در سوتی جدید بانک مقصر کیه؟‌ نگاهی به نقش‌های مرتبط

خلاصه ماجرا: چند ساعت است در وب فارسی، توییتر و فیسبوک مطلبی می چرخه در مورد اینکه آدم ها می تونن بدون لاگین کردن در بانک ملت و فقط با رفتن به آدرس یک صفحه و عوض کردن عدد پاس شده در آدرس بار به شکل SaleOrderId=1333683 به واریزی های افراد مختلف به حساب بعضی سازمان ها دستریس داشته باشن. مطلب زیر نگاهی است به راه حل های فنی حل این مساله.

variz

بانک ها قراره یکی از جاهایی باشن که بالاترین سطح امنیت رو دارن اما سوتی های مداومی که از بانک ها می بینیم، این مساله رو کاملا زیر سوال برده. سوتی جدید متعلق به بانک ملت است و اجازه می ده هر کسی که به اینترنت دسترسی داره بدون کوچکترین قدم فنی یا سطحی ترین دانش مرتبط با امنیت، بتونه تراکنش های افراد دیگه رو ببینه!

این از کجا می یاد؟ از دو جا: آگاهی بسیار کم بانک ها در مورد امنیت و آگاهی بسیار کم برنامه نویس هایی که این چیزها رو نوشتن. نکته ای که جالبه کم تقصیرترین فرد در این وسط، نویسنده کد است و مقصرترین آدم کسی که پروژه رو به این آدم داده. این کسی که نوشتن چنین کد حساسی رو به چنین برنامه نویس ناآگاهی از مبانی امنیتی داده اما سوال سختیه. منطقا یک زنجیره بزرگ باید منجر به این سوتی های عظیم بشن.

مشاور پروژه

در قدم اول باید مشاور پروژه می تونست در دقیقه دوم تست این برنامه، بگه که این برنامه این مشکل عظیم رو داره. شاید واقعا این پروژه مشاور نداشته و اگر مشاوری داشته که اینجا رو دیده ولی از روش رد شده، منطقا فقط یک آدمی است که شغلش حقوق گرفتن برای پر کردن عنوان «مشاور» است. این آدم اگر پروژه رو دیده و اوکی کرده، نباید مشاور باشه.

مشاور فنی بانک

تقریبا مثل بالایی ولی حادتر. اگر بانک مشاور مرتبطی داره که این کد و نتیجه اش رو دیده و تشخیص نداده که اینجاش این مشکل حاد رو داره، باید همینجا اخراج بشه و بانک باید یک مشاور دیگه بگیره. متاسفم که در مورد یک همکار مجبورم این رو بگم ولی واقعا نقش مشاور فنی اینه که چیزهایی بسیار عمیقتر رو تشخیص بده. تشخیص چنین باگی در حدی مقدماتی است که حتی گروهی از مشتری های بانک هم باید بتونن تشخیصش بدن. اگر بانک اصولا مشاور فنی نداره، بهتره زودتر یکی بگیره.

مدیر پروژه

در مورد مدیرپروژه همیشه به سختی می شه نظر داد. آدمی است که از بالاتر بهش می گن باید محصول فلان رو در تاریخ فلان تحویل بدی و منابعش هم مشخصه. اگر الان شغل من تحویل یک سکوی نفتی در تاریخ ۲۹ اسفند ۱۳۹۶ باشه و یک تیم هم داشته باشم که کار رو درست بلد نباشن، ممکنه هر سوتی ای از من در بیاد (: در سطحی بالاتر می شه گفت که باید استعفا بدم ولی خب چند نفر داریم که بتونن راحت از شغلشون استعفا بدن. به نظر من مدیر پروژه اگر دفاع خوبی داشته باشه، تقصیر چندانی نداره.

تیم/شرکتی که کار رو قبول کرده

اینجا هم سخته. اگر با یک شرکت بیرونی طرف هستیم، خب اون شرکت باز شده که سود کنه. منطقا باید بانک کارش رو به یک شرکت غیرحرفه ای نده و شرکت ها نباید کار رو بگیرن ولی کیه که از پول بدش بیاد؟ به نظرم خود شرکت ها اگر از مفاد قرارداد عدول نکرده باشن چندان مقصر نیستن. الان یکی بیاد به من بگه یک میلیارد بهت می دیم برامون یک اسکچ از یوزراینترفیس یک سایت فروش کفش ورنی بزن، معلومه که قبول می کنم (: آبروم رو می برم ولی به پولش می ارزه و اگر طرف راضی است، منم راضی هستم.

اگر هم کار با کارمندها و تیم‌های داخلی بوده که خب حرجی نیست. یکی رو استخدام کردین و گفتین فلان کار رو بکن. احتمالا از دید خودش تلاش کافی هم کرده و تنها حالتی که می شه ازش ناراضی بود اینه که براش دوره آموزشی و فرصت یادگیری فراهم کرده باشیم ولی بازم پیچونده باشه؛ معمولا هم اینطوری نیست.

گروهی که کار رو به این گروه دادن

این‌ها – در کنار مشاورها و بررسی کننده های کیفی – احتمالا بزرگترین مقصر هستن. نتیجه کار کاملا نشون می ده که نویسنده برنامه ها دید باز نسبت به جهان نداشته و گروه برنامه نویسی‌ای بوده که تجربی و بدون بررسی نمونه‌های پذیرفته شده جهانی کار کرده و اصولا فکر نمی کرده در دنیای واقعی چه چیزهایی در انتظارش است. کسانی که چنین کاری رو به این گروه دادن احتمالا بیشترین تقصیر رو دارن. حتی اگر مدعی بشن که نمی دونستن این شرکت خوب نیست، باید پرسید که چرا از مشاور استفاده نکردن. اشتباه همیشه پیش می یاد ولی مهمه این گروه روشی رو پیش بگیرن که جلوی تکرار این مساله گرفته بشه.

سیستم نرم افزاری کشور

ما چیزی داریم به اسم شورای انفورماتیک و فکر کنم حتی به شرکت ها رتبه می ده و اینکارها. این در دنیای امروز تا حد زیادی ناکارا است. کاملا می شه تصور کرد که این برنامه رو یکی از شرکت های با رتبه بالا و مشهور نوشته باشن. امروزه تعداد مهندس و تعداد کارمند نشون نمی دن که یک برنامه خوب تولید خواهد شد.

حالا چیکار کنیم؟

اگر کاره ای در بانک ملت هستین، سریعا این بخش از سیستم رو بیارین پایین و بنویسین به خاطر تعمیرات تعطیله. بعد یک تسک فورس سریع با یک اتاق جنگ درست کنین (اتاقی که آدم ها می رن توش و تا وقتی مشکل حل نشده بیرون نمی یان و می تونن هر کسی که لازمه رو هم به اتاق اضافه کنن) و با دو تا مشاور خوب که بهشون حقوق خوبی می دین برنامه رو بررسی کنید. وقتی برنامه ای چنین مشکلات حادی داره اصلا بعید نیست مشکلات دیگه ای هم داشته باشه که عمیق تر از تغییر یک یو آر ال باشن و تاثیراتی بسیار بزرگتر از افشای اطلاعات شخصی آدم ها بذارن. همزمان با اتاق جنگ لازمه که یک پروژه مستقل تعریف بشه برای بررسی مستقل کد و انجام انواع تست های نفوذ. بانک شما همیشه در این مدت نماد بانکی بوده که سعی کرده تبلیغاتی بالاتر از سواد بصری جامعه داشته باشه و حالا لازمه سراغ سطح امنیتی ای بالاتر از متوسط جامعه هم برین. بعد هم باید بررسی کنین که در چه پروسه ای این برنامه به این گروه برنامه نویسی رسیده و اصلاحش کنین. ریلکس باشین و برای آینده برنامه بریزین (:

اگر هم برنامه نویس مستقل هستین، هر برنامه ای که اطرافتون می بینین رو با دقت نگاه کنین. یو آر الش چطوریه؟ آیا تعداد ریکوئست در دقیقه بهش کنترل شده است؟ در مورد استانداردهای توسعه نرم افزار بخونین و فریم ورک های موجود رو بررسی کنین. حواستون باشه که برنامه نویسی چیزی بسیار بسیار گسترده تر از نوشتن کد است. در واقع کد نویسی (Coder) سطح ورودی دنیای برنامه نویسی است و اگر می خواین توی این دنیا پیش برین، چیزی بسیار مفصلتر از دستور زبان مورد نیازه. سعی می کنم یک ویدئوکست با یک متخصص در این زمینه درست کنم. برم بهش زنگ بزنم!

به نظرتون از چه نقش هایی دیگه می تونیم حرف بزنیم؟ ناظر کیفی؟ کنترل کیفیت؟ تست امنیت؟

  • میلاد

    خب مشخصه دیگه تقصیر آمریکای جهان خواره!

    بنظر من مشکل اینجاست که ۱ عده که تخصصشون اصلا نرم افزار نیست و فقط با استفاده از “بند پ” اون شغل رو بدست آوردن فکر میکنن با خوندن ۱ کتاب برنامه نویسی جعفر نژاد و یا کار کردن با cms میشه برنامه نویس شد.

  • opium

    یه مشکل اساسی تو شرکت‌های نرم افزاری و کلا پروژه‌های نرم افزاری جای خالی تیم تست هست… معمولا در ۹۰ درصد مواقع خود کد نویس کد رو یه مقداری تست میکنه و اگه کار کنه میده که پروژه بره.. ولی تست نرم افزار وقت و دقت و هزینه میخواد… باید تستر استخدام کنید تست کیس تعریف بشه با روش‌های مختلف در مراحل مختلف و از دیدگاه‌های مختلف نرم‌افزار تست بشه تا نتیجه مطلوب باشه…. ولی خب شرکت ها ترجیح میدن این هزینه و وقت رو نکنن اصلا

  • با توجه به چیزهایی که در سایت های دولتی دیده شده این مورد در حدی نیست که بشه اسم افشای اطلاعات شخصی آدم ها رو بهش نسبت داد. مشکل اصلی اینجاست که اگه یه نفر با یک کلی اطلاعات شخصی تر از اینا بره پیش مسئول نهاد دولتی مربوطه به جای تشکر ازش و احتمالا استخدام مستقیما تحویل پلیس و دادگاه میشه!

    • یه چیز غیر مرتبط جادی عزیز شما که زحمت اس رو کشیدی تنظیمات ورد پرس رو عوض کن تا اونی که با اس وارد میشه لینک های داخلی هم اس دار باشه!

  • مهدی

    این از کجا اومده؟ اینترنت بانک؟ بعد از چه فرایندی نشون داده میشه؟

  • رضا

    به نظر من شرکت های حساس اینطوری باید یک صفحه توی سایتشان داشته باشن که همه بهش دسترسی داشته باشن و بتونن اشکالات سیستم هارو گزارش کنن

  • محمد

    درود دوست گرامی ،
    من از این عکسی که گزاشتید چیزی متوجه نشدم ؟ یک مقدار توضیح میدادید این از کجا آمده و مشکلش چیه بعد میرفتید سراغ موشکافی علت مشکل بهتر بود آخه من اصلا نمیدونم مشکل چیه چطور متن شما رو بخونم ؟

    • جادی

      راست می گی.. شد شبیه این آگهی تسلیت ها که اصلا نگفتن چی شده و چه خبره (: الان یک خط می نویسم. می خواستم آموزش هک نشه ((:

  • گیلاندخت

    امنیت در بانکداری کلا یه تخصص و درسه( حداقل به ما که زوری درس دادن !!) … یعنی کلا محتوایی شبیه و در عین حال متفاوت با امنیت شبکه داره ، پس تیمی که روی چنین پروژه هایی کار می کنن باید از محتواش آگاهی داشته باشن یا یه مطالعه گدرا روی مباحثش داشته باشن
    متاسفانه همون طور که دوستامون در کامنت های بالا گفتن نداشتن تیم مناسب و بند پ و عدم تسلط کافی و خیلی فاکتور های دیگه همه و همه در کنار هم مشکلات این چنینی رو می سازن
    شما ممکنه یه برنامه نویس خوب باشین ، مدیر پروژه خوب باشین ، در زمینه امنیت هم بهترین پروژه ها رو تحویل داده باشین … ولی وقتی درک درستی از ساختار بانکی و مدل های قبلا اجرا شده در دنیا ندارین اینکه توی پروسه تولید و بهره برداری سرویس هاتون چنین مشکلاتی پیش بیاد واقعا چیز عجیبی نیست. چرا ؟ چون شما نیروی متخصص واقعی رو بکار نگرفتین و با یه تیم دیگه که لزوما هم بی تجربه نیستن و فقط احاطه درستی رو ساختار بانکی ندارن دارین کار می کنین .. اون بنده خداها چکار می کنن ؟؟؟ دقیقا کاری که می کنن اینه که دارن چرخ رو دوباره اختراع می کنن.
    هر تراکنش مالی که انجام میشه بلا استثنا باید پنج تا ویژگی داشته باشه ، محرمانگی هویت طرفین تراکنش مالی یکی از اون پنج فاکتوره که جادی نشون داد در این سیستم وجود نداره بنظرم توی بخش حالا چکار کنیم هم راه حل خوبی داد ( خوب و نه عالی چون راه حل عالی اینه که توی تیم یه متخصص تجارت الکترونیک باشه که بدونه توی دنیا دقیقا چی انجام میشه هی نشینن چرخ اختراع کنن )حالا یه روزی اگه وقت شد رو چهارتا فاکتور دیگه هم بحث می کنیم.
    سیستمی که نتونه یک یا چند تا اصل بنیادین یه تراکنش امن رو براورده کنه بهتره که این سیستم ها رو ارائه نکنه
    این رایانامه چیه نوشتی جادی ؟! ایمیل دیگه :دی

  • behrouz

    ظاهراً توی QueryString این مقدار پاس می شده . یادمه ی زمانی داشتم توی همین شرکت پیمانکار که این سایت رو develop می کنه استخدام بشم و جور نشد (تو فرمانیه بودن اسمشم بماند)
    موفق باشن دوستامون

  • امیرعلی

    سلام
    این صفحه رو هم ببینی بدک نیست
    http://epay.bankmellat.ir/

  • با این کد میشه دیتاش رو با سرعت خوبی گرفت و ماین کرد:

    https://gist.github.com/anonymous/5588f40d2fb11a03d06d

  • یکی از دوستان میگفت که 83 درصد تراکنش ها مال این نوزده تا شرکتی هست که اسمشون تو صفحات هست.

    این یعنی میشه 83 درصد تراکنش های بانک ملت رو ماین کرد. این که چقدر پول به حساب بانک ملت واریز میشه. تو چه فصل هایی از سال پول نداره این بانک. کی ها خیلی پول داره. حتی میشه یه آمار از اینکه توزیع اسم افراد تو جامعه چه شکلیه داد :)))

  • یک تجربه‌ای که من داشتم اینه که توی ایران شرکت‌هایی هستند که عجله دارند پول بدست بیارن، وقتی هم عجله داری که زودتر محصول رو به پول تبدیل کنی تست کردن اهمیت چندانی نداره، کار کنه کافیه. در ضمن تستی که من دیدم بیشتر تست بیزینس (مثلا از نظر حسابداری و بانکداری) رو در بر می‌گیره و خود سیستم به صورت حرفه‌ای تست نمی‌شه. یک بخشش هم سواد پایین افراد هست. درک اینکه با گوگل و استک‌اورفلو آدم باسواد نمی‌شه بلکه فقط مشکلات مقطعی رو می‌تونه حل کنه. در حالی که با گذراندن دوره‌های کامل یا خواندن کامل کتابهای با ارزش (نه کتابهای ترجمه شده‌ی فله‌ای) فرد یک دید جامع‌تر نسبت به کار و مهارتی که مسئولیتش رو بر عهده داره بدست می‌آره. از طرفی آموزش در کشور ما سطحیه (شاید به استثنای دانشگاه‌های بزرگ) و افراد پخته و آموزش گرفته از دانشگاه بیرون نمی‌آن بلکه با حداقل‌ها فارغ التحصیل می‌شن. نشانه‌اش هم حجم عظیم کپی‌کاری و خرید مقاله و کپی پایان‌نامه و غیره است که خودتون بهتر می‌دونید.
    از نظر من در دراز مدت افزایش افقی و عمودی سواد علمی و فنی افراد که می‌تونه جلوی این چیزها رو بگیره.

  • سعید

    تا اونجایی که من خبر دارم و خودم توی پروژه های سازمانی خودمون دیدم، سازمان پدافند غیرعامل پروژه های دولتی و بانکی رو مورد بررسی قرار میده و یک جورهایی کار کلاه سفیدها رو انجام میده.
    من تعجب میکنم که چطور برای این برنامه این کار انجام نشده؟
    و از اون بدتر، چرا حداقل encrypt نشده؟

  • ظاهرا اون url رو آوردن پایین و صفحه خالی نشون میده.

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری | جدیدترین و آخرین اخبار از دنیای فناوری اطلاعات،تکنولوژی و ()

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری | آخرین اخبار و عناوین از دنیای فناوری و اطلاعات()

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری | آخرین اخبار از دنیای فناوری ارتباطات و تکنولوژی()

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری | آخرین اخبار از دنیای موبایل و فناوری اطلاعات()

  • عرفان

    سایت سازمان سنجش هم مشکل مشابهی داشت.
    توی صفحه پرینت کارت ورود به جلسه، آدرس عکس داوطلب یه لینک بود که فرمت مشخصی داشت. مثلا sanjesh.org/data/img/888965329.jpg (البته یه ذره پیچیده‌تر از این) ولی اگه عدد انتهایی رو عوض می‌کردی می‌شد عکس بقیه داوطلبا رو هم دید.

  • روح الله افشار صفوی

    یکی از استادامان ترم پیش سر کلاس امنیت (دانشکده کامپیوتر شریف)، میگفت که سیستم بانک ملت بسیار آسیب پذیری داره و ماهم بهشون بارها هشدار دادیم ولی کو گوش شنوا!
    ایشون میگفت تا ظاهرا تا زمانی که یک گندکاری خیلی گنده توی سیستم اینا انجام نشه، حاضر به تکون دادن خودشون نیستن ! البته شاید همون موقع هم کاری انجام ندن!

    • روح الله افشار صفوی

      چرا امکان ویرایش کامنت ها وجود نداره؟

  • جالبه من همین الان به بانک زنگ زدم ؛ میگم آقا میدونین همچین چیزی اتفاق افتاده ، میگه ، چیه ، توضیح دادم بهش ، میگه بچه های انفرماتیک اعلام کردن ،ما هم پیگیریم ؛ میگم آقا همه میدونن ، حداقل سایت داون کن ( اتاق جنگ )
    میگه مطمئن نیستم ، میگم آقا من خودم تست کردم شده!!! ، میگم آقا من مشتری بانکم اگه اطلاعاتی از حساب من کسی ببینه شما جواب گویی (مثلا من پول زیاد دارم ) ؟؟ دیگه حرفی نداشت

  • سلام.مرسی از اطلاع رسانیت…
    جادی فکر کنم باید یک مقدار توضیح بدی!
    به این آدرس برو
    http://digiato.com/article/2015/03/25/%DA%A9%D8%B4%D9%81-%DB%8C%DA%A9-%D8%A8%D8%A7%DA%AF-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D8%A7%DB%8C%D9%86%D8%AA%D8%B1%D9%86%D8%AA%DB%8C-%D8%A8%D8%A7%D9%86/
    و کامنتها رو بخون…
    آیا اونجا هستی؟؟؟
    ممنون میشم توضیح بدی…

  • صادق صولتی

    من یه همچین باگی تو سایت یک خودروساز ایرانی پیدا کردم. سایتشون یک باگ SQL injection بد داشت . با دیتابیسی کامل از اطلاعات مالی شرکت و مشتری هاش . هفته اخر اسفند زنگ زدم به مدیر IT گفتم همچین باگی دارید.فکر می کنید بهم چی گفت؟
    گفت فکر نمی کنید بد موقع زنگ زدید؟ الان تعطیلات عید ما خراب میشه . منم بعد یه چند لحظه فکر کردن ازش تشکر کردم و به خدا سپردمش . هیچ تغییری هم تو سایتشون اتفاق نیفتاد. الان هم احتمالا دارن از تعطیلات نوروز لذت می برن.

    توقعاتی داری جادی جان …

  • رهگذر

    صفحه پرداخت و LOGIN بانک با HTTPS شروع میشه همه ادرسای که میگین با HTTP شروع میشه

  • yaser

    جوابیه بانک ملت!
    انتظار چیز دیگه ای هم نبود البته …

    بانک ملت اعلام کرد که کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد.

    به گزارش ایرنا به نقل از روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت ،به اطلاع می رساند، کلیه اطلاعات مربوط به حساب ها و کارت های مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.

    همچنین درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته با بالاترین سطح کیفیت ، خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد .

    بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداخت های الکترونیک، پایانه ها و درگاه های پرداخت الکترنیک به تمامی مشتریان اطمینان خاطر می دهد که هر لحظه از بالاترین سطح آمادگی لازم برای ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.

    Read more: http://www.donya-e-eqtesad.com/news/869011/#ixzz3VR1NAQMT

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری | فاین آی تی()

  • Pingback: کشف یک باگ امنیتی در سیستم اینترنتی بانک ملت؛ تشریح دلایل فنی و شیوه های پیشگیری - مجله اینترنتی کاموو()

  • بیچاره ها با هش و سالت و اینها هیچ آشنایی نداشتن.

  • سیامک

    نزدیک به دو سال پیش، من همین مشکل به علاوه یه مشکل حاد دیگه که در درگاه پرداخت بانک هست رو کشف کردم، و خیلی هم اتفاقی، چون من هکر نیستم.
    برای بانک ملت نامه زدم، جوابی نگرفتم، بعد سه بار تماس تلفنی گرفتم، بعد از اینکه منو 10-15 بار چرخوندن بین آدمهای مختلف، آخرش یه احمقی که داشت منو به تمسخر میگرفت و فکر میکرد اون مهندس اعلاست و من به بچه فوضول که میخوام خودی نشون بدم، حرفامو شنید و گفت بعید میدونم ولی باشه!
    بعد از گذشت این دو سال، یکی دو ماه پیش توی یه سایتی کامنت گذاشته بودم در همین مورد، یه نفر توی فیسبوک!! به من پیام داد که شنیدم یه باگ تو بانک ملت پیدا کردی! من کارمند به پرداخت هستم به من بگو :))

    در مورد سیستم موبایل بانک هم که به طرز مسخره و احمقانه ای با sms و به شکل plane text کار میکرد هم چنین موضوعی بود، که بعد از مراجعه با پارتی (!) به بانک و نمایش یک دمو، مدیر اون بخش در اتاق رو روی ما قفل کرد و میخواست زنگ بزنه به پلیس! که با پادرمیونی همون پارتی ما رو ول کردن بریم.

    سیستم اینقدر مریضه، که حتی وقتی باگی کشف میشه تکذیب کردن و تحت تعقیب قرار دادن گوینده ساده ترین راه حله. ولی امیدوارم که اینبار اینطور نباشه و واقعا برطرف بشه و توضیح لازم هم از سمت بانک ارائه بشه.

  • امین

    این یک مورد که کشف شد یکی از ده ها مورد از آسیب پذیری های امنیتی در بانگ های ما هست. بنده تا بحال قریب به چند مورد رو کشف و اطلاع رسانی کردم ولی تابحال نه تنها پیگیری صورت نگرفته بلکه گوش شنوایی هم نیست . حتما باید افشاگری و گزارشی برای آسیب پذیری ها صورت بگیره و شاهد اثرات مخربش باشیم تا دست اندرکاران به فکر بیفتن. در آخر به این جمله اکتفا می کنم که این بانک ملت که اکثر درگاه های پرداخت سایت های داخل ایران از این بانک استفاده می کنند همه آسیب پذیر هستند. برای مثال شما وقتی محصولی رو خریدار ی می کنید بدون انکه هزینه ای پرداخت کنید با استفاده ار دستکاری و تغییر پارامتر ها و جعل در خواست داده های ورودی به راحتی می تونید بدون اینکه هزینه ای پرداخت کنید یک تراکنش موفق ایجاد کنید.

    • دقیقا با همین باگ در اکثر دانشگاه های دولتی برای حدود 2 سال پرداخت های شهریه و خرید ژتون انجام می شد البته فکر می کنم مدتی قبل این مشکل بر طرف شد!

  • مهرداد

    سلام می خواستم بگم یه همچین باگی توی برنامه *733# هم است برنامه اپ کاملا plain text و با نصب یک wire shark روی اندروید میشه man in middle شد و به جای client اون request رو به سرور فرستاد و جوابشو گرفت به راحتی بعد میگن از برنامه ها استفاده کنید زنگ زدم و بعد یک روز و نیم سر و کله زدن با یک مشت ادمی که هیچی نمی فهمن منو پاس دادن به یه نقر اخر که اونم گفت برنامه ما خیلی امنه و این امکان نداره منم گفتم من از اپ استفاده می کنم و شما میتونی امتحان کنی اونم گفت اگه کاری انجام داده بشه من شماره تلفن شما رو به پلیش می دم منم دست از پا دراز تر قطع کردم متاسفم برا این مملکت ……

  • reezarazo

    چرا اینقدر بزرگ جله ش میدید. این قضیه کاملا به بانک مربوط میشه. میشه اپلیکیشنشون رو دان کرد یا ماینینگ کرد که توی هر دو حالت هر کسی انجام بده کتف بسته میبرنش اب خنک بخوره.

    این باگ توی سایت ینجش هم بود و خیلی جاهای دیگه هم هست. همین که از مقوله های امنیتی برای اتنتیکیشن استفاده میشه + cer امنیت نسبی رو تضمین میکنه.

    امنیت تمام بانک های ایران نسبیه نمیدونم اما شنیدم یسریاشون برای اتنتیکیشن از سشن استفاده میکنن. اگه بخوای به امنیت گیر بدی همشون های جک میشن و هیچ کدوم امن نیست و همشون رو برای جلو گیری از این قضیه داخلی کردن و از خارج دسترسی ندارن.

  • پارشال

    بانک ملت درز اطلاعات مشتریان خود را تکذیب کرد http://www.radiofarda.com/content/f2-iran-mellat-bank-denies-being-hacked-no-clients-data-disclosed/26922103.html

  • جعفر
  • z

    خیلی جالبه به جای تایید موضوع و عذرخواهی کل ماجرا رو منکر میشن!
    http://www.khabaronline.ir/detail/406079