Názory k článku Chyba v bankovnictví Komerční banky umožňovala přístup k datům o klientech
Článek je starý, nové názory již nelze přidávat.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Trebas nepracuje v bance, nehlede na to, ze klienta asi vazne nezajima, zda si na to banka nekoho najima, a z jeho pohledu je to proste typicka vymluva "to ne ja, to on" ...
Ted jen ... kdy se tu objevi link na stazeni tech 50k zaznamu? ;D Prepodkladam, ze dira existovala minimalne nekolik tydnu, spis mesicu ... a urcite na to prislo vic lidi.
Jinak bych (naivne) ocekaval, ze podobna data nejsou pres net dostupna vubec a ze na pristup k nim pouziva banka vyhradne iterni sit. I kdyz... kdyz uz nam pres net bezi rejstrik aut ... nejspis i rejstrik obyvatelstva ... proc by se nemoh nekdo podivat, kdo ma co kde v bance ...
-
Neřekl bych, že Google nějak pomůže při hledání důkazů pro vyfantazírovaná tvrzení. Já o těch posledních chybách v JRE od Oracle něco vím, takže vím ,že je nesmysl zevšeobecňovat je na starší verze a na obecnou děravost. Tak mne právě zajímalo, zda x myslí ještě nějaké jiné chyby, nebo jestli tradičně plácá o něčem, o čem nic neví.
-
Martin Prokeš (neregistrovaný) ---.net.upcbroadband.cz
Video dokumentuje typický trestný čin podle § 230 Trestního zákona, odstavec 2 a, cituji:
"Kdo získá přístup k počítačovému systému nebo k nosiči informací a
... neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací... bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty."kdy uživatel, ač si byl vědom, že není oprávněn k datům přistupovat, přesto v činnosti pokračoval a hledal si nějaká jména, která ho zajímala.
Takže vzhůru na policii trestný čin oznámit a uvidíme, jak se pan Jiří Dlabaja bude za chvíli smažit v chládku :)
-
Haha (neregistrovaný) ---.net.upcbroadband.cz
Vždy se musím smát, co všechno za blbosti musí řešit lidi u jiných bank, když bankovnictví bývalé eBanky je všechny překonávalo již před lety - kvalitou, zabezpečením, možnostmi.
KB je fakt tragikomedie hned následovaná ČSOB, kde operaci kartou zaúčtujou klidně 2x nebo vůbec (asi podle počasí a teploty v serverovně) :-D
-
Tak rozdíl pro nějakou následnou "damage control" to sice je, ale z technického hlediska fakt ne. Prostě má-li aplikace přístup k nějakým databázovým tabulkám, tak má přístup ke všem datům v těch tabulkách, těžko se to omezuje "jen na 10 záznamů". A je na té aplikaci, aby si to ohlídala a konkrétnímu uživateli zobrazila třeba jen jeho konkrétní data a ne záznamy, které vidět nemá. Když je ale aplikace napsaná špatně, tak smůla... Tady se navíc dotyčný dostal do části aplikace, ke které nemá mít přístup vůbec žádný klient, jen zaměstnanci - a to je taky na pováženou...
-
Ten z… (neregistrovaný) 188.120.195.---
Asi mám štěstí, ale mě IB ČSOB funguje k plné spokojenosti už (už ani nevím, jak dlouho, snad skoro dekádu) tak, jak má. Jestli je dobré, nebo špatné, nemohu hodnotit, protože s jiným nemám zkušenosti (mám, s KB, vždycky mě iritovalo, že to potřebuje navíc Javu). Z nedávna jsem měl tu čest dělat s IB AirBank - ne, že by to nefungovalo, ale to už ani nepřipomíná aplikaci, spíš infografiku. Nezvyk, ale v zásadě nic proti.
-
Obávám se, že x tohle velice dobře ví, ale stejně bude generalizovat na všechny verze a na celou platformu.
Jinak klientské certifikáty, pokud se implementují dobře, jsou opravdu nejvyšší možnou formou zabezpečení. Jako jediné totiž dokážou chránit nejen proti útokům zvenku, ale také proti útokům zevnitř banky. To s OTP hesly nejde.
-
Komerční banka (neregistrovaný) ---.wia.eurorscg.cz
Komerční banka dnes ráno identifikovala technickou závadu na jednom ze samostatných modulů v informačním systému Penzijní společnosti Komerční banky.
Rádi bychom ujistili všechny naše klienty, že nedošlo k žádnému ohrožení bezpečnosti internetového bankovnictví či k úniku informací o bankovních účtech našich klientů ani úniku informací o již uzavřených smlouvách o penzijním spoření.
Za způsobené komplikace se našim klientům velmi omlouváme.
http://bit.ly/Tisk_Zpráva -
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Otazka nestoji jestli, ale spis kolik jinych na to narazilo a kdo vsechno ta data ma. Vzhledem k tomu jak ... k tomu doslo, neocekavam, ze bude nekde nejaky log. Takze se to nejspis jednoduse nevi a bude se tvrdit, ze se nic takovyho nestalo.
-
Jirka Vejrazka (neregistrovaný) ---.tmcz.cz
Chtel jsem k tomu neco obsahleho napsat, ale udrzim se. Snad jenom http://xkcd.com/386/
-
Franta (neregistrovaný) ---.net.upcbroadband.cz
Certifikát tak, jak je zpracovaný KB, vyvolává tak akorát pocit falešného bezpečí. Pamatuji se, jak to lidem rozkopírovávali na x disket. Lidi to nosí po flashkách. Válí se jim to v x počítačích. Jako bezpečnostní prvek pro masy je to naprosto k hovnu.
-
lojza (neregistrovaný) ---.sys-data.com
Přesně kvůli takovým PR specialistům je důležité podobné přehmaty molochů řádně zdokumentovat a zveřejnit. Navíc to je nejefektivnější a mnohdy jediný způsob jak molocha donutit k nápravě (pokud vám o to jde). Napsat někam maila s tím že mají někde díru ať se laskavě někdo ozve je obvykle ztráta času (čest vyjímkám).
-
To je mi líto, že to váš kolega neumí. Asi jste tím chtěl naznačit, že vy to tedy umíte – ale pak je potřeba ještě přečtené pochopit. A pochopit, že chyby zavlečené implementací jedné nové vlastnosti Javy 7 nejsou principiální problém celé platformy, ani se nevyskytovaly v implementacích Javy 6 a starších. A že někdy před 12 lety, kdy se volila varianta MSIE only ActiveX nebo Java Applet, nebylo možné dnešní problémy Javy očekávat.
-
Ano, u nějakých hodně citlivých dat bych o něčem takovém také uvažoval - mě asi pod dojmem toho, co jsem četl v poslední době napadla nějaká vícevrstevná (resp. dvouvrstevná) aplikace, kde by spolu ty jednotlivé vrstvy komunikovaly třeba přes nějaké REST API. :-)
Ale z toho, co jsem viděl na tom videu a z toho, co si myslím o KB - tohle asi nebude ten případ. :-) Ta aplikace měla nejspíš přístup k celé tabulce - už jenom kvůli tomu, aby zobrazovala tabulku "všech kontaktů" či "smluv" nebo co to bylo - byť stránkovanou po asi 20 záznamech (že by nějaké MySQL a klauzule LIMIT? :-).
-
_pepak (neregistrovaný) ---.phoenix.cz
Nabízí se otázka, proč by se měl přenášet *klíč* a ne *důkaz znalosti klíče*.
Nabízí se též otázka, co rozumíte "použitelnou délkou hesla" - já si třeba myslím, že i značně dlouhé heslo může být použitelné, pokud se práce s ním udělá chytře (viz např. Yubikey - i když ten zase má horší tu část s důkazem znalosti klíče).
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Ja mam s timhle zcela osobni zkusenost - managori zakaznika chteli, aby si zakaznici sami mohli zakladat doklady, podivat se na seznam faktur ... a jejich predstava byla, ze se jim proste nainstaluje klientska aplikace ... jejiz zabezpeceni je zcela nepruchozi a nemozny.
Rek sem sefstvu, ze v takovym pripade od toho davam ruce pryc a nechci stim mit nic spolecnyho. Toho se nastesti zalekli, takze z toho nic nebylo.
Alternativa byla napsat prave nejakej mezikus, kterej by jednoduse "neumel" ziskat jina nez povolena data, ale to by nebylo zadara ... ;D.
-
Může se přenášet i důkaz znalosti klíče, ale pořád je potřeba, aby byl dost dlouhý, aby nebylo možné jej najít hrubou silou.
Použitelnou délku hesla myslím pro případ, kdy mi heslo přijde SMS, vygeneruje ho aplikace v mobilu nebo hardwarový generátor OTP a já ho musím ručně přepsat do počítače. Pokud musím použít speciální hardware k PC, to už rovnou můžu použít čipovou kartu s privátním klíčem. Ale třeba budou v dohledné době webové kamery tak běžnou součástí PC, že bude možné přenášet dlouhé heslo přes QR kód.
-
pojke (neregistrovaný) ---.72.broadband13.iol.cz
- ech, může to být krádež, může to být neoprávněné užívání motorového vozidla, záleží na konkrétních okolnostech
- nejsme v USA, takže u nás neexistuje nic takového, jako "volně k odběru" ... věc skutečně (!!! nikoliv domněle) opuštěná připadá do vlastnictví státu, resp. dnes obci (po uplynutí lhůty)
- nikdo nemůže dostat "flastr" za to že, si nezabezpečil majetek - samozřejmě s výjimkou případů, kdy to je speciálně nařízeno (smlouvu, zákonem apod.) a poruší tak uloženou (zákonem, smlouvu) povinnost (jakoukoliv).
-
Když se budou dodržovat základní bezpečnostní pravidla, nemusím se do banky hlásit pomocí jednorázového hesla a zvlášť potvrzovat každou transakci, ale stačí mi ten čtyřmístný PIN. Já ale píšu o případu, kdy se počítá s tím, že někde něco může selhat, a proto jsou bezpečnostní mechanismy mnohonásobně jištěné (což je případ třeba banky).
V bankách se obrana proti útokům zevnitř řeší předpokládám především organizačně (pro kritické operace je potřeba víc lidí, kteří by se museli domluvit), ale já jsem psal o technickém řešení. Ostatně, jak je vidět z článku, pod kterým diskutujeme, dodržovat základní bezpečnostní pravidla se ne vždy daří.
-
Můžete to trochu rozvést? Certifikát je jedna věc, druhá je, že k němu potřebujete znát heslo... A třetí, že i když ho uhodnete, pak ve chvíli, kdy se do elektronického bankovnictví přihlásíte z IP adresy, z níž jste se ještě nepřihlašoval, přijde Vám na mobil potvrzovací kód, bez něhož se nikam nedostanete (nehledě na to, že i v případě známé IP adresy je kód ze SMS potřeba následně pro jakoukoliv aktivní operaci).
Mně takový přístup "naprosto k hovnu" nepřijde, aby se mi někdo dostal na účet, přijde mi, že je třeba výrazně více než jen najít na ulici flashku s mým certifikátem.
-
Pokud je ten privátní klíč někde uložený tak, že se dá snadno přečíst (pevný disk, disketa, flashdisk), závisí vlastně veškerá bezpečnost na heslu k privátnímu klíči. Přičemž hádat heslo může případný útočník libovolně dlouho na libovolném množství počítačů.
Přihlašovat se do internetového bankovnictví jen heslem nebývá považováno za bezpečné (proto se používá dvoufaktorová autentizace), a ten neomezený počet pokusů na rozlousknutí k tomu…
Pokud je dnes potřeba pro aktivní operaci potvrzovací kód ze SMS, je to dobře, já mám pocit, že ze začátku stačilo autorizovat operaci zase tím privátním klíčem.
Původní myšlenka asi byla dobrá, kdyby se transakce podepisovali privátním klíčem uloženým na čipové kartě, bylo by to rozumné zabezpečení. Jenže čipové karty a čtečky byly drahé, takže většina lidí zvolila privátní klíč v souboru, a tím šla veškerá bezpečnost do kytek.
Ono nejde ani tak o to, že by někdo našel na ulici flashku s certifikátem. Ale pokud budete mít v počítači nějaký vir, který odposlouchává klávesnici a čte soubory, má při vašem prvním přihlášení do banky vše na stříbrném podnose. No a když už je ve vašem počítači, proč převod z účtu neposlat taky z něj, aby byla stejná IP adresa, případně identifikace prohlížeče apod.
-
SK (neregistrovaný) ---.net.upcbroadband.cz
Mě taky nezajímá, kdo za to může, a to především proto, že nemám potřebu, aby "viník" byl "potrestán". Taky bych očekával, že data budou přístupná jen povolaným, ale chyby dělají i ti, co pracují v bance, tak pokud to bance způsobuje problémy, jistě tam pracuje dost chytrých lidí na to, aby mohli přehodnotit svoje postupy.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Spis je to o tom, ze java je nebezpecna sama o sobe, a pouzivat deravej nastroj k zabezpeceni je asi tak stejny, jako pouzivat sejto k prelejvani vody.
Navic ta jejich javova appka neustale nefungovala, a vyzadovala vzdy zcela konkretni a zcela prehistorickou (a tudiz jak reseto deravou) javu.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Já o těch posledních chybách v JRE od Oracle něco vím
Hmmm... myslíš asi tohle?
-
Haha (neregistrovaný) ---.net.upcbroadband.cz
Tak ono to bankovnictví nějak funguje skoro všem bankám. Je jen otázkou jak :-) za jak dlouho se třeba u vás v ČSOB projeví na účtě v IB výběr kartou nebo vklad peněz v hotovosti na pobočce? Máte to tam taky okamžitě nebo až nějak za půl dne, až načtou dávky? :-))
Že jste ještě nezažil ten jejich problém s kartovou operací zaúčtovanou 2x, o které referovali dokonce i v Blesku, to je jen otázka štěstí.
-
Neumějí. Autentizační kalkulátory jsou jenom starší způsob, jak generovat jednorázová hesla. A jednorázová hesla jsou symetrická kryptografie, nebo-li stejné udělátko, které vám vygeneruje jednorázové heslo v kalkulátoru, musí být schované i někde v bance. Teoreticky by bylo možné udělat OTP i s asymetrickou kryptografií. Jenže aby to mělo nějaký smysl, musela by generovaná hesla být mnohem delší (proti nějakému desetiznakovému heslu by pořád mohl někdo v bance pustit slovníkový útok). No a s internetovým bankovnictvím, kde se platby potvrzují opsáním 80 znakového kódu, by banka asi neuspěla.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Tomu bych i na zaklade informaci od pribuzne, ktera v bance delala, veril. Patch bankovni aplikace pry delala tak, ze ji admin po telefonu nadiktoval "root" heslo (tim padem ziskala zcela absolutni pristup) a pak ji diktoval nejaky retezce v hexa (to netusila, jen mi popsala jak to vypadalo), ktery mastila do nejakyho okna aplikace ... nacez to potvrdila a ... dej se vule bozi.
Samo, tohle se delo v situaci, kdy na pobocce stalo +- 30nasranych klientu, a cekali na to, az pobocka konecne zacne fungovat, protoze pri predchozim "automatickym" patchovani se neco podelalo.
-
_pepak (neregistrovaný) ---.phoenix.cz
V citlivých aplikacích (chápu, to asi bankovnictví nebude) se to řeší tak, že k tabulce nemá aplikace přístup vůbec - má přístup k nějakému mechanismu (uložená procedura, webová služba, atd.), který na vstupu přijme *jedno* ID a pro toto ID vrátí data. Takže i když se někdo probourá do webového serveru a napíše si vlastní skript, tak pokud by chtěl víc údajů, tak si je musí jeden po druhém vyžádat. Přirozeně, že datový server by měl být schopen masivní "vysávání" detekovat a bránit se mu.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Kradez to neni v zadnym pripade, je to maximalne neopravnene uziti cizi veci. A pokud by dotycny uzivatel prokazal, ze vuz stal zcela verejne, navic na parkovisit s napisem "volne k odberu" (coz je pripad webu) ... tak flastr dostane tak maximalne majitel - za to ze nezabezpecil svuj majetek.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
nikdo nemůže dostat "flastr" za to že, si nezabezpečil majetek
Tak si to prosímtě s tím autem ještě běž prozkoumat, aby ses pak hrozně nedivil, až ten flastr dostaneš.
§ 26 odst. 2
Řidič, který se hodlá vzdálit od vozidla tak, že nemůže v případě potřeby okamžitě zasáhnout, musí učinit taková opatření, aby vozidlo nemohlo ohrozit bezpečnost provozu na pozemních komunikacích a nemohla je neoprávněně užít jiná osoba. Je-li vozidlo povinně vybaveno zařízením proti neoprávněnému použití, musí je řidič užít.§ 125c odst. 1
Fyzická osoba se dopustí přestupku tím, že v provozu na pozemních komunikacích
k) jiným jednáním, než které je uvedeno pod písmeny a) až j), nesplní
nebo poruší povinnost stanovenou v hlavě II tohoto zákona. -
JKL (neregistrovaný) ---.sprintel.cz
Na jakém úřadu? :-D Protože "svobodný přístup k informacím" se týká jenom státních institucí... Rozhodně ne soukromých firem a už vůbec ne údajů SOUKROMÝCH OSOB z privátního sektoru, což jsou i majitelé firem a jejich funkcionáři.
Navíc tyto "úřady" dané adresy ani neznají, protože v USA neexistuje nic jako "trvalý pobyt" - nahlašujete si maximálně korespondenční adresu, ale tu si každý, logicky, nahlásí právě do té firmy.
Dokonce Vám ani nikdo nesdělí, pokud to firma sama nechce zveřejnit, kdo je jejím majitelem. Zcela logicky takovou informaci nepotřebujete - hodí se maximálně k vydírání nebo žebrání. Ale na vše ostatní stačí komunikovat s vedením společnosti.
-
Dash (neregistrovaný) ---.cust.nbox.cz
Javu používala KB do nedávna (to jest díky vývoji browserů už dnes není pro přístup do MojíBanky třeba) pro client-side šifrování komunikace certifikátem. To je mimochodem nejbezpečnější možné uspořádání, kam se hrabe Spořka, která jeden čas neměla ani Class 3 certifikát pro web banky.
Takže panáčku, vyjadřuj se k tomu, o čem aspoň něco málo víš.
-
šarik (neregistrovaný) 78.157.139.---
Ví prd. To, co cituje patří mezi úmyslné trestné přečiny a Dlabajovi, takto bývalému reportérovi, co jistě něco pochytil z práva, by museli prokázat, že jednal úmyslně. A to nelze, neboť postupoval zcela legálně a nikam neoprávněně nepřistupoval. Kromě toho, když se k něčemu takovému dostal, tak by se mu muselo dokázat, že i když se k tomu dostal nechca, tak musel vědět o co jde. A jelikož dělá ve sdělovacích prostředcích a počítačům nerozumí, tak to zveřejnil v dobré víře, že mu někdo znalý řekne o co jde a co je to za novou funkce a jaké jsou s tím zkušenosti. Tím se ničeho nedopustil, neboť nemá zákonnou možnost ty údaje ověřit a jak bylo výše uvedeno mohl být v dobré víře, že je to demo.
Takže Jura si může tak akorát otevřít slivovicu, protože prokurátora má na krku KB. A hlavně její důvěryhodnost je v lamprdóně. Zlatá PS. Tam jim IB nějaký den nejelo, což nasere míň, než když se mi celý net hrabe v účtech. Jo a že se nikdo k účtům KB nedostal.....to nám časem řekne internet a nikoliv KB jestli dostal nebo nedostal. -
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Ja bych to (i z toho co je videt) odhadoval zhruba tak, ze jednoho krasnyho dne nejakyho hlavouna napadlo, ze by nejaky ty obchodnici s vodou mohli obchazel lidi a uzavirat snima smlouvy doma. Pak zjistil, ze na to potrebujou nejakej pristup do systemu ... samo pres data => pres internet. A samozrejme dalsi polozkou byl pristup prislusnych hlavounu z domova - to aby nemuseli namahat sve hyzdove svalstvo presednutim do limuziny a cestovanim do kancelari.
Dovolim si taky myslet, ze prislusni ITci jej upozornili na to, ze to neni zrovna bezpecny zpusob ... ale hlavoun, jak uz to tak byva, prohlasil neco v tom smyslu, ze ho to nezajima.
I vznikl system vzdaleneho pristupu do bankovnich systemu. Da se predpokladat, ze v teto fazi byl alespon nejak "zakladne" otestovan.
Jenze prisly pozadavky na zmeny tuhle, na zmeny tamhle a nikdo samozrejme uz nevedel jak to ci ono funguje, kde vsude to je/neni provazano a tak nam vznikla tahle pekna dirka. Vi Buh, jak dlouho tam byla.
BTW: Naprosto minimalne bych ocekaval ze takova vec pobezi na nejakem servisnim a zcela oddelenem webu, aby bylo jasne co to je a k cemu to je.
-
Slachta (neregistrovaný) ---.torservers.net
Diky http://www.youtube.com/watch?v=dpdDQd_C1Kw muzeme videt, jak si Miroslav Kalousek zil a zije:
- pred uplatkem http://bit.ly/13XN77U
- po uplatku http://bit.ly/1aGqSJV:)
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
RB pro zmenu bez souhlasu a vedomi klienta meni nastaveni uctu. Napriklad zrizenim neobjednaneho pojisteni, pripadne vydanim nevyzadane karty jineho typu i karetni asociace (misto zcela kontaktni visy elektron bezkontaktni mastercard). Navic zcela vpohode umoznuje platit zamcenou bezkontaktni kartou ... hmm...
Vsude je to stejny, jen s jinou fasadou.
-
Hmm (neregistrovaný) ---.net.upcbroadband.cz
Jsem u nich +10 let a nic problémového jsem nezažil, teda kromě zmetkovských poplatků za osobní/firemní účty a změnu úroků na TV v cizích měnách.
S tou kartou je to ale fakt, raději si to hlídám před koncem platnosti, aby mi mou Gold kartu nevyměnili za nějakou omezenou :-D
-
Jirka Vejrazka (neregistrovaný) 12.191.136.---
Java patri v poslednich mesicich mezi top 3 nejproblemovejsi produkty z hlediska bezpecnosti, pomalu neuplyne mesic, aby nebyla nahlasena nejaka nova zranitelnost. Ty znamejsi jsou treba tady:
http://secunia.com/advisories/search/?search=Oracle+JavaMimochodem tvrzeni jednoho z predrecniku o tom, ze klientske certifikaty jsou nejvyssi moznou formou zabezpeceni je zoufale chybne.
-
JKL (neregistrovaný) ---.sprintel.cz
Myslím, že je velká nespravedlnost, když tady unikne údaj o nějakým spoření pár lidí...
Ale já, jakožto podnikatel a majitel společností musím mít na Internetu ze zákona:
- plné jméno a přijmení
- rodné číslo
- adresu trvalého bydliště
- zveřejňovat svoje (respektive společností) příjmy v účetní závěrcePřitom opravdu nechápu co je například cizím lidem po adrese mého SOUKROMÉHO bydliště?!!! Kde nesídlí firma, jenom tam žiju já s rodinou a opravdu netoužím, aby mě tam kdokoli otravoval nebo dokonce členy rodiny, kteří už nemají s mými aktivitami vůbec nic společného.
Tohle je naprosto bezprecedentní BO*DEL, který nemá ve světě obdoby! Zkuste si v USA požádat o adresu soukromého bydliště majitele nebo nějakého managera jakékoli společnosti a okamžitě na Vás zavolají policii. U nás to ale musí být veřejně vystavené - ale podle ÚOOÚ je to úplně zcela v cajku :-).
Naštěstí se to dá řešit zrušením trvalého pobytu a nahlášením na magistrát, takže pak nemusím mít vystavenou soukromou adresu na Internetu... Ale už je to komplikace navíc :-(
-
lojza (neregistrovaný) ---.sys-data.com
Jak to taky možná bylo :-)
Udělali nějakou aplikaci pro obchodníky s tím pojištěním ani to nemuselo být vystrčené ven.¨
Pak někdo přišel s tím že to jako chce mít aby si tam lidi v samoobluze (nebo jak tomu Java bazmeku pro klienty říkají) mohli vidět svoje smlouvy.
Armáda systémových architektů a bussines analytiků prohlásila, že to je tak na tři kvartály, dodavatelé chtěli cenu jak za vystřelení družice k Měsící ... tak nějakou hlavičku napadlo, že jenom vystrčí nějaké URL ven, dá se tam IFRAME nebo nějaká podobná prasárna (pardon technologie) a premie byly doma :-)
Jenomže se to vystrčilo ven celé (protože levá ruka neví co dělá pravá, nebo to jinak nešlo), ve vystrčené stránce se dalo kliknout na něco co tam být nemělo a bylo vymalováno.
V intranetových aplikacích se na bezpečnost spíše peče. Protože náklady. Když pak někdo přijde s tím že tudle tamdle kousek zpřístupní mimo firmu, tak to buď nejde (a rozumný šef to pochopí) nebo z toho může být průšvih.
-
pojke (neregistrovaný) ---.72.broadband13.iol.cz
- tomu člověku se tam povedlo "dostat" už asi před měsícem, ale nepamatoval si jak
- jakmile zjistil možnost neoprávněného přístupu, informoval banku, ta ale reagovala velmi vlažně, což jej naštvalo a rozhodl se to zveřejnit
- ten přístup byl (jak to popisoval) - chybné vyplnění jednoho z údajů na vstupu, chybová hláška, tlačítko zpět - a byl v systému
- systém dělá nějaká firma ze Slovenska, která má mraky referencí od spousty velkých společností
-
_pepak (neregistrovaný) ---.net.upcbroadband.cz
I krátký klíč (důkaz znalosti klíče) může být odolný proti útoku hrubou silou, pokud je útočníkovi umožněno jen několik málo pokusů. Viz například PIN - má jen 4 číslice, navíc ne všechny kombinace banka dovolí, takže není ani 10000 kombinací - ale v souvislosti s tím, že po třech chybných pokusech se karta zablokuje, je to dostatečně silné.
-
Toho by se při přísném výkladu dopustil i programátor, který by testoval, zda to opravil správně.
Práce novináře je o zveřejnění událostíé ve společnosti a jen oznámení banka má problém víc neřeknu je takové nemastné neslané.
Tady je krásně názorně vidět, v čem je problém a každý to pochopí a nemusí nic domýšlet.
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Co ma internetovy bankovnicvi spolecnyho se smlouvama? Zeby presne nic? Co ma bankovnicvi spolecnyho se seznamem klientu? Zeby presne nic? Na pristup k uctu potrebuju nejakou identifikaci a autorizaci ... ale dostanu se vzdy jen k jednomu konkretnimu ... nikoli ke VSEM, ze ... takova moznost proste nesmi vubec existovat a musi to byt zajisteno na vsech urovnich, od aplikace az po samotnou databazi.
Pokud to takto je zajisteno, tak i kdyby nekdo nasel diru v systemu a dokazal se prihlasit na libovolny ucet, trvalo by mu nejspis cele dny a tydny, nez by obesel vsechny ucty vsech klientu. A daleko driv by na to mel reagovat nejaky system zabezpeceni.
-
Máte pravdu a rozhodně nejde jen o ČSOB. Opravdu existují lidé, kteří ručně pouští SQL updaty, které si dokonce sami píšou, v případě, že se v automatickém zpracování napříč systémy něco "zadrhne".
A díky bankám za to, kdyby takoví správci nebyli, tak by banka v případě vadné transakce mohla říct jen "no jo, je to blbě, ale jak už je to jednou v systému, tak s tím nic nenaděláme".
-
LOCAL_IT (neregistrovaný) 89.176.108.---
Myslim si, ze by se vsechny velke firmy mely konecne probudit a skoncovat s outsourcingem a zase zamestnavat vlastni lidi, kteri budou citit odpovednost. V tomto pripade to byla ceska firma, ale mnohem vetsi prusvih bude, az se neco podobneho stane nekde v Indii.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Ano, na nazor Java posuka jsme cekali. Java je proste ouplne nenahraditelna a bez ni bysme vsichni byli na stromech s holou prdeli.
P.S. Bez studovat ten export z Gimpu :-P
-
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
Dokonce i trestny cin muze prevysit tzv verejny zajem. A ve verejnem zajmu bylo upozornit na diru v systemu, k cemuz kdyby nedoslo (a porizeni nejakych dukaznich dat je pro takovy ucel nezbytne) tak s tim banka nebude zhola nic delat.
Naopak hned nekolika trestnych cinu se dopustil pracovnici banky tim, ze pristup k takovym udajum(byt trebas nedbalosti) umoznili.
A mimochodem, prohledani takove databaze je samozrejme zcela logicke, muze jit o nejaka demo data => clovek se bude logicky snazit najit nejake vseobecne zname osoby, a na nich overit, zda data alespon vypadaji relevantne.
-
- SPECIALIST/KA FAKTURAČNÍHO ODDĚLENÍ - INTERNET, KABELOVKA
- Systémový inženýr - správa serverů, cloud a související app
- FRONTEND WEB KODÉR - HTML / CSS
- Technik telekomunikačních sítí PODA a.s. (Praha)
- Integrační vývojář
- PHP programátor enterprise e-shopů
-
- Prokreslete se k úspěšné prezentaci
- Seznamy na SharePointu 1: vytvářejte seznamy a sloupce
- Vše, co jste kdy chtěli vědět o anglických časech II
- Firma a rodina jako kmen
- Mindfulness II: Jak zvládat stres
- Úvod do G Suite - bezpečnost v cloudu, hesla a Chrome
-
- FRONTEND WEB KODÉR - HTML / CSS
- Produktový manažer pro konvergovanou bezpečnost
- Embedded Software Engineer
- Embedded Programátor/ka C/C++
- Kontaktní centrum SAMSUNG v HK! Pasivní linka
- PHP programátor enterprise e-shopů
-
- Cesta k dobrému jazykovému stylu II
- Seznamy na SharePointu 1: vytvářejte seznamy a sloupce
- Firma a rodina jako kmen
- Logické funkce v Excel
- Úvod do G Suite - bezpečnost v cloudu, hesla a Chrome
- Microsoft Teams 3: sdílené soubory
