Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 96
и эти люди делают антивирусы…
и эти люди зачем-то делают свою процессинговую систему. Вы это хотели сказать?
и много этими «антивирусами» народу пользуется?
15% — это не так уж и много.
www.antivirus.ru/antivirus.html
www.antivirus.ru/antivirus.html
Много. Symantec главний антивирус партнер Microsoft.
Эти люди делают Norton Antivirus, судите сами много или нет
То есть вы не зная темы решили сумничать? Похвально, чтож.
Проведите сканирование своего ПК. Я уверен, найдете много интересного.
Лидер рынка
к сайту компании имеют отношение совершенно другие люди, никак не связанные ни с антивирусами ни с процессинговыми системами
Когда поимели сайт апача, никто не перестал его использовать)
Это засада в квадрате: сперва пострадать от вирусов на компе а потом из-за того что у вендора антивиря увели твою кредитку.
Просто охренеть…
Пора бы какой-нибудь компании уже взять его на работу :)
Да его кто уже только не ищет :-)
Ну вообще то, много ума тут не надо, и всё это так-сказать «происшествие» есть не более чем не навязчивая реклама вот такой весёлой тулзы.
Программка на самом деле так себе… Mini MySqlat0r поумнее будет.
И распространяют они ее с троем внутри.
Я же не придумал, что минусы ставите?
www.virustotal.com/ru/analisis/6c2a5a9e5f91ee5bb51df6be3590f4523a188ca03104407bc511989105b94696-1258160650
www.virustotal.com/ru/analisis/6c2a5a9e5f91ee5bb51df6be3590f4523a188ca03104407bc511989105b94696-1258160650
возможно, это он выполнял свою «работу» ;-)
опять лососнули тунца
жалко их
жалко их
маловероятно что это правда
На счет хранения номеров карт, CVV кодов итд — если это правда, то компания Симантек грубо нарушала закон. Продавец не имеет права хранить эту информацию, он может хранить только специальный хеш-код, который возвращает ему Payment Provider, этот код может быть повторно использован для покупки ТОЛЬКО в этом машазине, больше ни где.
Пруфлинк?
Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.
Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.
Судя по оригинальной новости они имеют следующие поля:
BillingAddress, CardExpirationMonth, CardExpirationYear, CardNumber, CardType, CcIssueCode, CustomerEmail, CustomerFirstName, CustomerLastName or SecurityIndicator.
Многие забивают на ограничения и хранят CVV.
CVV хранят почти все мелкие и средние мерчанты, как это ни странно :)
Очень многие магазины хранят в себе базу введенных кард. Все равно об этом никто не узнает, если их не взламают. А по вашему откуда берется качественный «картон»?
если компания получила сертификат защищенности (уже не помню как именно он называется, но там серьездный аудит), то она может хранить эти пользовательские данные.
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать
вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).
вот такое мое видение ситуации, хотя уже давно не работаю с ними :)
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать
вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).
вот такое мое видение ситуации, хотя уже давно не работаю с ними :)
Про сертификаты защищенности не слышал, может и есть такое, в таком случае я стану еще большим параноиком по поводу он-лайн платежей.
По-моему, чтобы хранить у себя данные карт, надо получить PCI DSS
Вот мы и убеждаемся в очередной раз, что все эти сертификации — формальность и собирание денег. Причем, я так подозреваю, ни разработчики сайта, ни те, кто его проверяли (если они были), не понесут никакой ответственности?
p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.
p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.
Такие компании, как Microsoft и Autodesk, делают из отдельного решения e-commerce целый бизнес.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.
Только не CVV, а CVV2 (или CVC2). Первый CVV/CVC записан на магнитной полосе. А то, что они его хранят, конечно анреспект.
news.softpedia.com/images/news2/Symantec-Online-Store-Hacked-3.jpg
Неудевлюсь если у этой проги есть «Пасхальные Яйца», и этого хлопца поймают
Неудевлюсь если у этой проги есть «Пасхальные Яйца», и этого хлопца поймают
Я думал опять скажут, что русские хакеры =)
Молодец парень. Только я надеюсь что взлом был совершен ради интереса и данные с кредиток не будут использованы.
У вас в кармане лежат ключи от феррари, которая стоит под окном, вы не будете ездить?
Если феррари не моя, то скорее всего не поеду. Т.к. если поцарапаю — проблем не оберусь.
Так и тут — можно попасть на «феррари» и его хозяина.
Так и тут — можно попасть на «феррари» и его хозяина.
Вы нашли айфон
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?
может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.
Используй айфон — никто тебя не поймает.
П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?
может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.
Используй айфон — никто тебя не поймает.
П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.
К сожалению, это общая проблема всех вендоров.
Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.
И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.
Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.
А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.
Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.
И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.
Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.
А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.
вы не поверите, но за сайт очень сильно нагибают с точки зрения безопасности. на себе приходилось ощущать. да — не все так прекрасно, но то что касается биллинга всегда проходило несколько инстанций прежде чем попасть в продакшн. чуть выше написал развернуто
Сперва вирус на сайте NOD32, теперь это… Что будет дальше?
>> в которой хранились логины и пароли посетителей сайта
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?
Ага, уже нашел в оригинале — with the passwords stored in plain text.
Это жесть…
Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.
Это жесть…
Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.
Спасибо. Взял программку на «вооружение» :)
А почему на втором скриншоте вместо «Drives» написано «Drivers»? (красным подчёркнуто) Там же диски, а не драйверы…
Хмм… Собственно говоря, представлены пара скриншотов, которые ничего не доказывают (лично меня смущает слово Drivers вместо Drives — может, этот румын не слишком хорошо владее английским?). Скриншоты не предоставляют ничего, что могло бы доказать, что БД реально взломана.
Действительно странно, что выложив два скриншота сомнительной достоверности можно бдет кучу людей, что взломал сайт неглупой компании…
+100 к моей паранойе
зачем вообще хранить данные карт на сервере подключеном к интернет, тогда как они должны храниться исключительно на сервере никак не связанном с инетом и складываться туда через шлюз (если вообще так уж надо их хранить, вместо того чтоб пользоваться услугами того же paypal).
Сайт делали индусские или русские аутсорсеры-фрилансеры?
Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!
Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!
Надеюсь они догадались, что данные по кредитке нужно с начало шифровать в скриптах, а уже потом писать в БД.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.
безопасники такие «безопасные» %)
Какой-то странный у них сервер с базой данных. Что ещё за два CD-ROM дисковода?! Серьёзно что ли вот прямо взяли старенький комп с двумя дисководами (очень старый, даже не DVD и не RW приводы!) и запихнули в стойку. Ага. И ещё назвали Сервер Баз Данных. Ага. И стали там хранить пароли в plain-text. И ещё на сладкое данные карт вместе с CVV.
Прям сказка какая-то. Так нелепо, что не верится.
Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)
Прям сказка какая-то. Так нелепо, что не верится.
Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взломан сайт Интернет-магазина Symantec