Как стать автором
Обновить

Комментарии 74

И тут уже Яндекс не виноват ни в чем.
Кстати, администраторы сурово решили проблему. На данный момент сайт банка даже на главной выдает 403-ю ошибку.
Уже подняли.
МТБанк настолько суров, что решает проблему утечки данных полным закрытием сайта.
… полным закрытием банка…
Белорусского банковского законодательства не знаю, а в России за такое закрыть могут запросто. Это уже не просто персональные данные, это банковская тайна в чистом виде.
статья, притом уголовная
Стало быть, не только банк, но и админа закрыть могут…
скорее так — банку штраф, ответственному лицу (а точнее выбранному руководством банка козлу отпущения) условный срок. Чтоб их закрыть нужно доказать умысел, а тут его явно нет.
см. апдейт — банк выкрутился, «это информация не о наших клиентах, а только о тех, кто собирался ими стать».
ждём базу в продаже. несколько тысяч это сурово :(
На различных форумах зеркало уже заливают на рапидшару — ждать в продаже не обязательно.

С другой стороны — зачем она вам?
ээ, звонить в банк, и совершать всякие злые операции, и подтверждать что ты это жертва называя девичью фамилию.
>>оступны персональные данные людей, оставивших заявление на кредит
не только на кредит но и на дебетовые карточки как минимум. Искал там свою анкету, но не успел найти — закрыли.
Поправил в тексте, спасибо.

А где вы анкету заполняли — на сайте или в каком-нибудь бумажном виде?
Да, не подумал, там же только от веб-форм
Не факт… Впрочем, ссылку на дамп уже выложили, можете попробовать проверить ещё раз.
только с ВебФорм
Подобные топики уже порядком поднадоели и, на мой взгляд, опускают хабр до уровня желтой прессы. Слово «Мегафон» стало быстрым способом нарубить кармы?
НЛО прилетело и опубликовало эту надпись здесь
как подло с вашей стороны ))
НЛО прилетело и опубликовало эту надпись здесь
… мопед не мой, я просто кинул объяву
У меня от этого друг ум в бан загремел.
Ну зачем на rghost? Опять не удержусь и прокомментирую там :(
там в папке anketa/on_line в первом файле — троян
Пишете со стриральной машинки?
С линукса :P
А про Гуфа там ничего не сказано? :-)
там в комментах к этому файлу развели школохабр без цензуры :-)
теперь перед тем как пользоваться какими-то деанонимизирующими сервисами придется пробивать их на выдачу в поисковиках.
И это абсолютно ничего не гарантирует. Кто-нибудь думал, что крупный банк будет сохранять пользовательские анкеты в plain text в открытом доступе?
Почему нельзя вначале в банк сообщить о проблеме, а не кидать инфу в твиттер? Что за люди.
НЛО прилетело и опубликовало эту надпись здесь
Вообще не надо было в твиттер писать, пока данные были доступны. Какому-то козлу не утерпелось, а люди теперь могут пострадать вполне реально. Все таки надо и о других иногда думать.
всё правильно он сделал. наши банки по нескольку месяцев на вопросы с сайта отвечают
Все правильно пока ваши данные не попали. Все правильно пока деньги у вас со счета не увели :)
Потом через суд вернете в n раз больше. Чего переживать :)
Имхо, вполне этично. Это не сайт-визитка ООО «Рога и копыта» или мой, у которого почту проверяют хорошо если раз в месяц. 2 часа вполне достаточно, чтобы зайти по урлу, убедиться в наличии утечки и врубить 503-ю ошибку (Service Unavailable) на весь сайт до хотя бы её локализации и врубания 503 (или 401/403) на конкретном разделе.
По отношению к банку может и этично, но устраивать порку для банка за счет создания проблем его ни в чем не повинным клиентам, уже не так этично. В данном случае к клиентам отнеслись как к пушечному мясу и сам банк, и тот тип, который все это выложил.
и это есть гут. в следующий раз будут более оперативно следить за сообщениями с сайта. а то привыкли только на телетайп отзываться
МТБанк — Миф Твоей Безопасности™
Да такое сплошь и всюду, устал удивляться. Самое распространенное из разряда «вырви глаз» — это «anketa», «kabinet» и т.п.
«Kabinet» это еще нормально, читается хоть. А вот «online potreb salary» — это просто жесть.
Мда. А кто знает, по-белорусски «Сберегательный» через «С» или через «З»?

via zber_card
Ашчадны — там ни с, ни з. Это опечатка с русского.
Благодарю.

Сам помню только, что «Государственный» = «Дзяржаўны» )
А что вам не нравится? Немного искажённый транслит, причём искажённый так, что бОльше части населения он больше понятен.
— Ничего себе золотой Пежо! — подумал я, не прочитав следующую строку…
Мне больше понравилось название «Мечта за Авто»…

Променяй свою мечту на авто. :)
Сайт местами заработал, но с ошибками.

image
image

Может хоть кто-то задумается в следующий раз, отдавая на разработку сайт своей компании за откаты. Программисты виноваты, но тот кто их выбрал на порядок хуже.
Думаю анализ безопасности должен происходит в любой системе и тут не программисты виноваты, а тот, кто их контролировал. Думаю у них должен быть отдел безопасности, которые отвечает также и за сохранность банковской тайны.
Анонимусы из твиттера говорят, что сайт был целиком на аутсорсе — никто не знал, что там вообще творится. Но это ОБС и ждём официальных комментариев.
Очень на то похоже:

[scarab@wolf ~]$ host www.mtbank.by
www.mtbank.by has address 178.124.130.236
[scarab@wolf ~]$ host mtb.by
mtb.by has address 178.124.130.236
mtb.by mail is handled by 10 mailhub.mtbank.by.

но при этом
[scarab@wolf ~]$ host mailhub.mtbank.by.
mailhub.mtbank.by has address 93.125.98.239

То есть видно, что почтовик расположен совсем в другой сети. Там же находится и сайт интернет-банка:
[scarab@wolf ~]$ host mybank.by
mybank.by has address 93.125.98.25
заодно можно сказать, что чуваки пользуются решением от Bank's Soft Systems, хе-хе.

whois 93.125.98.239
говорит нам, что подсеть принадлежит:
netname: MTB-BY
descr: Joint-stock company «Minsk Transit Bank»
descr: Partizansky avenue 6a, 220033, Minsk, Republic of Belarus
country: BY

тогда как
whois 178.124.130.236

netname: BELTELECOM-DATACENTER
descr: Minsk, Belarus
country: BY

видно, что это какой-то датацентр, вероятнее всего хостинг. Вполне вероятно, что и разработкой-сопровождением сайта занималась какая-то веб-конторка.
Не какой-то датацентр, а до недавнего времени единственный датацентр в Беларуси.
Ну, как бы, один раз допустивший похожий по некоторым последствиям косяк в банковском софте (не в вебе, не в каком-другом паблике, но допускавший, и допустивший утечку банковской тайны) могу сказать, что я не был виноват. У меня было ТЗ, я его реализовал, у меня его приняли по пунктам ТЗ. Требований авторизации в ТЗ не было вообще, только идентификации. Идентификация работала, о чём есть соответствующий акт сдачи-приёмки. Прокуратура в моих действиях вины не нашла. То что банк в ТЗ не написал мне требования авторизации (или если бы написал и принял софт не проверив работают они или нет) — вина только банка.
Мда… как можно хранить данные клиентов в папке с сайтом?
Почему не настроили DirectoryIndex? даже сейчас на данный момент отображается phpinfo() по адресу mtb.by/test/
Либо никто не предъявлял таких требований, либо никто не проверял их исполнения.
Уже закрыли… И mtb.by/test/ тоже. Неужели их суппорт решил использовать хабр как багтрекер?
Что же сделали с их админами, что они в два ночи фиксят баги?..
Я себе после схожей ситуации смог позволить перестать снимать жильё. Хотя 42 часа нон-стоп на кофе при реализации новых «фичереквестов», включающих аутентификацию клиента.
Интересно, какое будет продолжение. Может статься так, что в Белоруссии станет одним банком меньше.
Должно войти в обиход: «я знаю, где ты брал кредит прошлым летом, ха-ха-ха»!
МТБанк официально прокомментировал утечку анкетных данных

ЗАО «МТБанк» сегодня распространило официальный комментарий относительно утечки анкетных данных, случившейся накануне вечером. Напомним, в результате инцидента временно была доступна информация по электронным заявлениям о возможности получения услуг банка.

В комментарии отмечено, что речь идет не о списке клиентов МТБанка, а о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. «Из содержания указанных заявлений нет возможности выяснить, каков итог их рассмотрения и стали ли в результате этого заявители клиентами банка или нет, а тем более получить сведения об условиях конкретных заключенных договоров», — говорится в комментарии.

«Также важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта Банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. В настоящее время сайт www.mtbank.by работает в обычном режиме.

При этом МТБанк полностью разделяет ответственность за возникшие обстоятельства наряду со своими партнерами и приносит свои искренние извинения Клиентам и пользователям сети Интернет за возникшие неудобства. В банке проводится внутреннее разбирательство, по результатам которого будут приняты строгие меры к ответственным», — отмечается в комментарии.


Скорее всего админ крутил сайт и задел index.php, хатя может и виноват хостинг от активе, но это маловероятно
«Анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно.» — т.е. если я стану их клиентом и они сольют мои данные — то это не страшно? Т.к. слили их ДО того, как онир ешили что их клиентом мне быть. Офигенно.
За одно подобное заявление надо закрывать такую шарагу на**й.
Понимаю, что сказано в официальном заявлении было несколько иначе, но цитата из топика отлично передает суть.
Нужно казнить, показательно, самым суровым сочетающимся с законом образом! Чтобы вытрясти «совок» из головы.
кого?
Прямых виновников (технари). Ну и руководство тоже, а то пытаются увиливать, мол не наши клиенты, форма для заполнения предоставлена вами — будьте любезны соблюдать соглашение о конфиденциальности. Влепить бы им штарфик, скажем в размере месячной выручки.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории