Ваш банк уже взломан

Цитата

Сообщить банкам об уязвимости оказалось не так просто. Телефонная поддержка зачастую не может перевести звонок на системных администраторов, почта для связи или вообще отсутствует, или на нее реагируют непозволительно долго. Большинство банков либо не понимали, о чем идет речь, либо недооценивали опасность уязвимости. Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма.

зажировали банчки, зажировали... Давно их в судах на крупные суммы не ставили из-за их зажравшейся неторопливости

В статье существует много очень тонких мест, а кое-где и откровенного вранья.

Давайте уточним:

1) Уязвимость очень и очень страшная, а закрыть ее очень и очень легко. Для нормального сисадмина это займет не более 3-5 минут, без учета перезагрузки и подготовки к перезагрузке.

2) Почти что ВСЕ крупные банки и топа banki.ru, кроме банка Зенит(который закрыл уязвимость одним из последних), показывали отвратительную вменяемость своих операционисток, которые считали что это у меня проблема со счетом, не знали слова уязвимость и часто отказывались перевести в инженерный отдел.

Далее по частям:

Цитата
Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма.

Это стоило больших трудов: пробиться и донести.

Цитата

Представитель упомянутого в посте Альфа-Банка заявил порталу Банки.ру, что относительно них в посте допущена ошибка. «Интернет-банк не был подвержен уязвимости. Имелась проблема с сайтом банка, и мы смогли его защитить в течение часа после того, как узнали об этом. Перевыпуск сертификата для сайта также начат, на всякий случай. В результате инцидента могли утечь логины и пароли пользователей нашего сайта, но не интернет-банка. Угрозы финансам наших клиентов нет», — уверяет руководитель интернет-представительства Альфа-Банка Константин Гусев.

Это наглое вранье! Присутствовала возможность воровства логинов и паролей!

ubmitted=true&auth.logon=do&auth.name=zayac-******%40mail.ru&auth.passwd=19******AW‘ьЭЈ
вот строчка из похищенных данных из альфабанка.

Таких данных с паролями и логинами сотни мегабайт, если не гигабайты. Но это не все. Можно было похитить ВСЕ ПАСПОРТНЫЕ ДАННЫЕ человека, включая его телефон, адрес, прописку и так далее. Все это можно было выкачивать из памяти тоннами. Не удивлюсь, если там даже были кодовые слова, или вроде того.

И они уже хранятся у умельцев на компьютерах. Так что уязвимость была, и была она в интрнет банкинге, и исправил ее не сам альфабанк, по своей инициативе, а только когда ему ПОЗВОНИЛИ и СКАЗАЛИ, что у него уязвимость, которая позволяет воровать данные пользователей любому школьнику, и об этой уязвимости было официально объявлено еще вчера!

Цитата

Банк «Ак Барс» признал, что в их интернет-банке имеется данная уязвимость, но непосредственной угрозы финансам нет. Отвечая на запрос Банки.ру, департамент информационных технологий банка «Ак Барс» сообщил: «В настоящее время совместно с производителем программного обеспечения ведется работа по устранению уязвимости Heartbleed в OpenSSL и ее последствий. В ОАО «АКБ «Ак Барс» проведение всех финансовых операций в ДБО физических лиц требует введения дополнительного секретного кода, полученного в банкомате либо присланного при помощи СМС-сообщения. Данная степень защиты не позволяет осуществить хищение денежных средств со счетов и пластиковых карт клиентов с использованием вышеуказанной уязвимости».

АК Барс ДО СИХ ПОР(абсолютный рекорд!) уязвимость не убрал. Прямо сейчас вы можете скачать в интернете скрипт и начать получать реквезиты доступа пользователей АК БАРСА. Прямо в 10:30 11.04.2014. Эти сказки про "уязвимость не опасна" пусть они читают альфабанку на ночь. Уязвимость позволяет зайти в личный кабинет. Это уже нонсенс.

Цитата

Управление по связям с общественностью банка «Зенит» также оперативно отреагировало на наш запрос о Heartbleed в их интернет-банке: «Банк «Зенит», как и многие другие участники рынка, использует технологию OpenSSL. В нашем банке данная технология используется для ДБО физических лиц, другие продукты в банке используют иные технологии. При этом для всех продуктов, предусматривающих удаленный доступ, на регулярной основе проводится совместно с разработчиками работа по контролю и совершенствованию систем защиты, развитию и внедрению структурных решений, противодействующих несанкционированному доступу. Потенциальный риск уязвимости Heartbleed был устранен на серверах ДБО физических лиц банка «Зенит».

Банк Зенит устранил уязвимость ОДНИМ ИЗ ПОСЛЕДНИХ, хоть и может похвастаться тем, что операционистка таки соденила меня с инженерным отделом.

Цитата
Вице-президент банка «Русский Стандарт» Артем Лебедев сообщил порталу Банки.ру о мерах, принимаемых банком: «Банк оперативно произвел обновления библиотеки OpenSSL

Тоже убрали одними из последних.

БРС, ну, очень долго реагировал. Если не ошибаюсь, то у них уязвимость почти весь день была актуальна.

Позвонил в СБР, спросил сейчас про эту дыру в openSSL и СберОнлайн. Сказали, что служба безопасности никакой информации по этому поводу не распространяла, а значит эта уязвимость Сбера не касается.
Какая-то сомнительная логика.

А ВТБ24?

Как хорошо когда нет денег

Цитата
как вы можете использовать мои доступы в инет-банк, если все операции проходят с подтверждением по смс и вы не знаете мой номер телефона и не можете его поменять? Shtirlitz

Для перевыпуска симки не нужно семи пядей во лбу иметь. Номер телефона во многих интернет-банках можно узнать, залогинившись в него. Иными словами, если раньше для фрода необходимо было заразить компьютер клиента трояном, чтобы стырить пароли, теперь в этом нет необходимости.

Судя по комментариям представителей банков, охрана персональных данных как была лишь фразой на бумаге, так и осталась: главное, что дс не вывели (СМС же), остальное неважно.

Цитата
Это наглое вранье! Присутствовала возможность воровства логинов и паролей!

А что скажете PR-отделу Альфы делать кроме как врать?.. Сказать что у нас дырявый ИБ и все могли тырять и, возможно, все ваши логины/пароли тоже стырили?

Цитата
Хочу отметить, что данной уязвимости были подвержены только версии 1.0.1 и 1.0.1f. В остальных версиях такой проблемы нет. Monetizator

Не совсем так. С 1.0.1 по 1.0.1f включительно, т.е. все версии, выпущенные с января 2012 года до апреля 2014 года.

Как говорят хохлы
"Тиха украинская ночь, но сало надо перепрятать".
Вообще полезно иногда пароли в ИБ менять. Память опять же развивает.