BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2007/12/18.html

Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк
dl // 25.12.07 22:38
Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/12/18.html]
Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.

Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.

Источник: blog.lexa.ru    
теги: клоуны, stuff  |  предложить новость  |  обсудить  |  все отзывы (6) [14841]
назад «  » вперед

аналогичные материалы
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
Docker Hub закрыл доступ из России // 30.05.24 15:34
Маск поддержал создателя Дилберта, обвиненного в расизме // 27.02.23 20:39
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

Не знаю ккому верить. Может брехня на blog.lexa.ru и не было... 26.12.07 11:23  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.12.07 11:25  Количество правок: 1
<"чистая" ссылка>
> Сбербанк использует общий почтовый ящик на mail.ru для
> раздачи обновлений системы клиент-банк
> blog.lexa.ru
> http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Не знаю ккому верить. Может брехня на blog.lexa.ru и не было никакого обновления. То ли какой-то идиот выложил что-то на мэйлру, тогда как он заставил сотрудников дать клиенту такую распечатку. То ли и в самом деле обновления так рассылают, хотя почему бы и не выложить на официальном сайте.

> Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип
> враждебного окружения, безопасное распределение ключей -
> иль это все сон?

Ну допустим они по уродски для каждого клиента завели учетную запись на мэйлру, чтоб туда выложить обновление, а логин и пароль для этого одноразового ящика выдать на бумажке индивидуально. Вполне возможно ПО у них правильное и проверит сначала подпись у обновления. Все равно по уродски, хотя в чем прикол - не пойму.
не брехня 26.12.07 14:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Не знаю ккому верить. Может брехня на blog.lexa.ru и не
> было никакого обновления. То ли какой-то идиот выложил
> что-то на мэйлру, тогда как он заставил сотрудников дать
> клиенту такую распечатку. То ли и в самом деле обновления
> так рассылают, хотя почему бы и не выложить на официальном
> сайте.

Мне об этом по другим каналам три недели назад сообщили, я тогда решил придержать, ну а уж коли утекло, присоединился. Понятно, что скорее всего самодеятельность.

> Ну допустим они по уродски для каждого клиента завели
> учетную запись на мэйлру, чтоб туда выложить обновление, а
> логин и пароль для этого одноразового ящика выдать на
> бумажке индивидуально. Вполне возможно ПО у них правильное
> и проверит сначала подпись у обновления. Все равно по
> уродски, хотя в чем прикол - не пойму.

Нет, ящик действительно общий, без намека на индивидуальность.
Неожиданный ход :) Берет тем, что злоумышленик не поверит своим глазам или помрет от хохота 26.12.07 10:32  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
Походу это есть развод с самого начала. Ждём с нетерпением продолжения! 26.12.07 08:33  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
неужели никто не догадается сменить пароль? ну или накрайняк, сменить файл обновления 25.12.07 23:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
я не верю своим глазам :))))) кошмар :) может сегодня 1-е апреля? :) 25.12.07 23:33  
Автор: noonv <Vladimir> Статус: Member
Отредактировано 25.12.07 23:33  Количество правок: 1
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach