Title: Уязвимость на сайте ПриватБанка позволял Post by: nor9845 on September 05, 2015, 05:38:09 PM Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя
5 Сентября, 2015 Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей. «Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь. По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен. В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется). http://www.securitylab.ru/news/474561.php Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: igorokkk on September 05, 2015, 08:46:51 PM Хорошо, что закрыли.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: TRilon on September 06, 2015, 04:19:08 AM Давненько я не видел подобных новостей. Главное что бы сбер не лег ;D ;)
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: anref on September 06, 2015, 05:07:20 AM Хорошо, что закрыли. прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: TRilon on September 06, 2015, 08:07:12 AM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: diks on September 06, 2015, 08:50:47 AM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. Поэтому и опубликовали Типо мыжыш следим за безопасностью ) Привату, в части онлайн-банкинга, на Украине равных нет Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Gerhald on September 06, 2015, 09:14:23 AM Не самая страшная пакость, вот если бы можно чужой счёт опустошить - тогда всё пропало.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: CryptInvest on September 06, 2015, 09:25:51 AM Уязвимость то пустячная. Наверняка кто то знает/использует другие, но гораздо более прибыльные))))
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Dinikin on September 06, 2015, 04:45:43 PM Не позволяет данная уязвимость просматривать историю платежей пользователя, там в ответе на запрос нет никакой информации о пользователе, только о платеже, не к кому привязать платеж. Максимум позволяет построить статистику по платежам по Привату. Но какому пользователю принадлежит конкретный платеж, не узнать. Так что слишком громкий заголовок у статьи.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: bontyw1276 on September 06, 2015, 08:04:19 PM Так что слишком громкий заголовок у статьи. - ну так это же работа прессы - раздувать из мухи слона.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: jetfox on September 07, 2015, 07:27:47 AM Да, удивительно, что эксперта оценили. Приват - ребята разные бывают. Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. Неужели и у них что-то поменялось.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Gerhald on September 07, 2015, 08:22:25 AM Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. Вот это больше похоже на методы Коломойского. Награждать немного не в его стиле.Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: krupenin on September 07, 2015, 09:13:36 AM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: jetfox on September 07, 2015, 12:55:01 PM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа :) в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата. Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Alex_ZZX on September 07, 2015, 01:36:56 PM Давненько я не видел подобных новостей. Главное что бы сбер не лег ;D ;) В сбере ребята поумнее работают. А вобще это детская ошибка программеров когда ID-шнику сессии не сопоставляется IP-шник. Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: pashh on September 07, 2015, 01:45:28 PM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа :) в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата. Все может быть. приват несмотря на свои размеры не особенно дружит с защитой, что не раз подмечали бывшие его сотрудники Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: LLIAX on September 07, 2015, 05:42:37 PM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа :) в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата. Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: salex8216 on September 07, 2015, 05:48:06 PM Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя эпик фейл5 Сентября, 2015 Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей. «Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь. По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен. В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется). http://www.securitylab.ru/news/474561.php Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: TRilon on September 07, 2015, 06:26:36 PM А сколько дырок в Приватовской защите о которых никто не знает?)))) Дырки есть, но о них никто не знает? - Видишь слона? - нет! - а он есть ;D Title: Re: Уязвимость на сайте ПриватБанка позволя&a Post by: salex8216 on September 07, 2015, 06:42:58 PM прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Gromozeka! on September 09, 2015, 12:01:08 PM "В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар" - если этот же эксперт разрабатывал защиту, то наверно, гонорар можно расценивать как увольнительные )
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: Lemoh on September 10, 2015, 10:18:56 AM ПриватБанк структура очень мощная, но что то последнее время проблема за проблемой. Политика явно стороной не обошла банк.
Title: Re: Уязвимость на сайте ПриватБанка позволя Post by: jetfox on September 10, 2015, 01:11:07 PM ПриватБанк структура очень мощная, но что то последнее время проблема за проблемой. Политика явно стороной не обошла банк. Думаю, что ставят просто внутри план по внедрениям, вот и внедряется все в попыхах, впереди паровоза. А дальше новое и новое. И никто толком не тестит и не фиксит. Запустили в продакш и побежали дальше. |