10:00
13/6/2011

Dane ponad 200 000 posiadaczy kart płatniczych zostały wykradzione z Citi banku. Włamanie nastąpiło na początku maja, a bank przyznał się do niego dopiero teraz.

Dane posiadaczy kart w rękach włamywaczy

CitiBank

CitiBank

W ręce atakujących wpadły nazwiska posiadaczy karty płatniczych, ich numery kont oraz dane kontaktowe, w tym adres e-mail. Przedstawiciel banku “uspokaja”, że atakujący nie poznali dat urodzenia, numerów social security oraz dat ważności kart i kodów CVV/CVV2.

Jak podaje Reuters, Bank kontaktuje się z klientami, którzy padli ofiarą włamania i zapowiada wzmocnienie procedur bezpieczeństwa. Citi nie zdradził jak doszło do włamania — wiadomo jednak, że ofiarami są mieszkańcy USA.

Ciekawą historię związaną z Citibankiem przytacza jeden z internautów:

Na początku lat 90 Citibank wysłał do naszej szkoły sporo dyskietek 3.5″, dla studentów. Na tych dyskietkach było pełno danych związanych z kontami i jakieś arkusze kalkulacyjne. Moim zadaniem było sformatować je, żeby studenci mogli z nich korzystać. Ale ponieważ była to syzyfowa praca, po prostu kupiłem pudełko czystych dyskietek, a zatrzymałem te z ShitiBanku na swój użytek — zamiast formatować je wszystkie na raz, formatowałem jak było mi trzeba. Shiti ma szczęście, że nie miałem żadnych planów, żeby wykorzystać te informacje, ale serio, oni nie mieli żadnej kontroli nad tym, gdzie tego typu dane trafiają.

Alfabetycznie, od początku roku z poważnych w skutkach włamań można przywołać: Acer, Ashampoo, Citi, Codemasters, Comodo, Barracuda Networks, Fox TV, Honda, IMF, LastPass (?), Lockheed Martin, PBS, Politechnika Śląska, RSA, Sony… czy o czymś zapomniałem?

Aktualizacja: 16.06.2011
Wiadomo już jak doszło do ataku. Atakujący po prostu zmieniali identfikator klienta widoczny w pasku adresu przeglądarki na inny. Brak kontroli dostępu w bankowych skryptach umożliwił im podgląd danych innych klientów. Jest to podstawowy błąd. Aby dowiedzieć się więcej na temat bezpieczeństwa webaplikacji, zachęcamy do udziału w naszych szkoleniach.

Przeczytaj także:



43 komentarzy

Dodaj komentarz
    • Alfabetycznie, od początku roku z poważnych w skutkach włamań można przywołać:

      Nie sądzę, że uzyskanie httpd.conf jest poważnym problemem.

  1. Sony powinno być wymienione kilka razy.

    • I do tego boldem ;D

  2. Miesiąc czasu czekali z powiadomieniem klientów o włamaniu ? Nie ładnie…

  3. Flaszka i +10 do szacunu panom włamywaczom :) —> moja była ma tam konto ;PPP

    • Masz byłą w USA? Łał..

    • brawo dla tmqquu za hamowanie porywów serca świadomości jedności marki across the world

    • Aż taki cud to nie jest. Sam mam Visę Debit w amerykańskim Citi, bo akurat takie wydawano w ramach wynagrodzeń za udział w projekcie Google Code-In. Zastanawiam się zatem, czy czasem problem nie dotyczy również i mnie.

  4. Może to detal, ale: (1) Podkreśliłbym od początku, że chodzi o USA, żeby paniki nie siać. (2) Grupa Citi ma dość skomplikowaną strukturę, jesteście pewni, że chodzi tylko o Citibank (pisany łącznie!)? Z informacji Reuterssa wynika, że dane wyciekły przez http://www.accountonline.com, serwis, który obsługuje nie tylko klientów Citibanku.

  5. Zapomniałeś o monopolowym niedaleko miejsca mojego zamieszkania, ale to nie ta działka:)

    Te włamania ciągle tu i ówdzie już nie są śmieszne a zaczynają przerażać :/ W tej perspektywie filmy typu “Ja Robot” zdają się być skeczem kabaretu Cinepix

  6. zapomniales wspomniec o wlamaniu do Sony :)
    tydzien bez wlamania do Sony, to nudny tydzien

  7. Mam swoją teorię, że do tej pory nie było tylu włamań nie dlatego, że były dobre zabezpieczenia (bo nie było, co pokazują słabe punkty systemów Sony – lata zaniedbań), tylko dlatego, że się tak nie chciało nikomu. Trochę jak z komputerami Apple’a – nie były bezpieczne, tylko poniżej radaru.

    Teraz się to zmienia.

    • Twoje podłączenie pod pewne kategorie komunikatów się zmienia; ja wsłuchuję się w odgłosy ptaków i tylko skwierczenie młodych sikorek się nasila, a nie ich haking

  8. Dodałbym jeszcze “FaceMash, czyli wyciek danych z Politechniki Wrocławskiej” i “Krakowski hosting z brakiem hasła do root@MySQL”

    • Wyciek? Zakładając, że OTWARTA butelka reprezentuje miejsce, w którym przechowywane są wszystkie dane studentów PWr to gdzie tutaj mowa o wycieku? To było po prostu przewrócenie butelki..
      Jeszcze do niedawna korzystając z pewnego serwisu Politechniki Wrocławskiej można było poznać bardzo dokładne dane (łącznie z przeglądaniem przedmiotów zaliczonych i nie, o kierunku, wydziale, roku studiów nie wspominając – po prostu wgląd do indeksu) wpisując WYŁĄCZNIE numer albumu. Teraz generowane są hasła.
      Inną sprawą jest to, że możesz bez problemu sprawdzić imię i nazwisko właściciela numeru indeksu. Niby nic, ale w sieci jest multum stron, np. z wynikami egzaminów/kolokwium, więc łatwo można to sprawdzić jeżeli zaszłaby taka potrzeba.

  9. “W ręce atakujących wpadły nazwiska posiadaczy karty płatniczych, ich numery kont oraz dane kontaktowe, w tym adres e-mail.”

    W oparach absurdu:
    Firmy po wpadkach powinny ułatwiać i opłacać chętnym zmianę nazwiska, zmianę numeru konta i aktualizację informacji o nim wszędzie gdzie to potrzebne, zmianę emaila, ustawienie przekierowań i filtrów antyspamowych… A gdy wycieknie adres – przeprowadzkę. Może to by ich zmusiło do dbania o dane.

  10. ciekawe czy rzeczywiscie liczba wlaman od poczatku roku tak drastycznie wzrosla, czy moze firmy/hackerzy decyduja sie teraz w wiekszym stopniu informowac o wlamaniach

    • Moi zdaniem liczna włamów wzrosła niewiele, natomiast na pewno częściej informuje się o takich przypadkach. Po pierwsze firmy wiedzą że to się na dłuższą metę nie ukryje. Po drugie hakerzy informują o swoich dokonaniach, zwłaszcza że część akcji to już haktywizm mający cele polityczne (najbardziej znanym przykładem haktywizmu jest oczywiście WikiLeaks).

  11. Liczba wlaman wzrosla (medialnie), poniewaz trzeba racjonalizowac dzialania rzadow na rzecz kontroli i cenzury internetu.

    • Nie.

  12. Ciekawe czy nowa hate maszyna ruszy, zwlaszcza ze to w USA, obstawiam ze sie po kosciach rozejdzie.

  13. przecież to oczywiste czemu ma służyć ich “krystaliczna przejrzystość”itny idio
    Tylko wybitny idiota nie dostrzega dokąd ten świat płynie

  14. ten sam mechanizm wykorzystywał niejaki Hitler oraz ci co forsowali Patriot Act

  15. do Redakcji: czy zauważyliście zwiększone zainteresowanie Waszymi szkoleniami i/lub pentestami? :D

  16. Zapomniałeś o: https://niebezpiecznik.pl/post/anonimowi-znow-uderzyli/

    :)

    Ale to było pisane przez “zewnętrzne zasoby” ;)

  17. zapomnieliście o FBI, i porn.com ,a ale to drugie to mniej znaczne…

  18. Banki w USA generalnie mają bezpieczeństwo klientów w głębokim poważaniu. Jeszcze do niedawna, do wykonywania operacji w bankowości elektronicznej wystarczył tylko login i hasło, żadnych zabezpieczeń dodatkowych typu tokeny, hasła SMS itp. W powszechnym użyciu są karty płatnicze wyłącznie magnetyczne, co też o bezpieczeństwie nie najlepiej świadczy! O czekach, które można łatwo fałszować już nie wspomnę!

  19. Dostał jeszcze m.in. Epic i Bethesda, Steam też przechodzi jakieś trudności. Ciekawe czasy, nie ma co…

    • pewnie znaleźli jakąś piękną lukę i ją wykorzystują gdzie popadnie

    • przepraszam, a czy luka SQL injection jest powazna ? jest ich kilka i chyba 99% juz jest zalatanych, w sensie patchy jest,a z tego co mi wiadomo znajduje sie na 90% serverow web + wewnetrznych. nie wiem dokladnie jak to teraz w polsce jest, ale tu gdzie ja jestem to po prostu tragedia. czlowiek nawet jakby chcial cos zrobic to sie mu nie pozwala i ma sie go w glebokim powazaniau. przy ilosci klientow ktorych obsluguja firmy IT Outsourcing, ok 70-85% ma cale security ponizej wszelkich krytycznych norm.
      podstawowa zasada IT na zachodzie jest prosta – security ma byc widac, zeby “gora”/klienci mogli poglaskac po glowie, sami dobrze wiecie ze diabel tkwi w szczegolach.
      jako przyklad moge podac nagminne uzywanie w administracji rzadowej hasel typu – password,username itp [ tak,tak plain, bez zadnych nawet znakow typu liczby ]

  20. “Bank kontaktuje się z klientami, którzy padli ofiarą włamania”…. – to bank padł ofiarą włamania. Podobnie skimmerzy kradną BANKOWI pieniądze, pieniądza KLIENTÓW, a nie pieniądze klientom.

  21. http://pastebin.com/i5M0LB58
    LulzSec versus Bethesda & Senate.gov

    • link redakcji niepotrzebny, maja wiadomosci z pierwszej reki :P

  22. haha ubawilem sie umieszczeniem w jednym rzedzie “Lockheed Martin vs Politechnika Śląska” !!! gratuluje optymizmu !!! … (odpowiednio 1:0 oczywiscie)

    ps. oj nie balybm sie o sprawy polityk bezpieczenstwa w USA .. ew. odszkodowanie wynagrodzi straty “moralne”. A innych strach zjada przed kara jak tego bohatera od dyskietek.

  23. […] dostępu w bankowych skryptach umożliwił podgląd danych innych klientów. O ataku pisaliśmy tutaj. Jeśli jesteś zainteresowany bezpieczeństwem webaplikacji — zachęcamy do udziału w […]

  24. klikniecie w RSA prowadzi do artykulu hasla do stron porno…

  25. @Aktualizacja
    Ta… Za takie błędy to powinni szpeców za palce na widok publiczny wieszać.

  26. […] to już wiemy, ile pieniędzy wykradziono z Citi po ostatnich atakach, polegających na enumerowaniu identyfikatora konta w URL-u… Przypomnijmy, że złodzieje […]

  27. […] Przpomnijmy, że w czerwcu 2011 z Citibanku wykradziono 200 000 numerów kart kredytowych poprzez ..zwykła inkrementację identyfikatora w […]

  28. […] poważniejszą wpadką był zeszłoroczny fail Citibanku, który pozwalał na kradzież numerów kart kredytowych klientów jedynie poprzez inkrementację identyfikatora w parametrze w […]

  29. […] Ten sam błąd, tj. wykorzystanie globalnego identyfikatora i brak kontroli dostępu do funkcji przytrafił się także Citibankowi. W jego przypadku błąd umożliwił włamywaczom kradzież 200 000 kart kredytowych… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: