В статье существует много очень тонких мест, а кое-где и откровенного вранья.
Давайте уточним:
1) Уязвимость очень и очень страшная, а закрыть ее очень и очень легко. Для нормального сисадмина это займет не более 3-5 минут, без учета перезагрузки и подготовки к перезагрузке.
2) Почти что ВСЕ крупные банки и топа banki.ru, кроме банка Зенит(который закрыл уязвимость одним из последних), показывали отвратительную вменяемость своих операционисток, которые считали что это у меня проблема со счетом, не знали слова уязвимость и часто отказывались перевести в инженерный отдел.
Далее по частям:
Цитата |
---|
Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма. |
Это стоило больших трудов: пробиться и донести.
Цитата |
---|
Представитель упомянутого в посте Альфа-Банка заявил порталу Банки.ру, что относительно них в посте допущена ошибка. «Интернет-банк не был подвержен уязвимости. Имелась проблема с сайтом банка, и мы смогли его защитить в течение часа после того, как узнали об этом. Перевыпуск сертификата для сайта также начат, на всякий случай. В результате инцидента могли утечь логины и пароли пользователей нашего сайта, но не интернет-банка. Угрозы финансам наших клиентов нет», — уверяет руководитель интернет-представительства Альфа-Банка Константин Гусев. |
Это наглое вранье! Присутствовала возможность воровства логинов и паролей!
ubmitted=true&auth.logon=do&auth.name=zayac-******%40mail.ru&auth.passwd=19******AW‘ьЭЈ
вот строчка из похищенных данных из альфабанка.
Таких данных с паролями и логинами сотни мегабайт, если не гигабайты. Но это не все. Можно было похитить ВСЕ ПАСПОРТНЫЕ ДАННЫЕ человека, включая его телефон, адрес, прописку и так далее. Все это можно было выкачивать из памяти тоннами. Не удивлюсь, если там даже были кодовые слова, или вроде того.
И они уже хранятся у умельцев на компьютерах. Так что уязвимость была, и была она в интрнет банкинге, и исправил ее не сам альфабанк, по своей инициативе, а только когда ему ПОЗВОНИЛИ и СКАЗАЛИ, что у него уязвимость, которая позволяет воровать данные пользователей любому школьнику, и об этой уязвимости было официально объявлено еще вчера!
Цитата |
---|
Банк «Ак Барс» признал, что в их интернет-банке имеется данная уязвимость, но непосредственной угрозы финансам нет. Отвечая на запрос Банки.ру, департамент информационных технологий банка «Ак Барс» сообщил: «В настоящее время совместно с производителем программного обеспечения ведется работа по устранению уязвимости Heartbleed в OpenSSL и ее последствий. В ОАО «АКБ «Ак Барс» проведение всех финансовых операций в ДБО физических лиц требует введения дополнительного секретного кода, полученного в банкомате либо присланного при помощи СМС-сообщения. Данная степень защиты не позволяет осуществить хищение денежных средств со счетов и пластиковых карт клиентов с использованием вышеуказанной уязвимости». |
АК Барс ДО СИХ ПОР(абсолютный рекорд!) уязвимость не убрал. Прямо сейчас вы можете скачать в интернете скрипт и начать получать реквезиты доступа пользователей АК БАРСА. Прямо в 10:30 11.04.2014. Эти сказки про "уязвимость не опасна" пусть они читают альфабанку на ночь. Уязвимость позволяет зайти в личный кабинет. Это уже нонсенс.
Цитата |
---|
Управление по связям с общественностью банка «Зенит» также оперативно отреагировало на наш запрос о Heartbleed в их интернет-банке: «Банк «Зенит», как и многие другие участники рынка, использует технологию OpenSSL. В нашем банке данная технология используется для ДБО физических лиц, другие продукты в банке используют иные технологии. При этом для всех продуктов, предусматривающих удаленный доступ, на регулярной основе проводится совместно с разработчиками работа по контролю и совершенствованию систем защиты, развитию и внедрению структурных решений, противодействующих несанкционированному доступу. Потенциальный риск уязвимости Heartbleed был устранен на серверах ДБО физических лиц банка «Зенит». |
Банк Зенит устранил уязвимость ОДНИМ ИЗ ПОСЛЕДНИХ, хоть и может похвастаться тем, что операционистка таки соденила меня с инженерным отделом.
Цитата |
---|
Вице-президент банка «Русский Стандарт» Артем Лебедев сообщил порталу Банки.ру о мерах, принимаемых банком: «Банк оперативно произвел обновления библиотеки OpenSSL |
Тоже убрали одними из последних.