Клиент Сбербанка получил доступ к терминалу пятикратным нажатием на Shift Статьи редакции
Деньги так украсть нельзя, но можно вывести устройство из строя.
19 декабря пользователь «Хабрахабра» под ником namikiri сообщил об уязвимости в терминалах Сбербанка с обычной (не цифровой) клавиатурой. Пока клиент ждал ответа оператора, он пять раз нажал на Shift, что открыло ему доступ к компьютеру.
На экране появилось меню «Пуск», через которое можно было перезагрузить или отключить терминал. Также появилась возможность вывести устройство из строя или удалить файлы с компьютера. Клиент Сбербанка пояснил, что такая проблема наблюдалась на всех трёх терминалах, которые стояли в отделении. Снять деньги с помощью такой уязвимости невозможно — к тому же терминал не предназначен для вывода средств.
«Залипание клавиш», которое предназначено для тех, кому сложно нажимать несколько клавиш сразу, работает в том числе на Windows 10. Несмотря на возможность отключить функцию, у пользователей получалось это не во всех случаях.
Пользователь «Хабрахабра» по горячей линии сообщил о проблеме сотрудникам Сбербанка, которые якобы заявили, что она зафиксирована. По его словам, через две недели (первая попытка произошла 6 декабря) он заново провёл эксперимент с терминалом — и снова получил доступ к компьютеру. Только после этого он решился рассказать о проблеме публично.
Окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.
В разговоре с Life представители Сбербанка подтвердили наличие проблемы и пояснили, что «сейчас закрывают» её. Для клиентов и самого банка уязвимость не несёт «никаких рисков», подчеркнули в компании.
До сих пор неизвестно, устранил ли Сбербанк уязвимость в работе терминалов. TJ направил запрос в компанию, но не получил оперативного ответа.
Работаю в компании которая запиливала интерфейс для ATMов сбера. Чувствую себя немного некомфортно 🤔
расскажи, как так. тут все свои
TJ направил запрос в компанию, но не получил оперативного ответа
Завтра в новостях гляну, если будет запрос от сбера, я отпишусь🤫
так вот как выглядит оперативный ответ
это еще не ответ. Он же написал, что маякнет, как будет яснее.
Расскажи как украсть лучше
Залипание шифта , как понос. Такой же внезапный и болезненный.
По-прежнему две параллельные вселенные.
Где код писали там и запускайте!
Бля как же ты прав чувак. Боль криворуких программеров, не думающих о зависимостях
Комментарий недоступен
Ловите провокатора!
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Комментарий недоступен
Драйвера, интеграция с существующей сетью и ПО, всё такое, скорее всего.
Комментарий недоступен
На винде попилить можно
Комментарий недоступен
Мне кажется, все дело в лицензии. Когда-то купили, значит надо использовать. Тут не стоит искать логики. Хотя, может все намного банальнее - обучить нового "инженера по терминалам" с высокой текучкой кадров, проще на винде, ибо ее все знают, чем на линуксе, ибо ее мало кто знает из тех кто готов работать за 16-25 тыщ.
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Надо было открыть пэйнт и нарисовать котика
Комментарий удален модератором
Ну а почему бы и нет)
Можно ли таким образом поставить на терминал клиент для майнинга ? 🤔 Или там уже на всех и так установлены майнинг фермы от грефа ?
Не знаю, как именно на АТМах, но если там логин в админ акк, то не так сложно :D
Кажется, про эту проблему я читал и пять лет назад, и десять...
Блядь, ебаная итерация
Как минимум можно перепрошить купюроприемник или диспенсер купюр.
Акихито Ивакура?
Ух мои товарищи в инфоповодах...
Всегда радуюсь свежим новостям на TJ.
Ну и нахуя тогда все это ?