-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!goblin3!goblin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-02.ne
ws.neostrada.pl!unt-spo-a-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
-mail
From: "Arek" <a...@p...onet.pl.usun_cde.invalid>
Newsgroups: pl.biznes.banki
References: <5...@g...com>
<mli1a0$ga2$1@node2.news.atman.pl>
<557c8d2c$0$2195$65785112@news.neostrada.pl>
<mli85v$mtj$1@node2.news.atman.pl>
<557d45e0$0$27520$65785112@news.neostrada.pl>
<mljio0$24q$1@speranza.aioe.org>
Subject: Re: Plus Bank - Największe włamanie/kradzież/wyciek pełnych danych od
lat - Zmieńcie swoje hasła !
Date: Sun, 14 Jun 2015 14:56:50 +0200
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="UTF-8"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
Lines: 91
Message-ID: <557d7a14$0$2197$65785112@news.neostrada.pl>
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 178.42.79.135
X-Trace: 1434286612 unt-rea-a-01.news.neostrada.pl 2197 178.42.79.135:14368
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:613792
[ ukryj nagłówki ]Użytkownik "janek z pola" <a...@e...pl> napisał w wiadomości
news:mljio0$24q$1@speranza.aioe.org...
> Arek wrote:
>
>> Użytkownik "Andrzej Lawa" <a...@l...com> napisał w wiadomości
>> news:mli85v$mtj$1@node2.news.atman.pl...
>>>W dniu 13.06.2015 o 22:06, Robert Tomasik pisze:
>>>
>>>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>>>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>>>> miały luki, to mieli byśmy serię przełamań.
>>>
>>> Nie czytałem dokładnie wcześniejszych przebąkiwań na ten temat, ale czy
>>> czasem nie chodziło o szkolne błędy w oprogramowaniu ich strony
>>> internetowej z dostępem do systemu bankowego?
>>
>> Swoją drogą możliwość włamu przez interfejs użytkownika czy nawet
>> przez jakąkolwiek inną stronę banku do wewnętrznego systemu to
>> gorzej niż partactwo.
>
> Widziałeś kiedykolwiek jakikolwiek system informatyczny od środka?
Bankowy nie.
> Akurat interfejs bankowości elektronicznej jest taką aplikacją, która
> wykonuje interakcje z pozostałymi systemami bankowymi. Jeżeli została
> odkryta luka w obrębie tej aplikacji, to jest to dosyć prosta i łatwa
> możliwość na eksplorowanie tych systemów, które stoją za bankowością
> elektroniczną - czyli prawdopodobnie baz danych, etc.
Zdarzało mi się majstrować (inna specyfika, z większym udziałem hardware'u)
- separacja "interfejsu" czy wszelkich kanałów przesyłania danych od silnika
("baza danych" w formie szczątkowej) była koniecznością. Wymagało to
użycia nietypowych komponentów.
> Niestety z bankowością elektroniczną jest inaczej - była luka, ktoś ją
> zidentyfikował i użył jej. W ten sposób oczywiście uzyskał dostęp do
> głębiej
> umieszczonych zasobów banku. Zresztą nawet z podsłuchiwania tejże
> aplikacji
> bankowości elektronicznej można się wiele dowiedzieć.
>
> Czy istnienie luki w bankowości elektronicznej, która pozwala na przejęcie
> kontroli nad tym systemem, to rzeczywiście partactwo? No nie wiadomo. Może
> to było celowe działanie kogoś z wewnątrz? Może bank świadomie ustawiał
> priorytety tak, że łatanie znanej dziury było zaplanowane na później? Może
> rzeczywiście pracownicy niechlujnie obsługiwali system i na tyle
> poluzowali
> jakieś zasady, że doprowadziło to do możliwości włamania?
Może tak, coś się "zacinało" i poluzowali. Swojego czasu w Polbanku nie
potrafili poprawić więc ograniczyli funkcjonalność - to już lepsze. Ale to
raczej
nie dotyczyło styku interfejs - reszta.
Tu sugerowałem nawet pozostawienie furtki dla serwisu.
Na przyszłość chyba należy się oswoić z filozofią ograniczania strat. Tak
jak grodzie
wodoszczelne na statkach lub przecinki w lasach.
> Dla mnie w całej tej sytuacji najgorsze nie jest samo włamanie,
Najgorsze jest postępowanie bydlaka określonego jako włamywacz. Cierpią
niewinni ludzie. Tożsamości pewnie nie zmienią. Swój stosunek do tego już
wyraziłem w innym poście.
> tylko sposób
> obsługi tego przez bank - tzn. przynajmniej z tego co obecnie wiemy.
> Ogólnie
> Z3S twierdzi, że od miesięcy brała udział w negocjacjach "trójstronnych"
> (bank, włamywacz, Z3S). Dziwne, że przez ten czas nie udało się
> zneutralizować włamywacza. Dziwne, że włamywacz zainteresował się szerokim
> upublicznieniem całego tematu, mimo że nie jest to dla niego opłacalne.
> Dziwne, że głosu nie zabiera nadzór.
Który? KNF? Ktoś z ZBP? Milczeli by nie siać paniki, która może kosztować
więcej?
Albo są wciąż w szoku. Zresztą weekend... Samobójstwa niektórych znanych
osób miały miejsce w piątek po południu.
> To wszystko powoduje, że cała ta sprawa
> wygląda trochę jak atak na Solorza, wykonany przy użyciu ataku na jego
> bank.
> Może komuś po prostu zależało, żeby postawić właścieciela tego banku w
> złym
> świetle?
Obstawiam jednak że ten bank był dość przypadkową ofiarą.
Bardziej mnie interesuje rodzaj dziury.
Arek
Następne wpisy z tego wątku
- 14.06.15 15:13 Arek
- 14.06.15 15:34 Marek
- 14.06.15 15:35 Marek
- 14.06.15 16:31 Arek
- 14.06.15 23:45 Marek
- 15.06.15 00:46 Robert Tomasik
- 15.06.15 00:52 Robert Tomasik
- 15.06.15 00:57 Robert Tomasik
- 15.06.15 12:40 Wojciech Bancer
- 15.06.15 17:53 Krzysztof Halasa
- 15.06.15 20:34 Kviat
- 16.06.15 01:33 Marek
- 20.06.15 00:01 Eneuel Leszek Ciszewski
- 21.06.15 10:40 xbartx
- 22.06.15 00:30 Krzysztof Halasa
Najnowsze wątki z tej grupy
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
- Velo częściowo ugiął się...
Najnowsze wątki
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto
- 2024-09-23 Velo częściowo ugiął się...