Вдохновившись статьей MrGrey о реакций российских компаний на плохие новости о дырах в безопасности, решил добавить свои 5 копеек, рассказав о своем опыте общения с американским Банком, который называет самым защищенным банком и является одним из крупнейших банков Америки — и в общем, наверное, всего мира.
Началось все с поздравительного email'a о регистрации кредитки — в нем не работали ссылки, просто в следствии описки (был поставлен лишний пробел(%20) после http://). Безуспешно поискав email технической поддержки на сайте, я не нашел ничего лучшего, чем написать в онлайн чат, где меня конечно не поняли.
Расстроившись, ну и посмотрев код, который является мешаниной inline css и тучи js, решил попробовать спросить мнения Google о моем новом банке. Поискав что-то вроде site:bankname.com filetype:txt, я нашел ~20 страничек, на которых был открыт source backend code. На вид это походило как если бы вы не включили ShortTags, то есть сразу была открыта структура всех каталогов и манера написания кода.
Так же Google показал огромное количество stack traceback страниц этого чудесного банка, traceback давал прекрасное понимание о том, какой сервер использует чудо-банк, какие сервисы и библотеки.
Собрав все это, я описал все эти проблемы с указанием того, как я их нашел (линк на Google) на все email, которые определялись через whois для доменного имени (других email найти просто невозможно). Конечно, ответа не последовала, код был виден, traceback демонстрировал структуру. Но это же мой банк, подумав, собрал это все вместе и написал на страничку чудо-банка в Facebook и отправил парочку твитов. Ответа нет.
Расстроившись, да и разозлившись, нашел community forum чудобанка, создал там топик об ошибках, все описал… Ответа не было.
Иногда заходя просматривать топик, я обнаружил, что в углу топика есть забавный счетчик, который тупо считает количество загрузок страницы.
Дальше, недолго думая, написал пару строчек кода, которые в бекграунде обновляли страницу, что-то вроде:
#!/bin/bash
for i in {1..99999999}
do
echo "done $i"
wget -qO- topicUrl &> /dev/null
done
На 60000 тысячах «просмотров» мне ответили сразу двое сотрудников, что они все передадут, и им стыдно, что они не отвечали.
Ну что же, я рад… Но в процессе использования их community форума я обнаружил еще несколько мелких помарок/описок, о которых я и написал.
Затем обнаружил, что вообще вставка картинок на этом самом форуме отключена как-то настолько неправильно, что неотключена. Продемонстрировал это все администрации, рассказав попутно о том, как Opera позволяла исполнять js в картинках.
Помимо исполнения js картинка почему-то еще линковалась/линкуется к сайту, с которого она добавлена. И, конечно, переход на этот сайт происходит без всякого предупреждения (по-моему, превосходный способ своровать чьи-нибудь данные).
Еще одна интересная задумка форума — в неконтролируемом размере шрифта, что как-то ну просто некрасиво. Кому-то на этом этапе может показаться, что я придираюсь, но господа, это же банк — огромный международный банк (я лично считаю, что они должны быть образцами всего, а не наоборот).
Ответов на это, я опять не получил. Решив убить сразу нескольких зайцев (найти работу в крутом банке и рассказать техническим ребятам из банка о их бедах), я попытался подать резюме на одну из вакансий, опубликованных на сайте. Что же вы думаете, конечно у меня ничего не получилось, система требовала заполнить, поля которых не было в html форме.
Когда я подавал заявление на работу, я, конечно, искал, и нашел что-то более-менее подходящее мне — это LAMP. Чего, судя по моим наблюдениям, чудо-банк не использовал (то, что было открыто наружу — все смотрелось javой). Подумав, я решил спросить Google где же там PHP. Гугл рассказал про WordPress на одном из сабдоменов чудобанка. Перейдя туда обнаружился открытый wp-admin (никакой защиты от bruteforce) и устаревший WordPress с известными всему миру xss, который я и опубликовал вновь на community форумe чудо-банка вместе с еще 5-ю страницами, на которых миру был открыт их backend код.
За время своего интереса к беспомощности этого банка я написал 13 постов и получил 2 ответа. Ответы были только о том, что информация будет переданна. И судя по тому, что большинство проблем уже закрыто, информация действительно была передана, но мне никто, ничего так и не сказал.
Так что беда с отношением к безопасности — она мировая.
Community форум банка.
Автор: MikhailShel