Блог им. ya-marsel

Дырка в системе безопасности одного из банков Москвы

Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.

Понятное дело как сознательный человек я этого не делал, а наоборот есть мысль сообщить службе безопасности банка о такой дырке, и о ее последствиях.

Что думаете, сообщать или просто пройти мимо, а если сообщать то просить ли какое-то вознаграждение?

★3
133 комментария
0
Информацию на Хакер.ру!!! если это втб, сбер, или банк Москвы..., если Альфа или другой адекватный… тогда в службу безопасности…
avatar
Макс
0
Karaya1, там другой банк, по сайту вроде приличный такой :)
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, Если приличнй — надо сообщать.
avatar
Макс
0
Karaya1, а что думаешь насчет вознаграждения? есть смысл просить?
avatar
Marsel Tazetdinov
+1
Марсель Тазетдинов, ну, напирать на это не стоит… хотя в начеле можно попробовать двусмсленно вопрос задать… вообще — подобная информация должна быть вознаграждена… ты сделал работу за отдел, который за информационную бесопасность отвечает, и судя по твоему сообщению — они со своей работой не српавились, а бабки получают.
avatar
Макс
Марсель Тазетдинов, почту на сайте уже не смотрим?
Или лучше тролить прилюдно?
avatar
Юлька
+1
Марсель Тазетдинов, приличный банк? Это как? ))) Есть такая книга — сборник рассказов разных авторов: «Убийства в которые я влюблен». Подборку сделал Альфред Хичкок. Так вот там есть один рассказ как раз про ваш случай, прямо один в один. Называется «Три способа ограбить банк». Обязательно прочтите, весьма поучительно.
avatar
Caylenc
Caylenc, fictionbook.ru/author/dyeniyels_garold_r/tri_sposoba_ograbit_bank/read_online.html?page=1
интересно было — вот ссыль на рассказ кому интересно. сижу сам сейчас читаю)
avatar
Скальпёр
frxmax, щет. Второй странички нет. :)
avatar
Сармин Алексей (escoman)
escoman, почему нет?)
avatar
Скальпёр
frxmax, я не знаю почему нет.
Нажимаю на вторую страницу, выпадает ошибка «The server encountered an internal error».
avatar
Сармин Алексей (escoman)
escoman, странно..)
avatar
Скальпёр
frxmax, классный рассказ!)
avatar
Скальпёр
Марсель Тазетдинов, ну если так — надо его наказать и слить его… сам бы и занялся этим или скажи нам название и мы вместе его опустим…
avatar
mrTrader
0
мне сообщи бигом!!! ыы шучу)) прикольный ты хакер)!
avatar
Wizard
+1
обязательно нужно сообщить в систему безопасности банка. Те, в свою очередь, если не дураки, сами предложат либо работу, либо там вклад/кредит на спец. условиях
avatar
На Все Плечи
+3
IT_mm_10, вы что реально в это верите? ничего вам не предложат. мой отец работал в отделе по безопасности. он смог доказать и найти людей, которые вывели десятки млн руб. ему сказали спасибо (на их даже уголовное дело не завели).
avatar
Мурен(а)
+4
я бы забил болт и прошел мимо
вознаграждение тебе никто не даст
а неприятности могут быть в будушем
avatar
lambreken
+1
lexakot, у меня тоже некоторые опасения есть поэтому и решил спросить здесь
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, я не очень давно плотно общался со службой безопасности 2х банков (по работе :) )
поэтому рискну дать именно такой совет — пройти мимо и забыть
avatar
lambreken
0
сообщи мне за вознаграждение)
avatar
Андрей Шараевский
0
Андрей Шараевский, ахахахха) плюсанул в профиль)
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, синхронно с тобой и я плюсанул тебе))
avatar
Андрей Шараевский
+1
Андрей Шараевский, халявная раздача плюсов? и мне тож плюсаните за компанию! ;))
avatar
lambreken
-1
lexakot, для тебя — все, что скажешь)
avatar
Андрей Шараевский
-1
Андрей Шараевский, ))))
avatar
lambreken
+3
Хахахах, ещё один пассивный источник дохода.
avatar
Сармин Алексей (escoman)
если сообщать, то так, чтобы стало известно как минимум выше, чем службе безопасности — это их недоработка, начнут с самых недорогих методов решения и неподготовленному гражданину (или гражданке) наверняка этого хватит. а за бесплатно сообщить — себя неуважать.
продать уязвимость через руководство либо на сторону
avatar
ЁR
ЁR, на сторону продавать, естественно, с образовательной целью, а не чтобы кто-то воспользовался в корыстных интересах
avatar
ЁR
0
ЁR, это слишком сложно) искать покупателя какого-то возможно не существующего, договариваться и т.п.

да и это уже попахивает уголовным делом
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, Надеюсь ты с удаленного прокси суда пишешь, а-то может тебя уже сегодня возьмут в разработку"))
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
avatar
F L I N T
Марсель Тазетдинов, можно посоветоваться с касперской-лаб или с этой конторой: www.group-ib.ru/about.html
avatar
ЁR
0
ЁR, спасибо за ссылку
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, ксати отличная контора, присоединяюсь к рекомендациям
avatar
lambreken
+6
передайте данные 123insaider, он проведет расследование и сделает выводы.
avatar
Kyb17
по опыту могу сказать… сообщай не сообщай всем пох
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
avatar
Константин Дубровин
-1
Konstantin, т.е. сначала максимально придают огласку этому чтобы не стать жертвой?
avatar
Marsel Tazetdinov
Марсель Тазетдинов, нет… есть 2 типа СБ 1. получив сигнал сразу исправляют, вторые забивают болт на это дело… пока начальство не узнает из газет
вториых — больше
avatar
Константин Дубровин
ЁR, спасибо за ссылку
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, банки точно ничего не заплатят. но вот есть конторы, которые их сертифицируют на соответствие pci dss или просто занимающиеся безопасностью, они могут.
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
avatar
MaxStark
Smart-lab премиум
MaxStark, сотрудники сб банков никакие не бывшие фсб и т.п. Это просто сотрудники сб и все.
avatar
Coxa
Coxa, понятно, что не все. только руководители :D
avatar
MaxStark
Smart-lab премиум
Марсель Тазетдинов, если это еще относится к определенной модели типа там ncr или diebold можешь попробовать им сообщить
avatar
MaxStark
Smart-lab премиум
0
Марсель Тазетдинов, семинары вести будешь? )))
avatar
Мишка с Севера
BearStrikesBack, )))))
avatar
Marsel Tazetdinov
0
я тебе, как бывший банковский работник говорю: премию тебе дадут может 5тыс рублей )), а скорее всего — ничего. Лучше обратиться к людям, которые могут эти банкоматы обнулять. Только надо будет умело продать инфу, если она конечно стоит этого.
avatar
Coxa
0
Coxa, ну это криминал, поэтому не хочу связываться, а вот получить какую-то премию, почемуб нет)
avatar
Marsel Tazetdinov
0
\\\Случайно нашел дырку в системе безопасности одного из Московских банков\\\
Случайно, — это главный аргумент ).
avatar
Treidun
0
Treidun, )))))
avatar
Marsel Tazetdinov
Марсель Тазетдинов, думаю они слишком жадные будут чтобы воспринять эту ситуацию адекватно. Действительно лучше стороной )
avatar
Treidun
0
Treidun, ну банк то московский все таки))
avatar
Marsel Tazetdinov
0
что за банк?
avatar
интернет-трейдинг.рф
0
shark, я бы не хотел говорить какой)
avatar
Marsel Tazetdinov
0
Я бы написал в СБ банка, если не ответят — статью на хабр.
А денег за это выбивать — не знаю, имхо нереально.
avatar
Александр М
0
Александр Малофеев, а какой смысл писать на хабр?
avatar
Marsel Tazetdinov
Марсель Тазетдинов, инвайт или карма.
Денег там тоже не дадут :)
avatar
Александр М
0
Александр Малофеев, аа ну это мне точно не нужно)
avatar
Marsel Tazetdinov
Марсель Тазетдинов, для обращения к руководсву банка, минус мне кажется в том, что ты не знаешь, как в итоге завладеть деньгами. Просто, это был бы значимый аргумент, и тогда тебе либо предложили за деньги все отладить, как надо, либо они сами все сделали заплатив тебе.И главное, думаю в любом случае все вопросы только через руководителей банка, а не через СБ, тогда толку будет больше.
avatar
RRus
Как вариант — написать письмо в службу безопасности, и намекнуть об уязвимости и вознаграждении, либо просто забить и жить спокойно.
avatar
spekyljantka
spekyljantka, после письма в СБ, они не включая в это дело руководство первым делом сами начнут искать и исправлять, тогда смысл этого обращения. Только через непосредственное руководство банка надо действовать, тогда не получится все по тихому исправить и избежать наказания за огрехи в работе.
avatar
RRus
это зачем написано без картинок или доказательств?
avatar
Юлька
0
Юлька, зачем мне публиковать файлы файлы с чужого компьютера?
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, комп и банкомат — это вообще фантастика.
Вы бредите, уважаемый.
Цель Вашу не знаю.
Но с системами банкоматов имею честь общаться.
avatar
Юлька
0
Юлька, банкомат какбы есть обычный компьютер на ОС Windows с некоторыми модулями типа принтера чеков, внешней оболочкой и тп, в общем это обсуждать не имеет смысла. Меня интересовал другой вопрос, который я обозначил, и получил ответы.
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, вы лол в этом вопросе. Нет там ОС Виндовз.
Даже платежные терминала в большинстве своем сидят на фрибзде.
avatar
Юлька
0
Марсель Тазетдинов, Ты себе уже взял кусок денег? или пустобрёхство непонятное?
avatar
Юлька
0
«обнулить банкомат» — совсем смешно.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
avatar
Юлька
0
Юлька, дырка в софте банка, а не банкомата.

Еслибы я знал как, то перенес
avatar
Marsel Tazetdinov
-3
Марсель Тазетдинов, ох как круто. Банкоматы обнулить через дырку «ЯКОБЫ» на сайте?
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
avatar
Юлька
-2
БРЕД с непонятной целью, где не упоминается ни банк, ни хотя бы «прикол».
Цель поста не ясна. Что автор этим хотел напыщить на сайте — тоже непонятно.
avatar
Юлька
0
Юлька, какой-то безсмысленный троллинг, попытка незачлась :)
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, *бессмысленный
avatar
Marsel Tazetdinov
-4
Марсель Тазетдинов, нет попвтки. Нет в банкоматах никаких виндовсов. Как и нет никакой дырки на сайте для снятия денег.
avatar
Юлька
+1
Юлька, «Нет в банкоматах никаких виндовсов» дальше не читал.
avatar
Marsel Tazetdinov
-2
Марсель Тазетдинов, Значит дыры в том, что можно снять больше, чем есть на своем счете? или снять с чужих счетов?
Что за откровенная фигня написана?
avatar
Юлька
0
Юлька, перечитай внимательней пост.
avatar
Marsel Tazetdinov
-4
Марсель Тазетдинов, внимательно бред перчитан.
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
avatar
Юлька
-6
Юлька, не хочу тебя называть некультурными словами.
Бездоказательно, да ещё и банкоматы с «виндовсом».
Это в ЮМОР надо тут выставлять.
avatar
Юлька
+2
Юлька, не позорься.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
avatar
VpnS
+2
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
avatar
VpnS
-5
Марсель Тазетдинов, мне нет сымсла с вами далее переписываться тут, потому что вы и в технологиях ничего не понимаете. и даже X.25 для вас совсем непонятное.
avatar
Юлька
+1
Юлька,

www.itsrb.ru/ru/equipment/atms/123

Изображение - savepic.su — сервис хранения изображений

насчет OC Windows в банкоматах, нашел в гугле за 5 минут. Теперь я понимаю откуда берутся дыры, если «специалисты» даже не в курсе вопроса :)
avatar
Marsel Tazetdinov
-3
Марсель Тазетдинов, не вижу ничего про банкоматы, а тем более про банки.
avatar
Юлька
+1
Юлька, если ты не видишь перейдя по ссылке большую картинку банкомата и его начинку с указанием софта на котором он работает, я даже не знаю тогда.
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, да! Я не вижу банкомата, на котором картинка написанного скрина.
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
avatar
Юлька
-4
Марсель Тазетдинов, мелочь тебе — ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B8%D0%B7%D0%B2%D0%BE%D0%B4%D0%B8%D1%82%D0%B5%D0%BB%D0%B8_%D0%B0%D0%BF%D0%BF%D0%B0%D1%80%D0%B0%D1%82%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B8_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B4%D0%BB%D1%8F_%D0%B1%D0%B0%D0%BD%D0%BA%D0%BE%D0%BC%D0%B0%D1%82%D0%BE%D0%B2
avatar
Юлька
0
Юлька, ну да, а обеспечение для банкоматов ставится на операционную систему под названием Windows, либо возможно Linux
avatar
Marsel Tazetdinov
-3
Марсель Тазетдинов, ссылку в студию твоего утверждения слабо?
avatar
Юлька
0
Юлька, Изображение - savepic.su — сервис хранения изображений

картинка кликабельна
avatar
Marsel Tazetdinov
-2
Марсель Тазетдинов, нет тут с банкомата никакой картинки!!!
ПРОСТО НЕТ ЕЁ.
avatar
Юлька
0
Юлька, тут черным по белому написано на чем этот банкомат работает, если для тебя это не аргумент, то предлагаю на этом остановится.
avatar
Marsel Tazetdinov
-2
Марсель Тазетдинов,
1.

2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
avatar
Юлька
-2
4. Пост про взлом банка, потом не банка, потом опустошить банкомат, а потом уже не про банк, а про банкоматы.
Вы — ТРОЛЬ!
avatar
Юлька
-1
Юлька, «Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата»

помоему я сразу указал что и как
avatar
Marsel Tazetdinov
+1
Юлька, Ну конечно. Смысл спорить если не права:) Сам не раз с банкоматами работал. Там ВИНДА!:)
avatar
Roman Resner
+2
Юлька, еще как есть. Придя как-то снять деньги в сберовский банкомат, узрел нерусифицированную XP со стандартными холмами на рабочем столе. Экран у банкомата не сенсорный, кнопки не работали. Посмотрел, хмыкнул, и пошел к другому банкомату.
avatar
Александр
-3
Александр, без картинки с телефона не верю.
avatar
Юлька
-3
Александр, платежный терминал — не банкомат.
Банкоматы даже DOS на заре не использовали.
avatar
Юлька
+1
Юлька, Да ты троль.Теперь я понял.
avatar
Roman Resner
-3
СЛАБО У «Алексей Капускин» тут же на сайте спросить?
avatar
Юлька
Юлька, чтобы он там не нашел — в СБ идти не надо — потом замучают. Там все бывшие «из внутренних органов», так что люди изначально подозрительные и мутные.
avatar
Артем Черепанов
0
zertan, он ничего не нашёл.
Иначе не путался бы.
Нет ничего. Просто тролит.
В ЖЖ он немного интереснее.
avatar
Юлька
0
Ещё и пдоогнал «другов» минусы ставить, вместо ответов.
avatar
Юлька
Юлька, ))
avatar
Артем Черепанов
+1
zertan, я про тоже, не имеет значения что за дырка, как я ее нашел, что она позволяет делать, мне всего-то было интересно мнение, писать в СБ или нет.
avatar
Marsel Tazetdinov
Марсель Тазетдинов, нет, не писать.
avatar
Артем Черепанов
0
Марсель Тазетдинов, нет никакой дырки. И ничего ты не находил.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
avatar
Юлька
+2
Юлька, «Я не спец, но прекрасно знаю.» — тоже очень аргументированно)))
avatar
Артем Черепанов
0
zertan, могу с личке написать откуда знаю.
avatar
Юлька
0
zertan, +1))
avatar
Marsel Tazetdinov
Юлька, что я на лоу открыл, а на хае закрыл?)
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, вкесь свой пост без картинки.
третьетрейдер.
МММ взламывай.
avatar
Юлька
+1
Юлька, пост купил лоу и на хае закрыл?)
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, без картинок ровно такой.
avatar
Юлька
+1
Юлька, требуется отчет о брокера?))))
avatar
Marsel Tazetdinov
+1
Марсель Тазетдинов, *от
avatar
Marsel Tazetdinov
0
Марсель Тазетдинов, НЕТ ДЕНЕГ — НЕТ ДЫРКИ.
Нет открытой позиции — нет ни плюса, ни минуса.
Ломай дальше демобанки и демобанкоматы.
avatar
Юлька
+3
Юлька, НЕТ ДЕНЕГ — НЕТ ДЫРКИ — гимн феминизма)))
avatar
Артем Черепанов
+1
Zertan, ахахахх
avatar
Marsel Tazetdinov
0
Zertan, я могу в личке отписать откуда знаю и что именно.
Это не для тролевого поста.
avatar
Юлька
+1
Юлька, да мне не принципиально. Что так завелась? Не веришь ему — не верь. Не пиши в этот пост и все )
avatar
Артем Черепанов
0
Zertan, не пишу. всё.
avatar
Юлька
-1
Писать смысла нет, потому:
avatar
Юлька
+1
Юлька, песня хорошая, но ты грубишь малыш )
avatar
Артем Черепанов
0
Zertan, и не надо так оскорблять с намеками.
avatar
Юлька
+1
Юлька, не буду.
avatar
Артем Черепанов
Сообщи и не проси вознагрождения.
avatar
pit_trader
вобще-то как минимум все diebold на winxp
avatar
MaxStark
Smart-lab премиум
Обязательно сообщить службе внутренней безопасности банка.
Надеюсь, это не Райффайзен, МДМ, Открытие или ХКБ…

PS
Банкоматов работающих на ОС Windows Embedded в России полным полно.
avatar
dx2003
dx2003, неа ниодин из перечисленных, какой-то внутренне московский, у себя в питере этого банка не встречал
avatar
Marsel Tazetdinov
+
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
avatar
VpnS
Большая часть банкоматов работает на винде, успокойтесь. Или молчите, если не знаете.
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.
avatar
Spekyl
Товарисч топикстартер. За каждоме «а я могу» обычно рано или поздно приходится ответить!!! Без обид. Вы или, или нетрезв, прошу прощения, или совсем пообщаться нескем на эту тему. Держи при себе, плиз, если не хочешь лишний опыт получать. Денег тебе никто не даст)))конечно))).Ну неужели не догадываешься как оно будет????) Ты еще напиши что бомобочки умеешь делать… Ну… сори… В офтоп в офтоп… офтоп....)))
avatar
Иванов Иван

полезные записи за 24 часа

★10 54 Ёклмн или опять про майнинг рубля. М2.
★8 0 240 бесплатных роботов для MOEX ALGOPACK.
★7 50 Ситуация на текущий момент
★6 10 18,4% — ого! Свежие облигации: АФК Система на размещении
★6 29 Денежная масса пробила потолок в 100 трлн рублей - инфляция неизбежна?
★6 0 Какие флоатеры сейчас могут быть интересны?
★5 43 «Национальное достояние» в нестоянии: разбор отчёта «Газпрома» с рекордным убытком за 25 лет
★4 1 ​​ДВМП - бенефициар новых нацпроектов
★4 41 Я Потеряла 500.000 Рублей за 2 года, на инвестициях!
★3 19 Взяв на прицел военную машину Путина, США резко сократили финансовые потоки России - FT
+264 50 Ситуация на текущий момент
+132 29 Денежная масса пробила потолок в 100 трлн рублей - инфляция неизбежна?
+120 100 Индекс МБ сегодня
+117 54 Ёклмн или опять про майнинг рубля. М2.
+114 65 Азия. Вторник.
+105 41 Я Потеряла 500.000 Рублей за 2 года, на инвестициях!
+102 43 «Национальное достояние» в нестоянии: разбор отчёта «Газпрома» с рекордным убытком за 25 лет
+78 45 Действия по портфелю, оперативный комментарий
+69 130 "Цель она есть". Чем они там думают? (eur/usd)
+63 19 Математики есть? Учитесь как надо округлять!

самые обсуждаемые сегодня

22к Безрассудное наращивание госдолга Америкой представляет опасность для всего мира, — The Economist.
12к Кстати по Газпрому... Уже писали про это напишу и я....
Число умерших в 1.6 раза больше родившихся.
Как создавали капитал в посление 20 лет

теги блога Marsel Tazetdinov

....все тэги



UPDONW
Новый дизайн