МТБанк: по следам Мегафона

    Не успели отшуметь новости по поводу СМС, «утёкших» в свободный доступ с сайта Мегафона, как похожая беда настигла один из известных белорусских банков.

    Некоторое время назад в твиттере известного белорусского фотографа Антона Мотолько появилось сообщение о том, что по адресу www.mtb.by/data/anketa/po_domashnemu доступны персональные данные людей, оставивших заявление на кредит. Непродолжительное ковыряние показало, что в каталоге /data/ на сервере доступно много другой информации — от фотографий сотрудников до заявлений на кредитные (как подсказывают в комментариях, и дебетовые) карты с девичьей фамилией матери и прочими паспортными данными.

    По грубым оценкам, число оказавшихся доступными анкет превышает 5000.

    На данный момент адреса уже закрыты, но кто знает, сколько копий было сделано?



    UPD: появился официальный комментарий Банка. Вкратце: анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно. Кроме того, паспортные данные «утекли» с сервера, находящегося на аутсорсинге у другой компании. Тем, кто всё-таки стал клиентами банка, были принесены извинения.

    UPD2: Текст официального ответа от руководства МТБанка:

    «Вечером 10.08.2011 появились сведения о техническом сбое на сайте банка, в результате чего была временно доступна информация по электронным заявлениям о возможности получения услуг банка.

    Официальный комментарий произошедшей ситуации от руководства ЗАО «МТБанк»:
    Речь идет не о списке клиентов МТБанка, а именно о списке физических лиц, обращавшихся на сайт МТБанка с заполнением непосредственно на сайте электронных предварительных заявлений. Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров.

    Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает обычном режиме.

    При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным.»

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 74

      +3
      И тут уже Яндекс не виноват ни в чем.
        +9
        Кстати, администраторы сурово решили проблему. На данный момент сайт банка даже на главной выдает 403-ю ошибку.
          0
          Уже подняли.
            +4
            МТБанк настолько суров, что решает проблему утечки данных полным закрытием сайта.
              +8
              … полным закрытием банка…
                +3
                Белорусского банковского законодательства не знаю, а в России за такое закрыть могут запросто. Это уже не просто персональные данные, это банковская тайна в чистом виде.
                  +1
                  статья, притом уголовная
                    0
                    Стало быть, не только банк, но и админа закрыть могут…
                      +1
                      скорее так — банку штраф, ответственному лицу (а точнее выбранному руководством банка козлу отпущения) условный срок. Чтоб их закрыть нужно доказать умысел, а тут его явно нет.
                        0
                        см. апдейт — банк выкрутился, «это информация не о наших клиентах, а только о тех, кто собирался ими стать».
            0
            ждём базу в продаже. несколько тысяч это сурово :(
              0
              На различных форумах зеркало уже заливают на рапидшару — ждать в продаже не обязательно.

              С другой стороны — зачем она вам?
                +4
                ээ, звонить в банк, и совершать всякие злые операции, и подтверждать что ты это жертва называя девичью фамилию.
              0
              >>оступны персональные данные людей, оставивших заявление на кредит
              не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
                0
                Поправил в тексте, спасибо.

                А где вы анкету заполняли — на сайте или в каком-нибудь бумажном виде?
                  0
                  Да, не подумал, там же только от веб-форм
                    0
                    Не факт… Впрочем, ссылку на дамп уже выложили, можете попробовать проверить ещё раз.
                      0
                      только с ВебФорм
                –20
                Подобные топики уже порядком поднадоели и, на мой взгляд, опускают хабр до уровня желтой прессы. Слово «Мегафон» стало быстрым способом нарубить кармы?
                • UFO just landed and posted this here
                    +3
                    как подло с вашей стороны ))
                    • UFO just landed and posted this here
                        +3
                        … мопед не мой, я просто кинул объяву
                          –3
                          У меня от этого друг ум в бан загремел.
                        +6
                        Ну зачем на rghost? Опять не удержусь и прокомментирую там :(
                          +2
                          там в папке anketa/on_line в первом файле — троян
                            +6
                            Пишете со стриральной машинки?
                              0
                              С линукса :P
                              –3
                              А про Гуфа там ничего не сказано? :-)
                              –2
                              там в комментах к этому файлу развели школохабр без цензуры :-)
                              +2
                              теперь перед тем как пользоваться какими-то деанонимизирующими сервисами придется пробивать их на выдачу в поисковиках.
                                0
                                И это абсолютно ничего не гарантирует. Кто-нибудь думал, что крупный банк будет сохранять пользовательские анкеты в plain text в открытом доступе?
                                +2
                                Почему нельзя вначале в банк сообщить о проблеме, а не кидать инфу в твиттер? Что за люди.
                                • UFO just landed and posted this here
                                    +3
                                    Вообще не надо было в твиттер писать, пока данные были доступны. Какому-то козлу не утерпелось, а люди теперь могут пострадать вполне реально. Все таки надо и о других иногда думать.
                                      –1
                                      всё правильно он сделал. наши банки по нескольку месяцев на вопросы с сайта отвечают
                                      0
                                      Имхо, вполне этично. Это не сайт-визитка ООО «Рога и копыта» или мой, у которого почту проверяют хорошо если раз в месяц. 2 часа вполне достаточно, чтобы зайти по урлу, убедиться в наличии утечки и врубить 503-ю ошибку (Service Unavailable) на весь сайт до хотя бы её локализации и врубания 503 (или 401/403) на конкретном разделе.
                                        –1
                                        По отношению к банку может и этично, но устраивать порку для банка за счет создания проблем его ни в чем не повинным клиентам, уже не так этично. В данном случае к клиентам отнеслись как к пушечному мясу и сам банк, и тот тип, который все это выложил.
                                      –1
                                      и это есть гут. в следующий раз будут более оперативно следить за сообщениями с сайта. а то привыкли только на телетайп отзываться
                                    +1
                                    МТБанк — Миф Твоей Безопасности™
                                      +4
                                      Скриншот папки /data/anketa: img35.imageshack.us/img35/1860/36630215.jpg
                                      Названия директорий вынесли мозг.
                                        +1
                                        Да такое сплошь и всюду, устал удивляться. Самое распространенное из разряда «вырви глаз» — это «anketa», «kabinet» и т.п.
                                          +4
                                          «Kabinet» это еще нормально, читается хоть. А вот «online potreb salary» — это просто жесть.
                                          0
                                          Мда. А кто знает, по-белорусски «Сберегательный» через «С» или через «З»?

                                          via zber_card
                                            +7
                                            Ашчадны — там ни с, ни з. Это опечатка с русского.
                                              +1
                                              Благодарю.

                                              Сам помню только, что «Государственный» = «Дзяржаўны» )
                                            0
                                            А что вам не нравится? Немного искажённый транслит, причём искажённый так, что бОльше части населения он больше понятен.
                                            +2
                                            — Ничего себе золотой Пежо! — подумал я, не прочитав следующую строку…
                                              0
                                              Мне больше понравилось название «Мечта за Авто»…

                                              Променяй свою мечту на авто. :)
                                              0
                                              Сайт местами заработал, но с ошибками.

                                              image
                                              image

                                                +1
                                                Может хоть кто-то задумается в следующий раз, отдавая на разработку сайт своей компании за откаты. Программисты виноваты, но тот кто их выбрал на порядок хуже.
                                                  +1
                                                  Думаю анализ безопасности должен происходит в любой системе и тут не программисты виноваты, а тот, кто их контролировал. Думаю у них должен быть отдел безопасности, которые отвечает также и за сохранность банковской тайны.
                                                    +2
                                                    Анонимусы из твиттера говорят, что сайт был целиком на аутсорсе — никто не знал, что там вообще творится. Но это ОБС и ждём официальных комментариев.
                                                      +2
                                                      Очень на то похоже:

                                                      [scarab@wolf ~]$ host www.mtbank.by
                                                      www.mtbank.by has address 178.124.130.236
                                                      [scarab@wolf ~]$ host mtb.by
                                                      mtb.by has address 178.124.130.236
                                                      mtb.by mail is handled by 10 mailhub.mtbank.by.

                                                      но при этом
                                                      [scarab@wolf ~]$ host mailhub.mtbank.by.
                                                      mailhub.mtbank.by has address 93.125.98.239

                                                      То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
                                                      [scarab@wolf ~]$ host mybank.by
                                                      mybank.by has address 93.125.98.25
                                                      заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.

                                                      whois 93.125.98.239
                                                      говорит нам, что подсеть принадлежит:
                                                      netname: MTB-BY
                                                      descr: Joint-stock company «Minsk Transit Bank»
                                                      descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
                                                      country: BY

                                                      тогда как
                                                      whois 178.124.130.236

                                                      netname: BELTELECOM-DATACENTER
                                                      descr: Minsk, Belarus
                                                      country: BY

                                                      видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
                                                        +3
                                                        Не какой-то датацентр, а до недавнего времени единственный датацентр в Беларуси.
                                                    0
                                                    Ну, как бы, один раз допустивший похожий по некоторым последствиям косяк в банковском софте (не в вебе, не в каком-другом паблике, но допускавший, и допустивший утечку банковской тайны) могу сказать, что я не был виноват. У меня было ТЗ, я его реализовал, у меня его приняли по пунктам ТЗ. Требований авторизации в ТЗ не было вообще, только идентификации. Идентификация работала, о чём есть соответствующий акт сдачи-приёмки. Прокуратура в моих действиях вины не нашла. То что банк в ТЗ не написал мне требования авторизации (или если бы написал и принял софт не проверив работают они или нет) — вина только банка.
                                                    +2
                                                    Мда… как можно хранить данные клиентов в папке с сайтом?
                                                    Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
                                                      0
                                                      Либо никто не предъявлял таких требований, либо никто не проверял их исполнения.
                                                      0
                                                        +2
                                                        Уже закрыли… И mtb.by/test/ тоже. Неужели их суппорт решил использовать хабр как багтрекер?
                                                          0
                                                          Что же сделали с их админами, что они в два ночи фиксят баги?..
                                                            0
                                                            Я себе после схожей ситуации смог позволить перестать снимать жильё. Хотя 42 часа нон-стоп на кофе при реализации новых «фичереквестов», включающих аутентификацию клиента.
                                                        +2
                                                        Интересно, какое будет продолжение. Может статься так, что в Белоруссии станет одним банком меньше.
                                                          +1
                                                          Должно войти в обиход: «я знаю, где ты брал кредит прошлым летом, ха-ха-ха»!
                                                            0
                                                            МТБанк официально прокомментировал утечку анкетных данных

                                                            ЗАО «МТБанк» сегодня распространило официальный комментарий относительно утечки анкетных данных, случившейся накануне вечером. Напомним, в результате инцидента временно была доступна информация по электронным заявлениям о возможности получения услуг банка.

                                                            В комментарии отмечено, что речь идет не о списке клиентов МТБанка, а о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. «Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров», — говорится в комментарии.

                                                            «Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает в обычном режиме.

                                                            При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным», — отмечается в комментарии.


                                                              –2
                                                              Скорее всего админ крутил сайт и задел index.php, хатя может и виноват хостинг от активе, но это маловероятно
                                                              +3
                                                              «Анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно.» — т.е. если я стану их клиентом и они сольют мои данные — то это не страшно? Т.к. слили их ДО того, как онир ешили что их клиентом мне быть. Офигенно.
                                                              За одно подобное заявление надо закрывать такую шарагу на**й.
                                                                +3
                                                                Понимаю, что сказано в официальном заявлении было несколько иначе, но цитата из топика отлично передает суть.
                                                                +2
                                                                Нужно казнить, показательно, самым суровым сочетающимся с законом образом! Чтобы вытрясти «совок» из головы.
                                                                  0
                                                                  кого?
                                                                    +1
                                                                    Прямых виновников (технари). Ну и руководство тоже, а то пытаются увиливать, мол не наши клиенты, форма для заполнения предоставлена вами — будьте любезны соблюдать соглашение о конфиденциальности. Влепить бы им штарфик, скажем в размере месячной выручки.

                                                                Only users with full accounts can post comments. Log in, please.