The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Поучительный опыт информировния банков об уязвимостях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от opennews (ok) on 22-Апр-17, 09:47 
Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился (https://privacylog.blogspot.ru/2017/04/what-happens-when-you...) своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании  Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через  тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как  будет устранена, упомянуло желание нанять  Уильяма  для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

URL: https://news.ycombinator.com/item?id=14166966
Новость: https://www.opennet.ru/opennews/art.shtml?num=46427

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Поучительный опыт информировния банков об уязвимостях"  –5 +/
Сообщение от hoopoe email(ok) on 22-Апр-17, 09:47 
а что здесь поучительного? чуваку заплатили за молчание (иначе любое соглашение о неразглашении идёт лесом), бага жила ещё много лет, чувак, вероятно, больше не пользовался этими сетями :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Поучительный опыт информировния банков об уязвимостях"  +9 +/
Сообщение от Константавр (ok) on 22-Апр-17, 09:51 
Ему даже не заплатили, его пообещали взять на работу. Правла, непонятно, взяли ли?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Поучительный опыт информировния банков об уязвимостях"  +2 +/
Сообщение от angra (ok) on 22-Апр-17, 09:56 
Не взяли и с докладом на конференции прокатили. А подписать заставили под угрозой науськивания на него ФБР.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Поучительный опыт информировния банков об уязвимостях"  –2 +/
Сообщение от кверти (ok) on 22-Апр-17, 09:56 
Он подписал соглашение за обещания?!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Поучительный опыт информировния банков об уязвимостях"  +3 +/
Сообщение от zanswer CCNA RS on 22-Апр-17, 10:07 
Вряд ли он подписал NDA находясь под влиянием возможных перспектив быть нанятым на работу. Скорее всего юрист консульт был более убителен, когда описывал возможные перспективы встречи с ФБР, по обвинению во взломе.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от cmp (ok) on 22-Апр-17, 14:40 
Рассказать как взломать и взломать разные вещи, писатели шифровальщиков сейчас почти в открытую работают так как формально ничего не нарушают, а распространителей много и все риски на них.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

23. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от Аноним84701 (ok) on 22-Апр-17, 16:28 
> Рассказать как взломать и взломать разные вещи,
> формально ничего не нарушают, а распространителей много и все риски на них.

Одно дело угрозы представителя шароварщика-фрилансера или мелкой фирмочки и немного другое, когда там "банка каменная" и тех юристов "цельный легион". При желании и некоторых финансовых возможностях, можно формально ничего не нарушая, очень усложнить кому-то жизнь, хотя бы исками (я уж не говорю о мелких пакостях, типа внесения в черный список, в СRA, отказ от обслуживания, попытки повесить всех собак и сделать козлом отпущения при любом взломе и т.д.).
Поэтому рассуждения на опеннете "как надо правильно" и реальность "а оно мне или тем более, моей семье, надо?" частенько немного расходятся.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от zanswer CCNA RS on 23-Апр-17, 08:45 
А я и не ставил между этими событиями знак равенства, я лишь предположил, что возможные перспективы доказывать, что виновник новости совершил первое деяние, а не второе, представителям правоохранительных органов его не прельщал.

Я не сомневаюсь в чистоте его намерений, когда он проводил своё исследование безопасности их продукта, но ведь на это можно посмотреть и с другой стороны, и не все коммерческие компании готовы признавать свои ошибки открыто, отсюда и требование о подписании NDA.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

45. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 24-Апр-17, 10:49 
Про исследование, тут по разному может быть.
Вот открываю я как-то сбербанк-онлайн, а утилитка по приватности мне пишет, заблокировано 2 ссылки, смотрю что за ссылки, а там гугл аналитика с внешнего источника, как по вашему проблема или нет на форме ввода пароля?
Сейчас вроде убрали, но как-то не по себе немного от крупного банка такое.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

18. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 15:08 
юрисконсульт!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 21:01 
убителен

Где таких словов народ подцепляет? Даже наличие не проверяют в Гуглах разных, краснодипломники :).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от тоже Аноним (ok) on 22-Апр-17, 10:39 
"
Как правительство может быть таким процветающим и делать так много ошибок?
– Я удивлялась этому тоже, – сказала она, – и думала об этом. В конце концов я пришла к единственному возможному ответу.
– И каков же он?
– Практика, – сказала она. – Неустанная, безжалостная практика.
"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Поучительный опыт информировния банков об уязвимостях"  +2 +/
Сообщение от Sabakwaka (ok) on 22-Апр-17, 10:54 
Поучительный опыт информирования банков об уязвимостях:

С полгодика назад позвонил один банкир по наводке другого банкира.
Высокопоставленный банкир. Надо было сшить пару платежных сервисов.
Забашыл им модуль в рекордный срок. Быстрее их штатного коллектива в сорок рыл бездельников.

Нашел дырень на ширину плеч, — ходи кто хочешь, серьёзная брешь.

Сел на корточки, как медведь у Салтыков-Щедрина, и жду поощрения.

Приходит письмо «с самого верха» — «ну, да, вы выявили дыру, но вы же не сообщаете нам, как ее закрыть/исправить???»

Как ее «исправлять», когда я не в ядре, а на клиентской стороне? :)

НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно недодали из обещанных златых гор.

Хотя я ОСОБО сообщал на «собеседовании», что я — трудоустроен, что я ХОРОШО ТРУДОУСТРОЕН, и что я не намерен искать г%в%а от добра, и что их желание «работать именно со мной» должно опираться на их возможность платить уж никак не меньше, чем на прежнем месте.

Так что теперь и не знаю даже, информировать на будущее, или сразу связываться с биржей уязвимостей?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Поучительный опыт информировния банков об уязвимостях"  +9 +/
Сообщение от A.Stahl (ok) on 22-Апр-17, 11:53 
>не знаю даже

Ты даже на своих ошибках не учишься? :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 15:39 
Конечно не учится, да и случай не первый уже, стопудово. Когда ему рассказали какой он уникальный и нужный, лучше 40 бездельников, которым исправно платят зарплату - комментатор расстаял в момент. Так приятно быть доминантной особью. Ладно хоть догадался бы не рассказывать что его кинули на деньги, но нет. Наш юнный друг цветет и пахнет красуясь на опеннете своим эго, даже не понимая, что это не он раскрыл уязвимость, а уязвимость под  названием "дармовая рабочая сила" раскрыли и успешно проэксплуатировали в нём. Но жертва мнит себя героем-победителем, что прекрасно иллюстрирует содержимое головы.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Поучительный опыт информировния банков об уязвимостях"  +3 +/
Сообщение от vi (ok) on 22-Апр-17, 18:04 
> Ладно хоть догадался бы не рассказывать что его кинули на
> деньги, но нет. Наш юнный друг цветет и пахнет красуясь на
> опеннете своим эго, даже не понимая, что это не он раскрыл
> уязвимость, а уязвимость под  названием "дармовая рабочая сила" раскрыли и
> успешно проэксплуатировали в нём. Но жертва мнит себя героем-победителем, что прекрасно
> иллюстрирует содержимое головы.

По прочтению комментария этого господина, не увидел непонимания! Откуда Вы это взяли?
И то что рассказал, что кинул на деньги, молодец! Хотя конечно всем известно, что банкиры этим и зарабатывают. Это у них такой способ заработка, ЗАРАБОТКА, такой способ! Они всех сажают на процент, а тех кого можно кинут сразу, сразу и кидают! Иначе ни как ("С волками жить, по волчьи выть."). Так что узбагойтесь гражданин. С ними необходимо каждый "чих" записывать, и на подпись с печатью. А еще лучше, ... Ну Вы сами понимаете ;)

Мое мнение, молодец! Пусть растет ;)

Тут самое главное, ГЛАВНОЕ, научится быстро, БЫСТРО, отделять мух от котлет.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 23:56 
Лет мало, вот ты и не понял. С возрастом многое становится очевидным, в том числе, по тому как именно человек излагает свои мысли. Тебя ситуация с эго тоже касается, раз возникает желание давать советы незнакомым людям.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

43. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от vi (ok) on 23-Апр-17, 23:31 
> Лет мало, вот ты и не понял. С возрастом многое становится очевидным,
> в том числе, по тому как именно человек излагает свои мысли.
> Тебя ситуация с эго тоже касается, раз возникает желание давать советы
> незнакомым людям.

Да, согласен! И еще, забираю все свои советы ;)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

12. "Поучительный опыт информировния банков об уязвимостях"  +3 +/
Сообщение от dimqua (ok) on 22-Апр-17, 13:42 
> связываться с биржей уязвимостей

Эксплуатируй сам.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от vantoo (ok) on 22-Апр-17, 14:32 
Судя по всему, точный размер оплаты даже за основную работу не был заранее четко оговорен? Ну тогда чего вы ждали? Думали они сами щедро отсыпят с барского плеча, руководствуясь вашими намеками, что на основной работе вы хорошо зарабатываете? Будет вам наука на следующий раз.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от Sabakwaka (ok) on 22-Апр-17, 14:49 
>> точный размер оплаты даже за основную работу не был заранее четко оговорен

«На словах» предполагалось, что он превысит, как минимум, «белую» часть, подтвержденную выписками Пенсионного фонда за последний год.
Люди сильно «большие». Из тех, которым «надо верить нА слово».

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Поучительный опыт информировния банков об уязвимостях"  +12 +/
Сообщение от vantoo (ok) on 22-Апр-17, 15:34 
Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

44. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от vi (ok) on 23-Апр-17, 23:33 
> Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.

Может быть им просто некогда ;)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Поучительный опыт информировния банков об уязвимостях"  +2 +/
Сообщение от Аноним (??) on 22-Апр-17, 18:02 
Причиняй добро и беги. Желательно заметая при это следы средствами анонимизации.
Но вообще из таких историй напрашивается вывод, что если явно отсутствует программа поощрения уязвимостей, то эти самые уязвимости нужно продавать в даркнетах.
Либо угрожать распространить информацию об уязвимости, если дыру не закроют в такой-то срок. Опять же, заметая следы.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

27. "Поучительный опыт информировния банков об уязвимостях"  –4 +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-17, 20:08 
> НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно
> недодали из обещанных златых гор. [...] Так что теперь и не знаю даже,
> информировать на будущее, или сразу связываться с биржей уязвимостей?

Судите сами, но я бы с такими если и связывался, то держа наготове (причём не блефом) подход "ребята, через N дней ваша дырка всплывёт, даже если вы устроите мне дырку в голове -- будьте умничками и сделайте хоть что-то по совести".

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

31. "Поучительный опыт информировния банков об уязвимостях"  +6 +/
Сообщение от Аноним (??) on 22-Апр-17, 21:06 
Мишенька, ты тут недавно блистал познаниями УК РФ. Куда они вдруг подевались?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от Sabakwaka (ok) on 22-Апр-17, 21:32 
> Судите сами, но я бы с такими если и связывался, то держа
> наготове (причём не блефом) подход "ребята, через N дней ваша дырка
> всплывёт, даже если вы устроите мне дырку в голове -- будьте
> умничками и сделайте хоть что-то по совести".

Когда zero-day озвучен, — а я забил в колокола по всем инстанциям (благо были контакты всех сторон) — от банка-участника системы платежей, до эквайера и поставщика/производителя фреймворка, — тут уже не очень прилично (по-моему) «качать права» и «выкручивать руки».

Дыра, по большому счёту, не на стороне банка-заказчика, а на стороне партнера-эквайера (хоть и аффилированного) и производителя «решения», фреймворка, на котором запилен эквайринг.

Тут и по голове можно словить по-настоящему. От совершенно несвязанных со мной никакими обязательствами сторон, например.

Но дело-то в том, что я ожидал хотя бы русских масштабов премии за дырень, идеологическому противостоянию которой был посвящен целый слой взаимодействия как клиентвари, так и мидлвари.

С охерительными ухищрениями, ключами-глючами и дырой в конце процесса :)

Есть мнение, что весь интернет-магазининг имеет сей вход в туду :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 23:36 
>Но дело-то в том, что я ожидал хотя бы русских масштабов премии за дырень

Забей. Дело не в русской душе. У иностранцев бомбит еще хлеще. Тут дело в том, что а) ты не являлся авторитетом в глазах руководства б) ты отослал данные барину, а не его советнику, к которому он прислушивается.

В следующий раз пиши в oss-security, те кто его читают люди достаточно авторитетные. И если не поверят, то можешь смело разглашать. Твое дело бабло рубить, а не играть в шута:

-- "ой, смотрите какой я умный, нашел дырень!"

-- "ой, ну ты молодец, но лучше тебе помалкивать, мы тебя не для нахождения дыр нанимали и вообще, где код?!"

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от Аноним (??) on 24-Апр-17, 10:58 
>> НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно
>> недодали из обещанных златых гор. [...] Так что теперь и не знаю даже,
>> информировать на будущее, или сразу связываться с биржей уязвимостей?
> Судите сами, но я бы с такими если и связывался, то держа
> наготове (причём не блефом) подход "ребята, через N дней ваша дырка
> всплывёт, даже если вы устроите мне дырку в голове -- будьте
> умничками и сделайте хоть что-то по совести".

Что-бы другим не повадно было сначала применят УК за вымогательство (вплоть до подставной выплаты с участием силовиков), а остальные вопросы будут решать по мере возникновения проблем, может и героически и с потерями.
Ключевое - с террористами переговоров никто не хочет вести, особенно если жизни не угрожает.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

11. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от Аноним (??) on 22-Апр-17, 13:27 
Очередной опеннетовский горе-переводчик. Откуда ты взял о том, что уязвимость пофиксили? Там вся мякоть разворачивающегося скандала в том, что уязвимость до сих пор не пофиксили спустя почти 10 лет, а нашедшего уязвимость заставили замолчать подписанным NDA.


"2017 I have yet hear from FINRA that any action has been take. I have yet to hear from ZECCO / Trade King that the issue has been resolved.

If you have made any transaction with ZECCO / Trade King / Penson between 2005 and present you may wish to contact an attorney to understand if that transaction was made without your permission and under the gross negligence of the company's management."

> Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций.

Эта отсебятина откуда? Нету в оригинале этого.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от Аноним (??) on 22-Апр-17, 14:32 
> Эта отсебятина откуда? Нету в оригинале этого.

"Penson confirmed that this software was affecting over 100,000 North Amerian retail branches (I will not say which). Also their engineers made it clear that unauthorized transactions like this and later shown below would not be distinguishable from other legitemate transactions."

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 15:01 
То есть соглашение о неразглашении было нарушено?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

37. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от MrStell (ok) on 23-Апр-17, 14:25 
Да, автор это осознает и заявляет прямым текстом:
"So I signed the NDA on 2008-10-27. In direct violation of the NDA I am also posting it publicly now in the public interest."
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

40. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от www2 (ok) on 23-Апр-17, 20:11 
Интересно, а что они ему сделают за это? С работы уволят? Или будут судиться и посадят в тюрьму? Так это они к себе ещё больше внимания привлекут таким способом. Я бы на их месте не стал обосравшись пытаться засадить того, кто это первым увидел, но терпеливо молчал, пока они не подмоются.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Поучительный опыт информировния банков об уязвимостях"  +3 +/
Сообщение от Аноним (??) on 22-Апр-17, 15:39 
Поучительно, значит анонимные угрозы эффективнее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Аноним (??) on 22-Апр-17, 18:51 
Сразу начинать пользоваться — эффективнее всего.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от нах on 22-Апр-17, 20:41 
> Сразу начинать пользоваться — эффективнее всего.

не, ну надо ж дождаться пока кто-нибудь
made it clear that unauthorized transactions like this and later shown below would not be distinguishable
;-)

а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от Аноним (??) on 23-Апр-17, 22:42 
> а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.

Закупил биткоинов или прочих-коинов. Перемешал их с другими как в "Золотом копытце". На коины можно заказать благотворительную посадку пальмовой рощи. Ходишь по роще рвешь бананы. Кушаешь бананы, поливаешь пальмы.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от anonymous (??) on 22-Апр-17, 20:57 
Давно уже известно, что банки - неблагодарные суки. Нашёл багу - сбросил в даркнет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Crazy Alex (ok) on 23-Апр-17, 13:05 
Вот что мне не понятно - откуда такая странная политика. Казалось бы - самим же выгодно получить информацию и быстро тихо всё починить. Я понимаю, что бывает, что для починки надо тупо весь код выкинуть и брать другую архитектуру. Тогда, если юридически прикрыт хорошо - можно и забить в надежде, что враги найдут попозже. Но CSRF-то чинится и так...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Поучительный опыт информировния банков об уязвимостях"  +1 +/
Сообщение от Ordu email(ok) on 23-Апр-17, 16:35 
Если банк рассматривать холистически, как что-то цельное, то объяснить не удастся. Но банк -- это много людей, разделение ответственности и обязанностей, многие из этих людей даже не знают о существовании друг друга. И цели каждого не совпадают с целями банка.
Можно пофантазировать и представить себе организационные трудности -- может быть те, кто имел дело с исследователем, были сильно не заинтересованы в том, чтобы уязвимость всплыла, потому что они в какой-то мере были ответственны за разработку системы, и наличие уязвимости в системе было бы воспринято как пятно на их карьере.
А может быть они воровали денег, и им дыра была нужна на случай залёта, чтобы списать недостачу на дыру: мол, это не мы, это какие-то внешние хакеры.
Может быть разработчики системы оставили эту дыру намеренно, но имели компромат на того сотрудника банка. Разработчики потихоньку тырили денег, и шантажируя сотрудника вынуждали его работать прикрытием.
Можно и ещё чего-нибудь придумать. Но это всё фантазии, и я даже не могу оценить насколько они могут быть далеки от реальности, потому что в банках никогда не работал и с их внутренней организационной структурой не знаком.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Поучительный опыт информировния банков об уязвимостях"  +2 +/
Сообщение от АнониМ (ok) on 23-Апр-17, 18:34 
В крупных организациях всем на всё накакать. вот и вся политика. софт соответствует какому-нить стандарту разработки, какой-нить аудит прошли, деньги получены, если запроса от клиента нет, то чего напрягаться? за это премию не выпишут, а могут и наоборот. в энтерпрайзе это практически везде.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Поучительный опыт информировния банков об уязвимостях"  –1 +/
Сообщение от www2 (ok) on 23-Апр-17, 20:16 
> В крупных организациях всем на всё накакать.

Это точно. И дело не в злом умысле или некомпетентности, там просто важные сообщения легко теряются в общем потоке информации. Иногда даже выяснить не удаётся, кто за это отвечает, а т.к. своей работы много, то просто кидаешь информацию куда-нибудь в рассылку или по направлению вверх, а дальнейшая судьба этого тебя не волнует.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

47. "Поучительный опыт информировния банков об уязвимостях"  +/
Сообщение от Ананас on 25-Апр-17, 11:05 
Уже которая история про то как вайтхет идеалистов поимела корпорация, а они все никак не учатся на своих ошибках. Поэтому уязвимости надо продавать тем кто может за них платить и использовать по назначению, жирный корпорас начнет крутиться только когда его поимеют.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру