Не так давно я попробовал воспользоваться платёжным терминалом одного украинского банка.
Всего лишь 5 безобидных нажатий на сенсорный экран открыли мне доступ к Windows Explorer этого терминала.
На главном экране терминала были доступны три большие кнопки: «Банковские услуги», «Оплата услуг» и «Восстановить квитанцию».
Реклама продуктов банка и, грубо говоря, пополнение мобильного/оплата за интернет мне неинтересны.
А вот как устроена функция «Восстановить квитанцию» — меня заинтересовало (к примеру, в банке, где я работаю, в терминалах пока такой функции нет).
Нажимаю вышеуказанную кнопку. Открывается экран, где нужно заполнить два поля: «Реквизит» и «Дата».
Не указываю данных в первом поле, во втором дата предустановлена автоматически, поэтому просто нажимаю «Печать».
Жду сообщение об ошибке. Сообщение об ошибке получаю не совсем корректным («Введите идентификатор» при том, что поле называется «Реквизит»), ну да ладно.
Нажимаю единственно доступную на экране «ОК» и жму «Выход» — ничего интересного я не увидел.
Но тут на долю секунды мелькает открытый проводник.
Показалось? Пробую ещё раз: Квитанции, Печать, Ок, Выход — нет, не показалось.
За эту долю секунды пробую нажать на дерево папок слева, и это удаётся — компьютер переходит в папку и отображает её содержимое.
Мысленно говорю себе, что наверняка после перехода терминала в режим ожидания что-то собьётся, пробую ещё раз — однако всё та же папка остаётся открытой.
За следующую долю секунды я смог посмотреть, какие программы установлены в этом терминале.
Потом смог открыть Сетевое окружение и удивиться, что здесь видно так много устройств (особенно повеселили названия. А что? Сотрудники банков тоже люди!)
В общем, так как терминал находится внутри отделения банка, долго смотреть на это я не хотел, поэтому ушёл.
Позвонил в поддержку, сказали, что сообщение об ошибке нужно писать на e-mail. Сообщение на e-mail я отправил с картинкой, но это не ускорило процесс — со мной связались только через полторы недели. Решили проблему ещё где-то через неделю.
Итог? Такие ситуации встречаются мне постоянно, несмотря на то, что всё давно изучено и описано. Пресловутый человеческий фактор всё ещё даёт работу тестировщикам.
Всего лишь 5 безобидных нажатий на сенсорный экран открыли мне доступ к Windows Explorer этого терминала.
На главном экране терминала были доступны три большие кнопки: «Банковские услуги», «Оплата услуг» и «Восстановить квитанцию».
Реклама продуктов банка и, грубо говоря, пополнение мобильного/оплата за интернет мне неинтересны.
А вот как устроена функция «Восстановить квитанцию» — меня заинтересовало (к примеру, в банке, где я работаю, в терминалах пока такой функции нет).
Нажимаю вышеуказанную кнопку. Открывается экран, где нужно заполнить два поля: «Реквизит» и «Дата».
Не указываю данных в первом поле, во втором дата предустановлена автоматически, поэтому просто нажимаю «Печать».
Жду сообщение об ошибке. Сообщение об ошибке получаю не совсем корректным («Введите идентификатор» при том, что поле называется «Реквизит»), ну да ладно.
Нажимаю единственно доступную на экране «ОК» и жму «Выход» — ничего интересного я не увидел.
Но тут на долю секунды мелькает открытый проводник.
Показалось? Пробую ещё раз: Квитанции, Печать, Ок, Выход — нет, не показалось.
За эту долю секунды пробую нажать на дерево папок слева, и это удаётся — компьютер переходит в папку и отображает её содержимое.
Мысленно говорю себе, что наверняка после перехода терминала в режим ожидания что-то собьётся, пробую ещё раз — однако всё та же папка остаётся открытой.
За следующую долю секунды я смог посмотреть, какие программы установлены в этом терминале.
Потом смог открыть Сетевое окружение и удивиться, что здесь видно так много устройств (особенно повеселили названия. А что? Сотрудники банков тоже люди!)
В общем, так как терминал находится внутри отделения банка, долго смотреть на это я не хотел, поэтому ушёл.
Позвонил в поддержку, сказали, что сообщение об ошибке нужно писать на e-mail. Сообщение на e-mail я отправил с картинкой, но это не ускорило процесс — со мной связались только через полторы недели. Решили проблему ещё где-то через неделю.
Итог? Такие ситуации встречаются мне постоянно, несмотря на то, что всё давно изучено и описано. Пресловутый человеческий фактор всё ещё даёт работу тестировщикам.
Mulin
Опасаетесь что по фото пальца узнают?)
sashkin
Может у человека родимое пятно на руке запоминающееся.
Aclz
citius
Банкомат тупо в общей сети банка? Просто финиш.
boombick
Это не банкомат, это платежный терминал. Им не надо быть в сети банка, они общаются с платежными шлюзами через API. Скорее всего, это внутренняя сеть подрядчика, который обслуживает терминал
MasMaX
SSH или VPN до платежного шлюза не вариант разве?
the_bat
фоторобот пальца вдруг составят…
tangro
Смешнее, чем проводник на терминале только папка «svn на Vovan-nout». Деплой, видимо, старым добрым методом от Яндекса: svn checkout + copy.
KorDen32
«Crazy Machines 3 на Vano» — Кто-то пилит третью часть? :)
«atm's на Grib» — интересно, что там может быть
fanex
Все правильно, ПРОСТІШЕ НЕ БУВАЄ
KvanTTT
Там наверное такой говнокод…
ifaustrue
Однажды в салоне Рено меня заинтересовал аппарат для поддержки\рекламы\регистрации авто и тыды (выглядит как стандартный терминал оплаты телефона, только софт иной), в общем через пару минут увидел сетевую шару с базами 1С, выписками из банка и эксель файлы «Зарплата 2015».
Позвал админа — он краснел.
Имхо это вообще стандартно, что такие железки плохо защищают.
dekameron
exvel
Ну дык, терминалы — не банкоматы. Их где только не ставят. :)
nitro80
Ладно притон_бродяг… А как вам имя компьютера Ахтунг?
tgz
Это которая статья уже по счету про дыры в хохлобанках? Меня терзают смутные сомнения…
Zzzuhell
Притон_бродяг — это еще что. Я встречал внутренние сетевые сервера Sarkazm, Morazm, Extaz и Orgazm
Но тамошние админы кроме чувства юмора свое дело знали — секьюрность была знатная…
RedRoseSinging
Помню, как-то задумался и три раза пальцем щёлкнул по экрану платёжного терминала. Был удивлён синему экрану сметри. Больше так не делал.
HardWrMan
Я как-то у нас видел как подобный терминал выдал кернел паник, секунд через 10 ребутнулся и требовал вручную проверить корень. На тач не откликался — ничем ему помочь не смог.
vlivyur
Тематически называть компы — это нормально. У нас админы увлекались астрономией.
skygad
Только не компы, а сервера.
Рабочие станции назывались либо по отделам, либо по сотрудникам
vlivyur
И компы тоже. Сервера — самые яркие звёзды в созвездиях (а контроллер домена имел короткое имя Sun). Когда их все можно запомнить, то можно не увлекаться систематизацией.
VokaMut
Однажды в одном ТЦ нужно было срочно зайти в интернет, там стоял wifi без пароля, а у меня с собой ноутбук. Скорость была чуть больше чем через dial-up и я решил подобрать пароль с помощью Dumpper & Jumpstart и уязвимости в WPS протоколе.
Сделав неотложные дела я поблагодарил неизвестную компанию распечатав благодарность и способ закрыть уязвимость на их принтерах.
Sykoku
Тема не нова. Я через терминалы в торговых центрах по Инету уже лет 5 брожу, особенно, когда кого-то надо ждать, — с телефона медленнее. Да и «Проводник» обычно висит фоном и доступ к нему есть через стандартные кнопки (если есть экранная клавиатура) или жесты (листание, прокрутка).
vlreshet
Может подскажете несколько самых частых возможностей обхода терминала? Сколько не пробовал разные способы — мне всё никак не поддаются. То ли терминалы хорошие то ли я криворукий
Sykoku
Технически можно работать и через сканер штрих-кодов в торговом зале. Вопрос в том, какая конечная цель…
Pontar
Не первая статья про этот банк :). Ждемс еще.