12 maja 2005, 18:40:21
Citibank 0wn3d (wkrótce)
Właśnie po kolejnej rozmowie z Citibankiem doszedłem do wniosku, że zmienię sposób rozmowy z tą instytucją. O co chodzi? O poważny błąd na ich stronie. Wysyłałem w zeszłym roku do nich informację wraz z dowodem błędu bezpieczeństwa. Do dziś nie dostałem odpowiedzi, a serwis nadal posiada tę samą dziurę.
Dlatego informuję, że właśnie przygotowuję bardziej dopracowany kod wykorzystania tego błędu, który upublicznię po 7 dniach od wysłania do nich informacji. Oczywiście jeśli się wcześniej nie odezwą.
Mam już dosyć użerania się z niekompetencją osób technicznych, które nie potrafią skorzystać ze standardowego modelu DOM przeglądarki, czy wprost zbywają mnie przez telefon głodnymi kłamstewkami o procedurach systemu. Może jak podejmę bardziej radykalne środki to w końcu ktoś tam przejrzy na oczy.
Jeszcze może niech ktoś mi powie jak to jest z błędami w programach? Jakie są terminy upubliczniania "exploitów"? Wiem, że jest to niepisana umowa między programistami, ale właśnie w ten sposób zamierzam podejść teraz do tej sprawy.
Możesz przejść na koniec i zostawić komentarz lub umieścić trackback ze swojej strony.
Lasom na pohybel Następny wpis:
PFRON-ie, gdzie jesteś?
yano is proudly powered by
12 maja 2005 o 18:41:34
Aresztują cię ;] Już było na świecie kilka takich spraw.
12 maja 2005 o 19:12:35
Za co? Za to, że znalazłem błąd i nikt nie zareagował? Tyle się teraz mówi o bezpieczeństwie banków, o wyciąganiu haseł itd. a Citibank olewa sygnały o błędach bezpieczeństwa na stronie?
Postaram się to zrobić w taki sposób, aby się nie przyczepili. 7 dni, potem ponaglenie (24h), potem publikacja o istnieniu dowodu na jakimś poczytnym serwisie (hacking.pl ?). Jeśli to nie podziała, to pójdzie w świat.
Ah, przypomina mi się teraz, że o tym błędzie informowałem Citibank dwukrotnie - raz czysto teoretycznie a drugi raz z dowodem w postaci dołączonego pliku.
Póki co nie daję więcej szczegółów, bo rzeczywiście się przykleją. Dam im napierw czas na ustosunkowanie się do tej informacji.
Zastanawiam się tylko, czy kod wystawiać gdzieś na sieci i dać im linka, czy wysłać im pliki wraz z informacją...
12 maja 2005 o 19:14:36
Czytałem na przykład historię że facet w USA zerknął do źródła strony korporacji i znalazł tam zakomentowaną listę haseł. Zadzwonil żeby o tym poinformować. W ciągu klikgodzin aresztowała go policja. Nie zmyślam![:]](/files/e06.gif)
12 maja 2005 o 19:28:07
Bo w USA mają drewno zamiast mózgów.
Generalnie mogę się zamknąć i nic nie robić w tej kwestii, ale ktoś mniej uczciwy ode mnie w końcu wpadnie na ten sam pomysł i to wykorzysta (o ile już ktoś tego nie zrobił).
Z drugiej strony mogłem gdzieś z kafei wrzucić exploit na sieć i wysłać z darmowego konta info do prasy.
Innym rozwiązaniem może być podesłanie eploita do kogoś bardziej obeznanego w kwestii bezpieczeństwa i na jego barki złożyć odpowiedzialność.
Niech więc docenią, że mi się chce jeszcze ich poprawiać, mimo tylu kłopotów jakie mam z nimi.
Cleriic powiedział(a):
13 maja 2005 o 23:30:49
A czytałeś to: http://di.com.pl/n/?lp=9816
Wspominają tam Citi, BPH, Millenium i KredytBank.
13 maja 2005 o 23:33:31
Tak. To kolejny powód, dlaczego chcę tę sprawę załatwić.
Gandalf powiedział(a):
15 maja 2005 o 20:22:57
Yano: zasada jest taka, ze od momentu poinformowania osob zainteresowanych dajesz im 14 dni na reakcje. Jesli reakcja jest niesatysfakcjonujaca lub jej nie ma, masz prawo upublicznic kod. Jesli dana firma informuje, ze chce sie zajac warto dac im szanse. Jednak nalezy wymagac od nich podania terminu poprawienia bledu, i jesli go nie dotrzymaja, upubliczniasz kod. Jesli, jak mowisz informowales ich juz dawno, uwazam, ze nalezy upublicznic kod jak najszybciej.
Gandalf powiedział(a):
15 maja 2005 o 20:23:28
ucielo mi. "jak najszybciej, poniewaz nie wiesz kto jeszcze znalazl ta luke i ma ochote z niej skorzystac w mniej edukacyjny sposob"
15 maja 2005 o 20:42:21
Luka może nie jest strasznie duża, ale przy pewnych okolicznościach może być skuteczna. Zwłaszcza, że ludzie są na tyle niemądrzy, że potrafią posłać swoje dane mailem czy rozpakować zahasłowane archiwum z wirusem.