Naše banke i tajnost podataka

Petar Marić · 05. 05. 2006.

Tajnost korisnikovih podataka je nešto što bi trebalo da bude od suštinske važnosti za banke - ako im ne možete verovati sa svojim podacima, kako ćete tek s novcem?

Sinoć sam načuo da danas (najzad) počinje isplata studentskih kredita/stipendija pa sam otišao na sajt Univerzal Banke Beograd da potvrdim informaciju. Primetio sam zaseban link za studentske kredite/stipendije te sam otišao da vidim šta tu ima - kad ono pretraga rezultata konkursa za studentske kredite/stipendije. Padne mi na pamet da iz zezancije probam da "zloupotrebim" pretragu da bih dobio i tuđe podatke:

Napomena: Linkovi su namerno oštećeni da se noob-ovi ne bi okoristili

Citat:

http://www.ubbad.co.yu/krediti/.asp?jmb=-1&Submit=PRETRAZI
http://www.ubbad.co.yu/stipendije/.asp?jmb=-1&Submit=PRETRAZI

Užas - "exploit" prolazi

Posledice? Pa mislim da se ovakvi podaci mogu fino zloupotrebiti - od relativno bezopasnog spam-a, do kradje identiteta.
Primer neugodne situacije: pre neki dan je na FTN-u postavljen web servis studentske službe - korisničko ime je broj indeksa a inicijalna lozinka je JMBG

Zamislite šta biste sve mogli načiniti jadnim studentima (prijaviti ogromnu količinu ispita, ili još gore odjaviti neke ispite).

Kakva su vaša iskustva sa ovakvim pojavama?

jablan · 05. 05. 2006.

Ja ovde ne vidim neku veliku mogućnost zloupotrebe (svejedno ti treba neki lični dokument da bi podigao kredit npr), ali bi u svakom slučaju trebalo obavestiti banku da imaju rupu u aplikaciji.

Off Topic: Ala smo navalili, zadavismo server

noviKorisnik · 05. 05. 2006.

Slabo nešto radi ta paginacija :-)

Često mi nisu jasne misli ljudi čiji je posao da misle. Ovako ispada da su ovo javni podaci, a nekako mi se čini da bi trebali da budu poverljivi - samo banka i klijent.

Petar Marić · 05. 05. 2006.

Off Topic: Opet citiram samoga sebe

Citat:

Originalno napisao Petar Marić

Zamislite šta biste sve mogli načiniti jadnim studentima (prijaviti ogromnu količinu ispita, ili još gore odjaviti neke ispite).

E sad zamisli takvu situaciju u kojoj nekim studentima prijaviš/odjaviš neke ispite a nekima ne (naravno sve u granicama normalnog korisničkog ponašanja) - da kažemo da napraviš jako dobru prevaru sistema - sve da bude po PS-u tako da ne znaš šta su pravi podaci a šta je prevara...

Zamisli u kakvim g#$&%ma bi bila studentska služba i sami studenti... Još ako ti kažem da FTN ima preko 8.500 studenata situacija postaje jako interesantna

No, čini mi se da nisi shvatio punu težinu ove poruke: ako je ovaj exploit banalan (odbrana od ovakvih tipova napada je krajnje jednostavna - web security 101 što bi rekli Ameri) šta misliš kakvi tek sigurnosni propusti postoje na mnogo ozbiljnijim mestima: e-banking anyone

noviKorisnik · 05. 05. 2006.

Pa neću da zamišljam - daj neki exploit :-)

Petar Marić · 05. 05. 2006.

Off Topic: Jes pa da me obesi profesor Perišić

McKracken · 05. 05. 2006.

Meni konstantno dolazi spam na email koji je otvoren samo da bih primao izvode iz banaka i jedino mesto gde je ikada unet je formular u banci.

Nagradno pitanje je kako je dospeo na spam listu?

LiquidBrain · 09. 10. 2006.

Citat:

Originalno napisao McKracken

Meni konstantno dolazi spam na email koji je otvoren samo da bih primao izvode iz banaka i jedino mesto gde je ikada unet je formular u banci.

Nagradno pitanje je kako je dospeo na spam listu?

Prodali su tvoje informacije, inace ja verujem da se to lepo placa.

LiquidBrain · 16. 01. 2008.

Pa lepo, preko neke bot masine posaljesh im mail sa detaljnim objasnjenjem i to je to... Ili za vecu sigurnost koristish par bot mashina...

Sve ostalo je poprilicno rizicno...

Vladimir Rodic · 17. 01. 2008.

Dok sam se ranije palio i citao knjige o hakerisanju bio je naveden jedan zanimljiv primer. Dva lika skidaju cifru n sa racuna banke, zatim kada se u banci skonta frka, pitaj Boga kako uspevaju da dodju do razgovora bas sa generalnim direktorom i bacaju mu pricu, mi smo to uradili. Ako nas uhapsis bla bla obelodanice se prica o nesigurnosti vase banke i izgubicete poverenje klijenata i klijente. I onda direktor kao a koje je vase resenje ? I ovi klinci kazu: da na m das n/2 para koje smo skinuli na racun usluge poboljsanja online sigurnosti banke. Dakle oni su kao sredili bili banci sigurnosnu rupu i dobili n/2 para i svi su bili srecni

Nema bas skroz veze sa ovom pricom, jer te ovde direktor verovatno ne bi prijavio policiji samo

plus ovde se ne moze skinuti kes, ali meni je bila interesantna prica. Ne mora da bude ni istinita

05. 05. 2006.	#3
noviKorisnik Dejan Katašić Wrote a book Datum učlanjenja: 10.06.2005 Lokacija: Novi Sad Poruke: 1.017 Hvala: 129 86 "Hvala" u 43 poruka	Slabo nešto radi ta paginacija :-) Često mi nisu jasne misli ljudi čiji je posao da misle. Ovako ispada da su ovo javni podaci, a nekako mi se čini da bi trebali da budu poverljivi - samo banka i klijent. __________________ novikorisnik.net_BoxUp Blog maternji_Monty Hall paradoks - interaktivni demo

05. 05. 2006.	#5
noviKorisnik Dejan Katašić Wrote a book Datum učlanjenja: 10.06.2005 Lokacija: Novi Sad Poruke: 1.017 Hvala: 129 86 "Hvala" u 43 poruka	Pa neću da zamišljam - daj neki exploit :-) __________________ novikorisnik.net_BoxUp Blog maternji_Monty Hall paradoks - interaktivni demo

05. 05. 2006.	#6
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	Off Topic: Jes pa da me obesi profesor Perišić __________________ Python Ambassador of Serbia

05. 05. 2006.	#7
McKracken Siva eminencija Grand Master Datum učlanjenja: 24.06.2005 Lokacija: Belgrade Poruke: 930 Hvala: 192 259 "Hvala" u 129 poruka	Meni konstantno dolazi spam na email koji je otvoren samo da bih primao izvode iz banaka i jedino mesto gde je ikada unet je formular u banci. Nagradno pitanje je kako je dospeo na spam listu? __________________ HuxleyDev

16. 01. 2008.	#9
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Pa lepo, preko neke bot masine posaljesh im mail sa detaljnim objasnjenjem i to je to... Ili za vecu sigurnost koristish par bot mashina... Sve ostalo je poprilicno rizicno... __________________ http://weevify.com

05. 05. 2006.	#2
jablan VD IT Direktora Invented the damn thing Datum učlanjenja: 08.06.2005 Lokacija: Beograd Poruke: 2.118 Hvala: 503 1.307 "Hvala" u 282 poruka	Ja ovde ne vidim neku veliku mogućnost zloupotrebe (svejedno ti treba neki lični dokument da bi podigao kredit npr), ali bi u svakom slučaju trebalo obavestiti banku da imaju rupu u aplikaciji. Off Topic: Ala smo navalili, zadavismo server

17. 01. 2008.	#10
Vladimir Rodic Webeloper Professional Datum učlanjenja: 19.10.2006 Lokacija: Novi Sad Poruke: 348 Hvala: 136 33 "Hvala" u 24 poruka	Dok sam se ranije palio i citao knjige o hakerisanju bio je naveden jedan zanimljiv primer. Dva lika skidaju cifru n sa racuna banke, zatim kada se u banci skonta frka, pitaj Boga kako uspevaju da dodju do razgovora bas sa generalnim direktorom i bacaju mu pricu, mi smo to uradili. Ako nas uhapsis bla bla obelodanice se prica o nesigurnosti vase banke i izgubicete poverenje klijenata i klijente. I onda direktor kao a koje je vase resenje ? I ovi klinci kazu: da na m das n/2 para koje smo skinuli na racun usluge poboljsanja online sigurnosti banke. Dakle oni su kao sredili bili banci sigurnosnu rupu i dobili n/2 para i svi su bili srecni Nema bas skroz veze sa ovom pricom, jer te ovde direktor verovatno ne bi prijavio policiji samo plus ovde se ne moze skinuti kes, ali meni je bila interesantna prica. Ne mora da bude ni istinita __________________ Before you criticize someone, walk a mile in their shoes. By the time they get angry you're a mile away and you've got their shoes!

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
Provizija banke za vođenje računa	bluesman	Istine i zablude	38	09. 05. 2009. 09:54
keywordremix.com, SEO alat iz naše kuhinje.	kodi	Marketing i SEO	27	23. 01. 2008. 15:01
Promena banke	jasmanac	e-Business	22	04. 04. 2007. 12:38
Outsourcing za Banke	squall	Web aplikacije, web servisi i software	25	12. 12. 2006. 02:26
Preporuka banke	[nq]	e-Business	34	15. 11. 2005. 11:44