Comments 74
И тут уже Яндекс не виноват ни в чем.
Кстати, администраторы сурово решили проблему. На данный момент сайт банка даже на главной выдает 403-ю ошибку.
Уже подняли.
МТБанк настолько суров, что решает проблему утечки данных полным закрытием сайта.
ждём базу в продаже. несколько тысяч это сурово :(
>>оступны персональные данные людей, оставивших заявление на кредит
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
Подобные топики уже порядком поднадоели и, на мой взгляд, опускают хабр до уровня желтой прессы. Слово «Мегафон» стало быстрым способом нарубить кармы?
UFO just landed and posted this here
теперь перед тем как пользоваться какими-то деанонимизирующими сервисами придется пробивать их на выдачу в поисковиках.
Почему нельзя вначале в банк сообщить о проблеме, а не кидать инфу в твиттер? Что за люди.
UFO just landed and posted this here
Вообще не надо было в твиттер писать, пока данные были доступны. Какому-то козлу не утерпелось, а люди теперь могут пострадать вполне реально. Все таки надо и о других иногда думать.
всё правильно он сделал. наши банки по нескольку месяцев на вопросы с сайта отвечают
Все правильно пока ваши данные не попали. Все правильно пока деньги у вас со счета не увели :)
Потом через суд вернете в n раз больше. Чего переживать :)
пока наоборот, админы крячат банки на денежки HEX-редакторами:
www.google.ru/search?q=16+%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2+%D1%81%D0%BE+%D1%81%D1%87%D1%91%D1%82%D0%B0+%D1%82%D0%BE%D0%BB%D1%8C%D1%8F%D1%82%D1%82%D0%B8+%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0
www.google.ru/search?q=16+%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2+%D1%81%D0%BE+%D1%81%D1%87%D1%91%D1%82%D0%B0+%D1%82%D0%BE%D0%BB%D1%8C%D1%8F%D1%82%D1%82%D0%B8+%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0
Имхо, вполне этично. Это не сайт-визитка ООО «Рога и копыта» или мой, у которого почту проверяют хорошо если раз в месяц. 2 часа вполне достаточно, чтобы зайти по урлу, убедиться в наличии утечки и врубить 503-ю ошибку (Service Unavailable) на весь сайт до хотя бы её локализации и врубания 503 (или 401/403) на конкретном разделе.
и это есть гут. в следующий раз будут более оперативно следить за сообщениями с сайта. а то привыкли только на телетайп отзываться
МТБанк — Миф Твоей Безопасности™
Скриншот папки /data/anketa: img35.imageshack.us/img35/1860/36630215.jpg
Названия директорий вынесли мозг.
Названия директорий вынесли мозг.
Да такое сплошь и всюду, устал удивляться. Самое распространенное из разряда «вырви глаз» — это «anketa», «kabinet» и т.п.
Мда. А кто знает, по-белорусски «Сберегательный» через «С» или через «З»?
via zber_card
via zber_card
А что вам не нравится? Немного искажённый транслит, причём искажённый так, что бОльше части населения он больше понятен.
— Ничего себе золотой Пежо! — подумал я, не прочитав следующую строку…
Сайт местами заработал, но с ошибками.
—
—
Может хоть кто-то задумается в следующий раз, отдавая на разработку сайт своей компании за откаты. Программисты виноваты, но тот кто их выбрал на порядок хуже.
Думаю анализ безопасности должен происходит в любой системе и тут не программисты виноваты, а тот, кто их контролировал. Думаю у них должен быть отдел безопасности, которые отвечает также и за сохранность банковской тайны.
Анонимусы из твиттера говорят, что сайт был целиком на аутсорсе — никто не знал, что там вообще творится. Но это ОБС и ждём официальных комментариев.
Очень на то похоже:
[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.
но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239
То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.
whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY
тогда как
whois 178.124.130.236
netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY
видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.
но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239
То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.
whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY
тогда как
whois 178.124.130.236
netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY
видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
Ну, как бы, один раз допустивший похожий по некоторым последствиям косяк в банковском софте (не в вебе, не в каком-другом паблике, но допускавший, и допустивший утечку банковской тайны) могу сказать, что я не был виноват. У меня было ТЗ, я его реализовал, у меня его приняли по пунктам ТЗ. Требований авторизации в ТЗ не было вообще, только идентификации. Идентификация работала, о чём есть соответствующий акт сдачи-приёмки. Прокуратура в моих действиях вины не нашла. То что банк в ТЗ не написал мне требования авторизации (или если бы написал и принял софт не проверив работают они или нет) — вина только банка.
Мда… как можно хранить данные клиентов в папке с сайтом?
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
Уже закрыли… И mtb.by/test/ тоже. Неужели их суппорт решил использовать хабр как багтрекер?
Интересно, какое будет продолжение. Может статься так, что в Белоруссии станет одним банком меньше.
Должно войти в обиход: «я знаю, где ты брал кредит прошлым летом, ха-ха-ха»!
МТБанк официально прокомментировал утечку анкетных данных
ЗАО «МТБанк» сегодня распространило официальный комментарий относительно утечки анкетных данных, случившейся накануне вечером. Напомним, в результате инцидента временно была доступна информация по электронным заявлениям о возможности получения услуг банка.
В комментарии отмечено, что речь идет не о списке клиентов МТБанка, а о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. «Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров», — говорится в комментарии.
«Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает в обычном режиме.
При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным», — отмечается в комментарии.
«Анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно.» — т.е. если я стану их клиентом и они сольют мои данные — то это не страшно? Т.к. слили их ДО того, как онир ешили что их клиентом мне быть. Офигенно.
За одно подобное заявление надо закрывать такую шарагу на**й.
За одно подобное заявление надо закрывать такую шарагу на**й.
Нужно казнить, показательно, самым суровым сочетающимся с законом образом! Чтобы вытрясти «совок» из головы.
Sign up to leave a comment.
МТБанк: по следам Мегафона