LINUX.ORG.RU
ФорумTalks

Приватбанк взломан?


0

1

Помню историю успеха на хабре по внедрению linux-а http://habrahabr.ru/post/201814/

И тут такое http://www.securitylab.ru/news/454685.php

Не считаете ли вы что linux расслабляет администратора в плане безопасности? «Я перевел все на убунту и я теперь защищен, ведь это не винда»


судя по всему, изнутри похитили, кулхацкерство не при чём

Harald ★★★★★
()

У них физически захватили несколько офисов и парк инкассаторских машин. Администратора в плане безопасности очень расслабляет паяльник в заднице.

Frakhtan-teh ★★
()

Линукс это хорошо, но расслабляться не нужно, так как сервер на линуксе тоже внезапно может быть взломан.

zorg ★★
()
Ответ на: комментарий от Frakhtan-teh

Наоборот же - его расслабляет извлечение паяльника.

Valkeru ★★★★
()
Ответ на: комментарий от Frakhtan-teh

У них физически захватили несколько офисов

Пруф пожалуйста. У Привата головной офис, в том числе и ключевая IT-инфраструктура находятся в Днепропетровске, где по очевидным причинам никто ничего не захватывал.

Какое отношение имеют инкассаторские машины к вот этому все мне тем более непонятно.

dvrts ★★★
()

А есть ли пруф с менее желтого сайта, чем ты привел?

dvrts ★★★
()
Ответ на: комментарий от dvrts

Вроде была инфа, что выложенные номера и фамилии относятся к российским дочкам, которые прихватизировали. Возможно дело в этом.

Evgueni ★★★★★
()
Последнее исправление: Evgueni (всего исправлений: 1)

При любом раскладе дело не в Linux, а в проплаченном и освящённом извне инсайде. На Приватбанке некий краб нарисовал мишень.

Evgueni ★★★★★
()
Последнее исправление: Evgueni (всего исправлений: 1)
Ответ на: комментарий от Evgueni

Вроде была инфа, что выложенные номера и фамилии относятся к российским дочкам, которые прихватизировали. Возможно дело в этом.

Ну вот в этом случае у меня сомнений совершенно нет

dvrts ★★★
()

Нашел еще такую инфу


Хакеры Green Dragon атаковали ПриватБанк

«На текущий момент мы располагаем 484 тысячами 560 картами клиентов, часть данных зашифрована, однако это вопрос времени. Для всех скептиков: доступ к персональным данным клиентов и отчётным данным по текущим и депозитным счетам был получен при помощи дефолтных учётных записей БД ORACLE из под подсети, расположенной в DMZ зоне. Открытый «ораклевый» порт 1521 смотрел в демилитаризованную зону (так называемая «зона безопасности», которая стоит перед основной, чувствительной к атаке внутренней подсети). Так как дефолтная «учётка» базы данных имела системные права, то выполнить произвольную системную команду не составляло труда. Это позволило пройти дальше в сеть и выйти на HSM-сервер, отвечающий за эмитирование новых карт. Также при помощи него можно было выяснить все пин-коды предыдущих эмитированных карт», — сообщают хакеры.

«Помимо этого, будучи в центральной подсети, появилась возможность выйти на все сервера баз данных из-за доступности портов подключения. Используя ту же учётную запись, которая оказалась универсальной для всех БД, можно было скачать дополнительные отчётные данные банка, так называемые General Ledger, в которых хранится информация об общих ежедневных внутренних балансах банка.

Получается, что непосредственно взлом произвели некие Зеленые Драконы, а потом поделились инфой с КБ.

Dfg
() автор топика
Ответ на: комментарий от Dfg

Даже если выше сказанное имеет хоть какое-то отношение к правде, то Linux тут не причём, а причём дефолтная оракловая закладка. То бишь интерпрайз во все поля.

Evgueni ★★★★★
()
Последнее исправление: Evgueni (всего исправлений: 1)
Ответ на: комментарий от Dfg

дефолтная «учётка» базы данных имела системные права

Эпик фейл.

Также при помощи него можно было выяснить все пин-коды предыдущих эмитированных карт

С каких пор пинкоды хранятся в открытом виде? Их же вроде только карточка знает.

vurdalak ★★★★★
()
Ответ на: комментарий от Frakhtan-teh

Как правило, в банках доступы к БД урезаны по самые гланды. Хер ты к БД Сберыча или Банку Мухосранска полноценный доступ получишь, будучи администратором зассаного филиала. Даже с паяльником в заднице.

mkam
()
Ответ на: комментарий от vurdalak

С каких пор пинкоды хранятся в открытом виде? Их же вроде только карточка знает.

С каких пор карточка знает пин-код? Зачем он ей, хэша хватает. ПриватБанк вобще мутноватый в плане безопасности. Меня сильно удивили колеги, когда сказали что пин-код на карточках не изменился после обмена карты на новые.

andrewzvn
()
Ответ на: комментарий от andrewzvn

ПриватБанк вобще мутноватый в плане безопасности.

Это да. Тут один недавно счёт закрывал, ему выдали прямо на месте какую-то странную карту без пинкода, которая работает только в кассе. Его сфотографировали с картой в руке, и по этой фотографии в кассе его должны узнавать и выдавать по этой карте деньги.

Внешне карта выглядит как обычная дебетовая, только имя не напечатано.

vurdalak ★★★★★
()

Я помню у них не просто linux внедряли, но с настроенным SELinux и одноразовыми паролями по sms для сотрудников.

XVilka ★★★★★
()
Ответ на: комментарий от andrewzvn

У меня виза от втб24, в рамках зарплатного проекта. Недавно выдавали новую, взамен старой с закончившимся сроком действия, так пин старый остался. Номер карточки тоже старый, новый только срок действия.

ka1yaka
()

Нет, тыкать пальцем нужно в другую область неба.

Deleted
()
Ответ на: комментарий от andrewzvn

удивили колеги, когда сказали что пин-код на карточках не изменился после обмена карты на новые.

Сбербанк тоже не меняет, например.

risenshnobel ★★★
()
Ответ на: комментарий от Evgueni

На Приватбанке некий краб нарисовал мишень.

Все было бы у Привата со всякими крабами хорошо если бы он не финансировал всяких отморозков мечтающих присоединить к себе Воронеж, Курск, Дон и Кубань.

Freiheits-Sender ★★
()
Последнее исправление: Freiheits-Sender (всего исправлений: 1)
Ответ на: комментарий от ka1yaka

У меня виза от втб24, в рамках зарплатного проекта.

Странно, по моему у них там паранойя, попробуй через инет оплатить что-то больше 3000рую раз в сутки мгновенно заблокируют карту до разбора полетов.

Freiheits-Sender ★★
()
Ответ на: комментарий от Freiheits-Sender

То есть даже ватник признаёт, что нарисовал, а не отмазывается. Идеология гопника, такая идеология. dixi

Evgueni ★★★★★
()
Ответ на: комментарий от Evgueni

Какой ватник? Я с Кубани периодически приползающие свидомые с идеей присоединения к неньке задолбали.Кстати родственники с Днепропетровска во время начавшихся в Киеве беснования при звонке к ним с вопросом как дела, начали нести всякий бред вот этот ваш Пу, хотя он не мой я за него не голосовал, и сыпать угрозами мы вам покажем, плохо вам будет. С тех пор не разговариваем :(((

Freiheits-Sender ★★
()
Последнее исправление: Freiheits-Sender (всего исправлений: 1)
Ответ на: комментарий от andrewzvn

А сфигали пин должен меняться?

Или ты считаешь, что новые карточки должны по-новому контрольную сумму считатьН

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Freiheits-Sender

сыпать угрозами

Идиотов везде хватает.

Если бы не было идиотов, мы бы уже ох! Мы бы уже ух! Ну, на Марс бы точно были туристические поездки.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

На карточке понятно что не пинкод хранится. Просто по идее в банке он как минимум должен быть зашифрован, или даже тоже только его хэш храниться.

pi11 ★★★★★
()
Ответ на: комментарий от Eddy_Em

Во, в википедию залез -

Согласно требованиям международных платежных систем, значение PIN-кода не должно храниться(даже в защищенном виде), ни в терминалах обслуживания ни на хостинге эмитента. Рассмотрим возможности восстановления PIN-кода эмитентом по имеющимся у него данным.

pi11 ★★★★★
()
Ответ на: комментарий от templarrr

Это не только их особенность. Я в другом банке пытался с карточного счёта деньги снять, не помня пинкод. Так они не могут, у них нет способа это сделать без ввода кода. Надо перевыпускать карту, чтобы снять деньги и сразу же закрыть этот счёт.

vurdalak ★★★★★
()
Ответ на: комментарий от Eddy_Em

А сфигали пин должен меняться?

Или ты считаешь, что новые карточки должны по-новому контрольную сумму считатьН

Если в конвертике с пином напечатан старый пин, то это охренительная дыра в безопасности. Тогда должна существовать база с пинами, которую могут увести хакеры или слить админы за бабло. Для нормальной работы карты пин ненужен, только его хеш. Ты ж пароли в plaintext не храниш. Кстати, на конверте с пином написано что пин неизвестен никому, даже банку.

andrewzvn
()
Ответ на: комментарий от andrewzvn

в конвертике с пином напечатан старый пин
это охренительная дыра в безопасности

Это значит, что сволочи хранят код в незашифрованном виде!

Пин-код вообще не должны на "конвертике" печатать: выдали новую карту — пин четыре нуля; выдали обновление — старый пин.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Это значит, что сволочи хранят код в незашифрованном виде!

В зашифрованом тоже плохо - всегда найдется тот, кто сможет увести и расшифровать. Поэтому только хэш.

выдали новую карту — пин четыре нуля;

Не вариант. Я практически не видел мобил с недефолтными пинами. Аналогично всякие бабки не будут менять дефолтные пины на картах. ССЗБ конешно, но зачем помогать всяким мошенникам.

andrewzvn
()
Ответ на: комментарий от vurdalak

А как новая карта узнает пин старой, если он нигде не хранится?

Имеется в виду, что нигде не печатать пин, в базе останется старый. Хотя это все подходит только для старых карт с полоской, для чипованых уже не вариант, так как достать хэш пина с чипа сложновато, только брутфорсом.

andrewzvn
()
Ответ на: комментарий от Eddy_Em

Карте «знать пин» не нужно. Как и банку. Хеш есть.

Новым чипованым нужно, для офф-лайн операций.

andrewzvn
()
Ответ на: комментарий от Freiheits-Sender

Все именно так - старый номер и пин. В интернете ее практически не использую, но вот лимиты по переводам card-card дурацкие - 3000 в день и не более.

ka1yaka
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.