آخرین خبر از هک شدن حسابها و کارتهای مشتریان بانک ملت

کلیه سامانه های بانک ملت ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی این بانک وجود ندارد.

به گزارش خبرآنلاین بانک ملت اعلام کرد: کلیه سامانه های این بانک ایمن بوده و هیچ مشکلی در خصوص امنیت سایت های بانکداری الکترونیکی آن وجود ندارد.


روابط عمومی بانک ملت پیرو اخبار منتشره برخی سایت ها در خصوص وجود حفره امنیتی در سایت های بانکداری الکترونیک بانک ملت،اعلام کرد کلیه اطلاعات مربوط به حسابها و کارتهای مشتریان بانک ملت کاملا ایمن بوده و هیچ گونه مشکل امنیتی در این خصوص وجود ندارد.


بر این اساس درگاهها و سامانه ها ی الکترونیک بانک ملت بدون هیچ نقص و ایراد فنی مانند گذشته  خدمات مطلوب را در اختیار مشتریان گرامی بانک قرار می دهد .

بانک ملت همچنین با تاکید بر صحت زیر سایت های فرعی و اصلی و عملکرد صحیح سایت های پرداختهای الکترونیک، پایانه ها و درگاههای پرداخت های الکترنیک به تمامی مشتریان اطمینان داد که هر لحظه از بالاترین سطح آمادگی لازم جهت ارایه خدمات الکترونیک ایمن برخوردار بوده و به پیشگامی و سرآمدی در زمینه ارایه خدمات بانکداری الکترونیک در ایران تداوم خواهد بخشید.

 

پیشتر یکی از افراد دخیل در این خبر جعلی چنین نوشته بود:

{در فرآيند هاي اينترنت بانک ملت، لينکي توليد مي شود که در انتهاي آن چنين عبارتي وجود دارد: SaleOrderId=1333683 . اين لينک حاوي اطلاعات مربوط به تراکنش مالي است و مواردي همچون مبلغ انتقال يافته و نام کاربر را به نمايش در مي آرود.

معمولا مشاهده چنين لينک هايي مستلزم ورود به حساب کاربري است، اما در بانک ملت، هر کاربري در اينترنت با داشتن لينک مذکور، مي تواند اطلاعات تراکنش شما را مشاهده نمايد.

اما مشکل اصلي جايي ديگر است. هر کاربر با تعويض عدد هاي پاياني عبارت مذکور، مي تواند به لينکي جديد دست پيدا کند و از اين طريق اطلاعات تراکنش ديگر کاربران را نيز مشاهده نمايد.

با وجود اين باگ، تنها يک اسکريپت کفايت مي کند تا اطلاعات هزاران کاربر در قالب ليستي بلند بالا منتشر گردد. اسکريپت مذکور تنها کافي است اعداد ۱ تا ۹۹۹۹۹۹۹۹ را در پايان لينک مذکور، جاي گذاري کند.

اما اين عدد در پايان لينک تراکنش به چه منظور ايجاد شده است؟ مي دانيم که تقريبا تمام برنامه ها با متغير ها سر و کار دارند و جهت برقراري ارتباط بين کاربر و صفحات مختلف نياز است تا چنين عدد هايي رد و بدل شود.

براي مثال اگر کاربر تراکنش شماره ۱۳۳۳۶۸۳ را انجام داده باشد و بانک قصد داشته باشد امکان چاپ سند را در اختيار او قرار دهد، بايد به سيستم اعلام کند که تراکنش شماره ۱۳۳۳۶۸۳ را براي چاپ آماده سازد.

در نتيجه چنين فرآيندي، باگ مذکور به وجود مي آيد. اما چگونه مي توان از بروز اين ضعف امنيتي، جلوگيري کرد؟}

 


5656

برای دسترسی سریع به تازه‌ترین اخبار و تحلیل‌ رویدادهای ایران و جهان اپلیکیشن خبرآنلاین را نصب کنید.
کد خبر 406079

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
3 + 12 =

نظرات

  • نظرات منتشر شده: 35
  • نظرات در صف انتشار: 0
  • نظرات غیرقابل انتشار: 0
  • علي ۱۶:۲۴ - ۱۳۹۴/۰۱/۰۶
    100 1
    خبر جعلي نيست خوب است دانش خود را افزايش دهيم
  • بی نام IR ۱۶:۲۶ - ۱۳۹۴/۰۱/۰۶
    72 1
    معمولا تو سیستم های تحت وب همچین عدد هایی را کد می کنن.
  • ندا IR ۱۸:۱۳ - ۱۳۹۴/۰۱/۰۶
    21 65
    عجب کشف خنده داری، هرکس فقط کمی برنامه نویسی بدونه میفهمه یه کد تنها نمیتونه کل اطلاعات یه تراکنش رو واکشی کنه. فرض کنیم همچین چیزی هم ممکن باشه هیچ احمقی این کد رو تو لینک آدرس نمیگذاره. اونم تیم برنامه نویس یه بانک معتبر که بعد گلی آزمون و مصاحبه استخدام شدند. در ضمن بانک تمام درگاه های پرداختی که توسط سایتهای خرید اینترنتی پیاده سازی میشوند رو با دقت چک میکنه و اگر کوچکترین مشکلی باشه، درگاه رو تأیید نمیکنند
    • سینا DE ۱۷:۱۲ - ۱۳۹۴/۰۱/۰۸
      21 4
      خبرو گنده کردن و این اصلا هک نیست. بهتر بود با عنوان مشکل امنیتی یا باگ منتشر میشد. منبع اصلی که این خبرو منتشر کرد هم اصلا اسمی از هک نیاورده چون خودش اونقدر آگاه هست که فرق هک و نفوذ و باگ رو بدونه ولی در کل همه ما تست کردیم و اطلاعات کامل "تراکنش ها" رو دیدیم. حالا نمیدونم کسی اطلاعات را ماین کرده باشه یا نه :
  • بی نام A1 ۱۸:۱۹ - ۱۳۹۴/۰۱/۰۶
    25 6
    به نظر من اول تحقیق کنید بعد خبر را جعلی اعلام کنید چون به نظر توضیح ایشان مشخص و فنی هست. بهتر هست یک نمونه را امتحان کنید
  • سید ح IR ۱۹:۱۷ - ۱۳۹۴/۰۱/۰۶
    7 62
    مدیر بخش هولدینگ بانک ملت مدیر بسیار توانا و موفقی بوده و مطمعناً اگر با خودشان مصاحبه کنید خودشان بهتر از همه توضیح می دهند و مطمعناً با این یک شایعه بوده و اشکالی نداشته است فقط شایعه بوده و بس.
    • بی نام IR ۰۲:۲۹ - ۱۳۹۴/۰۱/۱۸
      18 0
      خوب از ریئس خود تعریف می کنی شیطون
  • محمد A1 ۱۹:۴۶ - ۱۳۹۴/۰۱/۰۶
    36 65
    اولین و بهترین بانک از نظر خدمات الکترونیکی
  • fsharp A1 ۲۱:۰۶ - ۱۳۹۴/۰۱/۰۶
    54 19
    برای حل این مشکل بایستی از sessionها استفاده کرد. به فرض این که مجبور به استفاده از query برای رد و بدل کردن اطلالات باشیم، در عملیات postback بایستی کدی نوشته شود که بررسی کند آیا چنین کاربری مجاز به مشاهده چنین اطلاعاتی هست یا خیر. در صورتی که کاربر مجاز به دیدن اطلاعات باشد این اطلاعات برای وی به نمایش درامده درغیر این صورت به یک صفحه مناسب هدایت می شود و یا این که پیام مناسبی برای وی چاپ می شود. مجاز یا غیر مجاز بودن کاربر با جستجو در بانک اطلاعاتی مشخص می شود. چنین تکنیکی برای رد و بدل کردن اطلاعات در سیستم های نرم افزاری کلاود و وب بیس به کرات استفاده شده و میشود . اما در بانک ها که امنیت اطلاعات و بحث حریم شخصی کاربران بسیار مهم است قابل انتطار نیست.
    • بی نام IR ۱۱:۱۴ - ۱۳۹۴/۰۱/۰۷
      28 17
      من اولین نفر بودم مثبت دادم میشه یکی دلیل منفی ها رو بگه؟
    • amir LU ۰۶:۴۵ - ۱۳۹۴/۰۱/۰۸
      23 6
      خطاب به بی نام: برای این که بعضی ها بدون این که از چیزی اطلاع داشته باشند سریع جلوش جبهه می گیرند. این توی خون ماست. به قول سینا: هر کاری که بها داره جایی زیر سوال داره. مثبت دادم
  • بی نام IR ۲۱:۳۲ - ۱۳۹۴/۰۱/۰۶
    45 14
    بنده دو بار حسابهایم از طریق بانک ملت مورد سو استفاده قرار گرفت
  • بی نام IR ۰۸:۴۲ - ۱۳۹۴/۰۱/۰۷
    39 16
    واقعیت تلخه
  • بی نام IR ۱۱:۰۰ - ۱۳۹۴/۰۱/۰۷
    13 15
    با وجود دستگاه یکباررمز و اطلاع رسانی از طریق sms و بروز رسانی مرورگر فایرفاکس یا کروم که مدام clear cache کنیم و پسورد ذخیره نکنیم و انجام حواله صرفا با otp ، احتمال هک خیلی کمه
  • اینترنتیان US ۱۳:۲۰ - ۱۳۹۴/۰۱/۰۷
    37 8
    من یکبار برای شارژ اینترنت با کارت بانک دیگه ایی ، از درگاه بانک ملت استفاده کردم. پس از چندبار تلاش برای پرداخت خطا می داد که در آخر بیخیالش شدم اما مشکل اصلی اینجا بود که من پس از یک هفته تازه متوجه شدم که هر سه بار از حساب من پول کسر شده بوده و اگر چه اس ام اس بانک من هم فعال بوده اما از تراکنش صورت گرفته هیچ اس ام اسی از طرف بانک کارتم هم نیومده بود سر آخر با کلی دویدن تونستم به جای پولم شارژ سه ماه اینترنت بگیرمتوفیق اجباری چون اصل پولم رو برنگردوند. حالا فکرشو بکنید او بنده های خدایی که اصلا متوجه این قضایا نمی شن...در کل وضع بانکهای ما خیلی خرابه...
  • رئوف A1 ۱۵:۰۵ - ۱۳۹۴/۰۱/۰۷
    26 3
    من امروز حسابم را چک کردم ساعت 6:30 دقیقه یک کارت شارژ 5000 تومانی خرید شده
    • بی نام GB ۰۸:۳۶ - ۱۳۹۴/۰۱/۱۲
      36 1
      اعضای خانواده گاهی اوقات شبیخون میزنن
  • Казвам се A1 ۱۵:۲۶ - ۱۳۹۴/۰۱/۰۷
    35 4
    استفاده از سیستم عامل سرور کرک شده که سالی یک بار هم آپدیت نمیشه، استفاده از نرم افزارهای قدیمی عهد قاجار و.. ، همین که تا اینجا دوام اورده جای تعجبه.
  • حاج علی IR ۰۶:۰۸ - ۱۳۹۴/۰۱/۰۸
    39 1
    خبر کاملا درست بود خودم تستش کردم بعد روز چهارشنبه درستش کردن اما متاسفانه از ریشه انکارش میکنن این توهینبه به شعور مردمه
  • ارمان A1 ۱۶:۵۶ - ۱۳۹۴/۰۱/۰۸
    16 1
    اقا اگه امن نیست بگید تا همین فردا حساب مون و ببندیم دیگ؟ این خبرای درپیتی چی ان؟
  • آمیرزا A1 ۱۹:۱۹ - ۱۳۹۴/۰۱/۰۸
    20 1
    کدوم خبر جعلی؟ خبر آنلاین عزیز، بهتر بود قبل از اینکه بدون تحقیق بگی خبر جعلیه از اهل فن سوال میکردی. بانک ملت سوتی بدی داده بهترین راه اینه که عذرخواهی کنه نه اینکه مسئله به این عیانی رو انکار کنه
  • عباس IR ۰۵:۰۴ - ۱۳۹۴/۰۱/۰۹
    5 5
    موارد دیگه هست که بسیار پراهمیت تر از افشای نام و نام خانوادگی هست. در موضوع فوق تنها نام ونام خانوادگی واریز کنندگان قابل مشاهده بود که خبری راجع به آنها نمیروند خودم چند مورد سراغ دارم متاسفانه یک جو خبری در ایام نوروز در ابتدا نسیم نیوز علیه بانک ملت رفت که اصلا حرفه ای نبود. به نظر من که هدفدار بوده است.
  • بی نام A1 ۰۵:۳۰ - ۱۳۹۴/۰۱/۱۰
    27 6
    امنیت حسابهای بانکی خیلی پایین است خدارو شکر دشمنان خارجی دنبال این حسابها نیستند
  • A1 ۲۱:۱۸ - ۱۳۹۴/۰۳/۲۱
    1 1
    سرویس پیشنهادی است برای فایروال
  • A1 ۲۱:۳۳ - ۱۳۹۴/۰۳/۲۱
    1 1
    ممنون از اطلاع رسانی
  • نام LU ۲۲:۱۲ - ۱۳۹۴/۰۳/۲۱
    1 2
    آسان در برابر دی داس
  • گوش DE ۰۹:۴۲ - ۱۳۹۴/۰۳/۲۲
    1 2
    بانک ملت هک شد فقط برای امنیت تا cloudeflare.com که گفته بودم بزاره دیوار آهنین وای خدا ایران چه کسایی داره قدرش نمی دونن
  • google DE ۰۹:۴۵ - ۱۳۹۴/۰۳/۲۲
    1 3
    در گوگل سرچ کنید بانک ملت بعد کلیک کنید سایت یک کوچولو هک شده لطفا cloudeflare.com بگذارید من می خواستم ضعف سایتو فقط نشان بدم
  • بی نام US ۱۶:۱۹ - ۱۳۹۴/۰۷/۱۱
    1 0
    آدرس پرداخت اینترنتی بانک ملی 89.235.64.237 هست. یه هانی پات هم رو 89.235.65.165 گذاشتن آدرس پرداخت اینترنتی بانک اقتصاد نوین 87.107.134.3 هست. یه هانی پات هم رو 87.107.134.4 گذاشتن آدرس پرداخت اینترنتی بانک سامان 91.240.181.20 هست. یه هانی پات هم رو 91.240.181.21 گذاشتن
  • محمود IR ۱۹:۳۵ - ۱۳۹۴/۰۸/۱۰
    3 0
    امروز پنل کاربری بانکداری ملت داداش من هک شد و حسابش رو خالی کردن . کلیه تذکرات ایمنی هم رعایت کردیم.فقط حساب ما رو خالی نکردن خیلی ها قربانی شدن.یارو ک هک کرد پولا رو انتقال میداد ی حساب ملی.ساعت 3 ظهر بود پیامک اومد یکی وارد سامانه شما شده . ظرف 10 ثانیه خالی شد . آخه یکی نیست بگه بانک ملت سخته برات در زمان انتقال پول تاییدیه پیامکی با شماره موبایل صاحب حساب انجام بدی.من فقط ی کاربر معمولی هستم این ایده داخل ذهنمه،اون تیم برنامه نویس و بقول خودشون حرفه ای که امنیت بانک ملت نمیدونن اینارو . واقعا زشته
  • لقمان IR ۲۰:۴۸ - ۱۳۹۵/۰۳/۳۱
    1 0
    همین الان حساب یکی از دوستام را هک کردند و مبلغ 290 میلیون تومان را برداشت نمودند
  • حمید A1 ۲۱:۴۳ - ۱۳۹۵/۰۳/۳۱
    0 0
    200 میلیون تومن هم از حساب برادر من همین امشب برداشته شد چقد مزخرفه این بانک ملت قطعا خود بانک هک شده نه سایتهای بانکداری الکترونیکش چون برادر من هیچ گونه تراکنش اینترنتی نداشته اقا لقمان اگه واست مقدوره یه پیام بزار یا شماره ی دوستت تا بتونیم بیشتر و بهتر پیگیری کنیم یا حتی شکایت از این بانک
  • بی نام RO ۱۶:۴۴ - ۱۳۹۵/۱۰/۲۶
    0 0
    چهار میلیون هم از حساب برادرم نزد بانک ملت برداشتن و الان سه ساله درگیر دادگاه و هکر هیتش،بانک ملت هم اصلا پاسخگو نیست
  • زهره A1 ۰۹:۴۷ - ۱۳۹۶/۰۱/۲۶
    1 1
    از حساب بانکی هر کسی که عرضه نداره رمز خودشو درست نگهداری کنه و یا از وبسایتهای ناامن خرید میکنه هک صورت میگیره و این ربطی به امنیت بانک نداره تو ایران و آمریکا این قضیه هیچ فرقی نداره
  • هادی IR ۱۲:۲۵ - ۱۳۹۶/۰۱/۲۶
    0 0
    سلام...از حساب من پول برداشت شده...حدود 100 نفر میشد اومده بودن پلیس فتا..چطور امن بود که از حساب این همه آدم 110 میلیون پول برداشته ؟؟؟؟؟