GoldenLine
Zaloguj się
Michał Sajdak

Michał Sajdak Securitum.

Temat: Paypal - czy to żarty?

Korzystając z rozwiązania adtaily (mała reklama ;) http://www.adtaily.com/)
trafiłem na stronę płatności dostarczaną przez paypal. Dokładniej rzecz biorąc - płatność kartą kredytową.

Okazuje się że pola nr karty / data ważności / CVV2 umożliwiają autocomplete.

A np. w takim firefoksie, w domyślnej konfiguracji podwójny klik na pole tekstowe daje "przypomnienie" kiedyś wcześniej wpisanych wartości (tzw autocomplete). Dodatkowo zapamiętanie tych wartości nie wymaga żadnego potwierdzenia - po prostu dzieje się "w tle".

Więc można robić mały "harwest" danych kart kredytowych korzystając np. z publicznych kompów.

Z supportu paypal odpowiedzieli mi żebym raczej sprawdził ustawienia mojej przeglądarki + soft jaki używam na kompie. Mimo, że wskazałem im linka do bardziej szczegółowego opisu problemu + info jak to załatać.

Niepoważne? ;-)
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Paypal - czy to żarty?

Z jednej strony tak z drugiej na "publicznych" kompach możesz po prostu zainstalować keyloggera. Ale to że nie zareagowali na to (bo przecież to wymaga zmiany paru znaczków w htmlu) to rzeczywiście niepoważne ;]
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Paypal - czy to żarty?

Mariusz Gronczewski:
Z jednej strony tak z drugiej na "publicznych" kompach możesz po prostu zainstalować keyloggera.

No można próbować keyloggera.

Choć "plusem" tego autocomplete jest to, że harwestowanie danych w ten sposób może być dość ciężko wykrywalne.

Jeszcze inaczej - jeśli człowiek jest w stanie wyciągnąć te dane z autocomplete to tym bardziej jakiś prosty malware - więc chyba od razu warto sobie wyłączyć autocomplete w browserze (no i motywować autorów co bardziej wrażliwych websajtów żeby używali autocomplete=off w formularzach...).

pozdrawiam
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Paypal - czy to żarty?

Wystarczy tylko znaleźć config w którym firefox trzyma autocomplete i jazda ;] Chociaż wg. mnie osoba która została oszukana w taki sposób bo korzystała z publicznie dostępnego kompa sama sobie na to zasłuzyła, tego się po prostu nie robi (jak ktoś juz na prawdę musi to niech chociaż używa "minimum" zabezpieczeń jak chociażby portable ff na usb)

Na "szczęście" w naszym kraju paypal jest raczej mało popularny.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Paypal - czy to żarty?

Mariusz Gronczewski:
Wystarczy tylko znaleźć config w którym firefox trzyma autocomplete i jazda ;] Chociaż wg. mnie osoba która została oszukana w taki sposób bo korzystała z publicznie dostępnego kompa sama sobie na to zasłuzyła,

No częściowo tak. Ale jak zauważyłeś nawet gdy ktoś korzysta ze swojego kompa i złapie jakiegoś malware, to korzystając z tego typu ataku taki malware może próbować wyciągnąć wszystkie historyczne wrażliwe dane (wpisane jeszcze przed infekcją).
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Paypal - czy to żarty?

Dlatego lubię mbankową ekartę, w najgorszym wypadku stracę parę stów a nie całą zawartość konta;]
Link do wypowiedziLink

konto usunięte

Temat: Paypal - czy to żarty?

Mariusz Gronczewski:
Dlatego lubię mbankową ekartę, w najgorszym wypadku stracę parę stów a nie całą zawartość konta;]


a tu sie troszeczke mylisz, w Mbanku jest jedna rzecz nie zabezpieczona mozna cala twoja kase wypompowac bez twojej wiedzu na inne konto, a spraw jest tak prosta ze az smieszna. przejzyj mozliwosc przelewow a moze zorientujesz sie w czym jest rzecz.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Paypal - czy to żarty?

Jeżeli chodzi Ci o to że "przelew zdefiniowany" można wysłać bez powierdzenia hasłem jednorazowym to znam to, jeżeli nie proszę o dalsze podpowiedzi ;]
Link do wypowiedziLink

konto usunięte

Temat: Paypal - czy to żarty?

@Mariusz, 10Piotr Trochymiak aka Pepson edytował(a) ten post dnia 06.08.09 o godzinie 09:00
Link do wypowiedziLink
Łukasz Andrzej P.

Łukasz Andrzej P. Manager

Temat: Paypal - czy to żarty?

Mógłby ktoś coś więcej napisać o luce w "przelewach zdefiniowanych" mBanku ?

Mnie zawsze prosi o hasło o ile ustawiłem taką opcję przy "odbiorcy zdefiniowanym" (fakt opcja powinna być domyślnie włączona).
Hasło potrzebne jest także przy tworzeniu nowego/modyfikacji odbiorcy. Mam hasła smsowe.

Czy może piszecie o czymś innym, niż zrozumiałem ?
Link do wypowiedziLink
Dominik Głowacki

Dominik Głowacki Ars enigma -
Właściciel

Temat: Paypal - czy to żarty?

Piszą o tym samym.
Teraz jak się definiuje przelew to można wybrać czy chce się taki przelew każdorazowo potwierdzać hasłem czy nie. Więc istnienie owej luki zależy od nas. Kiedyś nie było takiej możliwości. Przelew zdefiniowany wykonywało się bez podawania hasła jednorazowego, lub (później) sms.
Link do wypowiedziLink

konto usunięte

Temat: Paypal - czy to żarty?

Mariusz Gronczewski:
Dlatego lubię mbankową ekartę, w najgorszym wypadku stracę parę stów a nie całą zawartość konta;]

Dlatego nalezy

1) placic karta kredytowa (pieniadze banku) a nie debetowa (pieniadze klienta).

2) karte kredytowa zamowic w banku, ktory zna specyfike transakcji internetowych, szybko i sprawnie rozpatruje reklamacje, nie waha sie uzyc chargebacku w razie potrzeby.

Nalezy pamietac, ze cale ryzyko transakcji MO/TO/IO jest przerzucane na sklep i w razie watpliwosci rozpatrzenie reklamacji na korzysc klienta nic banku nie kosztuje.

Wracajac do meritum - ja kartami place duzo, i wylaczone autocomplete mnie irytuje niezmiernie, niemal nauczylem sie na pamiec numerow kilku kart oraz ich dat i CVV2/CVC2. Byc moze powinno byc wylaczone by default, ale czy przypadkiem firefox et al nie pytaja o chec zapamietywania danych z formularza przy pierwszym wejsciu na strone?
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Paypal - czy to żarty?

Chyba tylko w wypadku formularzy typu "hasło", co ciekawe jak np. commentuje post w wordpressie na blogu na ktorym jestem pierwszy raz to autocomplete też działa (dla większości userów to feature).

Zawsze można odkliknąć "Pamiętaj dane wprowadzone...." i po "problemie"... a że webmaster nie dba/nie słucha userów to co innego.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Paypal - czy to żarty?

Mariusz Gronczewski:
Chyba tylko w wypadku formularzy typu "hasło", co ciekawe jak np. commentuje post w wordpressie na blogu na ktorym jestem pierwszy raz to autocomplete też działa (dla większości userów to feature).

i o to chodzi :-)

proponuje test:

1. wylaczamy firefoksa
2. wlaczamy firefoxa, lądując na domyślnej stronie firefox-google
(http://www.google.pl/firefox?client=firefox-a&rls=org....
3. wpisujemy w wyszukiwarke jakis tekst, np.: "skad to tu sie wzielo"
4. wylaczamy firefoxa.
5. wlaczamy ponownie firefoxa i wchodzimy na http://tlumacz.interia.pl/
6. robimy 2-klik w polu "wpisz haslo" i co otrzymujemy? wczesniej wpisany przez nas tekst w googlu :-)
7. w trakcie calej procedury przegladarka nie pytala nas *o nic* a jedyne co jest wspolne z google i interia to przypadkowe takie same nazwanie zmiennej w formularzu.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Firewall - brama czy stacja...




Wyślij zaproszenie do
Anuluj