05/09/1403  
 
پنجشنبه, ۰۶ فروردین ۱۳۹۴ ۱۳:۲۵ ۲۷
طبقه بندی:
  • صنفی
  • اخبار سازمان
چچ
آخرین خبر از هک شدن حسابها و کارتهای مشتریان بانک ملت

آخرین خبر از هک شدن حسابها و کارتهای مشتریان بانک ملت

کلیه سامانه های بانک ملت ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی این بانک وجود ندارد.

بانک ملت اعلام کرد: کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد

روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت،اعلام کرد کلیه اطلاعات مربوط به حسابها و کارتهای مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.

بر این اساس درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته  خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد

بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداختهای الکترونیک، پایانه ها و درگاههای پرداخت های الکترنیک به تمامی مشتریان اطمینان داد که هر لحظه از بالاترین سطح آمادگی لازم جهت ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.

پیشتر یکی از افراد دخیل در این خبر جعلی چنین نوشته بود:

{در فرآیند های اینترنت بانک ملت، لینکی تولید می شود که در انتهای آن چنین عبارتی وجود دارد: SaleOrderId=1333683 . این لینک حاوی اطلاعات مربوط به تراکنش مالی است و مواردی همچون مبلغ انتقال یافته و نام کاربر را به نمایش در می آرود.

معمولا مشاهده چنین لینک هایی مستلزم ورود به حساب کاربری است، اما در بانک ملت، هر کاربری در اینترنت با داشتن لینک مذکور، می تواند اطلاعات تراکنش شما را مشاهده نماید.

اما مشکل اصلی جایی دیگر است. هر کاربر با تعویض عدد های پایانی عبارت مذکور، می تواند به لینکی جدید دست پیدا کند و از این طریق اطلاعات تراکنش دیگر کاربران را نیز مشاهده نماید.

با وجود این باگ، تنها یک اسکریپت کفایت می کند تا اطلاعات هزاران کاربر در قالب لیستی بلند بالا منتشر گردد. اسکریپت مذکور تنها کافی است اعداد ۱ تا ۹۹۹۹۹۹۹۹ را در پایان لینک مذکور، جای گذاری کند.

اما این عدد در پایان لینک تراکنش به چه منظور ایجاد شده است؟ می دانیم که تقریبا تمام برنامه ها با متغیر ها سر و کار دارند و جهت برقراری ارتباط بین کاربر و صفحات مختلف نیاز است تا چنین عدد هایی رد و بدل شود.

برای مثال اگر کاربر تراکنش شماره ۱۳۳۳۶۸۳ را انجام داده باشد و بانک قصد داشته باشد امکان چاپ سند را در اختیار او قرار دهد، باید به سیستم اعلام کند که تراکنش شماره ۱۳۳۳۶۸۳ را برای چاپ آماده سازد.

در نتیجه چنین فرآیندی، باگ مذکور به وجود می آید. اما چگونه می توان از بروز این ضعف امنیتی، جلوگیری کرد؟}

منبع:
آدرس کوتاه شده: