Комментарии 59
Зачем мобильному приложению в принципе такая информация? Образование? Ну и дата выдачи пенсии — это что-то за гранью.
Мы не знаем что это за вызовы. Есть подозрение, что человек это писавший, хорошо себе представлял что делает (это я так мягко намекаю на инсайд) и воспользовался некой уязвимостью. Т.е. эти данные не нужны аппу, но они есть в системе и к ним вот так получилось добраться.
Ну тут как бы не наличие этих данных в системе, а возможность открыто дернуть за нужную ниточку чтобы система эти данные отдала.
Так скажу — инсайдеры знают где эти данные лежат и как их получить внутри системы. Но для получения их извне нужно кроме знания еще и наличие технической возможности.
Я вот лично очень сомневаюсь, что тут
проблема исключительно в том, что
Или в том, что
Все может быть проще — парсеры запускались во внутренней сети банка, например.
Или, к примеру, на тестовом сервере, где лежат деперсонализированные данные (но очень похожие на настоящие). А цель выкладки в открытый доступ — продать их какому-нибудь не в меру доверчивому юному дарованию.
В общем, тут вариантов очень много. От серьезных, до смешных.
Так скажу — инсайдеры знают где эти данные лежат и как их получить внутри системы. Но для получения их извне нужно кроме знания еще и наличие технической возможности.
Я вот лично очень сомневаюсь, что тут
Еще стоит отметить, что вызовы REST API, используемые описанными выше парсерами, вот так впрямую не работают — сервер банка возвращает 404-ю ошибку
проблема исключительно в том, что
исходники парсеров не содержат важной части – кода авторизации “Authorization: Bearer“ в HTTP-заголовке (переменные авторизации в коде инициализируются пустой строкой)
Или в том, что
банк, обнаружив подозрительную активность в начале года убрал вызовы этих функций
Все может быть проще — парсеры запускались во внутренней сети банка, например.
Или, к примеру, на тестовом сервере, где лежат деперсонализированные данные (но очень похожие на настоящие). А цель выкладки в открытый доступ — продать их какому-нибудь не в меру доверчивому юному дарованию.
В общем, тут вариантов очень много. От серьезных, до смешных.
назову данный банк условно «Эпсилон».
…
букву «A» в имени читатели могу попробовать расшифровать сами
И никакого палева.
Эпсилон — т.к. производная.
А — ну так авторы скрипта назвали, у них и входной парметр «АААААА» называется ;)
А — ну так авторы скрипта назвали, у них и входной парметр «АААААА» называется ;)
Конечно-конечно производная.
Не "Омега" же называть.
Или «Бета».
P.S.: abSession на одном из скринов и hasAlfaCredit на другом как бы намекает
P.S.: abSession на одном из скринов и hasAlfaCredit на другом как бы намекает
Да и бины карт, начинающиеся с 5559 есть в России только у одного банка класса «А»)
Чтобы никого не обидеть (а банки очень обидчивы и любят публично поистерить силами своих пиар-отделов, все отрицая в стиле «вы все врете» и «на нас осуществляют информационную атаку»)
Ну так и пусть, в чём проблема-то?
Проблема в том, что не хочется стук в дверь от залетных оперов из Москвы услышать.
Типа фраза "не хотел никого обидеть" когда-то что-то меняла в этом плане.
Проблема в том, что пока Ашот этого не произнёс, журналисты боятся постить с ссылкой на него. А на хабр банку пофигу, тут сами все догадались.
До тех пор пока автор явно не сказал «Альфа-Банк» — он никому не интересен. Его намеки хоть и достаточно прозрачные — все же не равны явному указанию.
А зачем нужно было явное указание? Было и интересно и некая интрига. Да практически очевидно, что тем, кто понимает статью, оно не требовалось. И вот до вас, кстати, слов «.....-....» не было на странице.
НЛО прилетело и опубликовало эту надпись здесь
А вдруг это одни и те же разработчики? Да ну нет, не может быть такого :-)
Ром, ну это реально врятли. Т.к. код — говнокод. Скорее все-таки чел либо сам расковырял что-то (мобильный апп), либо ему подсказали что делать.
Плюс чел до этого имел опыт написания околобанковских скриптов несколько лет назад…
Плюс чел до этого имел опыт написания околобанковских скриптов несколько лет назад…
Надо пожаловаться в профсоюз взломщиков, чтобы они там навели порядок — стыдоба!
С докером всем по… стало, на культуру и аккуратность. Подымаешь инстансы, выполняешь работу, тушишь инстансы. Если что-то не корректно открузилось и допустил оплошность — ничего страшного, кто это заметит.
Я на хостинге в аренду взял тачку, получил ip, а мне запросы идут, как интернет магазину. Я не помню адреса, давно это было. Я ещё зашёл на сам магаз, он не мелким мне показался. Суть в том, что даже усилий прилагать не нужно, просто слушай, что тебе их сервера шлюут и анализируй. И самое то интересное не нарушаю же я ничего. Они мне сами эти данные на интерфейс пуляют. Благодать. Наверное, поэтому интернет изобилует мошенничеством. Потому что вот такие вот девопсы понаделают инфраструктуры, как код, получат бабла и побежали дальше в гугл устраиваться. А за ними ни кто не проверяет, какой шлейф тянется. Это общая тенденция во всём. Сейчас очень сильно всё упирается во время, скорость. А безопасность — не, не слыхали.
Кстати! Про открытый доступ. Если вы не в курсе, то в открытый доступ выкладывают не по глупости такие данные, чтобы запутать следаков. Вот представьте, сколько туда людей робатов обратилось, кто-то что-то почитал, кто-то себе загрузил… А теперь из всей этой массы выберите, где был мошенник. Так что это не оплошность, а чётко спланированный ход. И статейку ещё на хабре запилить, чтобы подогреть посещения. Тогда точно яровая устанет читать логи.
С докером всем по… стало, на культуру и аккуратность. Подымаешь инстансы, выполняешь работу, тушишь инстансы. Если что-то не корректно открузилось и допустил оплошность — ничего страшного, кто это заметит.
Я на хостинге в аренду взял тачку, получил ip, а мне запросы идут, как интернет магазину. Я не помню адреса, давно это было. Я ещё зашёл на сам магаз, он не мелким мне показался. Суть в том, что даже усилий прилагать не нужно, просто слушай, что тебе их сервера шлюут и анализируй. И самое то интересное не нарушаю же я ничего. Они мне сами эти данные на интерфейс пуляют. Благодать. Наверное, поэтому интернет изобилует мошенничеством. Потому что вот такие вот девопсы понаделают инфраструктуры, как код, получат бабла и побежали дальше в гугл устраиваться. А за ними ни кто не проверяет, какой шлейф тянется. Это общая тенденция во всём. Сейчас очень сильно всё упирается во время, скорость. А безопасность — не, не слыхали.
Кстати! Про открытый доступ. Если вы не в курсе, то в открытый доступ выкладывают не по глупости такие данные, чтобы запутать следаков. Вот представьте, сколько туда людей робатов обратилось, кто-то что-то почитал, кто-то себе загрузил… А теперь из всей этой массы выберите, где был мошенник. Так что это не оплошность, а чётко спланированный ход. И статейку ещё на хабре запилить, чтобы подогреть посещения. Тогда точно яровая устанет читать логи.
Судя по коментариям в виде # код писал, вероятно, какой-то олдфаг.
когда утекает у тех, кто ворует данные у банка
"У воров нет чести" :)
Прикольно, но пока читал статью, позвонили из «службы безопасности» сбера, я аж рассмеялся вслух )
Называя банк условно, можно условно попасть в банк, который так когда-то назывался.
eurocredit.ru/banki/obedinennyj-kapital/#bank_history
История Банка «Объединенный капитал»
1993 В Санкт-Петербурге зарегистрирован банк «Эпсилон». Получена лицензия Центрального Банка Российской Федерации на осуществление банковской деятельности.
eurocredit.ru/banki/obedinennyj-kapital/#bank_history
Аналогичную фигню я встречал лет 10 назад. В одном ломанном дедике крутилась фишинговая страница украинского Публичного Банка.
Я это увидел, офигел и позвонил в банк, попросил СБ и мне девачко на телефоне сказало — иди отседава мальчик, не до тебя нам.
Я это увидел, офигел и позвонил в банк, попросил СБ и мне девачко на телефоне сказало — иди отседава мальчик, не до тебя нам.
Мне кажется я не помню ни одной истории, когда имярек звонил в любой банк, просил соединить с СБ, и его соединяли.
А с утечками всё просто. Надо за каждую строчку штрафовать на сто тысяч рублей или эквивалент в твердой валюте. Т.е. примерно от полутора тысяч долларов. Только тогда банки будут действительно заинтересованы в том, чтобы хранить персональные данные и банковскую тайну действительно хорошо.
А с утечками всё просто. Надо за каждую строчку штрафовать на сто тысяч рублей или эквивалент в твердой валюте. Т.е. примерно от полутора тысяч долларов. Только тогда банки будут действительно заинтересованы в том, чтобы хранить персональные данные и банковскую тайну действительно хорошо.
«уважаемые» люди из отрасли против крупных штрафов за утечки. чуют чем пахнет (клиенты начнут выбираться средства защиты слегка по другим критериям).
www.anti-malware.ru/news/2020-01-30-1447/31867
www.anti-malware.ru/news/2020-01-30-1447/31867
Мне кажется я не помню ни одной истории, когда имярек звонил в любой банк, просил соединить с СБ, и его соединяли.
Одну я помню. Лет семь или восемь назад я как раз работал в СБ банка, и однажды колл-центр на меня перевёл какого-то городского сумасшедшего, который утверждал, что владеет серьёзной инсайдерской информацией про одно предприятие, которое принадлежало тому же владельцу, что и банк. И если он этот инсайд раскроет, то предприятие потеряет какие-то серьёзные контракты. И чего-то требовал. Почему данного персонажа перевели на меня (простого технаря), почему он звонил на входящий номер банка, а не на то самое предприятие — тайна великая есть.
Я всё записал и доложил выше. История никакого развития не получила, кроме того, что я получил выговор от своего непосредственного, потому что не был уполномочен вести разговоры на такие темы.
А про уязвимости там или ещё что-то конструктивное — ни разу не было.
Надо за каждую строчку штрафовать на сто тысяч рублей или эквивалент в твердой валюте. Т.е. примерно от полутора тысяч долларов.
Злой вы — даже по GDPR устоявшийся на сейчас штраф ~500 евро за персону.
В данном случае выводы будут. Поверьте ;-)
Что, как, на каком уровне (front, middle, back) пока неясно, но будут.
Что, как, на каком уровне (front, middle, back) пока неясно, но будут.
О! У меня на днях как раз от этого банка Эпсилон пршла СМС о смене телефона, которая по уточнению у техподдержки этого банка, действительно пришла от их сервиса. Только телефон ни кто не менял. Сотрудник техподдержки посоветовал заблокировать карту, на этом всё. Поэтому сейчас на карте красуется 1 тысяча рублей, жду когда её украдут, чтобы подать официально заявление в полицию и пусть закон яровой как следует поработает в этот раз.
А ещё у меня подозрения возникли, когда с каждым звонком мне звонили из этого банка Эпсилон и прелагали кредитную карту, при том, что я всё время говорю, что принципиально не использую кредиты и прошу больше мне не предлагать, а потом понял, что это вообще сторонняя обзванивающая организация. Т.е. эти безобразники выгрузили мои контакты налево обзвонщикам, чтобы предложить свои продукты. А куда эти обзвонщики дальше мои данные пустят, им без разницы. Мы слишком доверяем банкам.
P.S.: С банком Эпсилон довольно-таки толстый намёк — забавно!
А ещё у меня подозрения возникли, когда с каждым звонком мне звонили из этого банка Эпсилон и прелагали кредитную карту, при том, что я всё время говорю, что принципиально не использую кредиты и прошу больше мне не предлагать, а потом понял, что это вообще сторонняя обзванивающая организация. Т.е. эти безобразники выгрузили мои контакты налево обзвонщикам, чтобы предложить свои продукты. А куда эти обзвонщики дальше мои данные пустят, им без разницы. Мы слишком доверяем банкам.
P.S.: С банком Эпсилон довольно-таки толстый намёк — забавно!
Есть еще вариант, что скриптик работал через внутреннюю или доверенную сеть банка, когда у сервера туда был поднят vpn или ssh. И «добры» молодцы не озаботились свою пятую точку прикрыть фаерволом.
Из внутренней сети все эти данные можно собрать напрямую, минуя REST API. А скриптик написать просто на коленке и выложить типа им собирали. Тем более, что скриптик не работает типа ему «чего-то нехватает».
Тут вариантов масса.
На первом иттретьем скринах данные, которые вообще наружу не нужны. Они нужны внутри. На втором, да, похоже на выписку по карте или счету. Их могут затребовать снаружи. А первый и третий — клиентские данные.
В любом случае, разработчикам в банке теперь есть о чем поговорить :-)
Тут вариантов масса.
На первом иттретьем скринах данные, которые вообще наружу не нужны. Они нужны внутри. На втором, да, похоже на выписку по карте или счету. Их могут затребовать снаружи. А первый и третий — клиентские данные.
В любом случае, разработчикам в банке теперь есть о чем поговорить :-)
Это может быть не настолько внутренняя сеть, чтобы иметь прямой доступ к базе данных. А, скажем, внутренняя сеть, к которой подключены сотрудники филиалов банка. А они вполне могут иметь доступ ко всей информации о клиенте.
Напрямую с базы палево собирать, запросы к БД обычно жёстко мониторятся. А если парсер мимикрировал под клиент, тогда другое дело.
Портал Вот одного такого «нелепого» взломщика данных повязали. Правда он сам разрекламировал свои данные, но извлек он их очень простым парсингом за длительный период
Буквально позавчера мне звонили из «Альфа Банка». Обратились по имени отчеству, сказали что надо подтвердить операцию по переводу денег на карту Киви банка на сумму 7000 рублей.
В другой раз я бы «поиграл» бы с ним или банально затролил, но я был на работе и звонили они в момент обсуждения задач и правок по проекту. Я вышел в коридор и хотел по быстрому завершить разговор. Я чуть не попался только потому, что на карте была сумма исключительно для погашения кредита, которая должна была списаться в этот же день. И я подумал «а вдруг и правда пытаются украсть деньги». Правда я потом задался вопросом «А как? Надо же или знать номер карты или как?» Скорее всего по правде никак, но не суть.
Так вот, после того как девушка сказала (фоном, кстати, были звуки колцентра/шумного офиса) что отменяет операцию и помечает её как мошенническую… она спрашивает «а на руках ли у меня карты?» Я отвечаю, что нет их и они дома. Она «а когда вам удобнее перезвонить?» Я, без задней мысли и просто не хочу тратить время, говорю что вечером зайду в отделение банка и там решу на счёт карт и уточню вопрос (ну тот что она хотела сейчас мне задать, будь у меня карты на руках). После этого она быстро попрощалась. И я пошёл обратно в кабинет… и вот уже зайдя в кабинет я понял кто и зачем звонил.
Позже перезвонил в банк и конечно же… конечно же никаких операций не было и с банка мне не звонили. Номер с которого звонила девушка 8 (495) 256-256-0 в гугле находится с комментариями «мошенники, представляются СБ Сбербанка/ВТБ/Тинькофа».
p.s. — ну почему они звонят не в то время, когда я ничем не занят и могу поболтать с ними затраливая звонящего. Правда как-то пришла смс-ка, что карта заблокирована и надо перезвонить на номер билайн. Звоню… спрашивают ФИО, говорю «Пушкин Александр Се… Семёнович». Говорят «Спасибо, ваша карта разблокирована» и вешают трубку. Всё!))) Больше ничего не спросили, разговор занял меньше двух минут. У меня даже где-то запись разговора сохранилась.
В другой раз я бы «поиграл» бы с ним или банально затролил, но я был на работе и звонили они в момент обсуждения задач и правок по проекту. Я вышел в коридор и хотел по быстрому завершить разговор. Я чуть не попался только потому, что на карте была сумма исключительно для погашения кредита, которая должна была списаться в этот же день. И я подумал «а вдруг и правда пытаются украсть деньги». Правда я потом задался вопросом «А как? Надо же или знать номер карты или как?» Скорее всего по правде никак, но не суть.
Так вот, после того как девушка сказала (фоном, кстати, были звуки колцентра/шумного офиса) что отменяет операцию и помечает её как мошенническую… она спрашивает «а на руках ли у меня карты?» Я отвечаю, что нет их и они дома. Она «а когда вам удобнее перезвонить?» Я, без задней мысли и просто не хочу тратить время, говорю что вечером зайду в отделение банка и там решу на счёт карт и уточню вопрос (ну тот что она хотела сейчас мне задать, будь у меня карты на руках). После этого она быстро попрощалась. И я пошёл обратно в кабинет… и вот уже зайдя в кабинет я понял кто и зачем звонил.
Позже перезвонил в банк и конечно же… конечно же никаких операций не было и с банка мне не звонили. Номер с которого звонила девушка 8 (495) 256-256-0 в гугле находится с комментариями «мошенники, представляются СБ Сбербанка/ВТБ/Тинькофа».
p.s. — ну почему они звонят не в то время, когда я ничем не занят и могу поболтать с ними затраливая звонящего. Правда как-то пришла смс-ка, что карта заблокирована и надо перезвонить на номер билайн. Звоню… спрашивают ФИО, говорю «Пушкин Александр Се… Семёнович». Говорят «Спасибо, ваша карта разблокирована» и вешают трубку. Всё!))) Больше ничего не спросили, разговор занял меньше двух минут. У меня даже где-то запись разговора сохранилась.
Мне как-то из «Сбера» позвонили. Благо время было с ними поговорить. Говорили минут пять, когда дело дошло до момента что «вам сейчас придет код, надо его продиктовать» (ну или что-то в этом духе) пришлось ответить «я бы рад вам помочь, но у меня в сбере ни счета ни карты нет» :-) По-моему, они там обиделись т.к. стразу трубку кинули…
> поболтать с ними
Не лучшая идея с ними болтать. Мало ли что можно сделать потом с записью вашего голоса. Я стараюсь либо вообще не брать, если есть подозрения, либо говорить по минимуму, не использовать утвердительные слова типа «Да».
Не лучшая идея с ними болтать. Мало ли что можно сделать потом с записью вашего голоса. Я стараюсь либо вообще не брать, если есть подозрения, либо говорить по минимуму, не использовать утвердительные слова типа «Да».
После звонков из «службы безопасности» я перезваниваю в банк и сообщаю о звонке. В ответ слышу, что данный номер к банку отношения не имеет и благодарят за сообщение. Не знаю, что банк делает с этой информацией, но может это как-то поможет быстрее нейтрализовать номера с которых звонят мошенники. Походу, это всё что я могу сделать для борьбы с мошенниками.
Сегодня ночью заблокировали одну мою карту из-за компрометации. Судя по задержкам в ответах операторов (>10 минут на вип-линии) и их комментариям, заблокировали целую кучу карт. Возможно, связано с этим постом.
хорошо если так. в том смысле, что из ФинЦЕРТа на банк все-таки наехали (иначе откуда бы банк знал, что блокировать). ну либо это не связано совсем и просто очередная (другая) утечка данных карт.
У супруги тоже карту заблокировали. Обе эти наши карты были оформлены до даты утечки.
При этом мою кредитную (дата выпуска тоже до утечки) и детские дебетовые (выпуск уже в этом году) не блокировали.
При этом мою кредитную (дата выпуска тоже до утечки) и детские дебетовые (выпуск уже в этом году) не блокировали.
Банк знает, что была утечка :-) Проблема активно обсуждается, кое-какие меры со стороны разработки уже приняты.
Да, только что увидел
блокирока карт Альфы и тоже подумал что связано.
блокирока карт Альфы и тоже подумал что связано.
Вот так пишешь нейтральную статью на Хабре о безопасности — а потом окажешься виноват в блокировке карт по всему Союзу пространству.
Как жить?
Точно! Сегодня утром в Twitter зашёл и там все пишут про блокировку карт. И как раз вот нашёл эту статью. Тоже подумал, что связано.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ утечки второго порядка: когда утекает у тех, кто ворует данные у банка