Bankir.Ru
3 декабря, суббота 03:20

Объявление

Свернуть
Показать больше
Показать меньше

ВЗЛОМАНА ПЛАТЕЖНАЯ СИСТЕМА Cyberplat

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ВЗЛОМАНА ПЛАТЕЖНАЯ СИСТЕМА Cyberplat

    подробности тут - http://forum.securitylab.ru/forum_posts.asp?TID=4621

  • #2
    Вообще-то есть разница между "Взломана платежная система" и "Взломан САЙТ платежной системы" :-)

    Комментарий


    • #3
      а на этом сайте интересные вещи лежат. например, бинарники программ, которые используются клиентами и партнерами киберплата. не будь хакер ленивым - поправил бы чуток бинарники, и можно было бы каким-нибудь банком порулить чуток...

      Комментарий


      • #4
        да, кстати, ссылки на систему авторизации, которая проверяет логин в систему, тоже находятся на www.cyberplat.ru. сейчас они ведут на cards.cyberplat.ru, но могли бы - в немножко другое место

        Комментарий


        • #5
          to баггзи

          Cyberplat думает иначе

          (http://www.ifin.ru/news/read/2638.stm )


          ...
          Вот как прокомментировал данное заявление об опасности для пользователей системы директор департамента информационных технологий ОАО "Cyberplat.Com" Сергей Чекин:

          - База данных, о которой идет речь, используется только для отображения карты точек приема платежей сотовых операторов. Все данные, которые содержаться в базе, отображаются на карте.

          Ничего конфиденциального, а тем более секретного там нет. Все, что в БД - то и на экране. На данном сервере содержатся только скрипты и данные для самого сайта компании "КиберплатКом" (как интернет представительства). Там нет никаких скриптов и данных, обеспечивающих функциональность Cyberplat, как платежной системы.

          Из ответа г-на Чекина можно сделать вывод о том, что проблема с уязвимостью сайта все же существует, но она никак не скажется на функциональности самой системы.

          Комментарий


          • #6
            неизвестно, что думает киберплат, а вот что он говорит - мне известно, сюда пришел именно по ссылке с ifin естественно, угроза максимально замалчивается как их техническими специалистами перед руководством, так и руководством перед общественностью. плюс они могут и сами не понимать величину угрозы, потому что действиями продемонстрировали... кхм... не лучшую компетентность.

            реально - через сервер cyberplat.ru можно было залезть к ним в локальную сеть и чуток там похозяйничать (знаю от человека, который из любопытства туда слазил), что грозило минимум перехватом экаунтов всех активных пользователей. ну и плюс более тривиальные методы атаки вроде подмены выложенного на сайт ПО для работы с клиентами и подмены ссылок.

            btw, на runet.ru, откуда перепечатана процитированная выше статья, появился небольшой апдейт...

            Комментарий


            • #7
              вот еще одно заявление их IT-директора, висело на www.cyberplat.ru минут пять

              http://www.securitylab.ru/_article_i...CyberPlate.gif

              Комментарий


              • #8
                Уважаемые!
                1. Это сто пудовая заказуха конкурентов и раздувание из мухи слона.
                2. Знаю эту систему более 3 лет и скажу одно - одна из самых надежных.
                3. Сайты все сломать можно, если захотеть. А вот саму систему взломать, а уж тем более в локалку Киберплат войти - это бред!

                С уважением, Сергей (но не Чекин).

                Комментарий


                • #9
                  любопытно, кто только что настроил файрвол у форума так, что меня не пускает? ладно, залез через прокси...

                  нет, я не имею никакого отношения к конкурентам киберплата, и тот, кто эту информацию слил в СМИ - тоже не имеет. он действителньно предупредил их по нескольким адресам, и не раз, а их СБ облажалась и проигнорировала предупреждения (заметьте, СЧ не комментировал, было ли предупреждение). не знаю на самом деле, зачем он это опубликовал, может, настроение было плохое одно знаю - киберплатовцы сами облажались, и, если им хочется найти виновных - пусть ищут среди своих сотрудников и менеджеров, которые таких понанимали.

                  а про то, что можно залезть в локалку через веб-сервер - это грустная практика, которая встречается в очень многих организациях - веб-сервер просто используется как маршрутизатор, и взлом веб-сервера соответственно дает возможность залезть в ЛВС организации. лично видел такое, и не в одном месте...

                  Комментарий


                  • #10
                    ... мне тут подсказывают, что это не файрвол банкира, а какие-то проблемы у ISPов, так что подозрение в Страшном Заговоре снимается

                    Комментарий


                    • #11
                      M@K
                      1.Это сто пудовая заказуха конкурентов и раздувание из мухи слона.

                      Сергей!
                      А разве при сегодняшней ситуации на рынке это реально нужно?

                      Комментарий


                      • #12
                        К сожалению, есть компании, которые прибегают и к более гнустным методам... это факт.

                        Простой пример: что сейчас творится с ЮКОСом...

                        Комментарий


                        • #13
                          M@K
                          Давайте лучше вместе займемся борьбой с фродом!?

                          Комментарий


                          • #14
                            M@K
                            Сергей! А есть ли интерес посетить 24 Июля Питер и поучаствовать во встрече Группы реализующей Проект создания системы фрод мониторинга и управления рисками при наземном эквайринге для одного из Питерских банков?

                            Комментарий


                            • #15
                              Я бы рад... и с удовольствием бы... но я в отпуске с 25 июля и улетаю.... отдыхать.

                              Комментарий


                              • #16
                                M@K
                                OK! Next time hope!

                                Комментарий


                                • #17
                                  А как Вам такое?

                                  Комментарий


                                  • #18
                                    2Volod : А как Вам такое?
                                    28 апреля 2000 г. работники КБ «Платина» производили операции по списанию комиссии за получение выписки о состоянии счета в не принадлежащих банку банкоматах, по всем счетам клиентов банка, пользующихся пластиковыми карточками банка «Платина».

                                    При этом работником банка со специального карточного счета Кузьмичева Г.М. ошибочно был списан не 1 доллар США, а сумма 220200 долларов США, которая фактически отображала дату «22.02.00», когда Кузьмичев Г.М. получал в банкомате выписку об остатке денег на его карточном счете.

                                    03 мая 2000 г. работники КБ «Платина», для исправления допущенной ошибки, в аторизационной компьютерной базе данных держателей пластиковых карточек, провели операцию по пополнению карточного счета Кузмичева Г.М. на сумму 220199 долларов США, за вычетом 1 доллара США, являющегося комиссией банка за просмотр состояния счета Кузьмичева Г.М. в банкомате другого банка.
                                    Давно так не смеялся. Это прямо парад уродов какой-то !
                                    WBR, Александр Турчин

                                    Комментарий


                                    • #19
                                      А как адрес сервера вычислялся : )

                                      Комментарий


                                      • #20
                                        Ну.... ребят вы еще вспомните... лет 10 назад что было в Европе, Штатах и т.п.

                                        Я не собираюсь защищать КБ Платина, но хочу сказать:

                                        Фактически в России 1998-2000 года это более-менее начало развития Электронной коммерции в России. В те времена большинство банков попадало в такие ситуации... только одни просто заминали все эти вопросы и списывали себе в убыток, а другие направлялись в соответствующие органы типа Управления Р и т.п. (соответственно этим делам придовалась огласка).

                                        Заметьте, что и сейчас достаточно известные банки или организации работающих в подобных сферах попадают в подобные ситуации, и эти ситуации в основном стараются скрыть, дабы лицо не потерять..

                                        А вообще оглянитесь, ведь почти 100% банков прошли через подобные ситуации...

                                        А факторов для размножения подобного у нас много:
                                        - не совершенное законодательство (в отличии от западных стран на порядок ниже)
                                        - слишком большие затраты на решения комплекса задач по защите и информационной безопасности
                                        - ну а человеческий фактор - мы от него никогда не уйдем.

                                        Вот так!

                                        Комментарий


                                        • #21
                                          Не защищая, ..."А как Вам такое?"..., скажу, что автор использовал самые смешные обороты из обвинитительного заключения по делу Кузьмичева Г.М.
                                          1х1

                                          Ц и т а т а :
                                          --------------------------------------------------------------------------------
                                          28 апреля 2000 г. работники КБ «Платина» производили операции по списанию комиссии за получение выписки о состоянии счета в не принадлежащих банку банкоматах, по всем счетам клиентов банка, пользующихся пластиковыми карточками банка «Платина».

                                          При этом работником банка со специального карточного счета Кузьмичева Г.М. ошибочно был списан не 1 доллар США, а сумма 220200 долларов США, которая фактически отображала дату «22.02.00», когда Кузьмичев Г.М. получал в банкомате выписку об остатке денег на его карточном счете.

                                          03 мая 2000 г. работники КБ «Платина», для исправления допущенной ошибки, в аторизационной компьютерной базе данных держателей пластиковых карточек, провели операцию по пополнению карточного счета Кузмичева Г.М. на сумму 220199 долларов США, за вычетом 1 доллара США, являющегося комиссией банка за просмотр состояния счета Кузьмичева Г.М. в банкомате другого банка.
                                          ----------------------------------
                                          Cybercrime
                                          Что написяно пером, не вырубиш и ...

                                          Комментарий

                                          Пользователи, просматривающие эту тему

                                          Свернуть

                                          Присутствует 1. Участников: 0, гостей: 1.

                                          Обработка...
                                          X