Pull to refresh

Comments 96

и эти люди делают антивирусы…
и эти люди зачем-то делают свою процессинговую систему. Вы это хотели сказать?
и много этими «антивирусами» народу пользуется?
UFO landed and left these words here
Ммм… 2005 год, свежачок. А скиньте нам статистику по 2001 году, было бы интересно вспомнить какие вообще тогда антивирусы были.
черт, не посмотрел на дату, и все же за последние годы его использование только уменьшилось.
Много. Symantec главний антивирус партнер Microsoft.
Эти люди делают Norton Antivirus, судите сами много или нет
UFO landed and left these words here
То есть вы не зная темы решили сумничать? Похвально, чтож.
Проведите сканирование своего ПК. Я уверен, найдете много интересного.
Сомневаюсь, что найду что-то интересное. Под wine почти ничего не водится, вирусов под linux вообще мало, а учитывая 64битную архитектуру… Хотя ладно, уговорили… Ну как и следовало ожидать, прогнал clamscan'ом, ничего.
к сайту компании имеют отношение совершенно другие люди, никак не связанные ни с антивирусами ни с процессинговыми системами
Это все ясно, но это их партнеры и сотрудничая с нимы клиенты подвергают себя явному риску.
Когда поимели сайт апача, никто не перестал его использовать)
Почему же люди должны уходить от использования нортона?)
ага, его перестали использовать за долго до этого )
Это засада в квадрате: сперва пострадать от вирусов на компе а потом из-за того что у вендора антивиря увели твою кредитку.
Вывод, нужно купить антивирус раньше, чем пострадать от вирусов =)
Но впоследствии всё равно пострадать от «того что у вендора антивиря увели твою кредитку».

Счастливого конца не предусмотрено?
Вообще, в жизни мало что предусмотрено в конце хорошего =).
Почему же. Если использовать предоплаченную виртуальную кредитку жизнью 1 месяц и установленным лимитом в стоимость антивиря, то все закончится счастливым концом :)
Пора бы какой-нибудь компании уже взять его на работу :)
Да его кто уже только не ищет :-)
Программка на самом деле так себе… Mini MySqlat0r поумнее будет.
И распространяют они ее с троем внутри.
возможно, это он выполнял свою «работу» ;-)
опять лососнули тунца
жалко их
На счет хранения номеров карт, CVV кодов итд — если это правда, то компания Симантек грубо нарушала закон. Продавец не имеет права хранить эту информацию, он может хранить только специальный хеш-код, который возвращает ему Payment Provider, этот код может быть повторно использован для покупки ТОЛЬКО в этом машазине, больше ни где.
Пруфлинк?

Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.
UFO landed and left these words here
Судя по оригинальной новости они имеют следующие поля:
BillingAddress, CardExpirationMonth, CardExpirationYear, CardNumber, CardType, CcIssueCode, CustomerEmail, CustomerFirstName, CustomerLastName or SecurityIndicator.
Многие забивают на ограничения и хранят CVV.
А в чем смысл таких ограничений, которые нельзя проверить? Попытаться убедить доверчиых пользователей карточек в их безопасности? Так я не думаю, что мнение отдельно взятого пользователя кого-то интересует.

Да и конкурентов у Visa/MasterCard нет, бояться им некого.
CVV хранят почти все мелкие и средние мерчанты, как это ни странно :)
UFO landed and left these words here
Очень многие магазины хранят в себе базу введенных кард. Все равно об этом никто не узнает, если их не взламают. А по вашему откуда берется качественный «картон»?
если компания получила сертификат защищенности (уже не помню как именно он называется, но там серьездный аудит), то она может хранить эти пользовательские данные.
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать

вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).

вот такое мое видение ситуации, хотя уже давно не работаю с ними :)
Про сертификаты защищенности не слышал, может и есть такое, в таком случае я стану еще большим параноиком по поводу он-лайн платежей.
По-моему, чтобы хранить у себя данные карт, надо получить PCI DSS
Насколько я понимаю, даже получение сертификата PCI DSS не позволяет хранить все данные. Даже если сертификат есть, то можно хранить в защифрованом виде только данные с лицевой стороны карты. А с магнитной ленты и с обратной стороны карты вроде как нельзя
Конечно. Я имел ввиду данные с лицевой стороны.
Вот мы и убеждаемся в очередной раз, что все эти сертификации — формальность и собирание денег. Причем, я так подозреваю, ни разработчики сайта, ни те, кто его проверяли (если они были), не понесут никакой ответственности?

p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.
Вы уверены, что материал не утка?
предлагаю не верить во все что пишут :)
Такие компании, как Microsoft и Autodesk, делают из отдельного решения e-commerce целый бизнес.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.
Только не CVV, а CVV2 (или CVC2). Первый CVV/CVC записан на магнитной полосе. А то, что они его хранят, конечно анреспект.
Я думал опять скажут, что русские хакеры =)
Молодец парень. Только я надеюсь что взлом был совершен ради интереса и данные с кредиток не будут использованы.
У вас в кармане лежат ключи от феррари, которая стоит под окном, вы не будете ездить?
Если феррари не моя, то скорее всего не поеду. Т.к. если поцарапаю — проблем не оберусь.
Так и тут — можно попасть на «феррари» и его хозяина.
Вы нашли айфон
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?

может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.

Используй айфон — никто тебя не поймает.

П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.
UFO landed and left these words here
да извеняюсь я перепутал айфон и айпод (эти все ай игрушки вечно путаются у меня в голове)
телефон мобильный не хотел изначально предлагать так как его по имею выкупают (если сможешь достучатся до разума милиции — обычно они такие дела не начинают под разными предлогами)
UFO landed and left these words here
UFO landed and left these words here
по ней, видимо, они изучают SQL :)
Пользователи Access, вероятно сталкивались с базой «Борей». Так вот это из той же оперы.
К сожалению, это общая проблема всех вендоров.

Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.

И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.

Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.

А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.
вы не поверите, но за сайт очень сильно нагибают с точки зрения безопасности. на себе приходилось ощущать. да — не все так прекрасно, но то что касается биллинга всегда проходило несколько инстанций прежде чем попасть в продакшн. чуть выше написал развернуто
Сперва вирус на сайте NOD32, теперь это… Что будет дальше?
Касперский, ты на очереди.
Его уже ломали и не раз, о чем, кстати, сказано в заметке.
>> в которой хранились логины и пароли посетителей сайта
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?
Ага, уже нашел в оригинале — with the passwords stored in plain text.
Это жесть…

Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.
Хеш, например, md5 тоже по сути «plain text». Я все-таки сомневаюсь что там пароли хранились в открытом виде, хотя, конечно, всякое бывает…
Знаете, еще вроде как не настали времена, когда хэш начали называть «plain text» :) Если речь идет о хранении паролей, то данная фраза имеет вполне определенный (негативный) смысл.
Спасибо. Взял программку на «вооружение» :)
А почему на втором скриншоте вместо «Drives» написано «Drivers»? (красным подчёркнуто) Там же диски, а не драйверы…
UFO landed and left these words here
Программа же китайская. Так что нечему удивляться. Перевод порой просто абсурдный.
Хмм… Собственно говоря, представлены пара скриншотов, которые ничего не доказывают (лично меня смущает слово Drivers вместо Drives — может, этот румын не слишком хорошо владее английским?). Скриншоты не предоставляют ничего, что могло бы доказать, что БД реально взломана.
Действительно странно, что выложив два скриншота сомнительной достоверности можно бдет кучу людей, что взломал сайт неглупой компании…
зачем вообще хранить данные карт на сервере подключеном к интернет, тогда как они должны храниться исключительно на сервере никак не связанном с инетом и складываться туда через шлюз (если вообще так уж надо их хранить, вместо того чтоб пользоваться услугами того же paypal).
UFO landed and left these words here
PayPal под 4% вроде сдирает.
С собственным мерчант-аккаунтом всегда выгоднее, тем более на больших оборотах
Сайт делали индусские или русские аутсорсеры-фрилансеры?

Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!
Надеюсь они догадались, что данные по кредитке нужно с начало шифровать в скриптах, а уже потом писать в БД.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.
если в качестве БД используется MySQL, то нередко можно встретить, что сайт работает с базой под root'ом MySQL, либо просто обладает весьма обширными привелегиями (почти аналог root), позволяющими читать таблицу mysql.user и/или использовать LOAD_FILE() чтения произвольных файлов :)
безопасники такие «безопасные» %)
Какой-то странный у них сервер с базой данных. Что ещё за два CD-ROM дисковода?! Серьёзно что ли вот прямо взяли старенький комп с двумя дисководами (очень старый, даже не DVD и не RW приводы!) и запихнули в стойку. Ага. И ещё назвали Сервер Баз Данных. Ага. И стали там хранить пароли в plain-text. И ещё на сладкое данные карт вместе с CVV.
Прям сказка какая-то. Так нелепо, что не верится.

Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)
cd порой удобно использовать для загрузочных восстановительных дисков
а второй cd — виртуальный скорее всего )
UFO landed and left these words here
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.