Naše banke i tajnost podataka

[Petar Marić]

Tajnost korisnikovih podataka je nešto što bi trebalo da bude od suštinske važnosti za banke - ako im ne možete verovati sa svojim podacima, kako ćete tek s novcem?

Sinoć sam načuo da danas (najzad) počinje isplata studentskih kredita/stipendija pa sam otišao na sajt Univerzal Banke Beograd da potvrdim informaciju. Primetio sam zaseban link za studentske kredite/stipendije te sam otišao da vidim šta tu ima - kad ono pretraga rezultata konkursa za studentske kredite/stipendije. Padne mi na pamet da iz zezancije probam da "zloupotrebim" pretragu da bih dobio i tuđe podatke:

Napomena: Linkovi su namerno oštećeni da se noob-ovi ne bi okoristili

Citat:

http://www.ubbad.co.yu/krediti/.asp?jmb=-1&Submit=PRETRAZI
http://www.ubbad.co.yu/stipendije/.asp?jmb=-1&Submit=PRETRAZI

Užas - "exploit" prolazi

Posledice? Pa mislim da se ovakvi podaci mogu fino zloupotrebiti - od relativno bezopasnog spam-a, do kradje identiteta.
Primer neugodne situacije: pre neki dan je na FTN-u postavljen web servis studentske službe - korisničko ime je broj indeksa a inicijalna lozinka je JMBG
Zamislite šta biste sve mogli načiniti jadnim studentima (prijaviti ogromnu količinu ispita, ili još gore odjaviti neke ispite).

Kakva su vaša iskustva sa ovakvim pojavama?

[jablan]

Ja ovde ne vidim neku veliku mogućnost zloupotrebe (svejedno ti treba neki lični dokument da bi podigao kredit npr), ali bi u svakom slučaju trebalo obavestiti banku da imaju rupu u aplikaciji.

Off Topic: Ala smo navalili, zadavismo server

[noviKorisnik]

Slabo nešto radi ta paginacija :-)

Često mi nisu jasne misli ljudi čiji je posao da misle. Ovako ispada da su ovo javni podaci, a nekako mi se čini da bi trebali da budu poverljivi - samo banka i klijent.

[Petar Marić]

Off Topic: Opet citiram samoga sebe

Citat:

Originalno napisao Petar Marić

Zamislite šta biste sve mogli načiniti jadnim studentima (prijaviti ogromnu količinu ispita, ili još gore odjaviti neke ispite).

E sad zamisli takvu situaciju u kojoj nekim studentima prijaviš/odjaviš neke ispite a nekima ne (naravno sve u granicama normalnog korisničkog ponašanja) - da kažemo da napraviš jako dobru prevaru sistema - sve da bude po PS-u tako da ne znaš šta su pravi podaci a šta je prevara...

Zamisli u kakvim g#$&%ma bi bila studentska služba i sami studenti... Još ako ti kažem da FTN ima preko 8.500 studenata situacija postaje jako interesantna


No, čini mi se da nisi shvatio punu težinu ove poruke: ako je ovaj exploit banalan (odbrana od ovakvih tipova napada je krajnje jednostavna - web security 101 što bi rekli Ameri) šta misliš kakvi tek sigurnosni propusti postoje na mnogo ozbiljnijim mestima: e-banking anyone

[noviKorisnik]

Pa neću da zamišljam - daj neki exploit :-)

[Petar Marić]

Off Topic: Jes pa da me obesi profesor Perišić

[McKracken]

Meni konstantno dolazi spam na email koji je otvoren samo da bih primao izvode iz banaka i jedino mesto gde je ikada unet je formular u banci.

Nagradno pitanje je kako je dospeo na spam listu?

[LiquidBrain]

Citat:

Originalno napisao McKracken

Meni konstantno dolazi spam na email koji je otvoren samo da bih primao izvode iz banaka i jedino mesto gde je ikada unet je formular u banci.

Nagradno pitanje je kako je dospeo na spam listu?

Prodali su tvoje informacije, inace ja verujem da se to lepo placa.

[ivanhoe]

Citat:

Originalno napisao LiquidBrain

Prodali su tvoje informacije, inace ja verujem da se to lepo placa.

pa i ne bas, mislim emailovi cisto.. moras da ih imas jako puno da bi uzeo par hiljada dolara, sto je za banku smesna suma, cisto sumnjam da bi se neka banka cimala sa tako necim... sto ne znaci da neki nocni cuvar koji zna ponesto o kompovima nije mogao da to da uradi, naravno, ali banka tesko...

[Ivan]

Ne mora da znaci da je banka kao banka prodala mejlove, moguce je da je to uradio neki ogorceni zaposleni.

Btw, cene mejlova se obicno (kod profesionalnih spamera) ne odredjuju kolicinom vec se cena odredjuje preko vise parametra (ciljna grupa, zemlja, koliko su "svezi", itd) ...