Yeni Kayıt
Konudaki Resimler
önceki
|
Hızlı 
Bildirim
BİRİ AKIL VERSİN (2. sayfa)
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
2 Misafir - 2 Masaüstü
Giriş
Mesaj
-
-
Doğrudur hocam bunu yapan bir çete yakalandı zaten geçenlerde. Haberi izleyen bir tek ben miydim yoksa? Ha bir de ben senin yerinde olsam Türk bankalarıyla değilde yabancı bankalarla uğraşırdım. Ama gene de ara aç bi konuş. 
-
quote:
Orjinalden alıntı: Hellmarch
Doğrudur hocam bunu yapan bir çete yakalandı zaten geçenlerde. Haberi izleyen bir tek ben miydim yoksa? Ha bir de ben senin yerinde olsam Türk bankalarıyla değilde yabancı bankalarla uğraşırdım. Ama gene de ara aç bi konuş.
binbaşım o cetenin yaptıgı farklı bi olaydı yanlız onlar kredi kartı üstünden yapıyolardı..
ordada bi açık yoktu ve ayrıca şahsi görüşüm bankada kendi elemanlarıda vardı..
benim dediğimde kart yok sadece site güvenlik açıgı.......
bu arada müşteri hizmetlerine kendi hesabımdan mail attım bakalım cvp ne olucak..
gelişmeleri buraya yazıcam......
-
quote:
Orjinalden alıntı: Speed-Step
Arkadaşım babam iş bankasında çalışıyor bence bana pm den ulaş ve telefon numaranı ver eğer ileri gidersen IP numaranda buluruz zaten. Bu türk açıklarda lütfen 444 02 02 nolu telefondan müşteri hizmetleri temsilcilerine ulaşın. PM ini bekliyorum lütfen (şaka ama nasıl titrettim seni)
-
bakkala gidip ekmek alıp gelicem az sonra burdan sana bu tarz bi iş yapan elemanın başına ne geldiğini anlatıcam :D garanti bankası&pijamalı hacker mevzuu az sonra :D -
buna benzer birşeyi garanti bankasının online işlem sisteminde bulduğunu iddia etmişti tamer şahin(superonline domaini domain şirketine fax göndererek başka bir alana yönlendiren ve bu olayı superonline hack ettim diye tüm tr internet ortamını karıştıran ve bu işi gece yarısı üzerinde pijamalar var iken yaptığı için pijamalı hacker diye tanınan hede hödö :D) bkz:tamer sahin
neyse bu açığı (ki açık olup olmadığı tartışma mevzuu hala :D) kullanarak garanti bankasını aramış kendisi daha sonra olanları aşşağıdaki msjdan takip edelim :)
----- Original Message -----
From: "Tunc Yalgin (Gr.Odeme.Sis.-AR-GE)"
To:
Sent: Friday, May 23, 2003 9:57 AM
Subject: RE: [Garanti SanalPOS] Türkiye'de Online Alışveriş Tehlikesi
Merhaba,
Bu konu yaklaşık 2 ay önce ortaya çıktı. Bu "açığın" kaşifi Tamer Şahin isimli şahıs önce bizimle bağlantı kurarak para karşılığında "güvenlik danışmanlığı" hizmeti satmak istedi. Bu talebi reddedildi. Hemen sonra bize aşağıda anlatılan "açık" ile geri geldi. Bu sefer güvenlik hizmetini almazsak bunu yayınlayacağını tekrarladı. Yine reddedildi.
Sonunda elindeki siteyi 1-2 yerde yayınlattı, biz de Garanti Bankası olarak yasal sürece başvurduk.
Tamer Bey'in temel iddiası şu: "Garanti CGI'ına POST yerine GET ile gönderilen bilgiler şifrelenmeden gidiyor, log dosyalarına giriyor, dolayısıyla log'lara erişimi olan herhangi biri bu bilgilere erişebilir".
Bu gerçekten de böyle. Ancak bu bir güvenlik açığı değildir: HTTP protokolünün bir özelliğidir: GET metodu kullanıldığında bilgiler bu şekilde açık gider. Üstelik bu "açık" dünyanın tüm FORM POST kullanan ödeme sistemleri için geçerlidir. Dünyada hangi uygulama olursa olsun, POST yerine GET kullanıldığında böyle bir "açık" oluşur. Bu bir açık değil HTTP'nin bir özelliği olduğu gibi, Garanti'ye spesifik bir hata hiç değildir: Türkiye'de neredeyse tüm bankalar aynı yazılımı kullanıyor. Bu yazılım dünyada da popüler ve binlerce farklı noktada kullanılıyor.
Teknik tartışma uzayabilir: örneğin çoğu server'larda POST yönteminin de log'lanması kolayca sağlanabilir. Burada önemli olan nokta şudur: Garanti Bankası'nın kullandığı ClearCommerce uygulamasında bilinen hiçbir güvenlik açığı yoktur.
Durum böyle olunca, açık olmayan yerde açık yaratıp bunu da tüm bankalar yerine tek bir bankaya yıkan kişinin niyeti belli: başarısız şantajın ardından karalama.
Aslında Tamer Bey'in Türk bilişim sektöründeki imajı zaten ortada olduğundan, ilk başta yasal prosedür başlatıp ciddiye almak konusunda tereddüt ettik. Ancak bu tip şantajlar karşısında susmanın karşıdaki kişiye güç vereceğine karar verdiğimizden yasal prosedür başlattık.
----------------------------------------------
burdan da anlaşılabileceği gibi bulduğun açık gerçek bile olsa başına gelicek muhtemel olay şudur:
Bankaya maille açığı bildirmişsin eğer bu maili bilgi işlem yada ar-ge ye yolladıysan açık gerçekten varsa açık kapatılır ve sana böyle bir açık olmadığına dair mail yollanır hatta şirket itibarını zedeleyici yazılar yazar yada böyle bir açıktan bahsedersen dava edileceğine dair tehtit edilirsin :D
tamer şahin ve garanti personeli arasındaki başka bir diyalog
http://www.fazlamesai.net/modules.php?name=News&file=article&sid=1508
< Bu mesaj bu kişi tarafından değiştirildi kunteper -- 5 Ekim 2004, 18:08:03 >
-
quote:
Orjinalden alıntı: kunteper
buna benzer birşeyi garanti bankasının online işlem sisteminde bulduğunu iddia etmişti tamer şahin(superonline domaini domain şirketine fax göndererek başka bir alana yönlendiren ve bu olayı superonline hack ettim diye tüm tr internet ortamını karıştıran ve bu işi gece yarısı üzerinde pijamalar var iken yaptığı için pijamalı hacker diye tanınan hede hödö :D) bkz:tamer sahin
neyse bu açığı (ki açık olup olmadığı tartışma mevzuu hala :D) kullanarak garanti bankasını aramış kendisi daha sonra olanları aşşağıdaki msjdan takip edelim :)
----- Original Message -----
From: "Tunc Yalgin (Gr.Odeme.Sis.-AR-GE)"
To:
Sent: Friday, May 23, 2003 9:57 AM
Subject: RE: [Garanti SanalPOS] Türkiye'de Online Alışveriş Tehlikesi
Merhaba,
Bu konu yaklaşık 2 ay önce ortaya çıktı. Bu "açığın" kaşifi Tamer Şahin isimli şahıs önce bizimle bağlantı kurarak para karşılığında "güvenlik danışmanlığı" hizmeti satmak istedi. Bu talebi reddedildi. Hemen sonra bize aşağıda anlatılan "açık" ile geri geldi. Bu sefer güvenlik hizmetini almazsak bunu yayınlayacağını tekrarladı. Yine reddedildi.
Sonunda elindeki siteyi 1-2 yerde yayınlattı, biz de Garanti Bankası olarak yasal sürece başvurduk.
Tamer Bey'in temel iddiası şu: "Garanti CGI'ına POST yerine GET ile gönderilen bilgiler şifrelenmeden gidiyor, log dosyalarına giriyor, dolayısıyla log'lara erişimi olan herhangi biri bu bilgilere erişebilir".
Bu gerçekten de böyle. Ancak bu bir güvenlik açığı değildir: HTTP protokolünün bir özelliğidir: GET metodu kullanıldığında bilgiler bu şekilde açık gider. Üstelik bu "açık" dünyanın tüm FORM POST kullanan ödeme sistemleri için geçerlidir. Dünyada hangi uygulama olursa olsun, POST yerine GET kullanıldığında böyle bir "açık" oluşur. Bu bir açık değil HTTP'nin bir özelliği olduğu gibi, Garanti'ye spesifik bir hata hiç değildir: Türkiye'de neredeyse tüm bankalar aynı yazılımı kullanıyor. Bu yazılım dünyada da popüler ve binlerce farklı noktada kullanılıyor.
Teknik tartışma uzayabilir: örneğin çoğu server'larda POST yönteminin de log'lanması kolayca sağlanabilir. Burada önemli olan nokta şudur: Garanti Bankası'nın kullandığı ClearCommerce uygulamasında bilinen hiçbir güvenlik açığı yoktur.
Durum böyle olunca, açık olmayan yerde açık yaratıp bunu da tüm bankalar yerine tek bir bankaya yıkan kişinin niyeti belli: başarısız şantajın ardından karalama.
Aslında Tamer Bey'in Türk bilişim sektöründeki imajı zaten ortada olduğundan, ilk başta yasal prosedür başlatıp ciddiye almak konusunda tereddüt ettik. Ancak bu tip şantajlar karşısında susmanın karşıdaki kişiye güç vereceğine karar verdiğimizden yasal prosedür başlattık.
----------------------------------------------
burdan da anlaşılabileceği gibi bulduğun açık gerçek bile olsa başına gelicek muhtemel olay şudur:
Bankaya maille açığı bildirmişsin eğer bu maili bilgi işlem yada ar-ge ye yolladıysan açık gerçekten varsa açık kapatılır ve sana böyle bir açık olmadığına dair mail yollanır hatta şirket itibarını zedeleyici yazılar yazar yada böyle bir açıktan bahsedersen dava edileceğine dair tehtit edilirsin :D
tamer şahin ve garanti personeli arasındaki başka bir diyalog
http://www.fazlamesai.net/modules.php?name=News&file=article&sid=1508
-
Açıkça itiraf edeyim ki böyle bir açık bulsam yetkililere bunu rapor etmeye korkarım burası Türkiye. Herhangi bir İnternet cafe'ye gider oradan mail atarım yetkililere sorunu. Hiçbir beklentim de olmaz. Tamamen insanlık için yaparım. Ben de iki bankanın ve bir aracı kurumun internet şubelerini kullanıyorum ve hesabımın başkaları tarafından zarara uğratılması hiç hoşuma gitmez. O yüzden kimsenin zarar görmemesi için durumu kimliğimi belli etmeden açıklarım.
quote:
Orjinalden alıntı: unbreakcable
bu arada müşteri hizmetlerine kendi hesabımdan mail attım bakalım cvp ne olucak..
Keşke müşteri hizmetlerine atmasaydınız maili. Ordakilere hiç güvenim yok açıkçası. Kendileri başlarlar bu yöntemi kullanmaya. Üst düzey bir yöneticiye yollasaydınız daha iyi olurdu.
< Bu mesaj bu kişi tarafından değiştirildi vozer -- 5 Ekim 2004, 18:29:30 >
-
sen ban sole açıgı ben onlara ıletım senın ustunden bu yuk yuk kalkmış olur...
en kısa zmanda ozelden msg beklıyorum..
-
arıa kontormu ( ) benim hattım aria değil yaw merak etme sen açığı söle neymiş?
ha sölemem diyosan sana bi aria no salliyim 1000 kontor yollattır (denemek için sırf)
-
quote:
Orjinalden alıntı: vozer
Açıkça itiraf edeyim ki böyle bir açık bulsam yetkililere bunu rapor etmeye korkarım burası Türkiye. Herhangi bir İnternet cafe'ye gider oradan mail atarım yetkililere sorunu. Hiçbir beklentim de olmaz. Tamamen insanlık için yaparım. Ben de iki bankanın ve bir aracı kurumun internet şubelerini kullanıyorum ve hesabımın başkaları tarafından zarara uğratılması hiç hoşuma gitmez. O yüzden kimsenin zarar görmemesi için durumu kimliğimi belli etmeden açıklarım.
quote:
Orjinalden alıntı: unbreakcable
bu arada müşteri hizmetlerine kendi hesabımdan mail attım bakalım cvp ne olucak..
Keşke müşteri hizmetlerine atmasaydınız maili. Ordakilere hiç güvenim yok açıkçası. Kendileri başlarlar bu yöntemi kullanmaya. Üst düzey bir yöneticiye yollasaydınız daha iyi olurdu.
bazı arkadaşlar tabiri caize t.....k geçtigimi sanıyo ama bu olay oldukça ciddi..
size bi soru 9haneli müşteri hizmetlri numarasının kaç tane olasılıgı vardır ..
ayrıca ben müşteri hizmetlerine acıktan bahsettim kendilerinden ise herhangi bi cvp gelmedi...
yarında izmir bölge müdürlüğüne gidip müdürle görüşmeyi düşünüyorum.....
-
quote:
Orjinalden alıntı: vozer
Açıkça itiraf edeyim ki böyle bir açık bulsam yetkililere bunu rapor etmeye korkarım burası Türkiye. Herhangi bir İnternet cafe'ye gider oradan mail atarım yetkililere sorunu. Hiçbir beklentim de olmaz. Tamamen insanlık için yaparım. Ben de iki bankanın ve bir aracı kurumun internet şubelerini kullanıyorum ve hesabımın başkaları tarafından zarara uğratılması hiç hoşuma gitmez. O yüzden kimsenin zarar görmemesi için durumu kimliğimi belli etmeden açıklarım.
quote:
Orjinalden alıntı: unbreakcable
bu arada müşteri hizmetlerine kendi hesabımdan mail attım bakalım cvp ne olucak..
Keşke müşteri hizmetlerine atmasaydınız maili. Ordakilere hiç güvenim yok açıkçası. Kendileri başlarlar bu yöntemi kullanmaya. Üst düzey bir yöneticiye yollasaydınız daha iyi olurdu.
müşteri hizmetleri mailleri yukardan izlenir esas amaç müşterilere nasıl yanıt verildiğini ve personellerinin müşteriler ile ilişkisini denetlemek olsa da müşteri hizmetleri çalışanları bunu bilir :D
başka bir sorunda bu açığı kullanmak her kim olursa olsun sıkar :D çünkü bu işin sonunda ordan kullanılan para birine ait hesap sahibi parasının kendi işlemleri dışında kullanıldığını anladığı anda bankaya bunu bildirir banka da izinsiz yapılan işlemleri kontrol eder mesela kontor alınmış değilmi kontor hangi numaraya transfer edilmiş (bigo yakalandınız) yada hepsiburda dan sony laptop alınmış hangi adrese hangi kişiye gitmiş kargo teslimi nüfus cüzdanı kontrolü (bingo yakalandınız :D)
bu iş o kadar kolay olsa internette 500 000$ limitli kredi kartları ve 4 haneli pinleri geziyor o zaman herkes kredi kartıyla bir ferrari alırdı :D
-
quote:
Orjinalden alıntı: unbreakcable
quote:
Orjinalden alıntı: vozer
Açıkça itiraf edeyim ki böyle bir açık bulsam yetkililere bunu rapor etmeye korkarım burası Türkiye. Herhangi bir İnternet cafe'ye gider oradan mail atarım yetkililere sorunu. Hiçbir beklentim de olmaz. Tamamen insanlık için yaparım. Ben de iki bankanın ve bir aracı kurumun internet şubelerini kullanıyorum ve hesabımın başkaları tarafından zarara uğratılması hiç hoşuma gitmez. O yüzden kimsenin zarar görmemesi için durumu kimliğimi belli etmeden açıklarım.
quote:
Orjinalden alıntı: unbreakcable
bu arada müşteri hizmetlerine kendi hesabımdan mail attım bakalım cvp ne olucak..
Keşke müşteri hizmetlerine atmasaydınız maili. Ordakilere hiç güvenim yok açıkçası. Kendileri başlarlar bu yöntemi kullanmaya. Üst düzey bir yöneticiye yollasaydınız daha iyi olurdu.
bazı arkadaşlar tabiri caize t.....k geçtigimi sanıyo ama bu olay oldukça ciddi..
size bi soru 9haneli müşteri hizmetlri numarasının kaç tane olasılıgı vardır ..
ayrıca ben müşteri hizmetlerine acıktan bahsettim kendilerinden ise herhangi bi cvp gelmedi...
yarında izmir bölge müdürlüğüne gidip müdürle görüşmeyi düşünüyorum.....
10 üzeri 9 farklı kombinasyon olabilir tabi code generater ın nasıl işlediğine dair bir formül bulursan 1 olasılıktada bulursun :D
seninle dalga geçmiyoruz yada şahsım adına konuşayım dalga geçmiyorum sadece keşke mail atmadan önce sana bunu anlatabilseydim tr de bu işlerde iyilik olmaz iyilik yapmak isterken suçlu çıkarsın ben karakola gördüğü bir olayla ilgili gidipte cinayet şüphelisi diye yakalanan çok adam duydum maalesef :(
tr de 3 maymunu oynayacaksın görmem duymam konuşmam...
-
Sen bana söylesene bi açığı... -
ya olaya parasal yönden bakmayın..
piyasada okadar p..t var ki....
msl bi bankada adamın olsa anında yurt içi bi bankada olmayan biri adına olmayan bi hesap açarsın..
sonra eft yolu ile parayı yollarsın..
sonra bu hesaba yapılan eft yi başka hesaba yollarsın ve para aklanmış olur..
kredi kartı gibi kullanırsan kimse bişey diyemez....
ve ben sadece kişiler yada kurumlar zarar görmesin diye bu açık ı iletmek istedim.....
UMARIM YANLIŞ ANLAŞILMADIM -
quote:
Orjinalden alıntı: Faux Carnival
Sen bana söylesene bi açığı...
YUKARDA AÇIKLADIM..TAM AÇIKLAMA YAPMAM OZAMAN SENDE ÖGRENMİŞ OLURSUN...!! -
quote:
Orjinalden alıntı: unbreakcable
ya olaya parasal yönden bakmayın..
piyasada okadar p..t var ki....
msl bi bankada adamın olsa anında yurt içi bi bankada olmayan biri adına olmayan bi hesap açarsın..
sonra eft yolu ile parayı yollarsın..
sonra bu hesaba yapılan eft yi başka hesaba yollarsın ve para aklanmış olur..
kredi kartı gibi kullanırsan kimse bişey diyemez....
ve ben sadece kişiler yada kurumlar zarar görmesin diye bu açık ı iletmek istedim.....
UMARIM YANLIŞ ANLAŞILMADIM
sen açığı iletip olayın birilerine zarar vermemesi için mail atmışsın ama dediğim gibi burası tr yapmasan daha iyi olurdu ama madem yaptın işin sonunu takip et..
olmayan biri adına hesap açma işine gelince :D banka araştırma sonucu hesaba ulaşır hesap sahibinin var olmadığı yada mevzuudan bi haber olduğu hesap açmak için başvuru yapmadığı anlaşılır, hesabı açan müşteri temsilcisi yakalanır sorgudan geçer sorgu sonucu suçu kabul eder senin adını verir her ikinizde yakalanırsınız :(
biz bu tarz think-tank leri çok yaptık arkadaşlar arasında sonuçta ya interpol yakalıyo ya devletimin canım polisi daha çözüm bulamadık bulsam direkt ferrari alcam zaten. kredi kartı olayına gelince evine texas usulü çizme siparişi eden çok eleman yakalandı bu ülkede :D
-
butun paraları kendı hesabıma alırım valla. :D -
tamam tamam yarısınıda sana verırım :d yeterki suleeeeeeeeeeeeeeeee
-
quote:
Orjinalden alıntı: unbreakcable
MSL ..
ÇOK BÜYÜK BİR BANKANIN SİTESİNDE BAŞKALARININ HESAP NUMARALARINA GİRİŞ YAPMANI SAĞLAYAN Bİ AÇIK BULDUN DİYELİM..
NUMU BANKAYA BİLDİRİRSEN HERHANGİ BİR ÖDÜL VERİRLERMİ..
YOKSA DİREK İÇERİMİ ATILIRSIN..
BANKA ÇOK BÜYÜK BİR BANKA OLURSA BU OLAY NASIL OLUR
Bence deli derler ve içeri atarlar (bakırköye)
Yok yapmıcan madem bise sole kardeşim bak mail im aşşada bi yerde
iytiyaç war demi paraya
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
