نظر منتشر شده
۲۳
توصيه به ديگران
 
کد مطلب: 264811
آخرین خبر از هک شدن حسابها و کارتهای مشتریان بانک ملت
کلیه سامانه های بانک ملت ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی این بانک وجود ندارد.
تاریخ انتشار : جمعه ۷ فروردين ۱۳۹۴ ساعت ۲۱:۰۰
به گزارش خبرآنلاین بانک ملت اعلام کرد: کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد.


روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت،اعلام کرد کلیه اطلاعات مربوط به حسابها و کارتهای مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.


بر این اساس درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد .

بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداختهای الکترونیک، پایانه ها و درگاههای پرداخت های الکترنیک به تمامی مشتریان اطمینان داد که هر لحظه از بالاترین سطح آمادگی لازم جهت ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.



پیشتر یکی از افراد دخیل در این خبر جعلی چنین نوشته بود:

{در فرآيند هاي اينترنت بانک ملت، لينکي توليد مي شود که در انتهاي آن چنين عبارتي وجود دارد: SaleOrderId=۱۳۳۳۶۸۳ . اين لينک حاوي اطلاعات مربوط به تراکنش مالي است و مواردي همچون مبلغ انتقال يافته و نام کاربر را به نمايش در مي آرود.

معمولا مشاهده چنين لينک هايي مستلزم ورود به حساب کاربري است، اما در بانک ملت، هر کاربري در اينترنت با داشتن لينک مذکور، مي تواند اطلاعات تراکنش شما را مشاهده نمايد.

اما مشکل اصلي جايي ديگر است. هر کاربر با تعويض عدد هاي پاياني عبارت مذکور، مي تواند به لينکي جديد دست پيدا کند و از اين طريق اطلاعات تراکنش ديگر کاربران را نيز مشاهده نمايد.

با وجود اين باگ، تنها يک اسکريپت کفايت مي کند تا اطلاعات هزاران کاربر در قالب ليستي بلند بالا منتشر گردد. اسکريپت مذکور تنها کافي است اعداد ۱ تا ۹۹۹۹۹۹۹۹ را در پايان لينک مذکور، جاي گذاري کند.

اما اين عدد در پايان لينک تراکنش به چه منظور ايجاد شده است؟ مي دانيم که تقريبا تمام برنامه ها با متغير ها سر و کار دارند و جهت برقراري ارتباط بين کاربر و صفحات مختلف نياز است تا چنين عدد هايي رد و بدل شود.

براي مثال اگر کاربر تراکنش شماره ۱۳۳۳۶۸۳ را انجام داده باشد و بانک قصد داشته باشد امکان چاپ سند را در اختيار او قرار دهد، بايد به سيستم اعلام کند که تراکنش شماره ۱۳۳۳۶۸۳ را براي چاپ آماده سازد.

در نتيجه چنين فرآيندي، باگ مذکور به وجود مي آيد. اما چگونه مي توان از بروز اين ضعف امنيتي، جلوگيري کرد؟}
 
۱۳۹۴-۰۱-۰۷ ۲۱:۰۲:۳۱
https (2769453) (alef-13)
 
hamvatan
۱۳۹۴-۰۱-۰۷ ۲۲:۵۸:۱۹
https چه ربطی به این قضیه داره دارند میگن که با عوض کردن متغیر ها از بانک اطلاعاتی میشود report گرفت شما وارد خود بانکداری ملت هم بشی قبل از ورود هم با پروتکل https و پورت 443 وصل میشید از این بابت مشکلی نیست مشکل همان query گرفتن هست. (2769579) (alef-13)
 
۱۳۹۴-۰۱-۰۸ ۱۰:۳۱:۳۳
اگر بانک ملت اینطور باشه وای به حال بقیه بانک ها !! (2770137) (alef-10)
 
جعفر قلی
۱۳۹۴-۰۱-۰۷ ۲۱:۴۳:۱۴
تغییر را احساس کنیم (2769501) (alef-13)
 
۱۳۹۴-۰۱-۰۷ ۲۲:۵۶:۳۵
تغییر را احساس کردیم!!! (2769578) (alef-13)
 
بوشفک
۱۳۹۴-۰۱-۰۸ ۰۰:۰۹:۳۰
این حمله ی _sql injection هست که متاسفانه به زیرساخت های پرداخت الکترونیک شاپرک وارد هست و نه فقط بانک ملت بلکه جاهای دیگه هم از این حمله در امان نیستند ...
اما با توجه به فیدبک هایی که از مسئولین امنیت اطلاعات این سازمان ها دیده شده، سری که درد نمی کنه رو دستمال نمی بندیم ... (2769660) (alef-10)
 
سعید
۱۳۹۴-۰۱-۰۸ ۰۰:۳۵:۴۴
شب عید کارتم رو به عابر بانک ملت وارد کردم رمزم را وارد کردم و عملیات بانکی رو انجام دادم هنگامی که خواستم وجه انتقال بدم کارتم رو مصادره کرد و پیغام داد کارت به علت وارد کردن بیش از حد رمز اشتباه مسدود و ضبط گردید در صورتی که رمز وارده صحیح و قبل انتقال موجودی دریافت شده بود کارت منهم ملت کارت وتا دیروز درگیر گرفتن کارت از شعبه و فعال کردن ان از شعبه افتتاح حساب بودم کل برنامه ریزیهای عیدمون هم با کمک بانک ملت حروم شد سعیدی کرج (2769700) (alef-10)
 
۱۳۹۴-۰۱-۰۸ ۱۲:۵۵:۱۵
خدا به شما رحم كرده تا پولات رو خرج نكني!!!! (2770341) (alef-13)
 
۱۳۹۴-۰۱-۰۸ ۰۰:۴۰:۰۰
من بعید میدونم تو یه بانک سوتیه اینجوری تو اپلیکیشنش باشه (2769707) (alef-10)
 
۱۳۹۴-۰۱-۰۸ ۰۹:۵۸:۴۱
بهترین دلیل برای امکان چیزی وجودش. هست دیگه!
در ایران نرم افزارها را درست تست نمی کنند. موقع تحویل هم مشتری دقت نمی کند و فقط به دنبال برآوردن خیالات خود است و هر چیزی را در سریع ترین زمان ممکن می خواهد. (2770113) (alef-10)
 
۱۳۹۴-۰۱-۰۸ ۰۰:۴۵:۰۷
بالاخره یه آدم وارد به من بگه مشکلی در امنیت سیستم های الکترونیکی بانک ملت هست یا نه ؟؟ (2769722) (alef-13)
 
علی
۱۳۹۴-۰۱-۰۸ ۰۲:۱۴:۰۶
بیانیه‌ی بانک گمراه کننده‌س. سیستم‌شون به معنای دقیق کلمه «ضعف امنیتی» داشته. باید بپذیرن، ابعادش رو برای مشتری‌ها تشریح کنن و بگن برای حلش چه برنامه‌ای دارن.
ضعفی که بهش اشاره شده (و بر خلاف اون چیزی که توی متن خبر اومده جعلی نیست) به تنهایی خیلی خطرناک نیست و از طریق اون فقط میشه فهمید به کدوم شماره حساب‌ها اخیرا اینترنتی پول واریز شده.
متنها چیزی که نگران کننده‌س اینه که فقط یه برنامه نویس خیلی ناشی که هیچ آشنایی با اصول امنیت نرم‌افزار نداره ممکنه یه همچین اشتباهی بکنه و تیم برنامه‌نویسی که برای بانک نرم‌افزار تهیه می‌کنه باید یه ناظر امنیتی داشته باشه که گاف به این فاحشی از زیر دستش در نره.
یعنی احتمالا این قسمت از کد اینترنت بانک ملت حفره‌های خطرناکتر از این هم داره. (2769818) (alef-10)
 
قرتاسب
۱۳۹۴-۰۱-۰۸ ۰۱:۰۳:۱۳
تغییر دیگه نمیخوام،حسابم را بستم (2769747) (alef-13)
 
شهرام
۱۳۹۴-۰۱-۰۸ ۰۸:۰۴:۲۷
اکثر سیستم های بانکها ناامن می باشد. علی الخصوص موبایل بانک ها (2769954) (alef-10)
 
حامد
۱۳۹۴-۰۱-۰۸ ۰۷:۳۳:۳۹
وقت بستن حساب است من كه امروز ميرم حسابم ببندم . (2769932) (alef-10)
 
یکی از پیشگامان امنیت شبکه و کامپیوتر
۱۳۹۴-۰۱-۰۸ ۰۸:۱۷:۵۹
در امنیت اطلاعات مشکلی نیست؛ اما در رازداری تراکنش‌ها امکان سوء استفاده وجود دارد.
راه حل 1:
هر کسی برای استفاده از خدمات لینک مذکور؛ مجبور به ورود به حساب کاربری خود شده و در صورتی محتوای لینک برای وی فراهم گردیده و نمایش داده شود که یکی از طرفین تراکنش باشد.
راه حل2:
هر کسی از هر کد IP بتواند تعداد محدودی لینک را مشاهده نماید. مثلا در هر ساعت تنها 2 لینک.
هرچند راه اول بیشتر توصیه می‌شود.
راه حل 3:
بانک ملت نیز نظیر بانک صادرات و ملی، یک کد کاربری فقط برای مشاهده تراکنش‌ها نه انجام تراکنش ایجاد کرده و راه حل 1 را نیز همزمان عمل نماید.
بدینوسیله نه مشکلی در ورود ناخواسته به حساب کاربری و سوءاستفاده بویژه برای کسانی که کمتر به خدمات الکترونیک وارد هستند پیش می‌آید؛ نه سوء استفاده از لینک. یعنی دقیقا به شماره مشتری اجازه مشاهده لینک داده می‌شود و تا حدودی آسیب به صفر رسیده است. (2769972) (alef-10)
 
۱۳۹۴-۰۱-۰۸ ۰۹:۱۰:۳۸
جناب پیشگام امنیت شبکه و ...
لطفا بیش از این ماست مالی نفرمایید و نام سایر بانکها رابه بانک ملت نچسبانید !!!!
واقعا تغیر را احساس کردیم !!!!! (2770038) (alef-10)
 
دکتر خسروپرویز مشعوفی
۱۳۹۴-۰۱-۰۸ ۱۳:۵۵:۰۱
واقعا کی میخوایم دست از این هیجان زدگی ها و شتابزدگی های گاها بچگانه برداریم اینکه بنده همین امروز آشفته و ترسیده از خبری که صحت و سقمش زیر سوال است بلند بشیم برم حسابمو ببندم بنظرم جز هیجان زدگی و جوگیری نام دیگری ندارد.این بانک از پیشروترین و معتبرترین بانکهای ایران است.نزدیک به بیست سال سابقه کار با این بانک رو در سطوح مختلف مراودات مالی دارم و تا بحال حتی با یک مورد مشکل برخورد نکردم کمی منصف باشیم و قبول کنیم این بانک حتی بعضی مواقع از حیث افراط در محکم کاری در بانکداری الکترونیکی و تولید رمزهای یکبار مصرف چالشی و غیره حوصله کاربر را هم سر میبرد.تغییر هم مدتهای مدیدی است که احساس شده است یاران عزیز.انصاف بدهیم و بدور از انصاف نظر ندهیم.این بانک در بسیاری از حوزه های بانکی نمونه و ممتاز است.بهتر نیست دلخوری و ناراحتی مون رو از سایر حوزه های زندگی و گاها قوانین بانکی دست و پاگیر به این شکل بروز ندیم دوستان؟ (2770425) (alef-13)
 
پرویز
۱۳۹۴-۰۱-۰۹ ۱۵:۵۱:۱۸
جناب دکتر کمی اهسته تر لطفا پیاده شوید باهم قدم بزنیم شما اگر کارمند بانک ملت نباشید احتمالا مشاور بانک مذکور هستید که سنگ این بانک را به سینه میزنید وقتی بانکهای قدرتمند دیگری در سیستم بانکی که مورد اعتماد دولت و مردم می باشد وجود دارد لذا باید دراستفاده از کلمات پیشروترین و معتبرترین برای این بانک دقت بیشتری کرد این بانک کلیه کارهایش را بصورت جزیره ای انجام میدهد در کلیه پروژ ه های بانکداری بانکمرکزی این بانک با تاخیر هماهنگ میشود سایر دور زدن های این بانک را دیده اید یا شنیده اید (2772251) (alef-10)
 
دکتر خسروپرویز مشعوفی
۱۳۹۴-۰۱-۲۸ ۰۳:۳۱:۴۵
از پیشروترین بانکها با پیشروترین بانک دو عبارت کاملا متفاوتند.خوشبختانه یا بدبختانه جز یک مشتری معمولی اما 20 ساله قرابت استخدامی یا چنین روابطی با این بانک ندارم تنها بحث رضایت و استنباط شخصی بود که عنوان شد اما از اونجا که گویا تاب اظهار رضایت حقیر رو نداشتید حدس میشه زد در خصوص شما برادر گرامیم موضوع به سادگی یک ثبت نظر معمولی نیست.بهرحال هر کسی از برداشت و ظن خودش صحبت میکنه چون شما یا برخی دیگه نارضایتی دارین از این بانک دلیل نمیشه همه ناراضی باشن.چقدر در تحمل نظراتی جز نظر خودمون بیحوصله شدیم ما مردمی که زمانی بیشتر از اینها تحمل میکردیم همدیگه و نظرات همدیگه رو...این عارضه تحمل نکردن همدیگه در سایر روابط و حوزه های زندگیمون هم مشاهده میشه و اصلا پدیده خوبی برای یکی از کهن تر ین ملاحظه بفرمایید عرض کردم یکی از کهن ترین.... تمدنهای انسانی نیست!...... (2828358) (alef-10)
 
حاج علی آقا
۱۳۹۴-۰۱-۰۸ ۰۹:۵۲:۲۳
تنها توضیح دقیق و علمی مربوط به علی است که در بالا آمده است.

من دوباره توضیح را میآورم:
{{
بیانیه‌ی بانک گمراه کننده‌س. سیستم‌شون به معنای دقیق کلمه «ضعف امنیتی» داشته. باید بپذیرن، ابعادش رو برای مشتری‌ها تشریح کنن و بگن برای حلش چه برنامه‌ای دارن.
ضعفی که بهش اشاره شده (و بر خلاف اون چیزی که توی متن خبر اومده جعلی نیست) به تنهایی خیلی خطرناک نیست و از طریق اون فقط میشه فهمید به کدوم شماره حساب‌ها اخیرا اینترنتی پول واریز شده.

متنها چیزی که نگران کننده‌س اینه که فقط یه برنامه نویس خیلی ناشی که هیچ آشنایی با اصول امنیت نرم‌افزار نداره ممکنه یه همچین اشتباهی بکنه و تیم برنامه‌نویسی که برای بانک نرم‌افزار تهیه می‌کنه باید یه ناظر امنیتی داشته باشه که گاف به این فاحشی از زیر دستش در نره.
یعنی احتمالا این قسمت از کد اینترنت بانک ملت حفره‌های خطرناکتر از این هم داره.

}}

متاسفانه رد کامل موضوع توسط بانک ملت خنده دار است چون عکسهایی از دستزسی به اون سامانه وجود دارد. (2770108) (alef-10)
 
۱۳۹۴-۰۱-۰۸ ۱۳:۲۰:۰۷
اخبارها اول تکذیب می شوند بعد کم کم تایید می شوند

بخاطر رعایت حال شنوندگان و بینندگان . (2770376) (alef-13)
 
۱۳۹۴-۰۱-۰۹ ۰۳:۲۰:۵۹
خوب اینطوری شفاف سازی خوبی برای پر درآمدها می شه.حساس نشو! (2771301) (alef-10)
 


نظراتی كه به تعميق و گسترش بحث كمك كنند، پس از مدت كوتاهی در معرض ملاحظه و قضاوت ديگر بينندگان قرار مي گيرد. نظرات حاوی توهين، افترا، تهمت و نيش به ديگران منتشر نمی شود.