eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiPlus Bank - Największe włamanie/kradzież/wyciek pełnych danych od lat - Zmieńcie swoje hasła !Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od lat - Zmieńcie swoje hasła !
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
    atman.pl!goblin3!goblin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-02.ne
    ws.neostrada.pl!unt-spo-a-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
    -mail
    From: "Arek" <a...@p...onet.pl.usun_cde.invalid>
    Newsgroups: pl.biznes.banki
    References: <5...@g...com>
    <mli1a0$ga2$1@node2.news.atman.pl>
    <557c8d2c$0$2195$65785112@news.neostrada.pl>
    <mli85v$mtj$1@node2.news.atman.pl>
    <557d45e0$0$27520$65785112@news.neostrada.pl>
    <mljio0$24q$1@speranza.aioe.org>
    Subject: Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od
    lat - Zmieńcie swoje hasła !
    Date: Sun, 14 Jun 2015 14:56:50 +0200
    MIME-Version: 1.0
    Content-Type: text/plain; format=flowed; charset="UTF-8"; reply-type=original
    Content-Transfer-Encoding: 8bit
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
    Lines: 91
    Message-ID: <557d7a14$0$2197$65785112@news.neostrada.pl>
    Organization: Telekomunikacja Polska
    NNTP-Posting-Host: 178.42.79.135
    X-Trace: 1434286612 unt-rea-a-01.news.neostrada.pl 2197 178.42.79.135:14368
    X-Complaints-To: a...@n...neostrada.pl
    Xref: news-archive.icm.edu.pl pl.biznes.banki:613792
    [ ukryj nagłówki ]

    Użytkownik "janek z pola" <a...@e...pl> napisał w wiadomości
    news:mljio0$24q$1@speranza.aioe.org...
    > Arek wrote:
    >
    >> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
    >> news:mli85v$mtj$1@node2.news.atman.pl...
    >>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
    >>>
    >>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
    >>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
    >>>> miały luki, to mieli byśmy serię przełamań.
    >>>
    >>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
    >>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
    >>> internetowej z dostępem do systemu bankowego?
    >>
    >> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
    >> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
    >> gorzej niż partactwo.
    >
    > Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?

    Bankowy nie.

    > Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
    > wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
    > odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
    > możliwość na eksplorowanie tych systemów, które stoją za bankowością
    > elektroniczną - czyli prawdopodobnie baz danych, etc.

    Zdarzało mi się majstrować (inna specyfika, z większym udziałem hardware'u)
    - separacja "interfejsu" czy wszelkich kanałów przesyłania danych od silnika
    ("baza danych" w formie szczątkowej) była koniecznością. Wymagało to
    użycia nietypowych komponentów.

    > Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
    > zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do
    > głębiej
    > umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże
    > aplikacji
    > bankowości elektronicznej można się wiele dowiedzieć.
    >
    > Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
    > kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
    > to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
    > priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
    > rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle
    > poluzowali
    > jakieś zasady, że doprowadziło to do możliwości włamania?

    Może tak, coś się "zacinało" i poluzowali. Swojego czasu w Polbanku nie
    potrafili poprawić więc ograniczyli funkcjonalność - to już lepsze. Ale to
    raczej
    nie dotyczyło styku interfejs - reszta.
    Tu sugerowałem nawet pozostawienie furtki dla serwisu.
    Na przyszłość chyba należy się oswoić z filozofią ograniczania strat. Tak
    jak grodzie
    wodoszczelne na statkach lub przecinki w lasach.

    > Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie,

    Najgorsze jest postępowanie bydlaka określonego jako włamywacz. Cierpią
    niewinni ludzie. Tożsamości pewnie nie zmienią. Swój stosunek do tego już
    wyraziłem w innym poście.

    > tylko sposób
    > obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy.
    > Ogólnie
    > Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
    > (bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
    > zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
    > upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
    > Dziwne, że głosu nie zabiera nadzór.

    Który? KNF? Ktoś z ZBP? Milczeli by nie siać paniki, która może kosztować
    więcej?
    Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych znanych
    osób miały miejsce w piątek po południu.

    > To wszystko powoduje, że cała ta sprawa
    > wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego
    > bank.
    > Może komuś po prostu zależało, żeby postawić właścieciela tego banku w
    > złym
    > świetle?

    Obstawiam jednak że ten bank był dość przypadkową ofiarą.
    Bardziej mnie interesuje rodzaj dziury.

    Arek

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1