Комментарии 74
И тут уже Яндекс не виноват ни в чем.
Кстати, администраторы сурово решили проблему. На данный момент сайт банка даже на главной выдает 403-ю ошибку.
Уже подняли.
МТБанк настолько суров, что решает проблему утечки данных полным закрытием сайта.
ждём базу в продаже. несколько тысяч это сурово :(
>>оступны персональные данные людей, оставивших заявление на кредит
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
Подобные топики уже порядком поднадоели и, на мой взгляд, опускают хабр до уровня желтой прессы. Слово «Мегафон» стало быстрым способом нарубить кармы?
НЛО прилетело и опубликовало эту надпись здесь
теперь перед тем как пользоваться какими-то деанонимизирующими сервисами придется пробивать их на выдачу в поисковиках.
Почему нельзя вначале в банк сообщить о проблеме, а не кидать инфу в твиттер? Что за люди.
НЛО прилетело и опубликовало эту надпись здесь
Вообще не надо было в твиттер писать, пока данные были доступны. Какому-то козлу не утерпелось, а люди теперь могут пострадать вполне реально. Все таки надо и о других иногда думать.
всё правильно он сделал. наши банки по нескольку месяцев на вопросы с сайта отвечают
Все правильно пока ваши данные не попали. Все правильно пока деньги у вас со счета не увели :)
Потом через суд вернете в n раз больше. Чего переживать :)
пока наоборот, админы крячат банки на денежки HEX-редакторами:
www.google.ru/search?q=16+%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2+%D1%81%D0%BE+%D1%81%D1%87%D1%91%D1%82%D0%B0+%D1%82%D0%BE%D0%BB%D1%8C%D1%8F%D1%82%D1%82%D0%B8+%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0
www.google.ru/search?q=16+%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2+%D1%81%D0%BE+%D1%81%D1%87%D1%91%D1%82%D0%B0+%D1%82%D0%BE%D0%BB%D1%8C%D1%8F%D1%82%D1%82%D0%B8+%D0%B1%D0%B0%D0%BD%D0%BA%D0%B0
Имхо, вполне этично. Это не сайт-визитка ООО «Рога и копыта» или мой, у которого почту проверяют хорошо если раз в месяц. 2 часа вполне достаточно, чтобы зайти по урлу, убедиться в наличии утечки и врубить 503-ю ошибку (Service Unavailable) на весь сайт до хотя бы её локализации и врубания 503 (или 401/403) на конкретном разделе.
и это есть гут. в следующий раз будут более оперативно следить за сообщениями с сайта. а то привыкли только на телетайп отзываться
МТБанк — Миф Твоей Безопасности™
Скриншот папки /data/anketa: img35.imageshack.us/img35/1860/36630215.jpg
Названия директорий вынесли мозг.
Названия директорий вынесли мозг.
Да такое сплошь и всюду, устал удивляться. Самое распространенное из разряда «вырви глаз» — это «anketa», «kabinet» и т.п.
Мда. А кто знает, по-белорусски «Сберегательный» через «С» или через «З»?
via zber_card
via zber_card
А что вам не нравится? Немного искажённый транслит, причём искажённый так, что бОльше части населения он больше понятен.
— Ничего себе золотой Пежо! — подумал я, не прочитав следующую строку…
Сайт местами заработал, но с ошибками.
—
—
Может хоть кто-то задумается в следующий раз, отдавая на разработку сайт своей компании за откаты. Программисты виноваты, но тот кто их выбрал на порядок хуже.
Думаю анализ безопасности должен происходит в любой системе и тут не программисты виноваты, а тот, кто их контролировал. Думаю у них должен быть отдел безопасности, которые отвечает также и за сохранность банковской тайны.
Анонимусы из твиттера говорят, что сайт был целиком на аутсорсе — никто не знал, что там вообще творится. Но это ОБС и ждём официальных комментариев.
Очень на то похоже:
[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.
но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239
То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.
whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY
тогда как
whois 178.124.130.236
netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY
видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.
но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239
То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.
whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY
тогда как
whois 178.124.130.236
netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY
видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
Ну, как бы, один раз допустивший похожий по некоторым последствиям косяк в банковском софте (не в вебе, не в каком-другом паблике, но допускавший, и допустивший утечку банковской тайны) могу сказать, что я не был виноват. У меня было ТЗ, я его реализовал, у меня его приняли по пунктам ТЗ. Требований авторизации в ТЗ не было вообще, только идентификации. Идентификация работала, о чём есть соответствующий акт сдачи-приёмки. Прокуратура в моих действиях вины не нашла. То что банк в ТЗ не написал мне требования авторизации (или если бы написал и принял софт не проверив работают они или нет) — вина только банка.
Мда… как можно хранить данные клиентов в папке с сайтом?
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
Уже закрыли… И mtb.by/test/ тоже. Неужели их суппорт решил использовать хабр как багтрекер?
Интересно, какое будет продолжение. Может статься так, что в Белоруссии станет одним банком меньше.
Должно войти в обиход: «я знаю, где ты брал кредит прошлым летом, ха-ха-ха»!
МТБанк официально прокомментировал утечку анкетных данных
ЗАО «МТБанк» сегодня распространило официальный комментарий относительно утечки анкетных данных, случившейся накануне вечером. Напомним, в результате инцидента временно была доступна информация по электронным заявлениям о возможности получения услуг банка.
В комментарии отмечено, что речь идет не о списке клиентов МТБанка, а о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. «Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров», — говорится в комментарии.
«Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает в обычном режиме.
При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным», — отмечается в комментарии.
«Анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно.» — т.е. если я стану их клиентом и они сольют мои данные — то это не страшно? Т.к. слили их ДО того, как онир ешили что их клиентом мне быть. Офигенно.
За одно подобное заявление надо закрывать такую шарагу на**й.
За одно подобное заявление надо закрывать такую шарагу на**й.
Нужно казнить, показательно, самым суровым сочетающимся с законом образом! Чтобы вытрясти «совок» из головы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
МТБанк: по следам Мегафона