nor9845 (OP)
Legendary
Offline
Activity: 1190
Merit: 1004
|
|
September 05, 2015, 05:38:09 PM |
|
Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя 5 Сентября, 2015 Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей. «Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь. По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен. В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется). http://www.securitylab.ru/news/474561.php
|
|
|
|
igorokkk
Legendary
Offline
Activity: 2898
Merit: 1041
|
|
September 05, 2015, 08:46:51 PM |
|
Хорошо, что закрыли.
|
|
|
|
TRilon
|
|
September 06, 2015, 04:19:08 AM |
|
Давненько я не видел подобных новостей. Главное что бы сбер не лег
|
|
|
|
anref
Legendary
Offline
Activity: 1568
Merit: 1002
|
|
September 06, 2015, 05:07:20 AM |
|
Хорошо, что закрыли.
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
|
|
|
|
TRilon
|
|
September 06, 2015, 08:07:12 AM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.
|
|
|
|
diks
Legendary
Offline
Activity: 2632
Merit: 1450
|
|
September 06, 2015, 08:50:47 AM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. Поэтому и опубликовали Типо мыжыш следим за безопасностью ) Привату, в части онлайн-банкинга, на Украине равных нет
|
|
|
|
Gerhald
Legendary
Offline
Activity: 1330
Merit: 1017
|
|
September 06, 2015, 09:14:23 AM |
|
Не самая страшная пакость, вот если бы можно чужой счёт опустошить - тогда всё пропало.
|
|
|
|
CryptInvest
Legendary
Offline
Activity: 2156
Merit: 1132
|
|
September 06, 2015, 09:25:51 AM |
|
Уязвимость то пустячная. Наверняка кто то знает/использует другие, но гораздо более прибыльные))))
|
|
|
|
Dinikin
Newbie
Offline
Activity: 1
Merit: 0
|
|
September 06, 2015, 04:45:43 PM |
|
Не позволяет данная уязвимость просматривать историю платежей пользователя, там в ответе на запрос нет никакой информации о пользователе, только о платеже, не к кому привязать платеж. Максимум позволяет построить статистику по платежам по Привату. Но какому пользователю принадлежит конкретный платеж, не узнать. Так что слишком громкий заголовок у статьи.
|
|
|
|
bontyw1276
Legendary
Offline
Activity: 1470
Merit: 1002
|
|
September 06, 2015, 08:04:19 PM |
|
Так что слишком громкий заголовок у статьи. - ну так это же работа прессы - раздувать из мухи слона.
|
|
|
|
jetfox
Legendary
Offline
Activity: 1008
Merit: 1000
|
|
September 07, 2015, 07:27:47 AM |
|
Да, удивительно, что эксперта оценили. Приват - ребята разные бывают. Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. Неужели и у них что-то поменялось.
|
|
|
|
Gerhald
Legendary
Offline
Activity: 1330
Merit: 1017
|
|
September 07, 2015, 08:22:25 AM |
|
Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства.
Вот это больше похоже на методы Коломойского. Награждать немного не в его стиле.
|
|
|
|
krupenin
Legendary
Offline
Activity: 1022
Merit: 1002
|
|
September 07, 2015, 09:13:36 AM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?))))
|
|
|
|
jetfox
Legendary
Offline
Activity: 1008
Merit: 1000
|
|
September 07, 2015, 12:55:01 PM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата.
|
|
|
|
Alex_ZZX
Legendary
Offline
Activity: 1273
Merit: 1013
|
|
September 07, 2015, 01:36:56 PM |
|
Давненько я не видел подобных новостей. Главное что бы сбер не лег В сбере ребята поумнее работают. А вобще это детская ошибка программеров когда ID-шнику сессии не сопоставляется IP-шник.
|
|
|
|
pashh
|
|
September 07, 2015, 01:45:28 PM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата. Все может быть. приват несмотря на свои размеры не особенно дружит с защитой, что не раз подмечали бывшие его сотрудники
|
|
|
|
LLIAX
|
|
September 07, 2015, 05:42:37 PM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) Они просто ждут своего часа в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата. Да уж перспективка для клиентов. А вобще это ппц когда о любом клиенте можно получить данные по трансакциям.
|
|
|
|
salex8216
Full Member
Offline
Activity: 182
Merit: 100
★YoBit.Net★ 200+ Coins Exchange & Dice
|
|
September 07, 2015, 05:48:06 PM |
|
Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя 5 Сентября, 2015 Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей. «Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь. По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен. В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется). http://www.securitylab.ru/news/474561.php эпик фейл
|
|
|
|
TRilon
|
|
September 07, 2015, 06:26:36 PM |
|
А сколько дырок в Приватовской защите о которых никто не знает?))))
Дырки есть, но о них никто не знает? - Видишь слона? - нет! - а он есть
|
|
|
|
salex8216
Full Member
Offline
Activity: 182
Merit: 100
★YoBit.Net★ 200+ Coins Exchange & Dice
|
|
September 07, 2015, 06:42:58 PM |
|
прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи
Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше. А сколько дырок в Приватовской защите о которых никто не знает?)))) ух и извращенный же ум у вас батеньтка)
|
|
|
|
|