واضح آرشیو وب فارسی:پایگاه خبری آفتاب: آخرین خبر از هک شدن حسابها و کارتهای مشتریان بانک ملت
کلیه سامانه های بانک ملت ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی این بانک وجود ندارد.
آفتاب : بانک ملت اعلام کرد: کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد.
روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت،اعلام کرد کلیه اطلاعات مربوط به حسابها و کارتهای مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.
بر این اساس درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد .
بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداختهای الکترونیک، پایانه ها و درگاههای پرداخت های الکترنیک به تمامی مشتریان اطمینان داد که هر لحظه از بالاترین سطح آمادگی لازم جهت ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.
پیشتر یکی از افراد دخیل در این حوزه چنین نوشته بود:
{در فرآيند هاي اينترنت بانک ملت، لينکي توليد مي شود که در انتهاي آن چنين عبارتي وجود دارد: SaleOrderId=1333683 . اين لينک حاوي اطلاعات مربوط به تراکنش مالي است و مواردي همچون مبلغ انتقال يافته و نام کاربر را به نمايش در مي آرود.
معمولا مشاهده چنين لينک هايي مستلزم ورود به حساب کاربري است، اما در بانک ملت، هر کاربري در اينترنت با داشتن لينک مذکور، مي تواند اطلاعات تراکنش شما را مشاهده نمايد.
اما مشکل اصلي جايي ديگر است. هر کاربر با تعويض عدد هاي پاياني عبارت مذکور، مي تواند به لينکي جديد دست پيدا کند و از اين طريق اطلاعات تراکنش ديگر کاربران را نيز مشاهده نمايد.
با وجود اين باگ، تنها يک اسکريپت کفايت مي کند تا اطلاعات هزاران کاربر در قالب ليستي بلند بالا منتشر گردد. اسکريپت مذکور تنها کافي است اعداد ۱ تا ۹۹۹۹۹۹۹۹ را در پايان لينک مذکور، جاي گذاري کند.
اما اين عدد در پايان لينک تراکنش به چه منظور ايجاد شده است؟ مي دانيم که تقريبا تمام برنامه ها با متغير ها سر و کار دارند و جهت برقراري ارتباط بين کاربر و صفحات مختلف نياز است تا چنين عدد هايي رد و بدل شود.
براي مثال اگر کاربر تراکنش شماره ۱۳۳۳۶۸۳ را انجام داده باشد و بانک قصد داشته باشد امکان چاپ سند را در اختيار او قرار دهد، بايد به سيستم اعلام کند که تراکنش شماره ۱۳۳۳۶۸۳ را براي چاپ آماده سازد.
در نتيجه چنين فرآيندي، باگ مذکور به وجود مي آيد. اما چگونه مي توان از بروز اين ضعف امنيتي، جلوگيري کرد؟
تاریخ انتشار: ۰۶ فروردين ۱۳۹۴ - ۱۹:۰۳
این صفحه را در گوگل محبوب کنید
[ارسال شده از: پایگاه خبری آفتاب]
[تعداد بازديد از اين مطلب: 69]