Bitcoin Forum>Local>Русский (Russian)>Oбcyждeниe Bitcoin>Новости
Pages:
Author

Topic: Уязвимость на сайте ПриватБанка позволя&#1083 (Read 2979 times)

jetfox
legendary
Activity: 1008
Merit: 1000
Уязвимость на сайте ПриватБанка позволя&#1083
September 10, 2015, 08:11:07 AM
#23
Quote from: Lemoh on September 10, 2015, 05:18:56 AM
ПриватБанк структура очень мощная, но что то последнее время проблема за проблемой. Политика явно стороной не обошла банк.

Думаю, что ставят просто внутри план по внедрениям, вот и внедряется все в попыхах, впереди паровоза. А дальше новое и новое. И никто толком не тестит и не фиксит. Запустили в продакш и побежали дальше.
Lemoh
newbie
Activity: 45
Merit: 0
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 10, 2015, 05:18:56 AM
#22
ПриватБанк структура очень мощная, но что то последнее время проблема за проблемой. Политика явно стороной не обошла банк.
Gromozeka!
legendary
Activity: 1330
Merit: 1007
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 09, 2015, 07:01:08 AM
#21
"В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар" - если этот же эксперт разрабатывал защиту, то наверно, гонорар можно расценивать как увольнительные )
salex8216
full member
Activity: 182
Merit: 100
★YoBit.Net★ 200+ Coins Exchange & Dice
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 01:42:58 PM
#20
Quote from: krupenin on September 07, 2015, 04:13:36 AM
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

А сколько дырок в Приватовской защите о которых никто не знает?))))
ух и извращенный же ум у вас батеньтка)
TRilon
sr. member
Activity: 476
Merit: 250
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 01:26:36 PM
#19
Quote from: krupenin on September 07, 2015, 04:13:36 AM
А сколько дырок в Приватовской защите о которых никто не знает?))))
Дырки есть, но о них никто не знает?

- Видишь слона?
- нет!
- а он есть  Grin
salex8216
full member
Activity: 182
Merit: 100
★YoBit.Net★ 200+ Coins Exchange & Dice
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 12:48:06 PM
#18
Quote from: nor9845 on September 05, 2015, 12:38:09 PM
Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя

5 Сентября, 2015

Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.

«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.

По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.

В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).

http://www.securitylab.ru/news/474561.php
эпик фейл
LLIAX
hero member
Activity: 818
Merit: 500
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 12:42:37 PM
#17
Quote from: jetfox on September 07, 2015, 07:55:01 AM
Quote from: krupenin on September 07, 2015, 04:13:36 AM
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

А сколько дырок в Приватовской защите о которых никто не знает?))))

Они просто ждут своего часа Smiley в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата.
Да уж перспективка для клиентов. А вобще это ппц когда о любом клиенте можно получить данные по трансакциям.
pashh
hero member
Activity: 1148
Merit: 500
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 08:45:28 AM
#16
Quote from: jetfox on September 07, 2015, 07:55:01 AM
Quote from: krupenin on September 07, 2015, 04:13:36 AM
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

А сколько дырок в Приватовской защите о которых никто не знает?))))

Они просто ждут своего часа Smiley в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата.

Все может быть. приват несмотря на свои размеры не особенно дружит с защитой, что не раз подмечали бывшие его сотрудники
Alex_ZZX
legendary
Activity: 1273
Merit: 1013
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 08:36:56 AM
#15
Quote from: TRilon on September 05, 2015, 11:19:08 PM
Давненько я не видел подобных новостей. Главное что бы сбер не лег  Grin  Wink

В сбере ребята поумнее работают.
А вобще это детская ошибка программеров когда ID-шнику сессии не сопоставляется IP-шник.
jetfox
legendary
Activity: 1008
Merit: 1000
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 07:55:01 AM
#14
Quote from: krupenin on September 07, 2015, 04:13:36 AM
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

А сколько дырок в Приватовской защите о которых никто не знает?))))

Они просто ждут своего часа Smiley в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата.
krupenin
legendary
Activity: 1022
Merit: 1002
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 04:13:36 AM
#13
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

А сколько дырок в Приватовской защите о которых никто не знает?))))
Gerhald
legendary
Activity: 1330
Merit: 1017
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 03:22:25 AM
#12
Quote from: jetfox on September 07, 2015, 02:27:47 AM
Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. 
Вот это больше похоже на методы Коломойского. Награждать немного не в его стиле.
jetfox
legendary
Activity: 1008
Merit: 1000
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 07, 2015, 02:27:47 AM
#11
Да, удивительно, что эксперта оценили. Приват - ребята разные бывают. Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. Неужели и у них что-то поменялось.
bontyw1276
legendary
Activity: 1470
Merit: 1002
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 03:04:19 PM
#10
Так что слишком громкий заголовок у статьи. - ну так это же работа прессы - раздувать из мухи слона.
Dinikin
newbie
Activity: 1
Merit: 0
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 11:45:43 AM
#9
Не позволяет данная уязвимость просматривать историю платежей пользователя, там в ответе на запрос нет никакой информации о пользователе, только о платеже, не к кому привязать платеж. Максимум позволяет построить статистику по платежам по Привату. Но какому пользователю принадлежит конкретный платеж, не узнать. Так что слишком громкий заголовок у статьи.
CryptInvest
legendary
Activity: 2156
Merit: 1132
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 04:25:51 AM
#8
Уязвимость то пустячная. Наверняка кто то знает/использует другие, но гораздо более прибыльные))))
Gerhald
legendary
Activity: 1330
Merit: 1017
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 04:14:23 AM
#7
Не самая страшная пакость, вот если бы можно чужой счёт опустошить - тогда всё пропало.
diks
legendary
Activity: 2632
Merit: 1450
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 03:50:47 AM
#6
Quote from: TRilon on September 06, 2015, 03:07:12 AM
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

Поэтому и опубликовали
Типо мыжыш следим за безопасностью )

Привату, в части онлайн-банкинга, на Украине равных нет
TRilon
sr. member
Activity: 476
Merit: 250
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 03:07:12 AM
#5
Quote from: anref on September 06, 2015, 12:07:20 AM
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.
anref
legendary
Activity: 1568
Merit: 1002
Re: Уязвимость на сайте ПриватБанка позволя&#1083
September 06, 2015, 12:07:20 AM
#4
Quote from: igorokkk on September 05, 2015, 03:46:51 PM
Хорошо, что закрыли.

прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Pages:
Bitcoin Forum>Local>Русский (Russian)>Oбcyждeниe Bitcoin>Новости
Jump to: