Комментарии 96
и эти люди делают антивирусы…
+22
и эти люди зачем-то делают свою процессинговую систему. Вы это хотели сказать?
-1
и много этими «антивирусами» народу пользуется?
-17
НЛО прилетело и опубликовало эту надпись здесь
15% — это не так уж и много.
www.antivirus.ru/antivirus.html
www.antivirus.ru/antivirus.html
-7
Много. Symantec главний антивирус партнер Microsoft.
+4
Эти люди делают Norton Antivirus, судите сами много или нет
+3
НЛО прилетело и опубликовало эту надпись здесь
То есть вы не зная темы решили сумничать? Похвально, чтож.
+3
Проведите сканирование своего ПК. Я уверен, найдете много интересного.
-2
Лидер рынка
0
к сайту компании имеют отношение совершенно другие люди, никак не связанные ни с антивирусами ни с процессинговыми системами
+14
Когда поимели сайт апача, никто не перестал его использовать)
+1
Это засада в квадрате: сперва пострадать от вирусов на компе а потом из-за того что у вендора антивиря увели твою кредитку.
+9
Просто охренеть…
+2
Пора бы какой-нибудь компании уже взять его на работу :)
+12
Да его кто уже только не ищет :-)
+15
Ну вообще то, много ума тут не надо, и всё это так-сказать «происшествие» есть не более чем не навязчивая реклама вот такой весёлой тулзы.
+5
Программка на самом деле так себе… Mini MySqlat0r поумнее будет.
0
И распространяют они ее с троем внутри.
0
Я же не придумал, что минусы ставите?
www.virustotal.com/ru/analisis/6c2a5a9e5f91ee5bb51df6be3590f4523a188ca03104407bc511989105b94696-1258160650
www.virustotal.com/ru/analisis/6c2a5a9e5f91ee5bb51df6be3590f4523a188ca03104407bc511989105b94696-1258160650
0
возможно, это он выполнял свою «работу» ;-)
0
опять лососнули тунца
жалко их
жалко их
-8
маловероятно что это правда
-5
На счет хранения номеров карт, CVV кодов итд — если это правда, то компания Симантек грубо нарушала закон. Продавец не имеет права хранить эту информацию, он может хранить только специальный хеш-код, который возвращает ему Payment Provider, этот код может быть повторно использован для покупки ТОЛЬКО в этом машазине, больше ни где.
+20
Пруфлинк?
Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.
Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.
+1
НЛО прилетело и опубликовало эту надпись здесь
Судя по оригинальной новости они имеют следующие поля:
0
BillingAddress, CardExpirationMonth, CardExpirationYear, CardNumber, CardType, CcIssueCode, CustomerEmail, CustomerFirstName, CustomerLastName or SecurityIndicator.
+2
Многие забивают на ограничения и хранят CVV.
0
CVV хранят почти все мелкие и средние мерчанты, как это ни странно :)
0
Очень многие магазины хранят в себе базу введенных кард. Все равно об этом никто не узнает, если их не взламают. А по вашему откуда берется качественный «картон»?
+2
если компания получила сертификат защищенности (уже не помню как именно он называется, но там серьездный аудит), то она может хранить эти пользовательские данные.
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать
вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).
вот такое мое видение ситуации, хотя уже давно не работаю с ними :)
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать
вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).
вот такое мое видение ситуации, хотя уже давно не работаю с ними :)
+9
Про сертификаты защищенности не слышал, может и есть такое, в таком случае я стану еще большим параноиком по поводу он-лайн платежей.
0
По-моему, чтобы хранить у себя данные карт, надо получить PCI DSS
0
Вот мы и убеждаемся в очередной раз, что все эти сертификации — формальность и собирание денег. Причем, я так подозреваю, ни разработчики сайта, ни те, кто его проверяли (если они были), не понесут никакой ответственности?
p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.
p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.
+1
Такие компании, как Microsoft и Autodesk, делают из отдельного решения e-commerce целый бизнес.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.
0
Только не CVV, а CVV2 (или CVC2). Первый CVV/CVC записан на магнитной полосе. А то, что они его хранят, конечно анреспект.
0
news.softpedia.com/images/news2/Symantec-Online-Store-Hacked-3.jpg
Неудевлюсь если у этой проги есть «Пасхальные Яйца», и этого хлопца поймают
Неудевлюсь если у этой проги есть «Пасхальные Яйца», и этого хлопца поймают
+1
Я думал опять скажут, что русские хакеры =)
+2
Молодец парень. Только я надеюсь что взлом был совершен ради интереса и данные с кредиток не будут использованы.
0
У вас в кармане лежат ключи от феррари, которая стоит под окном, вы не будете ездить?
+1
Если феррари не моя, то скорее всего не поеду. Т.к. если поцарапаю — проблем не оберусь.
Так и тут — можно попасть на «феррари» и его хозяина.
Так и тут — можно попасть на «феррари» и его хозяина.
0
Вы нашли айфон
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?
может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.
Используй айфон — никто тебя не поймает.
П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?
может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.
Используй айфон — никто тебя не поймает.
П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.
0
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
К сожалению, это общая проблема всех вендоров.
Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.
И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.
Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.
А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.
Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.
И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.
Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.
А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.
+2
вы не поверите, но за сайт очень сильно нагибают с точки зрения безопасности. на себе приходилось ощущать. да — не все так прекрасно, но то что касается биллинга всегда проходило несколько инстанций прежде чем попасть в продакшн. чуть выше написал развернуто
0
Сперва вирус на сайте NOD32, теперь это… Что будет дальше?
+1
>> в которой хранились логины и пароли посетителей сайта
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?
0
Ага, уже нашел в оригинале — with the passwords stored in plain text.
Это жесть…
Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.
Это жесть…
Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.
+2
Хеш, например, md5 тоже по сути «plain text». Я все-таки сомневаюсь что там пароли хранились в открытом виде, хотя, конечно, всякое бывает…
0
Спасибо. Взял программку на «вооружение» :)
0
А почему на втором скриншоте вместо «Drives» написано «Drivers»? (красным подчёркнуто) Там же диски, а не драйверы…
+1
Хмм… Собственно говоря, представлены пара скриншотов, которые ничего не доказывают (лично меня смущает слово Drivers вместо Drives — может, этот румын не слишком хорошо владее английским?). Скриншоты не предоставляют ничего, что могло бы доказать, что БД реально взломана.
0
Действительно странно, что выложив два скриншота сомнительной достоверности можно бдет кучу людей, что взломал сайт неглупой компании…
-1
+100 к моей паранойе
0
зачем вообще хранить данные карт на сервере подключеном к интернет, тогда как они должны храниться исключительно на сервере никак не связанном с инетом и складываться туда через шлюз (если вообще так уж надо их хранить, вместо того чтоб пользоваться услугами того же paypal).
+2
Сайт делали индусские или русские аутсорсеры-фрилансеры?
Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!
Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!
-4
Надеюсь они догадались, что данные по кредитке нужно с начало шифровать в скриптах, а уже потом писать в БД.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.
0
безопасники такие «безопасные» %)
0
Какой-то странный у них сервер с базой данных. Что ещё за два CD-ROM дисковода?! Серьёзно что ли вот прямо взяли старенький комп с двумя дисководами (очень старый, даже не DVD и не RW приводы!) и запихнули в стойку. Ага. И ещё назвали Сервер Баз Данных. Ага. И стали там хранить пароли в plain-text. И ещё на сладкое данные карт вместе с CVV.
Прям сказка какая-то. Так нелепо, что не верится.
Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)
Прям сказка какая-то. Так нелепо, что не верится.
Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)
0
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взломан сайт Интернет-магазина Symantec