Количество идиотизма в этой истории делает эту заметку достаточно длинной, так что я начну с конца: как сказано в заголовке, 18-летний молодой человек был два дня назад арестован за «взлом» новой системы электронных билетов Будапешта, несмотря на то, что он сразу же сообщил о найденной им уязвимости.
По мере того, как история распространялась в социальных сетях, на фейсбук-страницах вовлеченных компаний появлялись десятки тысяч обзоров с 1 звездочкой (оператор новой системы, Budapest Transport Authority, сокращенно на венгерском ВКК), и T-Systems Hungary, отвечающий за разработку и поддержку системы электронных проездных. T-Systems Hungary принадлежит Telekom Hungary, который в свою очеред является дочерней компанией Deutsche Telekom, торговая марка T-Systems также принадлежит DT, и они являются весьма крупным игроком на рынке всей Европы.
История началась несколько недель назад, когда ВКК анонсировали запуск мобильной версии электронных проездных. Все, включая меня, были воодушевлены и удивлены одновременно. Мы уже знали, что они работали над системой на основе NFC/smart card уже на протяжении 4-х лет, без каких-либо видимых результатов, но потратив при этом более 4-х миллионов евро. Первые вопросы, пришедшие мне в голову, был «Как-то слишком быстро, без предварительных анонсов и слухов» и «Интересно, как они реализуют защиту от мошенничества и механизмы аутентификации?»…
Ответ на первый вопрос, по крайней мере, частичный ответ – они хотели запустить систему до начала чемпионата FINA, проходящего в Будапеште прямо сейчас. Более того, они запланировали запуск системы в день официального открытия чемпионата (14 июля). Немного попахивает, да? Прежде всего, не стоит запускать такую систему в крупном городе с развитой системой общественного транспорта и 1.7 миллионов жителей без серьезного тестирования. Во-вторых, не стоит запускать такую систему во время события, привлекающего в город огромное количество туристов. И в третьих, хорошо бы сделать систему доступной уже за несколько дней до начала чемпионата, т.к. многие посетители приезжают немного заранее.
Но второй вопрос гораздо интереснее – как сделать систему безопасной? Все, что было известно – что система будет онлайн, в вебе, т.е. не нужно будет устанавливать никаких приложений. Что, безусловно, делает защиту еще более интересной задачей.
То, что случилось в день запуска, было неожиданным даже для программистов, рожденных в маленькой центрально(восточно)европейской стране в советскую эпоху. Конечно же, были проблемы, конечно же, билеты было легко копировать на другие устройства, но это были лишь цветочки. Вот что нам удалось обнаружить:
Последняя уязвимость и была найдена 18-летним молодым человеком. С нее и начался этот рассказ. С его слов, он даже еще не умел программировать (он поступил в университет с этой осени). Он всего лишь воспользовался средствами веб-разработчика, встроенными в браузер (они доступны для всех), увидел, что цена отправляется назад на сервер в момент совершения покупки, и попробовал ее изменить. Месячный проездной стоит 9500 форинтов (около 30 евро), он установил цену 50 форинтов. При получении подтверждения об успешной покупке и получения проездного он сразу же написал по электронной почте в ВКК о том, что у них серьезная проблема. В ответ он получил лишь емейл о том, что его проездной аннулирован – и все. И лишь когда об этом написали в прессе, и начались массовые обсуждения вышеприведенных уязвимостей, ВКК вместе с T-Sytems стали срочно прикрывать свои задницы. Они стали заявлять о массированных хакерских атаках, о том, что общество показало себя недостаточно зрелым для такой системы, о том, что любую систему можно сломать, но их файрволы предотвратили множество атак, что пользователи использовали непристойные имена при регистрации, которые им пришлось поудалять, и тому подобное.
Один из представителей T-Sytems сообщил на пресс-конференции на следующий день, что они рады получать отчеты об ошибках, и что они получили один такой отчет, который безусловно является незаконной попыткой взлома. И хотя он упомянул о попытках атак SQL injection, можно быть уверенным, что речь шла о 18-летнем «хакере», оказавшемся достаточно глупым, чтобы написать им е-мейл.
Неделю спустя в новостях сообщили о том, что он был задержан полицей у себя дома (и отпущен через несколько часов). В нормальной стране, с работающей демократией, естественно, тот, кто заявляет о подозреваемом нарушении, не несет ответственности за то, что после этого должна делать полиция (а могли бы хотя бы сказать спасибо). Но в такой стране полиция не устраивает захват того, кто не представляет угрозы для общества. Особенно если это незаконно. А в Венгрии это таки незаконно. Единственная причина того, что они это сделали – напугать.
В итоге, все начинает выглядеть очень и очень нехорошо для всех участников.
Вы, конечно же, можете спросить, а зачем было настолько срочно выпускать релиз для чемпионата FINA? Давайте забудем о сотрудниках ВКК, т.к. эта организация управляется политиками. Но как нормальный менеджер мог допустить, чтобы эта фигня ушла в релиз? Неужели ни один из инженеров в команде не сообщал руководству о том, что что-то идет не так? Мне сложно в это поверить.
И снова, было ли это связано с FINA? Почему эти ребята повели себя столь грубо? В Венгрии людям сильно не нравится, если с ними так себя ведут. Особенно если в это вовлечены политики. И по поводу этого ничем не оправданного давления на парня, заявившего об уязвимости. По закону то, что он сделал, даже не является нелегальным. Он сообщил о «неавторизованном воздействии» на систему, что покрывается параграфом «совершение мошенничества с использованием информационных систем», но условия, описанные там, не были выполнены. Что ставит под сомнение, что полиция повела себя правильно (или же что T-Systems не сообщили всей имеющейся у них информации).
По мере того, как история распространялась в социальных сетях, на фейсбук-страницах вовлеченных компаний появлялись десятки тысяч обзоров с 1 звездочкой (оператор новой системы, Budapest Transport Authority, сокращенно на венгерском ВКК), и T-Systems Hungary, отвечающий за разработку и поддержку системы электронных проездных. T-Systems Hungary принадлежит Telekom Hungary, который в свою очеред является дочерней компанией Deutsche Telekom, торговая марка T-Systems также принадлежит DT, и они являются весьма крупным игроком на рынке всей Европы.
История началась несколько недель назад, когда ВКК анонсировали запуск мобильной версии электронных проездных. Все, включая меня, были воодушевлены и удивлены одновременно. Мы уже знали, что они работали над системой на основе NFC/smart card уже на протяжении 4-х лет, без каких-либо видимых результатов, но потратив при этом более 4-х миллионов евро. Первые вопросы, пришедшие мне в голову, был «Как-то слишком быстро, без предварительных анонсов и слухов» и «Интересно, как они реализуют защиту от мошенничества и механизмы аутентификации?»…
Ответ на первый вопрос, по крайней мере, частичный ответ – они хотели запустить систему до начала чемпионата FINA, проходящего в Будапеште прямо сейчас. Более того, они запланировали запуск системы в день официального открытия чемпионата (14 июля). Немного попахивает, да? Прежде всего, не стоит запускать такую систему в крупном городе с развитой системой общественного транспорта и 1.7 миллионов жителей без серьезного тестирования. Во-вторых, не стоит запускать такую систему во время события, привлекающего в город огромное количество туристов. И в третьих, хорошо бы сделать систему доступной уже за несколько дней до начала чемпионата, т.к. многие посетители приезжают немного заранее.
Но второй вопрос гораздо интереснее – как сделать систему безопасной? Все, что было известно – что система будет онлайн, в вебе, т.е. не нужно будет устанавливать никаких приложений. Что, безусловно, делает защиту еще более интересной задачей.
То, что случилось в день запуска, было неожиданным даже для программистов, рожденных в маленькой центрально(восточно)европейской стране в советскую эпоху. Конечно же, были проблемы, конечно же, билеты было легко копировать на другие устройства, но это были лишь цветочки. Вот что нам удалось обнаружить:
- Система хранила пароли в открытом виде и посылала их по электронной почте, если вы просили напомнить забытый пароль. Это означало, что для большинства людей те, кт получали доступ к системе, получали доступ и к их электронной почте (Будем честными, большинство пользователей используют везде один и тот же пароль).
- Пользователи могли видеть данные других пользователей, всего лишь изменив урл. В приложении вообще не было системы управления доступом. Люди жаловались, что они могли получить доступ к профилям других пользователей. Да, при регистрации необходимо было указать имя-фамилию, адрес и номер документа. И это должно было быть настоящим, потому что эти данные надо было предьявлять контролерам билетов.
- Если вы просто вводили урл, (shop.bkk.hu), сайт просто не открывался. Вначале я думал, что он упал, но оказалось, что они просто не сделали редирект с http на https. И это длилось несколько дней. Если вы про это не слышали, вы просто не могли пользоваться системой.
- Кто-то обнаружил, что пароль администратора был adminadmin, и смог войти в систему под этой учетной записью.
- Конечно же, билеты можно было легко скопировать, пользователи даже выложили видео с тем, как они 10 раз прошли через систему контроля с копиями билетов. Контролеры использовали сканер QR-кодов лишь дважды (у большинства просто не было сканеров), но даже тогда они не обнаружили ничего подозрительного (почему-то неудивительно).
- И самое смешное – вы могли сами установить цену покупаемого билета.
Последняя уязвимость и была найдена 18-летним молодым человеком. С нее и начался этот рассказ. С его слов, он даже еще не умел программировать (он поступил в университет с этой осени). Он всего лишь воспользовался средствами веб-разработчика, встроенными в браузер (они доступны для всех), увидел, что цена отправляется назад на сервер в момент совершения покупки, и попробовал ее изменить. Месячный проездной стоит 9500 форинтов (около 30 евро), он установил цену 50 форинтов. При получении подтверждения об успешной покупке и получения проездного он сразу же написал по электронной почте в ВКК о том, что у них серьезная проблема. В ответ он получил лишь емейл о том, что его проездной аннулирован – и все. И лишь когда об этом написали в прессе, и начались массовые обсуждения вышеприведенных уязвимостей, ВКК вместе с T-Sytems стали срочно прикрывать свои задницы. Они стали заявлять о массированных хакерских атаках, о том, что общество показало себя недостаточно зрелым для такой системы, о том, что любую систему можно сломать, но их файрволы предотвратили множество атак, что пользователи использовали непристойные имена при регистрации, которые им пришлось поудалять, и тому подобное.
Один из представителей T-Sytems сообщил на пресс-конференции на следующий день, что они рады получать отчеты об ошибках, и что они получили один такой отчет, который безусловно является незаконной попыткой взлома. И хотя он упомянул о попытках атак SQL injection, можно быть уверенным, что речь шла о 18-летнем «хакере», оказавшемся достаточно глупым, чтобы написать им е-мейл.
Неделю спустя в новостях сообщили о том, что он был задержан полицей у себя дома (и отпущен через несколько часов). В нормальной стране, с работающей демократией, естественно, тот, кто заявляет о подозреваемом нарушении, не несет ответственности за то, что после этого должна делать полиция (а могли бы хотя бы сказать спасибо). Но в такой стране полиция не устраивает захват того, кто не представляет угрозы для общества. Особенно если это незаконно. А в Венгрии это таки незаконно. Единственная причина того, что они это сделали – напугать.
В итоге, все начинает выглядеть очень и очень нехорошо для всех участников.
- ВКК заказала и приняла в эксплуатацию систему, наводненную детсадовскими ошибками. Большинство среднестатистических джуниор разработчиков написали бы лучше, за пару недель.
- T-Systems согласились разработать (скорее всего, за невыполнимые сроки) решение, которое не могло бы нормально работать, даже будучи нормально написанным. (Предполагаю, что перед ними не стояло задачи сделать так, чтобы билеты было невозможно скопировать). И они ее таки разработали. И кто-то в руководстве сказал «ОК, делайте релиз».
- ВКК платит T-Systems 80 тыс. евро в месяц за поддержку системы. Что весьма интересно, т.к. 80 тысяч достаточно, чтобы нормально реализовать всю систему с нуля. Хорошо, два-три раза по 80 тысяч, если добавить пару менеджеров, немного тестирования и немножечко откатов.
Вы, конечно же, можете спросить, а зачем было настолько срочно выпускать релиз для чемпионата FINA? Давайте забудем о сотрудниках ВКК, т.к. эта организация управляется политиками. Но как нормальный менеджер мог допустить, чтобы эта фигня ушла в релиз? Неужели ни один из инженеров в команде не сообщал руководству о том, что что-то идет не так? Мне сложно в это поверить.
И снова, было ли это связано с FINA? Почему эти ребята повели себя столь грубо? В Венгрии людям сильно не нравится, если с ними так себя ведут. Особенно если в это вовлечены политики. И по поводу этого ничем не оправданного давления на парня, заявившего об уязвимости. По закону то, что он сделал, даже не является нелегальным. Он сообщил о «неавторизованном воздействии» на систему, что покрывается параграфом «совершение мошенничества с использованием информационных систем», но условия, описанные там, не были выполнены. Что ставит под сомнение, что полиция повела себя правильно (или же что T-Systems не сообщили всей имеющейся у них информации).
Поделиться с друзьями
vconst
Если компания явно не указывает, что у нее есть программа вознаграждения за найденные уязвимости — туда с такими письмами лучше не соваться, в России тоже было не мало подобных случаев. Максимум — анонимное сообщение с почты не связанной с реальным человеком, а спустя некоторое время — анонимный постинг публично.
Metus
В данном случае я бы ещё посоветовал не снижать цену с 9500 до 50.
Lorien_Elf
… сам занялся подделкой только что купленного билета. На другом конце моего ножа для обрезки сигар находился перфоратор, с помощью которого я изменил пробитый на билете код места назначения.
Теперь я летел вместо XVIII на планету X, и на этом изменении курса потерял почти двести кредиток. В этом состоит суть моего метода. Никогда не увеличивайте стоимости билета слишком много шансов засыпаться. Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины. Ни у кого не возникнет и тени подозрения, так как терять на подделке денег явная бессмыслица.
"Крыса из нержавеющей стали", Гарри Гаррисон
dr_begemot
Сначала подумал, что вы ошиблись, потом я посмотрел перевод и там тоже «Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины.», очевидно же, что Гарри Гаррисон имел ввиду совсем другое!
pyrk2142
Скорее всего, имелось ввиду, что вы покупаете билет за 1000 кредиток, перфорируете его, превращая в билет за 800 кредиток. Его стоимость уменьшилась.
olekl
Да. Снизить стоимость билета ДО покупки как в статье или ПОСЛЕ покупки как у Гаррисона — две большие разницы :)
Lorien_Elf
Или четыре маленьких :) Важен принцип: не стараться получить материальную выгоду.
mickvav
Ну, персонаж Гаррисона при получении материальной выгоды не разменивался на мелочи, если мне не изменяет память.
Noeren
Отнють, в первой книге он конфеты воровал, а Слон его научил кое-каким хакерским премудростям как раз по части мелочей. А в более подних произведениях он не чурался спереть у начальства годных сигар.
arctic-fox
А все проблемы начались, когда честно трудоустроился (см. приключения с налоговой)
chapai22
The other end of my cigar cutter was a punch; with it I altered the keyed holes that indicated my destination. I was now going to planet X, not XVIII, and I had lost almost two hundred credits with the alteration. That's the secret of ticket and order changing. Don't raise the face value—there is too good a chance that this will be noticed. If you lower the value and lose money on the deal, even if it is caught, people will be sure it is a mistake on the machine's part. There is never the shadow of a doubt, since why should anyone change a ticket to lose money?
dr_begemot
Да, просто подделки в статье и в романе у Гаррисона немного разные, в первом случае мы меняем сумму платежа за поездку, а во втором подделываем дорогой билет на другое направление, более дешевое.
Disstudio
Он снизил не до 50, а на 50.
olekl
Таки до 50. Не совсем корректно перевел. Поправил.
Gordon01
9500 форинтов ~ 30 евро.
А он именно увеличил до 50 евро!
mayorovp
По тексту — он снизил до 50 форинтов (0,16 евро)
ktod
Если у компании нет программы вознаграждения, публичный постинг должен быть без всяких предупреждений.
vconst
Может и да, а может и нет. Нельзя забывать, что в первую очередь это коснется пользователей, они не виноваты, что программисты компании — криворучки.
AllexIn
Это уязвимость как пользователей коснется?
lubezniy
Повышением цены на проезд для компенсации убытков (не важно, кто тут виноват, бизнесу всё равно нужно держаться на плаву). И покупкой билетов за чужой счёт.
RedElf
Цены на проезд всегда буду максимально возможными. Это же капитализм.
olekl
Странно вы на капитализм смотрите. Конкретно в Венгии Малев вам в пример с максимальными ценами на проезд на самолетах :)
RedElf
А что с ним? Полагаю, у них такие цены, потому что они конкурентноспособны с ними. были бы монополистами, как сабж, установили бы цены больше
olekl
А умер он. Потому что пришел Виззаир :) В общем, я о том, что в капитализме вполне находятся те, кто вкладываются в крутую оптимизацию своих процессов, что позволяет им сильно снизить цены и захватить рынок, поскольку «динозавры» на такое не способны…
RedElf
Вы абсолютно правы. Каждый получает максимальную прибыль как может. Если может оптимизировать техпроцессы — оптимизирует, что позволяет снизить цены, скажем на 50%, а снижает он их на 30%, 20% себе.
А если можно дать чиновнику откат, то зачем цены снижать?
lubezniy
Максимальный предел может повышаться. И подобные события увеличивают вероятность оного: кому-то приходится платить за халявщиков, а их может достаточно быстро стать много.
RedElf
Если цена поднимется до определенного уровня народ начнет возмущаться
А за криво сделанный софт должны платить
1) Подрядчик
2) Заказчик (тот чиновник, который получил откат)
lubezniy
Угу, взяли и заплатили… Тут даже если и платить, это может делаться дооолго. А кредиторы денег хотят здесь и сейчас.
il--ya
Ну причём тут программисты? Программисты там, я так понимаю, рядом не сидели. Если, конечно, мы под этим словом понимаем одно и то же.
darthmaul
А лучше — продать данные заинтересованным людям. А те уже проведя хороший скам доходчиво доведут до клиента необходимость прислушиваться к людям, желающим помочь.
yar3333
>они просто не сделали редирект с http на https
Сразу вспоминается Сбербанк Онлайн (http://online.sberbank.ru/, https://online.sberbank.ru/), где это не сделано до сих пор. И прошло уже совсем не «несколько дней».
Serge78rus
Первая ссылка (которая http) не открывается.
sonor
Об этом и идет речь, что там неплохо смотрелся бы редирект на https версию.
Serge78rus
Согласен, но гораздо хуже бы смотрелось, если бы ссылка по http открывалась бы, как ни в чем не бывало.
knstqq
редирект должен быть на https же
firk
редирект, несомненно, был бы полезен, но вот с тем, что они чего-то «должны» — это вы явно перегнули
vyrkmod
Не, ну давайте сделаем это повсеместно. Абсолютно уверен, вам такой расклад не понравится. В прочем, мы же говорим о сайте сбербанка, на котором, как известно, уязвимостей нет, что уж говорить о таких мелких недочётах…
lsf
А вы не в сбербанке работаете?
x893
У сбера теперь везде ИИ, а ему надо время что бы настроить коэффициенты.
tbl
ИИ еще не дошел до мануалов к конфигу nginx
rgusev
Скорее не nginx, а Microsoft IIS (заголовок
Server: Microsoft-IIS/7.5). Эта версия, кстати, вышла в 2009. Д умаю, что в Microsoft еще не одну дыру в безопасности подлатали с новыми версиями за 8 лет.molnij
латание дыр у мс не изменяет версии, это же не хром
SerHitman
Топовый пример, Вы сами то пробовали перейти по ссылкам которые предоставили? через http скрин сделайте и выложите пжлст
Alex_ME
Недавно совершал оплату картой, процессинг осуществлял sberbank.ru и не обнаружил там https. Долго думал, фишинг или нет.
mva
уже после ввода данных? Просто если "до", то лично я бы не стал там вводить данные карты...
// а если после, то таки точно пора уже грефу прямым текстом заявлять, что в своём глазу бревна не видит
Alex_ME
Обнаружил до перевода и посчитал это очень подозрительным. Перевод не стал совершать и пошел внимательно сличать адрес с адресом сбера. www.sberbank.ru. Адрес был правильный, но подобные вещи от крупного банка просто непростительны.
knstqq
сличение адреса не обеспечивает безопасность, отсутствие https позволяет провести атаку MITM, хотя адрес совпадёт, казалось бы! И наличие только https — тоже не безопасность.
Только точные адрес ПЛЮС https дают какую-то гарантию. Одно из двух — это как ворота без забора (или наоборот).
KorDen32
Странное что-то. Во всех случаях, когда оплачивал через сберовский процессинг, было HTTPS, адрес кажется https://securepayments.sberbank.ru
ringo
да, несмотря на уважение по другим достаточно хорошим достижениям, такие штуки удивляют. Ранее все наверное обращали какая была уродливая страница ввода кода с СМС, где даже не удосужились логотипу нормальную прозрачность сделать, но теперь нормально ) но сколько лет эта страничка была )
rustavelli
ringo
Раньше в сбер было сходить очень не комфортно, сейчас бывает может и не идеально, но лучше чем в Альфа банк (в Самаре). Да электронная очередь — хорошая штука.
vyrkmod
Где-то ещё хуже != тут хорошо.
ringo
Идеально не бывает, но все достаточно хорошо.
rustavelli
Скажу по секрету — в банк ходить не обязательно… Не знаю, зачем они строят себе офисы.
В бассейне, например, для достижения результата, нужно ваше личное присутствие, а все банковские операции успешно выполняются онлайн и с помощью бумажной почты.
dimm_ddr
На мой взгляд уж лучше десяток раз сходить в сбербанк лично чем один раз попытаться пообщаться с ним через нашу Почту.
rustavelli
с такими банками не надо общаться… или сразу бросать трубку, или слать нах.
Если самоуважение есть.
Выписка со счета от тинькова пришла в тот же день на email и еще спустя 3-4 дня в почтовый ящик бумажным письмом с печатями. В старинном банке получить справку — это написать заявление, подождать 2 недели и потом забирать в рабочее время в офисе, который хз где находится.
ringo
В нашем мире, чтобы получить что-то вещественное нужно, чтобы оно доехало до тебя или ты должен доехать до него. Я пользуюсь пластиковыми картами, представь и даже наличными иногда, скажу тебе по секрету.
rustavelli
что вещественного нужно от банка? Это просто база данных с операциями по счетам.
Карточки курьер привозит, бумажные справки — почта. Не представляю, что делать в банке лично, если там процессы налажены.
ringo
Мне не очень приятно фотографировать с паспортом и договорам и все это делать в личном авто курьера. Бывает справка нужна срочно, почта долго. Кроме айтишников, есть не айтишники, которым надо все рассказать и показать, в банках это делают.
Хорошо, когда есть выбор. Вы его сделали и я рад ) У меня карты многих банках в т.ч. и того про который вы намекаете )
rustavelli
Не очень приятно в очереди сбера полчаса стоять, чтобы смс-уведомления отключить. Или за картой ехать в другой конец города, а там отделение набито народом дверь закрыли за 15 минут до конца рабочего дня, чтобы еще больше народа не набилось.
Когда мне срочно нужна была справка, в убогом банке АБ «РОССИЯ», мне надо было ждать её 2 недели, а потом ехать за ней лично. Что в моем графике заняло еще пару недель.
Последний раз в сбере, в котором нет онлайн-чата, где отвечают за минуты, на мой вопрос на сайте отвечали дней 10. Вопрос был «какого хера я полгода назад написал заявление на закрытие счета, а мне с него все еще приходят отчеты». Ответили, что счет не закрыли, так как там оставались деньги. И молчат полгода. Разумеется, надо снова идти в отделение и опять писать заявление.
Я про такие косяки могу часами рассказывать, хотя пользуюсь отсталыми банками по-минимуму, вынужденно.
ringo
В нашем городе иная ситуация, отделений много, проблем особых не возникает. Справки быстро получал для визы. Я просто написал, что банк сильно изменился, учитывая, что он полугосударственный это даже ставит в тупик ) Может не везде )
rustavelli
да, это унылое г. стало чуть менее унылым… Но до конкурентоспособности ему, как запорожцу до суперкара. Но с такой-то матерью можно заставить его ехать.
ringo
Есть люди, которые всем недовольны. У них очень хорошо оформлены офисы, хорошее приложение и неплохой клиент банк. Я выбрал этот банк и чаще всего им пользуюсь, значит конкурентноспособный и у всех моих друзей есть, что облегчает переводы.
rustavelli
Я полностью доволен тиньковым, был счастлив от банка Связной и меня впечатляет Точка.
Зачем мне оформление офисов, я не хочу работать курьером у банка и куда-то бегать по офисам. Особенно, когда у других бегать никуда не надо.
Переводы у тинькова бесплатны в любой банк, вот где легкость. Сбер дерет 1% за перевод на сбер в другой город, а их тарифы по картам одни из самых невыгодных на рынке.
Их мобильное приложение самое тормозное, из тех что я пробовал. Пока оно запустится и просканирует телефон на вирусы, я уже забываю что хотел сделать.
ringo
Вы наверное просто за Навального, я по другому не могу объяснить ваши ответы. У меня просто 6 карт по 2 от каждого банка и я использую преимущества каждого, но я не могу сказать, что кто-то сильно круче.
Да сканер карт от Тинькова впечатляет ) Переводы у Тинькова бесплатны в любой банк из-за того, что нет расходов на офисы, а не будет банкоматов, Тиньков не нужен будет, а эту инфраструктуру строят другие банки и самая большая у Сбера.
rustavelli
и что плохого в том, чтобы использовать чужую инфраструктуру?
Вот не начислять проценты на остаток по дебетовой карте — плохо.
Я рассказываю про цифры, тарифы и конкретные факты. Вы озвучили преимущество сбера в виде удобных очередей в красивых офисах.
Если сбер завтра предложит лучшие тарифы, сервис и будет показывать хорошие темпы развития — я переметнусь в него, мне не принципиально.
Могу даже забыть их скотское отношение за все эти годы.
olekl
Более того, вот как раз такой открывается :) https://www.monobank.com.ua/
rustavelli
В россии таких уже много. Связной банк вот успел открыться и закрыться. Поэтому когда на фоне такой конкуренции эти динозавры ничего не хотят менять в своей работе, это странно.
Одни банки приносят дебетовую карту курьером на следующий день, вторые 2 недели(!!!) одобряют её! Одобряют дебетовую карту!
Zord
Более того, я писал им по этому поводу в службу поддержки, но воз, как видно, и ныне там.
Дебилы, блять )
dewil
это как:
— где карту получали туда и топайте?
если последний раз вас перекинули на https, то чего вы лезете на http?
Oroszorszag
Hat… magyarok))
pyrk2142
По своему опыту скажу, что все ещё более грустно. Сообщал об уязвимостях многим компаниям, в том числе и тем, которые есть на Хабре (казалось бы, они должны быть более адекватными).
Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.
Уверен, что если информацию о багах публиковать, мы увидим гору истеричных статей уровня «В Сбербанк онлайн уязвимостей нет». А если кто-то все же взломает компанию, которая ничего не делает для защиты данных, то начнётся истерика про злых хакеров. Хотя их предупреждали. И не раз.
PKav
Думаю, большинство компаний игнорируют сообщение об ошибках потому, что если на них прореагировать, то начнутся внутренние разборки и поиски виноватых, которые легко могут закончиться депремированием всего отдела и увольнением менеджеров и специалистов по безопасности. Остаться после работы чтобы исправить и сделать коммит не позволяет SVN и логгирование, вот и сидят тихо в надежде, что пронесет.
vanxant
Да ну, бред. Можно по-тихому выпустить патч в очередном апдейте. Можно по-дружбе скинуть своему человечку из отдела QA, он штатно откроет тикет в багтрекере. Да куча вариантов.
vasiache
Мне скидывали дырку. Передал безопасникам так потом замучили вопросами откуда я этого человека знаю, что это за человек и т.д. Целые совещания собирались.
Никакого роялти за уязвимость не заплатили. Только нервов и времени кучу потерял. В общем больший профит сразу статьи писать. Хоть известность приобретешь которую худо бедно можно в таньгу конвертировать.
SirEdvin
> Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.
```
git push --force
```
Ritan
Вы же в приличном обществе, и вдруг такое…
vilgeforce
«если информацию о багах публиковать» — у меня возникают подозрение, что это единственный способ заставить их что-то делать, а не кормить отписками…
hzs
А что Сбербанк онлайн?
Выкатил пару дней на сайте двухфакторную авторизацию, на мойтелефон смс с подтверждением смог отправить и я благополучно зашёл, а на телефон мамы от её аккаунта он смс отправить не смог, в чём честно и признался.
Утром эту срань выпилили и вход очуществлялся по старинке с логином/паролем.
И я надеюсь, что все причастные получили знатных пиздюлей, чтобы больше такого не происходило.
Fox_exe
После этой фразы я потерял сознание… Очнувшись, понял, что чуть не проломил стол, стену и собственный лоб, отбивая «Фейспалм» и бъясь о разные твердые поверхности головой…
yanus2face
Лично наблюдал пароль рута admin в одной прошивке касс. :) Уже не удивляюсь… Общий уровень специалистов падает, результат налицо.
Mako_357
А как теперь оплачивать проезд в Будапеште, кто знает? Раньше были терминалы и бумажные билеты, что сейчас?
olekl
Думаю что они остались. Эта система вроде бы была в дополнение к уже существующей.
Gondoliere
Остались. Есть разовые, суточные и т.п. Проездной на месяц привязывается к ID и передать его другому лицу нельзя (разве что другое лицо похоже на вас:) )
Fen1kz
Сохранил статью в закладки как аргумент против пропаганды бездумного повсеместного White Hat этикета. Компании заслуживают сообщения об ошибках только за хорошее поведение.
powerman
…Выражающееся как минимум в наличии на корневой странице сайта ссылки на страницу с минимальным полиси:
А отсутствие на сайте такой инфы должно служить whitehat-ам сигналом выкладывать найденные дыры в паблик немедленно.
yefrem
Есть пример сайта, на котором подобное действительно есть?
KorDen32
У Valve (Steam) есть нечто отдаленно похожее. Если с сайта Steam перейти на сайт Valve (например по ссылке «О Valve»), там в контактах есть раздел Security Issues с email и рекомендуемыми действиями, но без отказа и «условий пентеста».
Ранее была просто указана почта security@ в General Contact Info, но письма часто игнорировались. Дошло до того, что разработчик Euro Truck Simulator устроил Harlem Shake на своей странице в сообществе, не добившись от Valve ответа по XSS. Его забанили, последовали скандалы, закончившиеся вполне себе хэппиэндом. Почитать можно например тут, и год спустя.
А вот на сайтах EA (Origin) / BattleNet (Blizzard) подобное сходу не находится
olekl
Вот тоже интересно, есть ли такое хоть у кого-то?
r85qPZ1d3y
Браво. В комментариях процветает правильная и мудрая мысль.
Если нашёл багу у компании, сначала проверь, участвует ли компания в баг баунти, если да, то продавай им уязвимость через баунти, если нет, то продавай уязвимость тому кто купит.
Dmitry_5
Желательно участие в этом процессе могущественного арбитра типа пайпала.
futureader
Постойте, то есть, герой сообщил об уязвимости ответственным за систему и потом, после того как достаточной реакции, на его взгляд, не последовало, он сообщил прессе?
Перефразирую. Приходит к вам домой почтален, стучится — ни кто не отвечает. Он дергает ручку, обнаруживает, что дверь открыта — он оставляет посылку, берет печеньку и пишет записку — дверь была открыта, заперите пожалуйста, а то все печеньки растащат. P.S. взял печеньку.
На следующий день приходит, проверяет дверь. Дверь открыта, он берет печеньку и идет на рыночную площадь и сообщает всем, что вот тот человек не запирает свои печеньки, хоть его и предупреждали.
potorof
Такова мораль хакеров. Т.е. он хакер, а не программист ))
Aiditz
Забыли добавить, что печеньки, хранящиеся у человека, принадлежат людям с рыночной площади
MTyrz
Угу, и человек не просто не запирает печеньки, а принимает их у людей с рыночной площади на ответственное хранение.
Rast1234
Вместе с паспортными данными...
saege5b
… за хранение которых, люди с рыночной площади платят деньги человеку.
futureader
Ага, теперь они все могут ими поделиться между собой по критерию «кто вперед»
amarao
Прихожу я банк и вижу, что комната с банковскими ячейками имеет дверь для уборщицы, которая закрывается на щеколду снаружи здания.
Я захожу внутрь (через дверь для клиентов), говорю ресепшену — мол, что ж за фигня — у меня там деньги хранятся. Ресепшен говорит «м… уу… м...» и всё. Я возмущён — там мои деньги хранятся — я привлекаю внимание общественности к факту, что у банка дверь без замка.
Банк сажает меня за «взлом банковской системы путём сообщения неограниченному кругу лиц о том, что банк не запирает дверь в хранилище».
Enam
И всё бы хорошо, если бы для проверки своей идеи вы не зашли в хранилище и вынесли пару мешков для себя, в качестве эксперимента.
dimm_ddr
А без эксперимента банк будет говорить "Врет он все, у нас надежно". До тех пор, пока кто-нибудь не зайдет и не вынесет вообще все. Но только в случае эксперимента можно просто все вернуть, а вот найти уже грабителя может и не получиться. Как будто первый день живете.
Enam
Есть законодательные нормы. Незаконное проникновение — незаконно.
dimm_ddr
Формально — скорее всего да. Хотя не удивлюсь, если найдутся страны в которых есть исключения в виде оправдания, если не награждения, в случаях, когда такое проникновение служит общему благу в каком-либо его виде. То, что их нет где-то говорит скорее о несовершенстве системы. А еще есть следование духу а не букве закона, что тоже в таком случае (если вы после того как вынесли пару мешков согласны добровольно их вернуть в целости) вас оправдает в случае когда суд заинтересован в благополучии общества, а не в собственной извращенной статистике или откатах банка, который вообще-то тоже заинтересован в нахождении таких дыр малой кровью, но почему-то иногда действует против своих же интересов.
wellusion
И в момент горения пятых точек пухлых топ-менеджеров один из них вспоминает, что приходил недавно недовольный клиент и возмущался их первоклассной системой безопасности, на которую было запилено так много бюджетных енотов. Кого же теперь находчивые руководители будут прикладывать к своему больному месту, чтобы остудить накал страстей?
Lennonenko
«неверная аналогия подобна котёнку с дверцей»
вынесли пару мешков для проверки, не остановят ли по дороге
после того, как не остановили, положил мешки снаружи, оставив номер телефона, через 10 минут мешки занёс обратно охранник, по указанному номеру так никто и не перезвонил
varnav
Кстати в одном банке как раз примерно так и было. Его и грабанули.
ximaera
А по-венгерски на Хабре ругаться можно, интересно?
Oroszorszag
Persze, miert ne?)))
andrey_aksamentov
Не стоит лезть туда где дядьки пилят деньги…
burundukh
фу. еще и налайкано.
olekl
Уже нет :)
andrey_aksamentov
иронии нет права на лайки?
TaHKucT
… под своим реальным именем
vsapronov
Погодите! T-Systems есть в России, в Питере. И наверняка кто-то из девелоперов есть на GT. Давайте призовем их к ответу за их говноконтору. Товарищи программисты, как же вы работаете в контора которая позволяет себе такое говнище. Не боитесь стать быдлоколерами? Или вы уже на РЖДшных подрядах поднаторели?
menfromearth
dimaal
Заказчик считал, что если _очень дорого_ заказать у T-Systems — можно спать спокойно: ведь не может же такой монстр лажануть. Но. Скорее всего T-Systems просто взяла деньги, проект реализовывала дочерняя контора без опыта разработки таких проектов или вообще субподрядчик, не связанный с Т-Systems (и получившим заказ по знакомству). Все делалось, естественно, за минимально возможные деньги.
QA тестирует соответствие продукта ТЗ, где ни слова о том, что система не должна иметь пароля adminadmin или не должна пересылать/получать цену на клиентскую сторону. Так что с QA, уверен, там полный порядок ;)
На правах работника дочерней фирмы T-Systems
dimm_ddr
В нормальных компаниях есть тестирование безопасности и вообще sanity checking. Это не просто проверить на соответствие ТЗ.
Anthrax_Beta
Добро в наше время наказуемо.
celebrate
Что-то сайт bkk.hu не открывается…
MrGaliev
боятся русских хакеров
povargek
Скорее всего, своих хакеров боятся больше
Abiboss
Нормальная система. Рассчитанная на честность граждан. Я читал, что раньше, при Союзе, можно было зайти в автобус, там стоял аппарат для монеток, в него нужно было накидать монеток, а потом отмотать билет. В принципе, тут всё то же самое, только в электронном виде.
А студент просто оказался не готов к социалистическому будущему. Может, они там коммунизм втихую строят, электронный такой? А что при коммунистах с такими делали? Правильно —
расстреливалинаказывали! Вот его и наказали.Там и президент носит роскошные усы, всё как положено! Интересно, курит ли он трубку?
Chamie
>граждан
>интернет
Chamie
А за что минусуем-то, товарищи? Смысл в том, что система доступна через интернет, т.е. фильтра ни по гражданству, ни по территории, с которой производятся действия с ней, там нет.
pvsur
Хакер в столовой
Классика! :)
cicatrix
Система была хороша тем, что все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул. Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной». То есть, был общественный контроль!
С описанной здесь ситуации вообще никаких аналогий нет.
vsapronov
О да! Я помню это! Я еще застал это, был ребенком, но помню этот чудо-аппарат. Он был с таким куполом сверху из оргстекла и резиновая лента с рисками для пятаков.
psy06
О да, я как раз любил прикрыв ладошкой моетоприемник и сделав вид что кидаю монетку, оторвать билетик даром. Я тогда был второклассником и любил кататься в аэропорт. Меня иногда палили и отчитывали старушки, но с автобуса никто не гнал и билет не отбирал.
Awoody
Да неужели следили? С проездным, действительно, была такая мода. Но разве что-то делали с тем, кто не предъявил проездной и не купил билета?
grumbler66rus
1. Контролёры выписывали и отбирали штраф либо препровождали в отделение.
2. Водитель проводил контроль при выходе, если видел безбилетника.
Awoody
Нет, при чём здесь контролёры и водитель? Вы написали, что
Вот я и спрашиваю, неужели граждане (пассажиры) следили? И разве они что-то делали с тем, кто не предъявил проездной и не купил билета?
grumbler66rus
«Вы написали, что » — посмотрите внимательно, кто что написал.
Awoody
Прошу прощения, я тоже оказался невнимателен :)
grumbler66rus
> Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной».
Это правило присутствовало в «Правилах пользования общественным транспортом», экземпляр которых был вывешен в каждом вагоне.
LanMaster
Да там — ВСЁ самое смешное.
bondbig
А ссылки на источник нет?
bondbig
а, точно, вижу
rrrrex
Заплатил 50 форинтов и был задержан на несколько часов за то, что нашел уязвимость. А вообще, я считаю, что у любой крупной компании должна быть поддержка ИБ, чтобы напрямую писать о найденных уязвимостях. В противном велика вероятность пропустить уязвимость в массы, так как обычная поддержка не поняла серьезности проблемы и не сообщила куда следует.
SuperKozel
Helloworld — уязвимости. Чтобы допустить такие ошибки, это должно быть вообще первое приложение, которые ты реализовывал в своей жизни.
Areso
Набрали студентов на практику)
olekl
Как автор написал в статье, большинство студентов бы сделали лучше. У нас как раз студенты практику проходят, над этими уязвимостями они очень даже поржали :) Разве только они набрали студентов из гуманитарных вузов.
dimm_ddr
Справедливости ради, студенты могли бы сделать лучше в конкретно этих моментах, но не факт что не налажали бы аналогично в других. Эти проблемы смешные и очевидные когда они уже найдены, для людей без опыта пропустить такие вещи вполне нормально. Это никак не оправдывает поделие, конечно.
ingegnere
любой пентест без письменного согласия владельца ресурса наказуем.А если дыра размером с аклахому то будет жить годами как например в SMB у мелкомягких еше с времён первой самбы зияла дыра, но все юзали и не парились даже в комюнити пока петя и варкрай не грянул
BD9
В Венгрии был один показательный случай с человеком по имени Игнац Филипп Земмельвайс.
И т.ж. см. Semmelweis reflex, Contemporary reaction to Ignaz Semmelweis.
lubezniy
У него история несколько другая была: ему никто из коллег (полагаю, конкурентов) толком не верил, а, когда он стал им костью в горле, упекли в дурку. Хотя, может, и запугать не смогли. Так или иначе, он пошёл поперёк чужого бизнеса, а здесь такого не было.
Chamie
lubezniy
Ну так приём родов (как и любая другая медицинская деятельность) — это по сути бизнес, в который клиенты (роженицы) несут деньги. Грубо говоря, в одном городе есть несколько роддомов, в которые поток рожениц попадает относительно равномерно; результаты в среднем одинаковые (плохие), и доходы у роддомов в среднем тоже одинаковые. Тут в одном из них врач делает некое открытие, радикально улучшающее результаты, и начинает в своём заведении широко его внедрять. Через некоторое время сарафанное радио разносит информацию о результатах среди потенциальных клиентов, и поток естественным образом перераспределяется в заведение-«выскочку». Конкуренты не верят и не хотят опробовать улучшенную методику; вследствие этого у них падают доходы — при том, что «сливки» они уже протеряли. Делают вывод: выскочку надо устранить. Остальное — последствия. Это, конечно, предположение, но в историю попадает достаточно логично. Просто так, если человека считают помешанным, но не буйным, в дурку помещать нет смысла. Ну, разве что, если кто-то ему очень сильно завидовал…
olekl
Тут скорее речь о нежелании публично признать, что «оказывается, это я своими руками отправил на тот свет 30% пришедших ко мне рожать»… Т.к. принятие методики Земмельвайса бы именно это и значило.
lubezniy
Насколько я понимаю, в то время никто из врачей нигде не заморачивался с этим. И в первое время это всё же будет не признанием ошибок, а открытием, которое постепенно распространяется. И никто винить не будет за бездействие, о котором ты и не догадывался. А вот если сначала долго не признавать, то да.
attuda
Показательный он не для Венгрии, а для человечества, по меньшей мере — для нашей цивилизации. Поскольку идеи Земмельвайса были не приняты и подняты на смех далеко не только в Венгрии. Хотя он сделал многое, чтобы распространить их как можно шире.
olekl
Соглашусь, что это глобальная проблема. В «Психологии влияния» рассматривается, как и почему это работает именно так…
agat000
То есть его билет анулировали, а 50 денег не вернули? Это тоже законно?
Enam
Наверняка в правилах пользования проездным указано, что в случае нарушения этих правил он может быть аннулирован без компенсации.
meshanya
Какой же детский садик!
У меня тут мир недавно рухнул. Оказывается! Люди в принципе компьютерами особо пользоваться не умеют. Умеют только частично офисные сотрудники и ИТ-отрасль. ВСЁ!
Со всеми этими андроидами и айфонами многие рожденные до 1980х вообще не в курсе что внутри компьютера особо.
kolomna
Во многих российских (не только) интернет-магазинах можно в корзине поставить отрицательное количество товара, в некоторых система даже автоматически выставит счет.
olekl
А заплатить отрицательную сумму тоже можно?
General_Failure
Мне больше интересно, как магазин перешлёт покупателю отрицательное количество товара
darthslider
Курьер отберёт у вас нечто аналогичное товару :)
Chamie
А это покупатель должен прислать. Стороны договора местами меняются.
General_Failure
Как всё прозаично оказалось… А я-то уж размечтался, что будут высылать товар, состоящий из антивещества или ещё что-то подобное :(
vlreshet
Будут высылать герметичную коробку с вакуумом. Дома её открыли — а она «фффииииить», и всосала пару вещей
Alex_flex
Работодатель и Исполнитель в подобных организациях:
— Р: Ребята, нам надо сделать вот такую систему. Она должна быть выполнена в крайний срок.
— И: Но у нас нету…
— Р: Завтра приду смотреть на результат.
…
— Р: О, я смотрю всё работает (система оплаты). Давайте, выкатывайте.
— И: Но…
— Р: РЕЛИЗ!!!
vyrkmod
https://habrahabr.ru/post/319332/
rimmer
После вступления в силу GDPR такое нарушение со стороны компаний будет нести за собой огромные штрафы (до 20 млн евро).
tendium
Вообще, ничего удивительного. Имел удовольствие работать в проекте для T-Mobile (родственная компания). Как минимум она аутсорсит большое число разработок для самоих себя. Какого-то контроля за качеством разработки не было. Компания, которая взялась за разработку, сама переаутсорсила это дело дальше, оставив в карман Н-ную сумму. Ну а конечный разработчик был некомпетентен примерно как в описанном примере в статье. Разница в ситуации была лишь в том, что компания-посредник, осознав, что происходит, срочно наняла своих разработчиков и забрала проект у субподрядчика. А могла ведь и просто впарить Ти-Мобайлу, что есть…
OtshelnikFm
Недавно столкнулся с одним сайтом — одна знакомая попросила за их фотку проголосовать. Это сеть городских сайтов, которые за вступительный взнос от 145 000 р. до 350 000 р. позволяют купить франшизу (еще в пакет надо инвестиции от 740 000 р. внести)
Ну вот суть — сайт при клике за участника ставит куку PHPSESSID (именно!). Отключаю я куки в браузере и жму проголосовать — успешно проходит 500 лайков. Смотрю прошлые фотоконкурсы — у выигравших 3000-8000 лайков, а второе место от 300 лайков. Народ в комментариях пишет что накрутка — а админы говорят что все голоса с разных айпи и рейтинги верны. Авторизации конечно нет.
И так все последние конкурсы — все накручены с огромным отрывом и только вторые места показывают реальное количество посетителей.
Кстати за эти конкурсы естественно дарятся призы партнеров.
Это является взломом? За мной выехали?
diafour
Если у них в правилах голосования указано, что не больше одного голоса с ip адреса в сутки, то да, ваши действия противоречат правилам и голоса могут обнулить. Если правил нет или в них не указано какие голоса принимаются, то понятно, что организаторам честное голосование не нужно и скорее всего сами будут накручивать.
puting
нету никаких "взломов"
человек на своем! компьтере, с помощью кнопочек насоздовал/напоменял какие-то там символы у себя на экране, которые вообще могут ничего не означать
тем более, что это и не символы никакие — а просто список нолей с единицами…
так что, адьёс всем, кому там чо-то померещилось
ustas33
А что не так с копированием с устройство на устройство?
В Минске можно оплатить проезд в метро SMS. Заказывал билеты со своего корпоративного номера, пересылал семье мессенджерами.
Потом нас конечно накрыли…
Теперь думаю как в Праге SMS билеты генерить.
NLO
НЛО прилетело и опубликовало эту надпись здесь
NLO
НЛО прилетело и опубликовало эту надпись здесь
Acuna
Пфффф… Венгрия. У Сбера в России до сих пор так. То есть понимаете, в чем суть, да? Сбербанк. Не открывается по http. У них просто не сделал редирект. Я даже не удивлюсь, если ко мне однажды после этого придут, я же совершил попытку взлома.
calisto
А в чем была проблема отправить при модифицированном запросе не 50 вместо 9500, а 9499 или вообще 9501? 9501 вместо 9500 — и проверил и урона финансового не нанес, даже заплатил сверху за возможность трестировать. :D
Просто когда ты себе цену сбиваешь в ноль — это явная эксплуатация уязвимости. А тут баг баунти нет, договора на тестирование нет. Человек то по факту нарушил закон. И может ему еще надо было оставить этот проездной? То что у моего соседа дверь открыта и никого нет — это не значит, что если я зайду и вынесу что-то, то это будет легально (типа сам дурак).
olekl
Было бы сильно обиднее, если бы ему в итоге аннулировали проездной, купленный за 9501 форинт…
NLO
НЛО прилетело и опубликовало эту надпись здесь
aram_pakhchanian
Вот тут на TechCrunch интересные детали. Про админку с паролем adminadmin, и про то, что бедняга даже не мог воспользоваться билетом, потому что живет в другом городе. https://techcrunch.com/2017/07/25/hungarian-hacker-arrested-for-pressing-f12
mike_y_k
Идиотизм ситуации зашкаливает. И виноват совсем не капитализм (1%), а пионерское/комсомольское/партийное прошлое участников (90%). Разница для героя Салтыкова-Щедрина.