МТБанк: по следам Мегафона

[chipp]

И тут уже Яндекс не виноват ни в чем.

[dreamfall]

Кстати, администраторы сурово решили проблему. На данный момент сайт банка даже на главной выдает 403-ю ошибку.

[Komzpa]

Уже подняли.

[deniamnet]

МТБанк настолько суров, что решает проблему утечки данных полным закрытием сайта.

[Svobodniy]

… полным закрытием банка…

[scarab]

Белорусского банковского законодательства не знаю, а в России за такое закрыть могут запросто. Это уже не просто персональные данные, это банковская тайна в чистом виде.

[gregox]

статья, притом уголовная

[Mithgol]

Стало быть, не только банк, но и админа закрыть могут…

[gregox]

скорее так — банку штраф, ответственному лицу (а точнее выбранному руководством банка козлу отпущения) условный срок. Чтоб их закрыть нужно доказать умысел, а тут его явно нет.

[Komzpa]

см. апдейт — банк выкрутился, «это информация не о наших клиентах, а только о тех, кто собирался ими стать».

[omegian]

ждём базу в продаже. несколько тысяч это сурово :(

[Komzpa]

На различных форумах зеркало уже заливают на рапидшару — ждать в продаже не обязательно.

С другой стороны — зачем она вам?

[mark_ablov]

ээ, звонить в банк, и совершать всякие злые операции, и подтверждать что ты это жертва называя девичью фамилию.

[Nagg]

>>оступны персональные данные людей, оставивших заявление на кредит
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.

[Komzpa]

Поправил в тексте, спасибо.

А где вы анкету заполняли — на сайте или в каком-нибудь бумажном виде?

[Nagg]

Да, не подумал, там же только от веб-форм

[Komzpa]

Не факт… Впрочем, ссылку на дамп уже выложили, можете попробовать проверить ещё раз.

[LiaDesign]

только с ВебФорм

[Omgovich]

Подобные топики уже порядком поднадоели и, на мой взгляд, опускают хабр до уровня желтой прессы. Слово «Мегафон» стало быстрым способом нарубить кармы?

[nofamous]

как подло с вашей стороны ))

[nofamous]

… мопед не мой, я просто кинул объяву

[JoeyHere]

У меня от этого друг ум в бан загремел.

[Anakros]

Ну зачем на rghost? Опять не удержусь и прокомментирую там :(

[Deenamo]

там в папке anketa/on_line в первом файле — троян

[f0b0s]

Пишете со стриральной машинки?

[VolCh]

С линукса :P

[rule]

А про Гуфа там ничего не сказано? :-)

[rule]

там в комментах к этому файлу развели школохабр без цензуры :-)

[rapida]

теперь перед тем как пользоваться какими-то деанонимизирующими сервисами придется пробивать их на выдачу в поисковиках.

[Komzpa]

И это абсолютно ничего не гарантирует. Кто-нибудь думал, что крупный банк будет сохранять пользовательские анкеты в plain text в открытом доступе?

[SkySy]

Почему нельзя вначале в банк сообщить о проблеме, а не кидать инфу в твиттер? Что за люди.

[Bone]

Вообще не надо было в твиттер писать, пока данные были доступны. Какому-то козлу не утерпелось, а люди теперь могут пострадать вполне реально. Все таки надо и о других иногда думать.

[phaoost]

всё правильно он сделал. наши банки по нескольку месяцев на вопросы с сайта отвечают

[vics001]

Все правильно пока ваши данные не попали. Все правильно пока деньги у вас со счета не увели :)

[0mm]

Потом через суд вернете в n раз больше. Чего переживать :)

[izharskiy]

пока наоборот, админы крячат банки на денежки HEX-редакторами:

www.google.ru/search?q=16+%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2+%D1%81%D0%BE+%D1%81%D1%87%D1%91%D1%82%D0%B0+%D1%82%D0%BE%D0%BB%D1%8C%D1%8F%D1%82%D1%82%D0%B8+%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0

[VolCh]

Имхо, вполне этично. Это не сайт-визитка ООО «Рога и копыта» или мой, у которого почту проверяют хорошо если раз в месяц. 2 часа вполне достаточно, чтобы зайти по урлу, убедиться в наличии утечки и врубить 503-ю ошибку (Service Unavailable) на весь сайт до хотя бы её локализации и врубания 503 (или 401/403) на конкретном разделе.

[Bone]

По отношению к банку может и этично, но устраивать порку для банка за счет создания проблем его ни в чем не повинным клиентам, уже не так этично. В данном случае к клиентам отнеслись как к пушечному мясу и сам банк, и тот тип, который все это выложил.

[phaoost]

и это есть гут. в следующий раз будут более оперативно следить за сообщениями с сайта. а то привыкли только на телетайп отзываться

[deniamnet]

МТБанк — Миф Твоей Безопасности™

[deniamnet]

Скриншот папки /data/anketa: img35.imageshack.us/img35/1860/36630215.jpg
Названия директорий вынесли мозг.

[Treg]

Да такое сплошь и всюду, устал удивляться. Самое распространенное из разряда «вырви глаз» — это «anketa», «kabinet» и т.п.

[deniamnet]

«Kabinet» это еще нормально, читается хоть. А вот «online potreb salary» — это просто жесть.

[JoeyHere]

Мда. А кто знает, по-белорусски «Сберегательный» через «С» или через «З»?

via zber_card

[Komzpa]

Ашчадны — там ни с, ни з. Это опечатка с русского.

[JoeyHere]

Благодарю.

Сам помню только, что «Государственный» = «Дзяржаўны» )

[VolCh]

А что вам не нравится? Немного искажённый транслит, причём искажённый так, что бОльше части населения он больше понятен.

[Treg]

— Ничего себе золотой Пежо! — подумал я, не прочитав следующую строку…

[DSL88]

Мне больше понравилось название «Мечта за Авто»…

Променяй свою мечту на авто. :)

[0xZ]

Сайт местами заработал, но с ошибками.


—

[AmdY]

Может хоть кто-то задумается в следующий раз, отдавая на разработку сайт своей компании за откаты. Программисты виноваты, но тот кто их выбрал на порядок хуже.

[vics001]

Думаю анализ безопасности должен происходит в любой системе и тут не программисты виноваты, а тот, кто их контролировал. Думаю у них должен быть отдел безопасности, которые отвечает также и за сохранность банковской тайны.

[Komzpa]

Анонимусы из твиттера говорят, что сайт был целиком на аутсорсе — никто не знал, что там вообще творится. Но это ОБС и ждём официальных комментариев.

[scarab]

Очень на то похоже:

[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.

но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239

То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.

whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY

тогда как
whois 178.124.130.236

netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY

видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.

[CrazyRad]

Не какой-то датацентр, а до недавнего времени единственный датацентр в Беларуси.

[VolCh]

Ну, как бы, один раз допустивший похожий по некоторым последствиям косяк в банковском софте (не в вебе, не в каком-другом паблике, но допускавший, и допустивший утечку банковской тайны) могу сказать, что я не был виноват. У меня было ТЗ, я его реализовал, у меня его приняли по пунктам ТЗ. Требований авторизации в ТЗ не было вообще, только идентификации. Идентификация работала, о чём есть соответствующий акт сдачи-приёмки. Прокуратура в моих действиях вины не нашла. То что банк в ТЗ не написал мне требования авторизации (или если бы написал и принял софт не проверив работают они или нет) — вина только банка.

[Ename]

Мда… как можно хранить данные клиентов в папке с сайтом?
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/

[VolCh]

Либо никто не предъявлял таких требований, либо никто не проверял их исполнения.

[toxa]

www.mtb.by/admin.php

[EugeneOstapchuk]

Уже закрыли… И mtb.by/test/ тоже. Неужели их суппорт решил использовать хабр как багтрекер?

[Komzpa]

Что же сделали с их админами, что они в два ночи фиксят баги?..

[VolCh]

Я себе после схожей ситуации смог позволить перестать снимать жильё. Хотя 42 часа нон-стоп на кофе при реализации новых «фичереквестов», включающих аутентификацию клиента.

[0mm]

Интересно, какое будет продолжение. Может статься так, что в Белоруссии станет одним банком меньше.

[MpaK999]

Должно войти в обиход: «я знаю, где ты брал кредит прошлым летом, ха-ха-ха»!

[0xZ]

МТБанк официально прокомментировал утечку анкетных данных

ЗАО «МТБанк» сегодня распространило официальный комментарий относительно утечки анкетных данных, случившейся накануне вечером. Напомним, в результате инцидента временно была доступна информация по электронным заявлениям о возможности получения услуг банка.

В комментарии отмечено, что речь идет не о списке клиентов МТБанка, а о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. «Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров», — говорится в комментарии.

«Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает в обычном режиме.

При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным», — отмечается в комментарии.

[Ename]

Скорее всего админ крутил сайт и задел index.php, хатя может и виноват хостинг от активе, но это маловероятно

[n1tra]

«Анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно.» — т.е. если я стану их клиентом и они сольют мои данные — то это не страшно? Т.к. слили их ДО того, как онир ешили что их клиентом мне быть. Офигенно.
За одно подобное заявление надо закрывать такую шарагу на**й.

[n1tra]

Понимаю, что сказано в официальном заявлении было несколько иначе, но цитата из топика отлично передает суть.

[serf]

Нужно казнить, показательно, самым суровым сочетающимся с законом образом! Чтобы вытрясти «совок» из головы.

[mind]

кого?

[serf]

Прямых виновников (технари). Ну и руководство тоже, а то пытаются увиливать, мол не наши клиенты, форма для заполнения предоставлена вами — будьте любезны соблюдать соглашение о конфиденциальности. Влепить бы им штарфик, скажем в размере месячной выручки.