частями за это время порядка $1500 на сайт, которые практически полностью слил. Для меня это большая сумма. В ночь с 15 на 16 октября 2022 года я проездом находился в Армении (сам я из РФ) и решил поиграть с телефона турниры. Занял 1 место в турнире Bounty Hunters за $12.6, получил $4237.42 призовых. Весьма обрадовался этому факту, так как была мечта играть МТТ более регулярно, и затем вступить в популярный фонд, но никак не мог скопить банкролл для регулярной игры АБИ 10+, в виду дисперсионности данной дисциплины. Я не стал делать вывод средств, так как находясь в поездке заграницей с одним телефоном (без компа и ноутбука) это было делать неудобно, я хотел сделать вывод через крипту, но хотел дождаться возвращения в Россию (19 октября), чтобы спокойно сделать вывод с компа и элементарно не перепутать адрес кошелька для вывода или что-то еще. На следующий день, в ночь с 16 октября на 17 октября я уже находился в Грузии, снова играл турниры. После чего утром 17 октября я получил на телефон на свою электронную почту письмо следующего содержания:

В моей голове на тот момент картина была абсолютно логичная:

- на днях я выиграл крупную сумму, раннее крупных выигрышей на этом сайте у меня не было - за последние 2 дня я сначала зашел в клиент с телефона (обычно заходил с компа) с геолокацией в Армении, а потом еще и с геолокацией Грузии, хотя до этого всегда играл из РФ, что может быть подозрительным для рума.

По иронии судьбы письмо я открыл именно с телефона, а не с компа, и в мобильном приложении Gmail по умолчанию не видно отправителя письма, для этого нужно нажать дополнительно на кнопку «Кому»:

Спойлер

Возможно, открыв письмо с компа, я бы заметил, что письмо отправлено не с адреса support@pokerok.com, а с адреса support@pokerok.net. Опять же меня не удивило подобное обращение от «поддержки», так как всё выглядело логичным. Письмо выглядело точно также как письмо от официальной поддержки, и я ничего не заподозрил. После чего меня попросили выслать селфи с паспортом, что я и сделал, а потом сообщить код, который придет сейчас на почту. Код я не задумываясь переслал мошенникам, хотя если бы прочитал внимательно, то увидел бы в письме с кодом, что этот код предназначается для сброса пароля. Не знаю почему я этого не заметил, то ли двухдневный недосып, то ли уверенность в том, что общаюсь с реальным саппортом, всегда был очень внимателен к таким вещам, а тут просто не прочитал, впервые за 30 лет жизни, бывает же такое… Далее мошенники изменили пароль от моего аккаунта, зашли в него, а я только по прошествии 3-4 часов, попытавшись зайти в аккаунт и поняв, что не могу этого сделать, понял что случилось, восстановил пароль, зашел, но на счете денег уже не было. При этом никаких запросов о выводе средств на мою почту не поступало, хотя электронная почта в моем аккаунте на ПокерОК изменена не была.

В этом месте повествования у вас вот такая картинка в голове:

Казалось бы, всё понятно, я виноват, сам дал мошенникам код, тема закрыта, что еще тут обсуждать?

Но есть несколько «НО». Предлагаю немного порассуждать логически

УМОЗАКЛЮЧЕНИЯ И ВОПРОСЫ К САЙТУ

1) Мошенники знали электронную почту, куда мне написать. Это закрытая информация, невозможно связать мой ник на сайте с адресом моей электронной почты, и уверяю вас этой информацией я нигде не раскидывался, это не в моих интересах. Даже если кто-то следил за победителями турниров и знал мой ник, то он не мог ниоткуда узнать мою почту.

Вопрос номер 1 к официальным лицам сайта ПокерОК. Откуда мошенники узнали мою почту, если я ее никому не сообщал и не было никаких утечек информации?

2) Мошенники написали мне о том, что мой аккаунт попал на проверку не просто в тот момент, когда я выиграл крупную сумму в турнире ($4237.42), а после того, как на следующий день я продолжил активно играть турниры, и не сделал ни одного вывода средств. То есть если бы мошенники просто писали бы всем игрокам, кто только что выиграл турнир, то зачастую бы натыкались на аккаунты, в которых нет денег, потому что игрок их уже успел вывести, таким образом они бы «охотились» на пустые или почти пустые аккаунты и тратили бы время впустую. А в моем случае мошенники написали мне именно тогда, когда на балансе была полная сумма. Кроме того, после взлома я написал в Телеграме представителю рума, Дмитрию, и задал вопрос, обращались ли еще в последнее время в саппорт другие игроки, которых взломали или пытались взломать, используя данную почту. На что Дмитрий мне ответил, что таких обращений не было:

Спойлер

Подобных тем на форуме с такой схемой развода как у меня в последнее время мною тоже обнаружено не было.

То есть можно было бы предположить, что у мошенников просто была большая база адресов почт, которые вроде бы имеют отношение к покеру, и они могли бы сделать массовую рассылку якобы от саппорта ГГ и возможно у кого-то из этой базы действительно был бы аккаунт на ГГ и он бы повёлся. Но почему тогда кроме меня не было других обращений?

Итак, имеем 2 факта:
• мошенники написали не сразу после выигрыша, а после того как я продолжил играть не делая вывод средств;
• проблема не массовая, в поддержку не было других обращений о взломе или жалоб на данный электронный адрес

Из этих 2 фактов можно сделать весьма обоснованное предположение, что мошенники ТОЧНО ЗНАЛИ, на кого охотится, и что у меня есть деньги на балансе.

Вопрос номер 2 к официальным лицам сайта ПокерОК. Как мошенники могли узнать, что спустя сутки после выигрыша я еще не успел вывести деньги с аккаунта? В сочетании с вопросом номер 1 смею выдвинуть предположение, что кто-то из сотрудников ПокерОК просто слил конфиденциальную информацию (адрес почты, баланс, уровень настроек безопасности) мошенникам. Иначе в такие совпадения я не верю

3) Этот пункт самый интересный. Деньги с моего счета были выведены путем перевода другому игроку внутри рума. Я дал мошенникам войти в аккаунт, но я не давал им разрешений на вывод средств. Также я не получал на свою электронную почту никаких писем о том, что с моего аккаунта пытаются перевести средства. Не должен ли такой популярный покерный сайт, на котором крутятся огромные деньги, иметь какую-то автоматическую или ручную систему безопасности, которая будет пресекать подобные случаи?

То есть, серьезно, происходит ситуация:
• на аккаунте только что был изменен пароль
• сразу же после изменения пароля с аккаунта пытаются перевести на другой аккаунт абсолютно все деньги одной транзакцией
• до этого с аккаунта не было ни одного вывода средств (тоже немаловажный момент)

Действия сайта ПокерОК:
Будем ли мы каким-то образом тормозить эту транзакцию? Не, нафиг надо. Может быть, потребуем ввода кода двухфакторной идентификации для этого вывода? Не, нафиг надо. Может быть хотя бы, просто на всякий случай, отправим пользователю письмо, что с вашего аккаунта пытаются осуществить перевод? Зачем, нафиг надо. Ладно, может быть хотя бы пришлем ему письмо подтверждение, что перевод успешно осуществлен? Нет, не надо нам такого.

Серьезно?!

Я играл на многих покерных сайтах и всегда когда делаешь вывод средств в первый раз, у тебя запрашивают подтверждение или даже селфи с паспортом. И уж точно всегда присылают письмо о совершенной транзакции. Если говорить, к примеру, о системах безопасности криптобирж (если кто-то здесь сталкивался с ними), то там чтобы вывести средства ВСЕГДА приходит шестизначный код подтверждения на почту. А еще на криптобиржах если поменял пароль от аккаунта, ты не можешь ни вывести ни перевести средства никуда в течение 24 часов после смены пароля. Представляете какое количество взломов предотвращает такая простая настройка? Почему на сайте ПокерОК с многомиллионными оборотами такой настройки нет? Кстати письма «ваш пароль от учетной записи успешно изменен» мне тоже не приходило. И уж точно я бы обратил внимание на письмо с содержанием «для перевода $4200 на адрес Х введите следующий код …»

Ок, допустим, это произошло потому, что у меня не были включены какие-то настройки аккаунта. Платежный пароль или что-то там еще. Но если поддержке ПокерОК известно о том, что для перевода внутри рума не требуется никаких подтверждений, и этим могут пользоваться мошенники, то почему бы не сделать для всех переводов принудительно подтверждение через код с электронной почты? Или почему бы не сделать добавление платежного пароля обязательным при создании аккаунта? Или почему бы не добавить везде предупреждение (при создании аккаунта опять же), что если у вас нет платежного пароля, то ваши средства не находятся в безопасности и мы не несем ответственности за случаи взлома, если у вас нет платежного пароля?

Всё это может порождать различные абсурдные ситуации:

Чисто гипотетическая ситуация номер 1. Вы находитесь в поездке, с ноутбуком, и заселяетесь в хостел, в общий номер. Играете с ноутбука на ПокерОК, ваш сосед по комнате замечает, что вы играете на этом сайте. Дальше в какой-то момент вам срочно понадобилось в туалет или банально перерыв в турнире, и вы идете в туалет, оставив ноутбук на своей кровати. В этот момент приходит подельник вашего соседа по комнате, берет ваш ноутбук и переводит все средства с вашего аккаунта на другой аккаунт и уходит. Сколько понадобится времени на это? Если знать какие кнопки нажимать, думаю максимум секунд 30. И у вас нет денег на счете. И вы даже не сразу это узнаете, потому что опять же вам не придет ни на почту, никуда никаких уведомлений об этом переводе.

Чисто гипотетическая ситуация номер 2. Вы периодически ходите в кафе рядом с домом, с ноутбуком, и иногда играете там на ПокерОК, допустим кэш. Это становится известно двум злоумышленникам. После этого в какое-то из ваших посещений этого кафе один из них отвлекает резко вас (как угодно, схватив ваш телефон со стола и начав убегать или начав бить по вашей машине стоящей за окном), вы также от неожиданности бежите за ним, в это время второй подельник просто берет ваш ноутбук с открытым клиентом ПокерОК и просто выводит все бабки со счета, также за 15-30 секунд.

А откуда мне было знать, что существует способ вывести деньги со счета без всяких кодов подтверждения и без писем на почту? Честно говоря, даже представить такого не мог.

А может быть (почему бы и нет) какое-то письмо все-таки должно было приходить мне, но какой-то сотрудник ПокерОК, подельник мошенников, позаботился о том, чтобы данный вывод средств прошел быстро, без задержек, и без писем на мою почту? И уж точно если подельник был, то он сообщил мошенникам заранее о том, какие настройки безопасности стоят в моем аккаунте, и что достаточно просто войти в аккаунт, и все деньги можно будет увести через перевод другому игроку.

Вопрос номер 3 к официальным лицам сайта ПокерОК. Вы действительно считаете, что возможность перевести все средства другому игроку без каких-либо дополнительных подтверждений в виде кодов – не является уязвимостью? Также вы считаете нормальным, что служба безопасности не отреагировала на этот перевод, учитывая что: деньги были выведены крупной транзакцией (за раз), это было сделано СРАЗУ ЖЕ после смены пароля аккаунта, и это был первый вывод средств с аккаунта?

В довершении всего, я пишу этот пост потому что вот уже 2 недели прошло с момента взлома, а от поддержки ПокерОК нет никакого ответа по поводу результатов проверки данного инцидента службой безопасности. На последнее мое письмо вообще уже почти сутки нет ответа.

После выигрыша собирался плотно играть на постоянной основе, приносить рейк руму, но после такого взлома, где на мой взгляд мошенникам помогли насколько это возможно, моя мечта разрушена. Серьезно, без шуток, после такого удара для меня восстановиться очень непросто, и материально и психологически.

Всем удачи за столами, желаю вам никогда не попадать в такую ситуацию, в которую попал я. И рекомендую не хранить крупные суммы денег на сайте ПокерОК.

Материал взят с сайта: https://forum.gipsyteam.ru