https://zaufanatrzeciastrona.pl/post/wlamania-do-kilku-b...
http://www.cyberdefence24.pl/540455,powazny-atak-hakersk...
Forum > Tematy dowolne > Atak na sektor bankowy
Wysłane 2017-02-03 23:52
straszny To jest efekt tego, że przez lata rządowe strony i programy były rozwijane przez różnych pociotków.
Po dzień dzisiejszy NFZ ma opóźnione wersje java na stronie (nowsze nie działają nigdy poprawnie). Kod na stronach ledwo się kupy trzyma. Potem takie API są zasysane przez różne instytucje i....
A jeszcze w ramach oszczędności bankomaty stoją np. na XP. no bo niby niema do nich dojścia. Akurat, dzisiaj wykorzystując odpowiednie luki można tak spreparować karty, żeby dało się..... z resztą co będę temat drążył, grunt, że zaniedbania są gigantyczne. Więc banki będą padały coraz częściej.
Wysłane 2017-02-04 12:20
Idąc dalej offtopem o instytucji, mnie najbardziej rozczula PUE ZUS. Flash w XXI wieku na stronie. MF z wszechobecną Java.
Mnie najbardziej rozbraja fakt, że wewnętrzne systemy bankowe najczęściej też są pisane "na kolanie". Znam osobiście takie przykłady z "poważnych instytucji".
Wysłane 2017-02-06 22:46 , Edytowane 2017-02-06 22:48
@mysiauek
Ale kto i wobec kogo miałby taki pozew złożyć?
Takie mamy czasy. Adobe coś zapłaciło za wyciek? Dropboc może? To może chociaż AshleyMadison? No dobra, ci ostatni chyba tak ale to indywidualne przypadki bo i sprawy delikatne.
Pocket wyciągnął (czy w końcu nie wyciągnął? bo przez długi czas twierdzili że włamu nie było...aż go złapali - za co?) bazę PlusBanku i? Ktoś o tym jeszcze pamięta? Ktoś będzie rozpamiętywał to teraz skoro żadna publiczna rozgłośnia ni prasa o tym nie powie?
Pamiętaj - w razie czego to na Tobie spoczywa ciężar udowodnienia że Twoje dane zostały pozyskane z danego źródła.
Wysłane 2017-02-07 08:44
@djluke
Bank skłąda pozew przeciwko ujawniającemu, który podał że doszło do wycieku.
Patrząc z innej strony: to ciekawe, mamy artykuły, że zostało zaatakowane "pare banków" i ani słowa o chociaż jednym?
PlusBank to nie bank.
A dwa słowa o podatnościach: codziennie dostaję długą listę podatności.
Na podatności o najwyższym "ciężarze" jest maksymalnie 3 dni na wyprowadzenie na wszystkich środowiskach (DTAP jeśli istnieje). W dużej organizacji to bardzo bardzo mało czasu, można powiedzieć, że czasem to zatrzymanie bieżącej pracy na rzecz wyprowadzenia podatności.
Na najniższych środowiskach można wyprowadzać podatności bez zgody klienta (wewnętrznego czy zewnętrznego). Produkcja za zgodą klienta. A jeśli klient się nie zgadza, dostarcza dokument zaakceptowany przez "samą górę", że przyjmują ryzyko.
Tak żeby pokazać skalę pracy i czasu. Wycofanie SHA-1 w całkiem sporej instytucji może zająć miesiąc: planowanie, nowe certy (wygenerowanie, podpisanie przez CA), "instalacja", pełen DTAP, brak niedostępności systemów więc okienka technologiczne (chyba, że mamy jakiś loadbalancer) i to mnożymy przez ilość serwerów (hostów i/lub jvm'ek).
Kto jest online: 0 użytkowników, 273 gości