folder Tahribat.com Forumları
linefolder Gündem - Güncel Konular
linefolder Turkish Citizen Database’Den Sonraki En Büyük Veri Vurgunu



Turkish Citizen Database’Den Sonraki En Büyük Veri Vurgunu

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    aksata
    aksata's avatar
    Kayıt Tarihi: 28/Aralık/2009
    Erkek
    network bunu yazdı
    Allura bunu yazdı

    Verdiğiniz haber linklerinde yazan zaten bu e-ticaret sitelerinin doğrudan hacklendiği değil, bu e-ticaret siteleri uzaktan javascript dosyalarına ihtiyaç duyabiliyor bootstrap vs. tarzında uzak bir sunucudaki js dosyasının hacklenmesi ve bu uzaktan çağırılan javascript dosyasının değiştirilerek sniff edebilecek kodlar ile o an alışveriş yapan kullanıcıların verilerinin client seviyesinde çalınması olduğunu söylemişler.

    Kısaca bu uzak sunucudaki javascript dosyasını kullanan ne kadar e-ticaret sitesi varsa belki 50 belki 5000 bütün ödeme işlemleri javascript keylogger/sniffer vs. ile loglanmış, atıyorum tahribat www.google-analytics.com/analytics.js analytics.js dosyasını çağırıyor uzaktan eğer hacker bu analytics.js dosyasını düzenleyebilirse tahribat'ın haberi bile olmadan siteye giren çıkanların şifrelerini vs. istediği gibi ele geçirebilir.

    Tabi bu e-ticaret siteleri muhtemelen 3rd party pluginler vs. kullandıkları için bu noktalarda illa abudik kubudik bir uzak sunucunun hacklenebilir olduğunu bulmuşlardır.

     

    evet .özetle JS SKIMMER ile yapılan işlem . 

    hiçbir kredi kartı bilgisi saklanamaz . Binnumber (ilk 6 hane ) ve masked number(son 4 hane) onemlidir ortadakilerin bir anlamı da yok :) 

    bu işleri yapan firmalar da şifreleyerek saklamaktadır . Çözülebilinir belki ama ZOR .. imkansıza yakın . 

    dolayısıylla sızıntı kaynaktan değil bir nevi siz kendiniz site aracılığı ile kart bilgilerinizi veriyorsunuz :) 

    olayın tam olarak uygulamalı anlatımı için buyrun ; 

    https://www.riskiq.com/blog/labs/magecart-british-airways-breach/ 

    suç trendyol un. isteseydi önüne geçebilirdi.


    Bazıları özgürlüğü sadece kendileri gibi düşünenlere reva görüyor...
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Bilirkişi
    mkyb
    mkyb's avatar
    Kayıt Tarihi: 27/Mayıs/2011
    Erkek
    C-force bunu yazdı

    Her ihtimale karşı Kartları yenilems talebi oluşturduk

    Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok 

    Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.


    Yaşlandıkça 50 liralık saatin ve 5.000 liralık saatin aynı şeyi gösterdiğini fark edeceksin. 1.000.000 liralık ve 100.000 liralık ev aynı yalnızlığı barındırır. 1.000 liralık Android ile 20.000 liralık iPhone Pro kimse aramadıktan sonra aynıdır. Materyalist şeylerde gerçek mutluluk bulunmaz. Asıl mutluluk bir çift memededir. Enflasyon yüzünden bu imzayı bir ara güncellemek lazım. Bin liraya telefon kalmadı amk.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    network
    network's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek
    aksata bunu yazdı
    network bunu yazdı
    Allura bunu yazdı

    Verdiğiniz haber linklerinde yazan zaten bu e-ticaret sitelerinin doğrudan hacklendiği değil, bu e-ticaret siteleri uzaktan javascript dosyalarına ihtiyaç duyabiliyor bootstrap vs. tarzında uzak bir sunucudaki js dosyasının hacklenmesi ve bu uzaktan çağırılan javascript dosyasının değiştirilerek sniff edebilecek kodlar ile o an alışveriş yapan kullanıcıların verilerinin client seviyesinde çalınması olduğunu söylemişler.

    Kısaca bu uzak sunucudaki javascript dosyasını kullanan ne kadar e-ticaret sitesi varsa belki 50 belki 5000 bütün ödeme işlemleri javascript keylogger/sniffer vs. ile loglanmış, atıyorum tahribat www.google-analytics.com/analytics.js analytics.js dosyasını çağırıyor uzaktan eğer hacker bu analytics.js dosyasını düzenleyebilirse tahribat'ın haberi bile olmadan siteye giren çıkanların şifrelerini vs. istediği gibi ele geçirebilir.

    Tabi bu e-ticaret siteleri muhtemelen 3rd party pluginler vs. kullandıkları için bu noktalarda illa abudik kubudik bir uzak sunucunun hacklenebilir olduğunu bulmuşlardır.

     

    evet .özetle JS SKIMMER ile yapılan işlem . 

    hiçbir kredi kartı bilgisi saklanamaz . Binnumber (ilk 6 hane ) ve masked number(son 4 hane) onemlidir ortadakilerin bir anlamı da yok :) 

    bu işleri yapan firmalar da şifreleyerek saklamaktadır . Çözülebilinir belki ama ZOR .. imkansıza yakın . 

    dolayısıylla sızıntı kaynaktan değil bir nevi siz kendiniz site aracılığı ile kart bilgilerinizi veriyorsunuz :) 

    olayın tam olarak uygulamalı anlatımı için buyrun ; 

    https://www.riskiq.com/blog/labs/magecart-british-airways-breach/ 

    suç trendyol un. isteseydi önüne geçebilirdi.

    tabiki , kesinlikle . bu güvenliği sağlamak ile sorumlu taraf bu durumda trendyol

    yanlış anlaşılmış olabilirim  . kart bilgilerinin veritabanından çalınmadığını kart bilgilerinin girildiği anda 3. kişi taraflara gönderildiğini vurgulamak istedim. Teknik bilgiye sahip biride sitedeki binlerce satır JS dosyalarını taramaz :) 

    trendyol veya aynı sektördeki birçok firma bu durumlara karşı önlem almalıydı .


    I Love Software , Software is a life...
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    NoktaliVirgul
    NoktaliVirgul's avatar
    Kayıt Tarihi: 02/Temmuz/2007
    Erkek
    mkyb bunu yazdı
    C-force bunu yazdı

    Her ihtimale karşı Kartları yenilems talebi oluşturduk

    Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok 

    Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.

    aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.


    If my calculations are correct, when this baby hits eighty-eight miles per hour... you"re gonna see some serious shit.
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    antivir-US
    antivir-US's avatar
    Kayıt Tarihi: 04/Ocak/2006
    Erkek
    NoktaliVirgul bunu yazdı
    mkyb bunu yazdı
    C-force bunu yazdı

    Her ihtimale karşı Kartları yenilems talebi oluşturduk

    Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok 

    Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.

    aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.

    Peki bu kartı internet kullanimina açarken limit koyulabiliyor mu?

    Yani sen kartı internet kullanimina açtığın anda tesadüfen bir korsanın o anda kartın maksimum limitini gumletme ihtimali var mı?


    Camınızı kırar, duvarınıza işer, bisikletinize biner, tekerini keser, arabanızı çizer, zilinize basar kaçarım. Kısacası ben annenizin sokağa çıkarken uzak dur dediği çocuklardan biriyim.
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Allura
    Allura's avatar
    Kayıt Tarihi: 17/Mayıs/2009
    Erkek

    O dediğinin gerçekleşme ihtimali devletin senin banka hesaplarına durduk yere el koymasından daha düşük bir ihtimal.


    "
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    cuneyd
    cuneyd's avatar
    Kayıt Tarihi: 27/Mayıs/2007
    Erkek
    antivir-US bunu yazdı
    NoktaliVirgul bunu yazdı
    mkyb bunu yazdı
    C-force bunu yazdı

    Her ihtimale karşı Kartları yenilems talebi oluşturduk

    Enpara sanal kart olayını ben çok gündeme getirdim fakat hala bir icraat yok 

    Enpara bilerek eklemiyor. Kaç sefer şikayet ettim. Dalga geçer gibi kartınızı internete kapatın alışveriş yapacağınız zaman açarsınız falan diyorlar. Amele gibi sürekli onla mı uğraşacağım deyince şikayetinizi kayıta alıyorum efendim diyorlar.

    aslında bir bakıma haklılar. sanal karta her seferinde limit tanımlamak için uygulamaya giriş yapıyorsun. aynı sürede internnete açarsın, öde butonuna basarsın. ödeme alınınca kapatısın. timeout bile olmaz.

    Peki bu kartı internet kullanimina açarken limit koyulabiliyor mu?

    Yani sen kartı internet kullanimina açtığın anda tesadüfen bir korsanın o anda kartın maksimum limitini gumletme ihtimali var mı?

    Enpara kredi kartı kullanıyorum, internetten alışverişe hep açık ama limitli internetten alışveriş. Şöyle ki ; mesela bu ay şu ana kadar 550 tl harcamışım diyelim, alacağım ürün 50 tl ise, 601 tl ye yükseltiyorum limiti ve ürünü alıyorum. Sonra uğraşsalar da alamazlar bişey, limit yok :) 


    Siz cebit"e gidin Tayyip sizi yakalicak :B adama o kadar laf sölediniz,küfrettiniz :P sizi tahribat.com t-shirtleri ile yakalicak,böle kıcınıza kıcınıza sopaylan vuracak :B Tayyip sizi ağaca vurduracak :B sonra da cemil cicek"e vericek :B / yeah Cemil cicekkk :B
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    legendary
    legendary's avatar
    Kayıt Tarihi: 26/Ağustos/2005
    Erkek

    Hepsiburada kart bilgilerini saklarken Masterpass alt yapısını kullanıyor. 

    Bizde kendi operasyonumuzda Masterpass alt yapısını kullanıyoruz. Sisteme aşinayım baya sağlam güvenlik önlemleri var. Bizim tarafta sadece hash'lenmiş bir veri tutuyoruz ve GSM numarası üzerinden işlem yapıyoruz. Doğrulama ve Kart kayıt işlemleri banka üzerinden yapılıyor. Sistemde kayıtlı hash'lenmiş veri ile sadece üye işyeri işlem yapabiliyor. Yani siz hepsiburada'da masterpass'e kartınızı kayıt ederseniz, hepsiburada'nın aldığı hash'lenmiş veri ile sadece hepsi burada üzerinden alışveriş gerçekleşiyor.

    Aynı GSM numarası üzerinden örneğin n11'de üyeliğiniz var ise kart bilgileriniz anlık olarak Masterpass servislerinden ödeme ekranına düşüyor. (ilk 6 son 4 hanenin yazıldığı alan) Yani N11 ile paylaşmıyor bilgileri. Eğer Masterpass'e kayıtlı kartınızı N11'de kullanmak istiyorsanız sizi tekrar bankanın 3D ekranına yönlendirip N11 için onay alınıyor. Sistem baya sağlam. BKM'den bir tık üstte bana göre. Ayrıca tüm üye işyerlerinde fraud kontrolleri anlık olarak Masterpass tarafında da yapılıyor. Eğer o an sizden şüphelenirse bankaya gönderip 3D aldırıyor. 

    Ama son zamanlar çıkan bir söylentiye göre Masterpass  Türkiye'den çekilmek üzereymiş ve tüm TR operasyonlarını yerli bir firmaya devredicek. Yani Mastercard Masterpass operasyonunu devredecek.  O yerli firmaya geçtiği gün şahsi tecrübelerime dayanarak söylüyorum, tüm  kartlarınızı silin Masterpass'ten.

    Türkiye'de kredi kartı saklama/ödeme sistemleri genel olarak rezil durumda. Malesef biz ülke olarak biraz hızlı çıkıyoruz merdivenleri bu konuda. Bu teknolojimizin çok gelişmiş olmasından değil genelde deneme tahtası olarak kullanılıyoruz. Mesela Amerika'dan ya da Avrupadan önce herhangi bir ödeme yöntemi Türkiye kullanıyor. Burda geliştirip oralarda basıyorlar prod ortamlara. Masterpass'in TR'de yaygınlaşmak için yaptıklarını görseniz şaşırırsınız. 

    Fastpay daha emekleme aşamasında ama nası reklam ve promosyonlar yapıyorlar kullanıcı edinmek için. İyice geliştirildiğinde de çıkıyorlar ülkeden. 

    Çoğu bankanın ki kamu bankaları başta olmak üzere kredi kartı ortak ödeme sistemlerinde çok basit hatalar var görseniz oha dersiniz bu kadar kolay mı diye. ÖR: Bir kamu bankasının ortak ödeme sisteminde ki bir açığı düzeltmeleri için anlatana kadar lanet ediyor ne haliniz varsa görün noktasına geliyorsunuz. Bunların hepsi çok ucuz iş gücü ile dev sistemler yaptırılmasından kaynaklanıyor bana göre. Siz bu işi yapacak adama 3 kuruş para verirseniz yada herhangi bir ödeme ekranını hazırlayacak adamı 3 kuruşa ararsanız sonuç leş oluyor. 

    Büyük sayılabilecek alışveriş sitelerinde POS bilgileri açık bir json içinde tutuluyor. Adam bu bilgileri public olarak tutuyor. Sizden aldığı veriyi hiçbir encrypt işleminden geçirmeden iletiyor. Neden diye sorduğunda https var zaten şifreliyor diyor. Hatta hala MD5'in çözülemeyecek olduğunu düşünen senior'lar var. Lan kredi kartı verilerini session'da tutup, sepeti tamamlatan siteler var bu ülkede. 

    Peki siber güvenlik ve pen test firmaları ne yapıyor? Çoğu bir bok yapmıyor. Hazır tool'lar ile siteleri kontrol ediyorlar. Trafiği sniff ediyorlar, Kali ile birkaç işlem yapıp rapor yazıyorlar. Raporda da standart exploit'leri düzelt şurda güvenli bağlantı oluştur, şuraya validation koy, şuraya captcha ekle, sunucuyu güncelle, veritabanının sürümünü güncelle, portları kapat oluyor genelde. Çok basit olarak bir chrome penceresi açıp ödeme işlemini gerçekleştirirken network sekmesine bakmıyor. Baksa orada hayvan gibi pos.json dosyasını görecek aa neymiş lan bu diyecek. Kırmızı alarm verecek kapatın siteyi diyecek ama demiyor.

    Çünkü sağlam ve tecrübeli bir ekibin bu işi yapması için bugünün şartlarında iyi para alması gerekiyor. Bir hatanın fark edilmemesi durumunda sağlayacağı güvenceyide dahil ederek. Ama bizim ülkedeki pen testçiler yine ucuz iş gücü ile yarım yamalak iş yapıyor ve sonuç hazır tool ve Kali. Buradaki bir site 100 birime yurtdışından alacağı hizmeti 10 birime TR'deki firmalara yaptırıyor. 

    Bazı alışveriş sitelerinde hazır template kullanılıyor. Ve bu template'ler warez'den indirilmiş. Tabi adam arayüz veya tasarıma zerre kadar bütçe ayırmadığı için 50 $ verip themeforest'tan bile satın almıyor lan.  Onu da warez'den çekiyor. Kimi CDN olarak adını dahi duymadığınız yerleri kullanıyor. 

    Genel olarak bizim yaptığımız veya yaptırdığımız yazılımda ülkenin yolları, trafiği, çomarı ve genel durumu gibi bok gibi. Yazacak çok şey var da içinizi karartmayım. 

     

    legendary tarafından 19/Ara/19 00:13 tarihinde düzenlenmiştir

    yaratıcılık uçmak değil konmaktır...
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tarikat Şeyhi
    HolyOne
    HolyOne's avatar
    Kayıt Tarihi: 01/Haziran/2002
    Erkek

    Bu haberleri heryerde görüyoruz da datayı göremiyoruz


    Nush ile uslanmayanı etmeli tekdir, Tekdir ile uslanmayanın hakkı kötektir!
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    buber.
    wordros
    wordros's avatar
    Kayıt Tarihi: 26/Ağustos/2005
    Erkek
    HolyOne bunu yazdı

    Bu haberleri heryerde görüyoruz da datayı göremiyoruz

    Saygıdeğer Şeyhimiz birazdan özel mesajlarla sana ulaştırırlar. Sende bizlerle paylaş lütfen :)


    alektamovikmovik
Toplam Hit: 8978 Toplam Mesaj: 55
trendyol kredi kartı hepsiburada veri hırsızlığı