eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiRzepa idzie w zaparte ;-) › Re: Rzepa idzie w zaparte ;-)
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.gazeta.pl!newsfeed.tpinternet.
    pl!atlantis.news.tpi.pl!news.tpi.pl!bozon2.softax.com.pl!not-for-mail
    From: Marcin Kasperski <M...@s...com.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Rzepa idzie w zaparte ;-)
    Date: 21 Mar 2003 13:04:40 +0100
    Organization: Softax news server
    Lines: 55
    Sender: marcink@cauchy
    Message-ID: <8...@c...softax.local>
    References: <b5cc99$3ss$1@inews.gazeta.pl> <b5citl$pdn$1@atlantis.news.tpi.pl>
    <8...@c...softax.local> <b5ecm9$9hd$1@inews.gazeta.pl>
    NNTP-Posting-Host: bozon2.softax.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: atlantis.news.tpi.pl 1048248828 27029 62.89.75.144 (21 Mar 2003 12:13:48
    GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Fri, 21 Mar 2003 12:13:48 +0000 (UTC)
    User-Agent: Gnus/5.0808 (Gnus v5.8.8) XEmacs/21.4 (Common Lisp)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:232784
    [ ukryj nagłówki ]

    > > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
    > > serwer i zostaną przez kogoś zapisane, cóż...
    > >
    > > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
    > > 'śmiesznej zabawy'.
    >
    > I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
    > placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
    > odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
    > banku, koncie mojej karty kredytowej oraz ......;-)))
    >
    > Weezcie sobie chlopaki zimny prysznic, co....

    Tia... To po cholerę właściwie te id i hasło, może należałoby od razu
    wpuszczać po imieniu i nazwisku?

    Ale dobrze, wykażmy dobrą wolę.

    1) Czym grozi ujawnienie id/hasła

    Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
    robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
    ZUS' i mam już także Twoje imię, nazwisko i dokładny adres. Sprawdzam
    też oczywiście czy w ogóle masz pieniądze i warto się Tobą
    zajmować. Oglądam historię i widzę kiedy i ile pieniędzy dostajesz a
    także kiedy - a po części i na co - masz zwyczaj je wydawać.

    No ale to tylko zbieranie informacji. Ale jeśli jesteś atrakcyjnym
    kąskiem, cóż mi szkodzi wyklikać 'zamów kartę TAN' a potem przez kilka
    dni przyglądać się Twojej skrzynce pocztowej (lub wejść w układ z
    listonoszem) - patrz wyżej, adres mam. Albo podejść z zupełnie innej
    beczki: spróbować w jakiś sposób doprowadzić do sytuacji, w której
    zdefiniujesz płatność na jakiś mój rachunek (np. zaoferować Ci jakiś
    przedmiot lub usługę). Albo przelać Ci wszystko z emaxa na ekonto po
    czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
    wizytę w bankomacie. Itd, itp...

    2) Dlaczego ta sprawa jest ważna

    Dla mnie bardziej nawet niż sama potencjalna możliwość ataku, ważne
    było zachowanie mbanku. Wystąpienie tego problemu świadczy o bardzo
    niskiej jakości projektu i audytu bezpieczeństwa systemu
    transakcyjnego (ataki cross-site scripting nie są ani żadnym
    super-nowym wynalazkiem ani też czymś co bardzo trudno zauważyć). Moje
    zaufanie bardzo spadło. Skąd mam wiedzieć, czy w wyniku jakiegoś
    innego błędu np. korygując submitowaną stronę nie zdołam zrobić
    przelewu bez TANu?

    Co gorsza, gdy już problem został ujawniony, bank rżnął głupa, zarazem
    dalej wykazując się niewiedzą na temat bezpieczeństwa systemów
    webowych. A za bankiem głupa rżnęli 'specjaliści', tacy jakich widać
    w tym wątku.


    Wot, tyle.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy