Блог им. ya-marsel

Дырка в системе безопасности одного из банков Москвы

Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.

Понятное дело как сознательный человек я этого не делал, а наоборот есть мысль сообщить службе безопасности банка о такой дырке, и о ее последствиях.

Что думаете, сообщать или просто пройти мимо, а если сообщать то просить ли какое-то вознаграждение?

★3
133 комментария
Информацию на Хакер.ру!!! если это втб, сбер, или банк Москвы..., если Альфа или другой адекватный… тогда в службу безопасности…
avatar
Karaya1, там другой банк, по сайту вроде приличный такой :)
avatar
Марсель Тазетдинов, Если приличнй — надо сообщать.
avatar
Karaya1, а что думаешь насчет вознаграждения? есть смысл просить?
avatar
Марсель Тазетдинов, ну, напирать на это не стоит… хотя в начеле можно попробовать двусмсленно вопрос задать… вообще — подобная информация должна быть вознаграждена… ты сделал работу за отдел, который за информационную бесопасность отвечает, и судя по твоему сообщению — они со своей работой не српавились, а бабки получают.
avatar
Марсель Тазетдинов, почту на сайте уже не смотрим?
Или лучше тролить прилюдно?
avatar
Марсель Тазетдинов, приличный банк? Это как? ))) Есть такая книга — сборник рассказов разных авторов: «Убийства в которые я влюблен». Подборку сделал Альфред Хичкок. Так вот там есть один рассказ как раз про ваш случай, прямо один в один. Называется «Три способа ограбить банк». Обязательно прочтите, весьма поучительно.
avatar
Caylenc, fictionbook.ru/author/dyeniyels_garold_r/tri_sposoba_ograbit_bank/read_online.html?page=1
интересно было — вот ссыль на рассказ кому интересно. сижу сам сейчас читаю)
avatar
frxmax, щет. Второй странички нет. :)
escoman, почему нет?)
avatar
frxmax, я не знаю почему нет.
Нажимаю на вторую страницу, выпадает ошибка «The server encountered an internal error».
escoman, странно..)
avatar
frxmax, классный рассказ!)
avatar
Марсель Тазетдинов, ну если так — надо его наказать и слить его… сам бы и занялся этим или скажи нам название и мы вместе его опустим…
avatar
мне сообщи бигом!!! ыы шучу)) прикольный ты хакер)!
avatar
обязательно нужно сообщить в систему безопасности банка. Те, в свою очередь, если не дураки, сами предложат либо работу, либо там вклад/кредит на спец. условиях
avatar
IT_mm_10, вы что реально в это верите? ничего вам не предложат. мой отец работал в отделе по безопасности. он смог доказать и найти людей, которые вывели десятки млн руб. ему сказали спасибо (на их даже уголовное дело не завели).
avatar
я бы забил болт и прошел мимо
вознаграждение тебе никто не даст
а неприятности могут быть в будушем
avatar
lexakot, у меня тоже некоторые опасения есть поэтому и решил спросить здесь
avatar
Марсель Тазетдинов, я не очень давно плотно общался со службой безопасности 2х банков (по работе :) )
поэтому рискну дать именно такой совет — пройти мимо и забыть
avatar
сообщи мне за вознаграждение)
Андрей Шараевский, ахахахха) плюсанул в профиль)
avatar
Марсель Тазетдинов, синхронно с тобой и я плюсанул тебе))
Андрей Шараевский, халявная раздача плюсов? и мне тож плюсаните за компанию! ;))
avatar
lexakot, для тебя — все, что скажешь)
Андрей Шараевский, ))))
avatar
Хахахах, ещё один пассивный источник дохода.
если сообщать, то так, чтобы стало известно как минимум выше, чем службе безопасности — это их недоработка, начнут с самых недорогих методов решения и неподготовленному гражданину (или гражданке) наверняка этого хватит. а за бесплатно сообщить — себя неуважать.
продать уязвимость через руководство либо на сторону
avatar
ЁR, на сторону продавать, естественно, с образовательной целью, а не чтобы кто-то воспользовался в корыстных интересах
avatar
ЁR, это слишком сложно) искать покупателя какого-то возможно не существующего, договариваться и т.п.

да и это уже попахивает уголовным делом
avatar
Марсель Тазетдинов, Надеюсь ты с удаленного прокси суда пишешь, а-то может тебя уже сегодня возьмут в разработку"))
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
avatar
Марсель Тазетдинов, можно посоветоваться с касперской-лаб или с этой конторой: www.group-ib.ru/about.html
avatar
ЁR, спасибо за ссылку
avatar
Марсель Тазетдинов, ксати отличная контора, присоединяюсь к рекомендациям
avatar
передайте данные 123insaider, он проведет расследование и сделает выводы.
avatar
по опыту могу сказать… сообщай не сообщай всем пох
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
Konstantin, т.е. сначала максимально придают огласку этому чтобы не стать жертвой?
avatar
Марсель Тазетдинов, нет… есть 2 типа СБ 1. получив сигнал сразу исправляют, вторые забивают болт на это дело… пока начальство не узнает из газет
вториых — больше
ЁR, спасибо за ссылку
avatar
Марсель Тазетдинов, банки точно ничего не заплатят. но вот есть конторы, которые их сертифицируют на соответствие pci dss или просто занимающиеся безопасностью, они могут.
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
avatar
MaxStark, сотрудники сб банков никакие не бывшие фсб и т.п. Это просто сотрудники сб и все.
avatar
Coxa, понятно, что не все. только руководители :D
avatar
Марсель Тазетдинов, если это еще относится к определенной модели типа там ncr или diebold можешь попробовать им сообщить
avatar
Марсель Тазетдинов, семинары вести будешь? )))
avatar
BearStrikesBack, )))))
avatar
я тебе, как бывший банковский работник говорю: премию тебе дадут может 5тыс рублей )), а скорее всего — ничего. Лучше обратиться к людям, которые могут эти банкоматы обнулять. Только надо будет умело продать инфу, если она конечно стоит этого.
avatar
Coxa, ну это криминал, поэтому не хочу связываться, а вот получить какую-то премию, почемуб нет)
avatar
\\\Случайно нашел дырку в системе безопасности одного из Московских банков\\\
Случайно, — это главный аргумент ).
avatar
Treidun, )))))
avatar
Марсель Тазетдинов, думаю они слишком жадные будут чтобы воспринять эту ситуацию адекватно. Действительно лучше стороной )
avatar
Treidun, ну банк то московский все таки))
avatar
что за банк?
shark, я бы не хотел говорить какой)
avatar
Я бы написал в СБ банка, если не ответят — статью на хабр.
А денег за это выбивать — не знаю, имхо нереально.
avatar
Александр Малофеев, а какой смысл писать на хабр?
avatar
Марсель Тазетдинов, инвайт или карма.
Денег там тоже не дадут :)
avatar
Александр Малофеев, аа ну это мне точно не нужно)
avatar
Марсель Тазетдинов, для обращения к руководсву банка, минус мне кажется в том, что ты не знаешь, как в итоге завладеть деньгами. Просто, это был бы значимый аргумент, и тогда тебе либо предложили за деньги все отладить, как надо, либо они сами все сделали заплатив тебе.И главное, думаю в любом случае все вопросы только через руководителей банка, а не через СБ, тогда толку будет больше.
avatar
Как вариант — написать письмо в службу безопасности, и намекнуть об уязвимости и вознаграждении, либо просто забить и жить спокойно.
avatar
spekyljantka, после письма в СБ, они не включая в это дело руководство первым делом сами начнут искать и исправлять, тогда смысл этого обращения. Только через непосредственное руководство банка надо действовать, тогда не получится все по тихому исправить и избежать наказания за огрехи в работе.
avatar
это зачем написано без картинок или доказательств?
avatar
Юлька, зачем мне публиковать файлы файлы с чужого компьютера?
avatar
Марсель Тазетдинов, комп и банкомат — это вообще фантастика.
Вы бредите, уважаемый.
Цель Вашу не знаю.
Но с системами банкоматов имею честь общаться.
avatar
Юлька, банкомат какбы есть обычный компьютер на ОС Windows с некоторыми модулями типа принтера чеков, внешней оболочкой и тп, в общем это обсуждать не имеет смысла. Меня интересовал другой вопрос, который я обозначил, и получил ответы.
avatar
Марсель Тазетдинов, вы лол в этом вопросе. Нет там ОС Виндовз.
Даже платежные терминала в большинстве своем сидят на фрибзде.
avatar
Марсель Тазетдинов, Ты себе уже взял кусок денег? или пустобрёхство непонятное?
avatar
«обнулить банкомат» — совсем смешно.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
avatar
Юлька, дырка в софте банка, а не банкомата.

Еслибы я знал как, то перенес
avatar
Марсель Тазетдинов, ох как круто. Банкоматы обнулить через дырку «ЯКОБЫ» на сайте?
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
avatar
БРЕД с непонятной целью, где не упоминается ни банк, ни хотя бы «прикол».
Цель поста не ясна. Что автор этим хотел напыщить на сайте — тоже непонятно.
avatar
Юлька, какой-то безсмысленный троллинг, попытка незачлась :)
avatar
Марсель Тазетдинов, *бессмысленный
avatar
Марсель Тазетдинов, нет попвтки. Нет в банкоматах никаких виндовсов. Как и нет никакой дырки на сайте для снятия денег.
avatar
Юлька, «Нет в банкоматах никаких виндовсов» дальше не читал.
avatar
Марсель Тазетдинов, Значит дыры в том, что можно снять больше, чем есть на своем счете? или снять с чужих счетов?
Что за откровенная фигня написана?
avatar
Юлька, перечитай внимательней пост.
avatar
Марсель Тазетдинов, внимательно бред перчитан.
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
avatar
Юлька, не хочу тебя называть некультурными словами.
Бездоказательно, да ещё и банкоматы с «виндовсом».
Это в ЮМОР надо тут выставлять.
avatar
Юлька, не позорься.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
avatar
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
avatar
Марсель Тазетдинов, мне нет сымсла с вами далее переписываться тут, потому что вы и в технологиях ничего не понимаете. и даже X.25 для вас совсем непонятное.
avatar
Юлька,

www.itsrb.ru/ru/equipment/atms/123

Изображение - savepic.su — сервис хранения изображений

насчет OC Windows в банкоматах, нашел в гугле за 5 минут. Теперь я понимаю откуда берутся дыры, если «специалисты» даже не в курсе вопроса :)
avatar
Марсель Тазетдинов, не вижу ничего про банкоматы, а тем более про банки.
avatar
Юлька, если ты не видишь перейдя по ссылке большую картинку банкомата и его начинку с указанием софта на котором он работает, я даже не знаю тогда.
avatar
Марсель Тазетдинов, да! Я не вижу банкомата, на котором картинка написанного скрина.
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
avatar
Юлька, ну да, а обеспечение для банкоматов ставится на операционную систему под названием Windows, либо возможно Linux
avatar
Марсель Тазетдинов, ссылку в студию твоего утверждения слабо?
avatar
Юлька, Изображение - savepic.su — сервис хранения изображений

картинка кликабельна
avatar
Марсель Тазетдинов, нет тут с банкомата никакой картинки!!!
ПРОСТО НЕТ ЕЁ.
avatar
Юлька, тут черным по белому написано на чем этот банкомат работает, если для тебя это не аргумент, то предлагаю на этом остановится.
avatar
Марсель Тазетдинов,
1.

2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
avatar
4. Пост про взлом банка, потом не банка, потом опустошить банкомат, а потом уже не про банк, а про банкоматы.
Вы — ТРОЛЬ!
avatar
Юлька, «Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата»

помоему я сразу указал что и как
avatar
Юлька, Ну конечно. Смысл спорить если не права:) Сам не раз с банкоматами работал. Там ВИНДА!:)
avatar
Юлька, еще как есть. Придя как-то снять деньги в сберовский банкомат, узрел нерусифицированную XP со стандартными холмами на рабочем столе. Экран у банкомата не сенсорный, кнопки не работали. Посмотрел, хмыкнул, и пошел к другому банкомату.
avatar
Александр, без картинки с телефона не верю.
avatar
Александр, платежный терминал — не банкомат.
Банкоматы даже DOS на заре не использовали.
avatar
Юлька, Да ты троль.Теперь я понял.
avatar
СЛАБО У «Алексей Капускин» тут же на сайте спросить?
avatar
Юлька, чтобы он там не нашел — в СБ идти не надо — потом замучают. Там все бывшие «из внутренних органов», так что люди изначально подозрительные и мутные.
zertan, он ничего не нашёл.
Иначе не путался бы.
Нет ничего. Просто тролит.
В ЖЖ он немного интереснее.
avatar
Ещё и пдоогнал «другов» минусы ставить, вместо ответов.
avatar
Юлька, ))
zertan, я про тоже, не имеет значения что за дырка, как я ее нашел, что она позволяет делать, мне всего-то было интересно мнение, писать в СБ или нет.
avatar
Марсель Тазетдинов, нет, не писать.
Марсель Тазетдинов, нет никакой дырки. И ничего ты не находил.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
avatar
Юлька, «Я не спец, но прекрасно знаю.» — тоже очень аргументированно)))
zertan, могу с личке написать откуда знаю.
avatar
zertan, +1))
avatar
Юлька, что я на лоу открыл, а на хае закрыл?)
avatar
Марсель Тазетдинов, вкесь свой пост без картинки.
третьетрейдер.
МММ взламывай.
avatar
Юлька, пост купил лоу и на хае закрыл?)
avatar
Марсель Тазетдинов, без картинок ровно такой.
avatar
Юлька, требуется отчет о брокера?))))
avatar
Марсель Тазетдинов, *от
avatar
Марсель Тазетдинов, НЕТ ДЕНЕГ — НЕТ ДЫРКИ.
Нет открытой позиции — нет ни плюса, ни минуса.
Ломай дальше демобанки и демобанкоматы.
avatar
Юлька, НЕТ ДЕНЕГ — НЕТ ДЫРКИ — гимн феминизма)))
Zertan, ахахахх
avatar
Zertan, я могу в личке отписать откуда знаю и что именно.
Это не для тролевого поста.
avatar
Юлька, да мне не принципиально. Что так завелась? Не веришь ему — не верь. Не пиши в этот пост и все )
Zertan, не пишу. всё.
avatar
Писать смысла нет, потому:
avatar
Юлька, песня хорошая, но ты грубишь малыш )
Zertan, и не надо так оскорблять с намеками.
avatar
Юлька, не буду.
Сообщи и не проси вознагрождения.
avatar
вобще-то как минимум все diebold на winxp
avatar
Обязательно сообщить службе внутренней безопасности банка.
Надеюсь, это не Райффайзен, МДМ, Открытие или ХКБ…

PS
Банкоматов работающих на ОС Windows Embedded в России полным полно.
avatar
dx2003, неа ниодин из перечисленных, какой-то внутренне московский, у себя в питере этого банка не встречал
avatar
+
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
avatar
Большая часть банкоматов работает на винде, успокойтесь. Или молчите, если не знаете.
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.
avatar
Товарисч топикстартер. За каждоме «а я могу» обычно рано или поздно приходится ответить!!! Без обид. Вы или, или нетрезв, прошу прощения, или совсем пообщаться нескем на эту тему. Держи при себе, плиз, если не хочешь лишний опыт получать. Денег тебе никто не даст)))конечно))).Ну неужели не догадываешься как оно будет????) Ты еще напиши что бомобочки умеешь делать… Ну… сори… В офтоп в офтоп… офтоп....)))
avatar

теги блога Marsel Tazetdinov

....все тэги



UPDONW
Новый дизайн