Comments 59
Так скажу — инсайдеры знают где эти данные лежат и как их получить внутри системы. Но для получения их извне нужно кроме знания еще и наличие технической возможности.
Я вот лично очень сомневаюсь, что тут
Еще стоит отметить, что вызовы REST API, используемые описанными выше парсерами, вот так впрямую не работают — сервер банка возвращает 404-ю ошибку
проблема исключительно в том, что
исходники парсеров не содержат важной части – кода авторизации “Authorization: Bearer“ в HTTP-заголовке (переменные авторизации в коде инициализируются пустой строкой)
Или в том, что
банк, обнаружив подозрительную активность в начале года убрал вызовы этих функций
Все может быть проще — парсеры запускались во внутренней сети банка, например.
Или, к примеру, на тестовом сервере, где лежат деперсонализированные данные (но очень похожие на настоящие). А цель выкладки в открытый доступ — продать их какому-нибудь не в меру доверчивому юному дарованию.
В общем, тут вариантов очень много. От серьезных, до смешных.
назову данный банк условно «Эпсилон».
…
букву «A» в имени читатели могу попробовать расшифровать сами
И никакого палева.
А — ну так авторы скрипта назвали, у них и входной парметр «АААААА» называется ;)
Конечно-конечно производная.
Не "Омега" же называть.
P.S.: abSession на одном из скринов и hasAlfaCredit на другом как бы намекает
"Бета" — это грубо. Могут реально обидеться
А "Эпсилон" — нормально так.
И нейтральненько — и прозрачненько.
PS. Хотя вряд ли достаточно прозрачно для СБ этого банка. Оно у них реально "странное" (мягко говоря).
Да и бины карт, начинающиеся с 5559 есть в России только у одного банка класса «А»)
Чтобы никого не обидеть (а банки очень обидчивы и любят публично поистерить силами своих пиар-отделов, все отрицая в стиле «вы все врете» и «на нас осуществляют информационную атаку»)
Ну так и пусть, в чём проблема-то?
Типа фраза "не хотел никого обидеть" когда-то что-то меняла в этом плане.
Плюс чел до этого имел опыт написания околобанковских скриптов несколько лет назад…
Т.к. код — говнокод
О, да-а-а… Так-то банковские приложения (интернет-банки например) — образец прямизы и корректности, ага.
PS. не выходит из головы Газпромбанковское "ваша ява не совместима с нашим интернет-банком".
Моя Oracle/Sun Java. Не совместима. Не наоборот.
С докером всем по… стало, на культуру и аккуратность. Подымаешь инстансы, выполняешь работу, тушишь инстансы. Если что-то не корректно открузилось и допустил оплошность — ничего страшного, кто это заметит.
Я на хостинге в аренду взял тачку, получил ip, а мне запросы идут, как интернет магазину. Я не помню адреса, давно это было. Я ещё зашёл на сам магаз, он не мелким мне показался. Суть в том, что даже усилий прилагать не нужно, просто слушай, что тебе их сервера шлюут и анализируй. И самое то интересное не нарушаю же я ничего. Они мне сами эти данные на интерфейс пуляют. Благодать. Наверное, поэтому интернет изобилует мошенничеством. Потому что вот такие вот девопсы понаделают инфраструктуры, как код, получат бабла и побежали дальше в гугл устраиваться. А за ними ни кто не проверяет, какой шлейф тянется. Это общая тенденция во всём. Сейчас очень сильно всё упирается во время, скорость. А безопасность — не, не слыхали.
Кстати! Про открытый доступ. Если вы не в курсе, то в открытый доступ выкладывают не по глупости такие данные, чтобы запутать следаков. Вот представьте, сколько туда людей робатов обратилось, кто-то что-то почитал, кто-то себе загрузил… А теперь из всей этой массы выберите, где был мошенник. Так что это не оплошность, а чётко спланированный ход. И статейку ещё на хабре запилить, чтобы подогреть посещения. Тогда точно яровая устанет читать логи.
когда утекает у тех, кто ворует данные у банка
"У воров нет чести" :)
История Банка «Объединенный капитал»
1993 В Санкт-Петербурге зарегистрирован банк «Эпсилон». Получена лицензия Центрального Банка Российской Федерации на осуществление банковской деятельности.
eurocredit.ru/banki/obedinennyj-kapital/#bank_history
Я это увидел, офигел и позвонил в банк, попросил СБ и мне девачко на телефоне сказало — иди отседава мальчик, не до тебя нам.
А с утечками всё просто. Надо за каждую строчку штрафовать на сто тысяч рублей или эквивалент в твердой валюте. Т.е. примерно от полутора тысяч долларов. Только тогда банки будут действительно заинтересованы в том, чтобы хранить персональные данные и банковскую тайну действительно хорошо.
www.anti-malware.ru/news/2020-01-30-1447/31867
Мне кажется я не помню ни одной истории, когда имярек звонил в любой банк, просил соединить с СБ, и его соединяли.
Одну я помню. Лет семь или восемь назад я как раз работал в СБ банка, и однажды колл-центр на меня перевёл какого-то городского сумасшедшего, который утверждал, что владеет серьёзной инсайдерской информацией про одно предприятие, которое принадлежало тому же владельцу, что и банк. И если он этот инсайд раскроет, то предприятие потеряет какие-то серьёзные контракты. И чего-то требовал. Почему данного персонажа перевели на меня (простого технаря), почему он звонил на входящий номер банка, а не на то самое предприятие — тайна великая есть.
Я всё записал и доложил выше. История никакого развития не получила, кроме того, что я получил выговор от своего непосредственного, потому что не был уполномочен вести разговоры на такие темы.
А про уязвимости там или ещё что-то конструктивное — ни разу не было.
Надо за каждую строчку штрафовать на сто тысяч рублей или эквивалент в твердой валюте. Т.е. примерно от полутора тысяч долларов.
Злой вы — даже по GDPR устоявшийся на сейчас штраф ~500 евро за персону.
Что, как, на каком уровне (front, middle, back) пока неясно, но будут.
А ещё у меня подозрения возникли, когда с каждым звонком мне звонили из этого банка Эпсилон и прелагали кредитную карту, при том, что я всё время говорю, что принципиально не использую кредиты и прошу больше мне не предлагать, а потом понял, что это вообще сторонняя обзванивающая организация. Т.е. эти безобразники выгрузили мои контакты налево обзвонщикам, чтобы предложить свои продукты. А куда эти обзвонщики дальше мои данные пустят, им без разницы. Мы слишком доверяем банкам.
P.S.: С банком Эпсилон довольно-таки толстый намёк — забавно!
Тут вариантов масса.
На первом иттретьем скринах данные, которые вообще наружу не нужны. Они нужны внутри. На втором, да, похоже на выписку по карте или счету. Их могут затребовать снаружи. А первый и третий — клиентские данные.
В любом случае, разработчикам в банке теперь есть о чем поговорить :-)
В другой раз я бы «поиграл» бы с ним или банально затролил, но я был на работе и звонили они в момент обсуждения задач и правок по проекту. Я вышел в коридор и хотел по быстрому завершить разговор. Я чуть не попался только потому, что на карте была сумма исключительно для погашения кредита, которая должна была списаться в этот же день. И я подумал «а вдруг и правда пытаются украсть деньги». Правда я потом задался вопросом «А как? Надо же или знать номер карты или как?» Скорее всего по правде никак, но не суть.
Так вот, после того как девушка сказала (фоном, кстати, были звуки колцентра/шумного офиса) что отменяет операцию и помечает её как мошенническую… она спрашивает «а на руках ли у меня карты?» Я отвечаю, что нет их и они дома. Она «а когда вам удобнее перезвонить?» Я, без задней мысли и просто не хочу тратить время, говорю что вечером зайду в отделение банка и там решу на счёт карт и уточню вопрос (ну тот что она хотела сейчас мне задать, будь у меня карты на руках). После этого она быстро попрощалась. И я пошёл обратно в кабинет… и вот уже зайдя в кабинет я понял кто и зачем звонил.
Позже перезвонил в банк и конечно же… конечно же никаких операций не было и с банка мне не звонили. Номер с которого звонила девушка 8 (495) 256-256-0 в гугле находится с комментариями «мошенники, представляются СБ Сбербанка/ВТБ/Тинькофа».
p.s. — ну почему они звонят не в то время, когда я ничем не занят и могу поболтать с ними затраливая звонящего. Правда как-то пришла смс-ка, что карта заблокирована и надо перезвонить на номер билайн. Звоню… спрашивают ФИО, говорю «Пушкин Александр Се… Семёнович». Говорят «Спасибо, ваша карта разблокирована» и вешают трубку. Всё!))) Больше ничего не спросили, разговор занял меньше двух минут. У меня даже где-то запись разговора сохранилась.
Не лучшая идея с ними болтать. Мало ли что можно сделать потом с записью вашего голоса. Я стараюсь либо вообще не брать, если есть подозрения, либо говорить по минимуму, не использовать утвердительные слова типа «Да».
При этом мою кредитную (дата выпуска тоже до утечки) и детские дебетовые (выпуск уже в этом году) не блокировали.
блокирока карт Альфы и тоже подумал что связано.
Вот так пишешь нейтральную статью на Хабре о безопасности — а потом окажешься виноват в блокировке карт по всему Союзу пространству.
Как жить?
Анализ утечки второго порядка: когда утекает у тех, кто ворует данные у банка