Pull to refresh
159
0
Денис @dinikin

Java разработчик

Send message
Скидку? За что? Данные же не являются конфиденциальными с точки зрения авиакомпании, а значит уязвимости нет
Для этого и нужен отдельный канал связи, что бы не сотрудник клиентской поддержки принимал решение, что отвечать клиенту, а компетентный безопасник.
А поулчается, ты пишешь оператору про приватные данные, а он отвечает тебе про конфиценциальные.
Всреднем, я репортил 55/3г/12мес = 1.5 уязвимости в месяц. На поиск уязвимости уходит от 15 мин.до пару-тройку часов. Изредка больше. $458 за пару часов работы — это не такие уж и маленькие деньги. Средний разработчик получает $10-15/час
В Украине только у ПриватБанка, в мире есть банки с похожими программами, можно попробовать их поискать на https://hackerone.com
Массовое пополнение мобильных телефонов с чужой карты
Ну платежи можно наклепать и фейковые через https://dashboard.stripe.com/test/payments
Я эти за пару минут сделал:

Согласно Закону Украины о Персональных данных:
«персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»
Я считаю, связка номер карты — ФИО не идентифицирует конкретного человека, поэтому не могут считаться персональными данными.
Такие действия нарушают закон о защите перснональных данных и закон о тайне переписки (если в персональных данных будет детализация звонков) и поэтому можно попасть под статью
Да, отблагодарили. Подключили дополнительных 4000 ежемесячных мегабайт инетрнета на 3 месяца.
Вот и меня оператор на первых порах пытался убедить, что такого быть не может, что нельзя телефон добавлять без СМС подтверждения.
Смотрите, вот вам реальный кейс. Я сейчас вышел на работе в фойе, там стоят 3 банкомата. Мне нужно срочно снять деньги. Из 3-х банкоматов 1 не работает по техническим причинам, в двух остальных не соответствуют клавиатура и кард-ридер. Я позвонил по указаному на одном из банкоматов телефону и сообщил о том. что клавиатура не соответствует той, что на изображении. Мне ответили, что передадут эту информацию в службу безопасности. Но вот что мне сейчас делать, когда мне нужно снять деньги, а два банкомата имеют признаки наличия мошеннических накладок? Мне прийдется либо искать другой банкомат, либо ждать, когда банк проверит банкомат и исправит картинку. И теперь ответьте мне на вопрос, работает ли сейчас программа по борьбе со скиммингом? Да, наверное. Но в ущерб банку и клиентам.
Если эта проблема существует не один месяц, значит, либо клиенты игнорируют сообщение и снимают деньги, либо они звонят, сообщают об отличиях, но ни чего не меняется. Из этого я делаю вывод. что таки да, эти информационные сообщения не работают.
Я не звонил, публиковал фото в фэйсбуке с упоминанием банков, ни один банк не ответил.
Я писал письмо в банк, мою заявку приняли, спустя 10 месяцев кард-ридер остался таким же. Видимо, с ним всё впорядке.
в том то и дело, что номер для пополнения я тоже могу вводить в меню, а соответсвенно могу пополнить любой номер
У Приватбанка есть голосовое меню по номеру 3700, которое позволяет пополнять любой телефон, введя просто последние 4 цифры своей карты. Т.е. я могу позвонит на голосовое меню Приватбанка, подменив номер на любой реальный, который является клиентом банка и просто по IVR меню пополнить любой телефон с карты того клиента? Последние 4 цифры карты можно сбрутфорсить, у них нет ограничений на количество попыток.
… у которого веб-сервисы, директории и тестовые страницы наружу торчат
paymentgate.ru/payment/webservices
engine.paymentgate.ru/merchant
test.paymentgate.ru/testpayment/merchants/alfa-test/test.html
Карты у них подвязываются через paymentgate.ru

Information

Rating
Does not participate
Location
Украина
Registered
Activity