בלעדי: מספר בנקים ובהם אחד הבנקים הגדולים בארה"ב: JP MORGAN CHASE נפרצו ונגנבו מהם ג'יגות של מידע בנקאי חשאי. החשד מוביל להאקרים רוסיים וה-FBI מנסה לעלות על עקבותיהם. הבעיה: מני פרזון הישראלי התריע בפני הבנק על הפרצה - מזמן, והתעלמו ממנו.
מאת: אבי וייס, 19.9.14, 17:45
בחודש האחרון, עולם הבנקאות העולמי בכלל והאמריקאי בפרט רוגשים סביב גילוי הפריצה לבנקים גדולים בארה"ב, נושא שניסו להסתיר אותו במשך כמה זמן, עד שדלף ל-WSJ (ר"ת: Wall Street Journal) - כאן. בהמשך, דלפו פרטים נוספים מהחקירה של ה-FBI (למשל כאן, ב-Bloomberg) ונטען, שזו תגובה של האקרים רוסיים בגלל הסנקציות, שהוטלו על רוסיה (עקב משבר אוקראינה).
כ"כ, הודלף, שנגנבו ג'יגות של מידע בנקאי סודי ורגיש. (הבנק איך לא, מכחיש זאת מכל וכל).
יש כאן גרף המתאר את העלייה המבהילה של גניבת מידע בנקאי וכלכלי רגיש בארה"ב, מה שמצביע על "פשיטת הרגל" של מערכות ההגנה הבנקאיות, הארגוניות והמסחריות בארה"ב מפני פריצות.
מה הבעיה?
ישראלי צעיר, מני פרזון, אותו חשפנו לראשונה לפני קצת יותר משנה (כאן), התריע על הפרצה לפני הבנק והצביע במדויק על המיקום של הסיכון לפריצה, שכעת התרחשה.
מני פרזון: "ב-2011 הודעתי לבנק על פרצה באתר, שיכולה לאפשר זאת. החברה' שם התעלמו ממני לחלוטין. הפרצה לא תוקנה ודרכה הצליחו התוקפים לבצע את החדירה והגניבה.
אני מספק כאן את הפרטים, כולל צילומים של המיילים ששלחתי. אני חושב, שראוי שידעו בציבור, שהבנק ידע ולמרות זאת לא חשב לטפל ולכן סיכן מיליונים של משתמשים.
מדובר על פרצה, שנוצלה ע"י האקרים (ככל הנראה רוסים)
באתר של
JP Morgan תחת:
JP Morgan Corporate Challenge
מדובר בפרצה מסוג
in the front door דרך האתר, שהובילה לפגיעה במערכות הבנק.
בנובמבר 2011, מצאתי את
הפרצה הזו במערכת הזו בדיוק,
באתר ודיווחתי עליה לJP Morgan. הסברתי את החשיבות והקלות שבביצוע והנזק שיכול להיגרם, כולל אפילו המלצות על איך לתקן ולמנוע זאת בעתיד.
לא קיבלתי כל תשובה, בדקתי מידי שבוע האם הפרצה עדיין קיימת ואכן היה כך, עד מועד הפריצה, שהייתה לאחרונה. אף אחד לא תיקן, אף אחד לא החזיר תשובה ובקיצור זה לא עניין אף אחד, אפילו שמדובר במטרה ברורה ל-
Cyber Crime.
הנה המייל ששלחתי, כמה פעמים:
On Sun, Nov 20, 2011 at 4:18 AM,
(פה נמצא השם אונליין שלי שלא ארצה לחשוף) wrote:
Greetings JPMorgan Chase & Co
I am contacting you regarding a major security hole I have found in your website:
jpmorganchasecc.com
Your website is extremely vulnerable to various 'SQL Injection' attacks, that can lead to serious information disclosure
An attacker may easily dump all database content, read, modify and permanently delete any tables and information he may find valuable
including user names and passwords, as well as static web information
Please read more about 'SQL Injection' at wiki
http://en.wikipedia.org/wiki/SQL_injection
This vulnerability may be easily avoided using 'syntax validation' or using 'Stored Procedures'.
On how to fix these security holes please refer to
http://www.acunetix.com/websitesecurity/sql-injection2.htm
Please note that these security holes may put your visitors at risk
Regards
מצ"ב גם
Screenshot . לחיצה על התמונה מגדילה אותה:
אנחנו כחוקרי אבטחה מוצאים לרוב פגיעויות מסוגים כאלה מידי יום וכמעט תמיד לא מדווחים, לרוב מחשש, שמא יבוצעו תהליכים משפטיים ופליליים נגדנו ונכון גם להגיד שלא יוצא לנו כלום מזה.
לעומת זאת, כשמוצאים פגיעות במערכות כאלו של בנקים גדולים, מערכות תשתית וחשמל וכו' (מיליוני משתמשים, נזקים עצומים), אני מוצא לנכון לדווח
מיד.
הפרצה הזו לבנק
JP ממחישה כמה צריך לקחת את הדברים ברצינות, לבחון בקפדנות מה שאנו (החוקרים, ה"האקרים") מדווחים, בחינם ללא כל תמורה. במקרה הזה החברה ספגה נזקים עצומים. ה-
FBI חושף בכל יום פרטים חדשים על גודל הנזק והיקפי הפריצה וכואב לי שלא התייחסו לאזהרות שלי".
כמובן, שלבנקים ולמוסדות הפיננסיים בישראל זה לא היה יכול לקרות. הם מוגנים ב- 100%
...
