#باگ #هک #آسیبـپذیری #بورس #کارگزاری #الماس_داده
۱/۱۴
اگه مشتری هر کدوم از ۲۲ کارگزاری زیر هستید، در جریان باشید که با احتمال بالایی ممکنه همهی اطلاعات شناسنامهای، اطلاعات حساببانکی، آدرس محل کار و محل سکونت و شماره موبایل و شماره محل سکونت/کار شما افشاء شده باشه...
۱/۱۴
اگه مشتری هر کدوم از ۲۲ کارگزاری زیر هستید، در جریان باشید که با احتمال بالایی ممکنه همهی اطلاعات شناسنامهای، اطلاعات حساببانکی، آدرس محل کار و محل سکونت و شماره موبایل و شماره محل سکونت/کار شما افشاء شده باشه...
۲/۱۴
به همین خاطر حواستون رو جمع کنید که توی دام حملات مهندسی اجتماعی یا فیشینگی که مرتبط با این اطلاعات هست گرفتار نشید. البته این هشدار وظیفهی بنده نیست، اما از اونجایی که مسبب این رخنهی احتمالی اطلاعات، وظیفهی خودش ندونسته چنین اطلاعرسانیای انجام بده، ناچارا بنده ...
به همین خاطر حواستون رو جمع کنید که توی دام حملات مهندسی اجتماعی یا فیشینگی که مرتبط با این اطلاعات هست گرفتار نشید. البته این هشدار وظیفهی بنده نیست، اما از اونجایی که مسبب این رخنهی احتمالی اطلاعات، وظیفهی خودش ندونسته چنین اطلاعرسانیای انجام بده، ناچارا بنده ...
۳/۱۴
انجامش میدم.
داستان از جایی شروع میشه که چهار هفته پیش مشغول ثبتنام غیر حضوری داخل وبسایت یکی از کارگزاریهای بورس بودم. توی مرحلهی آخر بعد از وارد کردن همهی اطلاعات شناسنامهای، اطلاعات حسابهای بانکی، آدرس محل کار و منزل و تلفن و موبایل و ...، بعد از این که ...
انجامش میدم.
داستان از جایی شروع میشه که چهار هفته پیش مشغول ثبتنام غیر حضوری داخل وبسایت یکی از کارگزاریهای بورس بودم. توی مرحلهی آخر بعد از وارد کردن همهی اطلاعات شناسنامهای، اطلاعات حسابهای بانکی، آدرس محل کار و منزل و تلفن و موبایل و ...، بعد از این که ...
۴/۱۴
دکمهی ثبت رو زدم، با کادری مواجه شدم که صرفا با دریافت کد ملی، همهی اطلاعات پروندهم رو در قالب فایل pdf برای دانلود در اختیار میگذاشت. طبیعتا برای من که اندکی از امنیت سر میآرم، اولین چیزی که به ذهنم رسید وجود باگ Enumeration توی پیادهسازی این تابع بود. به عبارت ...
دکمهی ثبت رو زدم، با کادری مواجه شدم که صرفا با دریافت کد ملی، همهی اطلاعات پروندهم رو در قالب فایل pdf برای دانلود در اختیار میگذاشت. طبیعتا برای من که اندکی از امنیت سر میآرم، اولین چیزی که به ذهنم رسید وجود باگ Enumeration توی پیادهسازی این تابع بود. به عبارت ...
۵/۱۴
دیگه هر کسی میتونست وارد قسمت پیگیری وبسایت این کارگزاری بشه و با وارد کردن کد ملی من یا هر کد ملی دلخواه دیگهای، همهی اطلاعات فوق، که بعضا خیلی مهم هست رو استخراج کنه. البته وجود چنین فاجعهای که نقض بدیهیات پیادهسازی سیستم امن برای چنین شرکتهایی هست، خودش نشونهی...
دیگه هر کسی میتونست وارد قسمت پیگیری وبسایت این کارگزاری بشه و با وارد کردن کد ملی من یا هر کد ملی دلخواه دیگهای، همهی اطلاعات فوق، که بعضا خیلی مهم هست رو استخراج کنه. البته وجود چنین فاجعهای که نقض بدیهیات پیادهسازی سیستم امن برای چنین شرکتهایی هست، خودش نشونهی...
۶/۱۴
وجود باگهای بعدی بود. به خاطر همین یه مقدار بررسی عمیقتر انجام دادم و متوجه شدم نه تنها باگ enumeration وجود داره، بلکه روی همهی فیلدهای جدول مربوطهی پایگاهداده، آسیبپذیری SQL Injection هم وجود داره. به عبارت دیگه، هر کسی نه تنها میتونست با کد ملی ...
وجود باگهای بعدی بود. به خاطر همین یه مقدار بررسی عمیقتر انجام دادم و متوجه شدم نه تنها باگ enumeration وجود داره، بلکه روی همهی فیلدهای جدول مربوطهی پایگاهداده، آسیبپذیری SQL Injection هم وجود داره. به عبارت دیگه، هر کسی نه تنها میتونست با کد ملی ...
۷/۱۴
اقدام به استخراج همهی اطلاعات کاربرها بکنه، بلکه میتونست با هر کدوم از اطلاعات شناسنامهای، حساب بانکی، تاریخ تولد، شماره موبایل و شماره منزل و ...، این کار رو انجام بده. اینجا، لحظهای بود که مضطرب و توامان خشمگین از این همه بیتوجهی به اطلاعات افراد، به دنبال راهی ...
اقدام به استخراج همهی اطلاعات کاربرها بکنه، بلکه میتونست با هر کدوم از اطلاعات شناسنامهای، حساب بانکی، تاریخ تولد، شماره موبایل و شماره منزل و ...، این کار رو انجام بده. اینجا، لحظهای بود که مضطرب و توامان خشمگین از این همه بیتوجهی به اطلاعات افراد، به دنبال راهی ...
۸/۱۴
برای گزارش آسیبپذیری گشتم. سایت کارگزاری مذکور، متاسفانه هیچ قسمتی برای چنین گزارشی نداشت، اما در ادامه متوجه شدم که آسیبپذیری برای محصولی از شرکت #الماس_داده است و تنها مختص این کارگزاری نیست. بلکه ۲۲ کارگزاری دیگه، که همگی از مشتریان الماس داده هستند هم نسبت به آن ...
برای گزارش آسیبپذیری گشتم. سایت کارگزاری مذکور، متاسفانه هیچ قسمتی برای چنین گزارشی نداشت، اما در ادامه متوجه شدم که آسیبپذیری برای محصولی از شرکت #الماس_داده است و تنها مختص این کارگزاری نیست. بلکه ۲۲ کارگزاری دیگه، که همگی از مشتریان الماس داده هستند هم نسبت به آن ...
۹/۱۴
آسیبپذیرند. در نهایت ایمیلی با شرح جزئیات فنی روانهی الماسداده کردم. طبیعتا پیش از رفع آسیبپذیری با برخوردی محترمانه و امید بخش و ابراز تمایل به پرداخت باگبانتی و همکاری مواجه شدم. آسیبپذیری مذکور هم سریعا (هر چند با ایراداتی جزئی) مرتفع شد. اما پس از رفع ...
آسیبپذیرند. در نهایت ایمیلی با شرح جزئیات فنی روانهی الماسداده کردم. طبیعتا پیش از رفع آسیبپذیری با برخوردی محترمانه و امید بخش و ابراز تمایل به پرداخت باگبانتی و همکاری مواجه شدم. آسیبپذیری مذکور هم سریعا (هر چند با ایراداتی جزئی) مرتفع شد. اما پس از رفع ...
۱۰/۱۴
باگ، نه تنها از باگبانتی خبری نشد، بلکه تلفنها و پیامهای بنده هم بدون پاسخ ماند و بعلاوه، مهمتر از همه، هیچ هشداری مبنی بر امکان افشا شدن اطلاعات به مشتریان ارسال نگردید!
البته در این ماجرا نه فقط الماس داده، بلکه نهاد نظارتی که مجوز چنین سامانهای با چنین رخنههای ...
باگ، نه تنها از باگبانتی خبری نشد، بلکه تلفنها و پیامهای بنده هم بدون پاسخ ماند و بعلاوه، مهمتر از همه، هیچ هشداری مبنی بر امکان افشا شدن اطلاعات به مشتریان ارسال نگردید!
البته در این ماجرا نه فقط الماس داده، بلکه نهاد نظارتی که مجوز چنین سامانهای با چنین رخنههای ...
۱۱/۱۴
امنیتی بدیهی، فاحش و خطرناکی را صادر مینمایند، همگی مقصرند و باید پاسخگو باشند. امیدوارم قوانینی تصویب شود که امکان چنین افشاهایی را به حداقل برساند و بعلاوه فرهنگ باگبانتی در کشور جدی تر شده که شاید #هکر های کلاه سفید تشویق به گزارش آسیبپذیریهای چنین سامانههای شوند.
امنیتی بدیهی، فاحش و خطرناکی را صادر مینمایند، همگی مقصرند و باید پاسخگو باشند. امیدوارم قوانینی تصویب شود که امکان چنین افشاهایی را به حداقل برساند و بعلاوه فرهنگ باگبانتی در کشور جدی تر شده که شاید #هکر های کلاه سفید تشویق به گزارش آسیبپذیریهای چنین سامانههای شوند.
۱۲/۱۴
لیست کارگزاریهای مشتری الماس داده:
۱- کارگزاری بانک سامان
۲- کارگزاری اردیبهشت ایرانیان
۳- کارگزاری توسعه صادرات
۴- کارگزاری کیان
۵- شرکت سبدگردانی الماس
۶- کارگزاری ایساتیس پویا
۷- کارگزاری بانک کار آفرین
۸- کارگزاری پیشگامان بهپرور
۹- کارگزاری بانک دی
لیست کارگزاریهای مشتری الماس داده:
۱- کارگزاری بانک سامان
۲- کارگزاری اردیبهشت ایرانیان
۳- کارگزاری توسعه صادرات
۴- کارگزاری کیان
۵- شرکت سبدگردانی الماس
۶- کارگزاری ایساتیس پویا
۷- کارگزاری بانک کار آفرین
۸- کارگزاری پیشگامان بهپرور
۹- کارگزاری بانک دی
۱۳/۱۴
۱۰- کارگزاری آیندهنگر خوارزمی
۱۱- کارگزاری آفتاب درخشان خاورمیانه
۱۲- کارگزاری سرمایهگذاری ملی
۱۳- کارگزاری توسعهی فردا
۱۴- کارگزاری مدیر آسیا
۱۵- کارگزاری رضوی
۱۶- کارگزاری آریا نوین
۱۷- کارگزاری بانک صادرات
۱۸- کارگزاری بانک رفاه
۱۹- کارگزاری بانک مسکن
۱۰- کارگزاری آیندهنگر خوارزمی
۱۱- کارگزاری آفتاب درخشان خاورمیانه
۱۲- کارگزاری سرمایهگذاری ملی
۱۳- کارگزاری توسعهی فردا
۱۴- کارگزاری مدیر آسیا
۱۵- کارگزاری رضوی
۱۶- کارگزاری آریا نوین
۱۷- کارگزاری بانک صادرات
۱۸- کارگزاری بانک رفاه
۱۹- کارگزاری بانک مسکن
۱۴/۱۴
۲۰- کارگزاری کارگزاری دنیای خبره
۲۱- کارگزاری توسعه سهند
۲۲- سبدگردانی کوروش
و احتمالا تعدادی کارگزاری دیگر که در لیست فوق وجود ندارند.
۲۰- کارگزاری کارگزاری دنیای خبره
۲۱- کارگزاری توسعه سهند
۲۲- سبدگردانی کوروش
و احتمالا تعدادی کارگزاری دیگر که در لیست فوق وجود ندارند.
