Gündem - Güncel Konular
Turkish Citizen Database’Den Sonraki En Büyük Veri Vurgunu
Turkish Citizen Database’Den Sonraki En Büyük Veri Vurgunu
-
network bunu yazdıAllura bunu yazdı
Verdiğiniz haber linklerinde yazan zaten bu e-ticaret sitelerinin doğrudan hacklendiği değil, bu e-ticaret siteleri uzaktan javascript dosyalarına ihtiyaç duyabiliyor bootstrap vs. tarzında uzak bir sunucudaki js dosyasının hacklenmesi ve bu uzaktan çağırılan javascript dosyasının değiştirilerek sniff edebilecek kodlar ile o an alışveriş yapan kullanıcıların verilerinin client seviyesinde çalınması olduğunu söylemişler.
Kısaca bu uzak sunucudaki javascript dosyasını kullanan ne kadar e-ticaret sitesi varsa belki 50 belki 5000 bütün ödeme işlemleri javascript keylogger/sniffer vs. ile loglanmış, atıyorum tahribat www.google-analytics.com/analytics.js analytics.js dosyasını çağırıyor uzaktan eğer hacker bu analytics.js dosyasını düzenleyebilirse tahribat'ın haberi bile olmadan siteye giren çıkanların şifrelerini vs. istediği gibi ele geçirebilir.
Tabi bu e-ticaret siteleri muhtemelen 3rd party pluginler vs. kullandıkları için bu noktalarda illa abudik kubudik bir uzak sunucunun hacklenebilir olduğunu bulmuşlardır.
evet .özetle JS SKIMMER ile yapılan işlem .
hiçbir kredi kartı bilgisi saklanamaz . Binnumber (ilk 6 hane ) ve masked number(son 4 hane) onemlidir ortadakilerin bir anlamı da yok :)
bu işleri yapan firmalar da şifreleyerek saklamaktadır . Çözülebilinir belki ama ZOR .. imkansıza yakın .
dolayısıylla sızıntı kaynaktan değil bir nevi siz kendiniz site aracılığı ile kart bilgilerinizi veriyorsunuz :)
olayın tam olarak uygulamalı anlatımı için buyrun ;
https://www.riskiq.com/blog/labs/magecart-british-airways-breach/
suç trendyol un. isteseydi önüne geçebilirdi.
-
C-force bunu yazdı
Her ihtimale karşı Kartları yenilems talebi oluşturduk
Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok
Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.
-
aksata bunu yazdınetwork bunu yazdıAllura bunu yazdı
Verdiğiniz haber linklerinde yazan zaten bu e-ticaret sitelerinin doğrudan hacklendiği değil, bu e-ticaret siteleri uzaktan javascript dosyalarına ihtiyaç duyabiliyor bootstrap vs. tarzında uzak bir sunucudaki js dosyasının hacklenmesi ve bu uzaktan çağırılan javascript dosyasının değiştirilerek sniff edebilecek kodlar ile o an alışveriş yapan kullanıcıların verilerinin client seviyesinde çalınması olduğunu söylemişler.
Kısaca bu uzak sunucudaki javascript dosyasını kullanan ne kadar e-ticaret sitesi varsa belki 50 belki 5000 bütün ödeme işlemleri javascript keylogger/sniffer vs. ile loglanmış, atıyorum tahribat www.google-analytics.com/analytics.js analytics.js dosyasını çağırıyor uzaktan eğer hacker bu analytics.js dosyasını düzenleyebilirse tahribat'ın haberi bile olmadan siteye giren çıkanların şifrelerini vs. istediği gibi ele geçirebilir.
Tabi bu e-ticaret siteleri muhtemelen 3rd party pluginler vs. kullandıkları için bu noktalarda illa abudik kubudik bir uzak sunucunun hacklenebilir olduğunu bulmuşlardır.
evet .özetle JS SKIMMER ile yapılan işlem .
hiçbir kredi kartı bilgisi saklanamaz . Binnumber (ilk 6 hane ) ve masked number(son 4 hane) onemlidir ortadakilerin bir anlamı da yok :)
bu işleri yapan firmalar da şifreleyerek saklamaktadır . Çözülebilinir belki ama ZOR .. imkansıza yakın .
dolayısıylla sızıntı kaynaktan değil bir nevi siz kendiniz site aracılığı ile kart bilgilerinizi veriyorsunuz :)
olayın tam olarak uygulamalı anlatımı için buyrun ;
https://www.riskiq.com/blog/labs/magecart-british-airways-breach/
suç trendyol un. isteseydi önüne geçebilirdi.
tabiki , kesinlikle . bu güvenliği sağlamak ile sorumlu taraf bu durumda trendyol.
yanlış anlaşılmış olabilirim . kart bilgilerinin veritabanından çalınmadığını kart bilgilerinin girildiği anda 3. kişi taraflara gönderildiğini vurgulamak istedim. Teknik bilgiye sahip biride sitedeki binlerce satır JS dosyalarını taramaz :)
trendyol veya aynı sektördeki birçok firma bu durumlara karşı önlem almalıydı .
-
mkyb bunu yazdıC-force bunu yazdı
Her ihtimale karşı Kartları yenilems talebi oluşturduk
Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok
Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.
aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.
-
NoktaliVirgul bunu yazdımkyb bunu yazdıC-force bunu yazdı
Her ihtimale karşı Kartları yenilems talebi oluşturduk
Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok
Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.
aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.
Peki bu kartı internet kullanimina açarken limit koyulabiliyor mu?
Yani sen kartı internet kullanimina açtığın anda tesadüfen bir korsanın o anda kartın maksimum limitini gumletme ihtimali var mı?
-
O dediğinin gerçekleşme ihtimali devletin senin banka hesaplarına durduk yere el koymasından daha düşük bir ihtimal.
-
antivir-US bunu yazdıNoktaliVirgul bunu yazdımkyb bunu yazdıC-force bunu yazdı
Her ihtimale karşı Kartları yenilems talebi oluşturduk
Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok
Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.
aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.
Peki bu kartı internet kullanimina açarken limit koyulabiliyor mu?
Yani sen kartı internet kullanimina açtığın anda tesadüfen bir korsanın o anda kartın maksimum limitini gumletme ihtimali var mı?
Enpara kredi kartı kullanıyorum, internetten alışverişe hep açık ama limitli internetten alışveriş. Şöyle ki ; mesela bu ay şu ana kadar 550 tl harcamışım diyelim, alacağım ürün 50 tl ise, 601 tl ye yükseltiyorum limiti ve ürünü alıyorum. Sonra uğraşsalar da alamazlar bişey, limit yok :)
-
Hepsiburada kart bilgilerini saklarken Masterpass alt yapısını kullanıyor.
Bizde kendi operasyonumuzda Masterpass alt yapısını kullanıyoruz. Sisteme aşinayım baya sağlam güvenlik önlemleri var. Bizim tarafta sadece hash'lenmiş bir veri tutuyoruz ve GSM numarası üzerinden işlem yapıyoruz. Doğrulama ve Kart kayıt işlemleri banka üzerinden yapılıyor. Sistemde kayıtlı hash'lenmiş veri ile sadece üye işyeri işlem yapabiliyor. Yani siz hepsiburada'da masterpass'e kartınızı kayıt ederseniz, hepsiburada'nın aldığı hash'lenmiş veri ile sadece hepsi burada üzerinden alışveriş gerçekleşiyor.
Aynı GSM numarası üzerinden örneğin n11'de üyeliğiniz var ise kart bilgileriniz anlık olarak Masterpass servislerinden ödeme ekranına düşüyor. (ilk 6 son 4 hanenin yazıldığı alan) Yani N11 ile paylaşmıyor bilgileri. Eğer Masterpass'e kayıtlı kartınızı N11'de kullanmak istiyorsanız sizi tekrar bankanın 3D ekranına yönlendirip N11 için onay alınıyor. Sistem baya sağlam. BKM'den bir tık üstte bana göre. Ayrıca tüm üye işyerlerinde fraud kontrolleri anlık olarak Masterpass tarafında da yapılıyor. Eğer o an sizden şüphelenirse bankaya gönderip 3D aldırıyor.
Ama son zamanlar çıkan bir söylentiye göre Masterpass Türkiye'den çekilmek üzereymiş ve tüm TR operasyonlarını yerli bir firmaya devredicek. Yani Mastercard Masterpass operasyonunu devredecek. O yerli firmaya geçtiği gün şahsi tecrübelerime dayanarak söylüyorum, tüm kartlarınızı silin Masterpass'ten.
Türkiye'de kredi kartı saklama/ödeme sistemleri genel olarak rezil durumda. Malesef biz ülke olarak biraz hızlı çıkıyoruz merdivenleri bu konuda. Bu teknolojimizin çok gelişmiş olmasından değil genelde deneme tahtası olarak kullanılıyoruz. Mesela Amerika'dan ya da Avrupadan önce herhangi bir ödeme yöntemi Türkiye kullanıyor. Burda geliştirip oralarda basıyorlar prod ortamlara. Masterpass'in TR'de yaygınlaşmak için yaptıklarını görseniz şaşırırsınız.
Fastpay daha emekleme aşamasında ama nası reklam ve promosyonlar yapıyorlar kullanıcı edinmek için. İyice geliştirildiğinde de çıkıyorlar ülkeden.
Çoğu bankanın ki kamu bankaları başta olmak üzere kredi kartı ortak ödeme sistemlerinde çok basit hatalar var görseniz oha dersiniz bu kadar kolay mı diye. ÖR: Bir kamu bankasının ortak ödeme sisteminde ki bir açığı düzeltmeleri için anlatana kadar lanet ediyor ne haliniz varsa görün noktasına geliyorsunuz. Bunların hepsi çok ucuz iş gücü ile dev sistemler yaptırılmasından kaynaklanıyor bana göre. Siz bu işi yapacak adama 3 kuruş para verirseniz yada herhangi bir ödeme ekranını hazırlayacak adamı 3 kuruşa ararsanız sonuç leş oluyor.
Büyük sayılabilecek alışveriş sitelerinde POS bilgileri açık bir json içinde tutuluyor. Adam bu bilgileri public olarak tutuyor. Sizden aldığı veriyi hiçbir encrypt işleminden geçirmeden iletiyor. Neden diye sorduğunda https var zaten şifreliyor diyor. Hatta hala MD5'in çözülemeyecek olduğunu düşünen senior'lar var. Lan kredi kartı verilerini session'da tutup, sepeti tamamlatan siteler var bu ülkede.
Peki siber güvenlik ve pen test firmaları ne yapıyor? Çoğu bir bok yapmıyor. Hazır tool'lar ile siteleri kontrol ediyorlar. Trafiği sniff ediyorlar, Kali ile birkaç işlem yapıp rapor yazıyorlar. Raporda da standart exploit'leri düzelt şurda güvenli bağlantı oluştur, şuraya validation koy, şuraya captcha ekle, sunucuyu güncelle, veritabanının sürümünü güncelle, portları kapat oluyor genelde. Çok basit olarak bir chrome penceresi açıp ödeme işlemini gerçekleştirirken network sekmesine bakmıyor. Baksa orada hayvan gibi pos.json dosyasını görecek aa neymiş lan bu diyecek. Kırmızı alarm verecek kapatın siteyi diyecek ama demiyor.
Çünkü sağlam ve tecrübeli bir ekibin bu işi yapması için bugünün şartlarında iyi para alması gerekiyor. Bir hatanın fark edilmemesi durumunda sağlayacağı güvenceyide dahil ederek. Ama bizim ülkedeki pen testçiler yine ucuz iş gücü ile yarım yamalak iş yapıyor ve sonuç hazır tool ve Kali. Buradaki bir site 100 birime yurtdışından alacağı hizmeti 10 birime TR'deki firmalara yaptırıyor.
Bazı alışveriş sitelerinde hazır template kullanılıyor. Ve bu template'ler warez'den indirilmiş. Tabi adam arayüz veya tasarıma zerre kadar bütçe ayırmadığı için 50 $ verip themeforest'tan bile satın almıyor lan. Onu da warez'den çekiyor. Kimi CDN olarak adını dahi duymadığınız yerleri kullanıyor.
Genel olarak bizim yaptığımız veya yaptırdığımız yazılımda ülkenin yolları, trafiği, çomarı ve genel durumu gibi bok gibi. Yazacak çok şey var da içinizi karartmayım.
-
Bu haberleri heryerde görüyoruz da datayı göremiyoruz
-
HolyOne bunu yazdı
Bu haberleri heryerde görüyoruz da datayı göremiyoruz
Saygıdeğer Şeyhimiz birazdan özel mesajlarla sana ulaştırırlar. Sende bizlerle paylaş lütfen :)