СК РФ: хакер осуждён на 5 лет колонии за атаку на инфосистему «Детского мира» и кражу тысяч подарочных сертификатов

[scsfl]

Согласно материалам дела, злоумышленники, «применяя компьютерные программы, заведомо предназначенные для нейтрализации средств защиты компьютерной информации, произвели подбор значений в виде номера и ПИН-кода к хранящимся в электронном виде предоплаченным 4459 электронным подарочным сертификатам и подарочным картам»

По всей видимости и номер карты и пин были простыми числовыми идентификаторами. К тому же на сайте не было рейтлимитов на кол-во запросов. Какие средства защиты тут были "нейтрализованы" мне решительно непонятно.

[randomsimplenumber]

Скрипт для перебора пин кодов == специальная компьютерная программа. С отягчающим ;)

[Hrr_2]

Табличка в экселе

[randomsimplenumber]

База данных. С новым годом, гражданин.

[randomsimplenumber]

Странная история. Зачем воровать то что невозможно использовать? Возможно пентестер хотел получить баг-баунти а получил пятерочку.

[alexalexes]

На любое пентестирование должно быть четкое согласование и документальная фиксация мероприятий, иначе это расценивается как атака, не важно с какими намерениями.

[CptAFK]

Убогость нашего законодательства.

[carolinux]

А что им мешало забрать товары? Подозреваю, что они это сделали. А не просто набрутили и удалили.

[randomsimplenumber]

В статье ни слова. Значит не забирали.

[Goron_Dekar]

Не на любое. Только на то, что приносит вред. офлайн пентест в собственной песочнице - вообще не проблема.

[alexalexes]

Естественно, то, что онлайн. Если на той стороне фиксируют в логах присутствие "пентестера", а у него нет заранее необходимых бумажек на данные действия, то у него появляются большие проблемы.

[Goron_Dekar]

Отлично, мы с вами уже выяснили, что

На любое пентестирование должно быть четкое согласование и документальная фиксация мероприятий, иначе это расценивается как атака, не важно с какими намерениями.

не верно - только на онлайн. Дальше вы уточняете, что надо, чтобы на той стороне в логах фиксировали. Выходит, что если не фиксируют - то не должно быть согласования?

А что, если в логах фиксируют не присутствие "пентестера", а какие-то странные вещи, с пентестером не связанные? Что если пентестер использует социнженерию?

Всё гораздо сложнее. и для баунти хантинга без заранее согласования есть и должно быть легальное окно. Иначе будет как с правообладателями, которые даже критику могут заткнуть ссылаясь на авторское право.

Что не отменяет базовой ТБ от пентестеров, и трогать без разрешения вещи, связанные с деньгами компании - явный перегиб.

[alexalexes]

Со стороны администратора системы, непонятно, с какими намерениями появилось то или иное аномальное событие в логе. Поэтому, сначала выявляют, кто это сделал, а потом разбираются.

[Hrr_2]

А когда машину угнали, а потом можно сказать я просто проверял какая у неё безопасность?

[randomsimplenumber]

Все угонщики для начала говорят что взят покататься ;)

[StjarnornasFred]

Почему же? Если некто отмычкой вскроет ваш замок, а при поимке скажет, что он не вор, а просто изучал защищённость вашей квартиры - вряд ли вы будете против того, чтобы вздрючить его и отбить желание заниматься подобным (собственно, статья за такое имеется). Так и здесь. Что это ещё за "пентест" и "баг-баунти" каким-то левым типом без разрешения?

[CptAFK]

Давайте вспомним ситуацию с РЖД и вай-фай, через который можно было перс данные пассажиров смотреть.

Если организация типа СДЭК не утруждает себя проводить чесную проверку своих ресурсов, чаще всего будет страдать конечный пользователь. Даже если они провели тестирование у какой-то компании которой заплатили это ещё не гарантия отсутсвия дыр. Кто выиграет в том, если умные люди которым это просто интересно, пытаются найти дыра и сообщить их. Или лучше как с ржд, который это даже за проблему не принял?

[randomsimplenumber]

Чсх, ни копейки ущерба не нанесено.

[scsfl]

Для багбаунти как правильно достаточно пару десятков запросов кинуть, показать что лимита нет и остановиться на этом. Здесь же 4459 карты набрутили, значит запросов сотни тысяч было, а то и больше. Почерк мамкиного кулхацкера)

[Vitimbo]

А как он собирался использовать эти пин коды? Купить себе пожизненный запас детского питания?

[randomsimplenumber]

И Лего.

[Aelliari]

Как вариант можно продать за крипту через бота в телеге. Зачем использовать их самому?

[randomsimplenumber]

Ликвидность товара вызывает огромные сомнения. Не представляю, кто может всерьез рассматривать покупку сертификата на игрушки через даркнеты.

[Hrr_2]

На авито продавать

[randomsimplenumber]

Без армии дропов - до первого вопроса следователя "где вы взяли сертификат".

[Hrr_2]

Зайдите ради интереса на авито.

[randomsimplenumber]

Есть ненулевое количество не очень умных, готовых срок себе с асфальта поднять. Продавать ворованное на площадке, где регистрация по телефону, и все пишется.. не очень умная идея.

[Grad6]

Хоть одно доказательство что это не чья-то фантазия?

[randomsimplenumber]

Срок реальный.

[monowar]

"Боржом" - попьем, поржем...
Смотрю в интернете одного чела, рассказывающего про великие ограбления, суммы которых выражаются в шести/семизначных цифрах. Представил на их фоне 7 тысяч подарочных сертификатов "Детского мира". Улыбнулся.

[Metotron0]

У этого Детского мира истекающие сертификаты! Нам разок подарили сертификат на сколько-то тысяч рублей, мы долго откладывали покупку, потом пришли: "А у вас сертификат истёк". И что? Мы просто подарили им деньги? Считаю, они в некотором роде заслужили ответную реакцию.

[Vitimbo]

Если бы уперлись, то можно было бы вернуть деньги. Сертификаты сроков годности иметь не могут

[randomsimplenumber]

Еще как могут. Например, на нем так и написано - годен до хх.хх.хххх. А выпущен он ООО Лабеан, и магазин любезно соглашается обменять его на товар.

Не понимаю я сертификатов.. Не знаете что подарить - дарите деньги.

[igrblkv]

На заборе то же написано.

Заявление на имя директора магазина и даже до суда дело не дойдёт.

Сертификат - это предоплата за товар, если товар не куплен предоплату обязаны вернуть.