наверное
Гостей: 9Иерархия статей
Google коварен!
- 08.07.2011 06:54
- Безопасность
Произошла со мной интересная история, как раз для блога «Информационная безопасность».
Значит решил я почитать новости которые собирает мой любимый Google Reader, день оказался информационно бедный и новостей было мало. Когда заканчиваются новости из моих подписок я использую раздел который называется «Рекомендованные записи», там можно найти разные новости из каналов на которые ты не подписан, но которые тематически совпадают с твоими интересами.
Значит сижу, листаю...
Ничего не предвещало беды...
Наверное так выглядит твой Reader?
InPic.ru — Бесполезная способность
Приват24 выписки: -5.00 UAH
Демотиваторы: Машенька
Самый сок! Юдаш*ТЫДЫЩЪ*… и тут мозг понимает, что только что произошло происшествие!
— Приват24 выписка: -5.00 UAH???
Что то тут не ладно, нету у меня карты ПриватБанка и не было никогда, да и вообще, это не мои подписки — это «Рекомендованные записи»!
Эта «новость» показалась мне интересной и я решил подписаться на канал.
Что я Вам могу рассказать? PIN и CVV коды там конечно не светятся, было бы совсем глупо, многие «новости» выглядят где-то так:
Description: ДЕПОЗИТ
Available balance: -4587.25 UAH
Из такого сообщения даже номер карты не узнать, а сам канал называется "Приват24 выписки: Visa (****0205) баланс: 10063.75 UAH". Первое сообщение в этом канале датируется 13.04.2010 и всего там 170 сообщений так что — есть на что посмотреть.
Динь-динь-динь!!!
Description: ПРИВАТ24: ПЕРЕВОД С КАРТЫ НА КАРТУ. FAMILIYA A UA GOROD 18, 16(С КАРТЫ 1234567891230205 НА КАРТУ 1234567891234567) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4997.99 UAH
По этому сообщению не сложно догадаться, что номер карты владельца: 1234567891230205, а ещё фамилия латиницей.Продавец ЕвроСети продал душу дьяволу и чехольчик.
Что же далее?
А далее я продолжаю просматривать «новости» и наблюдаю на такое сообщение:
Description: МОБ СВЯЗЬ П24. 123432123: СПИСАНИЕ ЗА ПОПОЛНЕНИЕ МОБИЛЬНОЙ СВЯЗИ. ТЕЛЕФОН:+380671234567. ДАТА: 06.01.2011 21:22:23. IDPAY: 1234567(С КАРТЫ 1234567891230205 НА КАРТУ ) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4329.56 UAH
Чуть позже — такое:
Description: ГОРОДСКОЙ ФИЛИАЛ, ОТДЕЛЕНИЕ "ЦЕНТР" (BLA1). КАССА: ПРИХОДНАЯ ОПЕРАЦИЯ. НАДХОДЖЕННЯ ГОТIВКИ ЗА ПЛАТIЖНИМИ КАРТКАМИ [DAMDG55566677788899] ПЛАТЕЛЬЩИК: ФАМИЛИЯ ИМЯ ОТЧЕСТВО(С КАРТЫ НА КАРТУ 1234567891230205) ДЕПОЗИТ
Available balance: -3587.25 UAH
Итог:
Номер платёжной карты.
Номер телефона.
Имя Фамилия Отчество.
Фотографии, интересы, друзья. Спасибо ВК.
Это ещё не всё!
Я связался с банком и рассказал о такой ситуации, приняли на рассмотрение. Но потом меня осенило!
Я зашёл в канал и нажал «показать подробности»
Подписчиков канала: 2
Дальнейшее гугление позволило установить, что раньше у ПриватБанка была функция экспорта выписок в RSS, но в связи с новым интерфейсом Приват24 эта функция пока не доступна. Хотя это не особо важно.
Апофеоз
Владелец карты оказался человеком продвинутым, и хотел контролировать состояние своего счёта не только через интерфейс Приват24 но и через RSS поток, который собирает в Google Reader.
Что в этом плохого? Вполне современный подход современного человека, потом сам поток можно получить только зная секретный ключ, а поток внутри SSL!
Вердикт: Безопасно.
Но тут то гугл его и подставил, и возможно не только его…
Всё что написано далее всего лишь моё предположение.
Мне кажется, что как только Вы добавляете поток в Google Reader — ссылка по которой доступен поток, становится как-бэ общедоступной, то есть Google может предложить эту ссылку постороннему человеку в качестве новостей, рекомендованных записей и т.д.
Что в общем-то иногда НЕ БЕЗОПАСНО!
Я в шоке!
После общения с банком я решил позвонить этому человеку и рассказать о сложившейся ситуации. Кратко изложу общение:
— (Я) Здравствуйте, меня зовут Дмитрий! Это Фамилия имя?
— (Он) Да.
— (Я) Простите не знаю как рассказать, Вы пользуетесь Google Reader-ом.
— (Он) Да.
— (Я) И Он собирает у Вас RSS поток с выписками по счёту ПриватБанка?
— (Он) Да.
— (Я) Вы понимаете так уж сложилось, что я могу просматривать все Ваши операции, и другие люди возможно тоже.
— (Он) Ну и что?
— (Я) Ну как это «ну и что?» там номер Вашего телефона, Вашей карты и т.д.
— (Он) Ну и что?
Дальнейшее описание общения вижу бессмысленным.
Всё.
PS: автор статьи main, будьте бдительны товарищи...
Значит решил я почитать новости которые собирает мой любимый Google Reader, день оказался информационно бедный и новостей было мало. Когда заканчиваются новости из моих подписок я использую раздел который называется «Рекомендованные записи», там можно найти разные новости из каналов на которые ты не подписан, но которые тематически совпадают с твоими интересами.
Значит сижу, листаю...
Ничего не предвещало беды...
Наверное так выглядит твой Reader?
InPic.ru — Бесполезная способность
Приват24 выписки: -5.00 UAH
Демотиваторы: Машенька
Самый сок! Юдаш*ТЫДЫЩЪ*… и тут мозг понимает, что только что произошло происшествие!
— Приват24 выписка: -5.00 UAH???
Что то тут не ладно, нету у меня карты ПриватБанка и не было никогда, да и вообще, это не мои подписки — это «Рекомендованные записи»!
Эта «новость» показалась мне интересной и я решил подписаться на канал.
Что я Вам могу рассказать? PIN и CVV коды там конечно не светятся, было бы совсем глупо, многие «новости» выглядят где-то так:
Description: ДЕПОЗИТ
Available balance: -4587.25 UAH
Из такого сообщения даже номер карты не узнать, а сам канал называется "Приват24 выписки: Visa (****0205) баланс: 10063.75 UAH". Первое сообщение в этом канале датируется 13.04.2010 и всего там 170 сообщений так что — есть на что посмотреть.
Динь-динь-динь!!!
Description: ПРИВАТ24: ПЕРЕВОД С КАРТЫ НА КАРТУ. FAMILIYA A UA GOROD 18, 16(С КАРТЫ 1234567891230205 НА КАРТУ 1234567891234567) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4997.99 UAH
По этому сообщению не сложно догадаться, что номер карты владельца: 1234567891230205, а ещё фамилия латиницей.Продавец ЕвроСети продал душу дьяволу и чехольчик.
Что же далее?
А далее я продолжаю просматривать «новости» и наблюдаю на такое сообщение:
Description: МОБ СВЯЗЬ П24. 123432123: СПИСАНИЕ ЗА ПОПОЛНЕНИЕ МОБИЛЬНОЙ СВЯЗИ. ТЕЛЕФОН:+380671234567. ДАТА: 06.01.2011 21:22:23. IDPAY: 1234567(С КАРТЫ 1234567891230205 НА КАРТУ ) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4329.56 UAH
Чуть позже — такое:
Description: ГОРОДСКОЙ ФИЛИАЛ, ОТДЕЛЕНИЕ "ЦЕНТР" (BLA1). КАССА: ПРИХОДНАЯ ОПЕРАЦИЯ. НАДХОДЖЕННЯ ГОТIВКИ ЗА ПЛАТIЖНИМИ КАРТКАМИ [DAMDG55566677788899] ПЛАТЕЛЬЩИК: ФАМИЛИЯ ИМЯ ОТЧЕСТВО(С КАРТЫ НА КАРТУ 1234567891230205) ДЕПОЗИТ
Available balance: -3587.25 UAH
Итог:
Номер платёжной карты.
Номер телефона.
Имя Фамилия Отчество.
Фотографии, интересы, друзья. Спасибо ВК.
Это ещё не всё!
Я связался с банком и рассказал о такой ситуации, приняли на рассмотрение. Но потом меня осенило!
Я зашёл в канал и нажал «показать подробности»
Подписчиков канала: 2
Дальнейшее гугление позволило установить, что раньше у ПриватБанка была функция экспорта выписок в RSS, но в связи с новым интерфейсом Приват24 эта функция пока не доступна. Хотя это не особо важно.
Апофеоз
Владелец карты оказался человеком продвинутым, и хотел контролировать состояние своего счёта не только через интерфейс Приват24 но и через RSS поток, который собирает в Google Reader.
Что в этом плохого? Вполне современный подход современного человека, потом сам поток можно получить только зная секретный ключ, а поток внутри SSL!
Вердикт: Безопасно.
Но тут то гугл его и подставил, и возможно не только его…
Всё что написано далее всего лишь моё предположение.
Мне кажется, что как только Вы добавляете поток в Google Reader — ссылка по которой доступен поток, становится как-бэ общедоступной, то есть Google может предложить эту ссылку постороннему человеку в качестве новостей, рекомендованных записей и т.д.
Что в общем-то иногда НЕ БЕЗОПАСНО!
Я в шоке!
После общения с банком я решил позвонить этому человеку и рассказать о сложившейся ситуации. Кратко изложу общение:
— (Я) Здравствуйте, меня зовут Дмитрий! Это Фамилия имя?
— (Он) Да.
— (Я) Простите не знаю как рассказать, Вы пользуетесь Google Reader-ом.
— (Он) Да.
— (Я) И Он собирает у Вас RSS поток с выписками по счёту ПриватБанка?
— (Он) Да.
— (Я) Вы понимаете так уж сложилось, что я могу просматривать все Ваши операции, и другие люди возможно тоже.
— (Он) Ну и что?
— (Я) Ну как это «ну и что?» там номер Вашего телефона, Вашей карты и т.д.
— (Он) Ну и что?
Дальнейшее описание общения вижу бессмысленным.
Всё.
PS: автор статьи main, будьте бдительны товарищи...
- Печать
- 2 Комментариев
- 1134 Прочтений
| Поделиться этой статьей | |
| Социальные закладки: |
|
| URL: | |
| BBcode: | |
| HTML: |
Добавить комментарий
Пожалуйста, залогиньтесь для добавления комментария.
Рейтинги
- Нет данных для оценки.
Рейтинг доступен только для пользователей.
Пожалуйста, авторизуйтесьили зарегистрируйтесь для голосования.