UPDATE: Site-urile magazinelor online eMAG si Domo, sparte de hackeri. eMAG si Domo spun ca nu stocheaza pe site datele personale ale utilizatorilor 

de Adrian Vasilache, Vlad Barza     HotNews.ro
Luni, 15 iunie 2009, 13:13 Economie | IT

Site-urile eMag si Domo, sparte de hackeri
Foto: Alien Hackers
Informatii aparute saptamana tecuta pe site-ul unor hackeri (n.r. Alien Hackers) demostreaza ca paginile de internet ale magazinelor online eMag si Domo au fost sparte, iar din capturile de ecran publicate rezulta ca au avut acces la ceva date sensibile, semnaleaza blogul Trenduri Economice. Contactat de HotNews.ro, Radu Apostolescu, director de marketing si cofondator al eMag, a confirmat faptul ca site-ul a fost spart, dar sustine ca nu este vorba despre date personale privind utilizatorii sau cardurile acestora. UPDATE: Si oficialii Domo spun ca nu stocheaza datele de card ale cumparatorilor.

"Daca intr-adevar cele doua magazine virtuale au fost sparte e grav. Problema majora pe care o vad in acest moment este ca cele doua site-uri par a avea stocate datele de identificare ale cardurilor si ale proprietarilor acestora. Mai mult, in cazul Domo(imaginea 2), se pare ca exista un tabel in care sunt pastrate toate tranzactiile efectuate cu cardurile. Cel putin asta rezulta din imagini.

Din cate stiu, stocarea acestor informatii este permisa numai daca detii anumite certificari din partea organizatiilor internationale de carduri, certificari pe care mi-e greu sa cred ca le detin cei de la eMag sau Domo. Cel mai probabil avem de-a face ori cu o stocare abuziva a acestor date, ori cu o superficialitete incredibila a bancilor partenere(sau a procesatorilor acestora)", se mentioneaza pe blogul Trenduri Economice.

eMAG: Magazinele online nu stocheaza date sensibile

Radu Apostolescu, director de marketing si cofondator al eMag, a confirmat pentru HotNews.ro faptul ca saptamana trecuta a fost contactat de catre cei de la Alien Hackers, ca problema a fost remediata, dar sustine ca nu a fost vorba de date personale.

"Datele sensibile ale userilor si cardurilor nu sunt stocate de nici un magazin online din lumea asta. Ecranul final in care se face plata cu cardul online se afla stocat mereu doar pe site-ul procesatorului. Datele nu raman pe serverele magazinului online.

Baietii de la Alien Hackers, white hat hackers cum isi spun, ne-au raportat problema saptamana trecuta, am reparat si imediat, in aceeasi zi au postat si ei pe site informatia. Dar inca o data, datele acelea erau strict pentru operarea site-ului eMag, informatii despre produse, preturi, lista cu numarul de abonati la newsletter etc.", a explicat Radu Apostolescu.

Domo neaga ca ar prelua si stoca datele de card ale cumparatorilor

Reprezentantii Domo spun ca au fost tentative de spargere a site-ului, insa au fost instalate filtre care sa le contracareze. "Domo.ro nu preia si nu stocheaza datele de card ale cumparatorilor, astfel incat nici unul dintre clientii nostri nu trebuie sa aibe nici un motiv de ingrijorare", au spus pentru Hotnews.ro reprezentantii companiei.

eMag hacked, Domo vulnerabil

Site-ul Alien Hackers a afisat in cursul saptamanii trecute doua postari, eMAG hacked si Domo vulnerabil, in care atrage atentia asupra vulnerabilitatilor celor doua magazine online care au permis accesul la informatii despre server; bazele de date; tabele sau informatii dintr-un tabel "users".


Citeste mai multe despre   










8370 vizualizari

  • -1 (1 vot)    
    emag (Luni, 15 iunie 2009, 13:30)

    Horia [anonim]

    e vorba de emag.md, nu de emag.ro, banuiesc ca e vorba de sucursala din Republica Moldova. Cel din Ro e si mai vulnerabil :-D
    • 0 (2 voturi)    
      emag (Luni, 15 iunie 2009, 13:40)

      Daniel [anonim] i-a raspuns lui Horia

      e vorba de ambele, intra pe site`ul hackerilor sa vezi

      in orice caz, simplul fapt ca au o tabela care se cheama credit card sau card sau asa nu dovedeste ca si stocheaza acolo datele cardului, se poate sa fie un 1/0, adik, clientul a platit sau nu cu cardul, daca scoteau si aratau niste date din tabelele respective ar fi fost o treaba
    • +1 (1 vot)    
      Au spart si emag.ro (Luni, 15 iunie 2009, 13:47)

      max [anonim] i-a raspuns lui Horia

      Daca te uiti mai atent pe site-ul Alien Hackers o sa vezi ca atat emag.md cat si emag.ro au fost "sparte".
    • 0 (2 voturi)    
      Pentru horia (Luni, 15 iunie 2009, 13:54)

      Io [anonim] i-a raspuns lui Horia

      Deschide ochii mă baiatule: pe alienhackers.com este un articol şi despre eMag.RO !
  • 0 (0 voturi)    
    minciuni ... (Luni, 15 iunie 2009, 13:52)

    Alex [anonim]

    http://www.alienhackers.com/emag-hacked/?content=ro

    dupa cum se vede din poze ... l-au spart bine de tot !
  • +1 (3 voturi)    
    baietii trimit emailuri la webmasteri (Luni, 15 iunie 2009, 14:08)

    alex [anonim]

    Imi place despre ei ca trimit emailuri la webmasteri. Nu am vazut niciunde cum ca ar vrea sa distruga. Mai degraba atrag atentia asupra vulnerabilitatilor.
    • 0 (0 voturi)    
      white hat (Luni, 15 iunie 2009, 15:09)

      tot alex [anonim] i-a raspuns lui alex

      D'aia sînt white hat.

      http://en.wikipedia.org/wiki/White_hat
    • 0 (2 voturi)    
      da sigur (Luni, 15 iunie 2009, 15:09)

      mm [anonim] i-a raspuns lui alex

      De parca ai stii tu daca distrug sau nu :))

      Probabil anuntul l-au dat dupa ce au vandut lista de carduri celor care le valorifica......duuuh
      • +1 (3 voturi)    
        fi serios! (Luni, 15 iunie 2009, 22:14)

        daemien [anonim] i-a raspuns lui mm

        Nu sunt eu cel care a patruns prin sistemul nesecurizat al acestor magazine. Ce pot sa iti spun insa este ca noi NU salvam continutul bazelor de date, Nu santajam webmasteri, si in nici un caz NU VINDEM INFORMATII. Ceea ce facem noi, facem din pura placere. Un hobby daca, putem spune asa, la fel cum fiecare are micile lui placeri. Noi doar dam un semnal de alarma. Administratorii in cauza au fost anuntati inainte de a se posta pe AH.com pentru a prevenii alte atacuri! Daca am fi fost asa cum isi imagineaza domnul anonim, nu mai vedeam rostul site-ului! Pace tuturor! :) And remember: STAY SAFE!
        • 0 (0 voturi)    
          .....si nu prea (Marţi, 16 iunie 2009, 15:05)

          Grey@HEXAR [anonim] i-a raspuns lui daemien

          Maestre eu zic ca mai intai sa va rezolvati problema cu logo-ul ala care e proprietatea intelectuala acelor de la alienware si mai terminati cu mizeriile astea.

          Daca sunteti asa smecheri si doar va uitati, va rog sa va uitati la toate site-urile tribunalelor din Romania si sa le verificati si sa trimiteti si lor mail ca doar v-ati uitat si ca e o mica buba cu SQL Injections. Sunt curios ce o sa zica de astea procuratura si judecatorii oricat de prosti sunt cei de la criminalitate informatica.
          • 0 (0 voturi)    
            Zau? (Joi, 18 iunie 2009, 17:18)

            F177Y [anonim] i-a raspuns lui Grey@HEXAR

            Da, e logo-ul Alienware. E accesibil tuturor pe Alienware Wallpaper Maker. Asa ca vino tu in continuare cu comentarii, ca nu te asculta nici d***u.
  • 0 (0 voturi)    
    Date personale (Luni, 15 iunie 2009, 16:53)

    Dorel [anonim]

    Nu sunt stocate pe site, dar presupun ca softul de pe site are acces read-write la baza de date din spate cu niste credentiale gasibile, ceea ce ne duce in aceeasi problema.
    • +1 (1 vot)    
      Nu neaparat (Luni, 15 iunie 2009, 17:13)

      soferul [utilizator] i-a raspuns lui Dorel

      Platile pot fi procesate de un tert (de ex: ePayment, PayPal, ...) si acest tert informeaza magazinul asupra rezultatului operatiunii. Teoretic, un magazin n-ar putea inregistra decat numarul comenzii, statusul ei si metoda de plata, restul datelor (adresa de livrare, suma platita, nr cardului, ...) fiind procesate de respectivul tert.
  • +1 (1 vot)    
    ok... (Luni, 15 iunie 2009, 18:02)

    marcelzzz [anonim]

    nu au obtinut informatii despre carduri de credit, dar nu se alarmeaza nimeni ca au avut acces la alte informatii destul de sensibile? cum ar fi adrese de mail, adrese de livrare, nici nu mai stiu ce alt fel de date stocheaza astfel de magazine
  • 0 (0 voturi)    
    @cel cu da sigur (Luni, 15 iunie 2009, 18:57)

    F177Y [anonim]

    Zi zau ma baiatule ca distrugem si furam. Jura-te
  • +1 (1 vot)    
    Da (Luni, 15 iunie 2009, 19:40)

    007m [anonim]

    Siteul domo si emag.ro/md au fost vulnerabile, pana cand au fost raportate de catre noi la web-masteri. Directorii vorbesc prostii pentru a-si nu sifona imaginea, dar da, atacatorul putea obtine acces asupra datelor sensibile. Oricaror fel de date.
    Comentariile idioate nu isi iau rostul, daca am fi exploatat nu am mai fi raportat, deoarece exista logguri, si nimeni nu risca.
    Oricum, ma bucur ca reprezentantii au fost partial sinceri si ca nu au musamalizat situatia si nu au facut pe "desteptii".
    • +2 (4 voturi)    
      Mai vrabiutza... (Luni, 15 iunie 2009, 23:04)

      Cristi [anonim] i-a raspuns lui 007m

      ... alba-n cioc, afla tu si restul pinguinilor de prin zona ca toate tranzactiile cu carduri se fac prin GeCad sau RomCard... Tabela de users se foloseste exclusiv ptr userii de mysql. Vulnerabilitatile de site sunt exclusiv vina adminilor care nu-si fac actualizari la serviciile ce sunt "vizibile" in Internet, gen web, mail, samd samd. Alien spanac astia sunt script-kiddies, nu exista in ro hackers in adevaratul sens al cuvantului, sunt doar maimutzoi care folosesc softuri facute de alti baieti [capabili]. Hai, inapoi la tabla inmultirii cu voi...
      • +1 (3 voturi)    
        Esti pe langa... (Marţi, 16 iunie 2009, 1:35)

        Anonim [anonim] i-a raspuns lui Cristi

        Vulnerabilitatile in cauza sunt opera programatorilor rearzi care au facut site-ul nu al adminilor.
      • -2 (2 voturi)    
        Draga Cristi (Marţi, 16 iunie 2009, 4:06)

        daemien [anonim] i-a raspuns lui Cristi

        daca noi suntem niste maimutoi, sau script kiddie's ca tot iti place acest termem, atunci afla ca maimutoii astia au contribuit la un shopping mai securizat prin magazinele in cauza. Nu stiu de ce tot bati campii cu informatiile cardurilor. O vulnerabilitate SQLi poate face mult mai mult decat stii matale.. uita-te ce zice baiatul acesta, ca este mai avizat decat amandoi la un loc:
        http://www.hackersblog.org/2009/06/14/scurt-si-la-obiect/
        Acum ca te-am pus in tema, ce ai zice daca cineva ar fi modificat niste detalii pe site si ar fi indus niste cumparatori in eroare astfel incat sa faca plata, stiu eu, prin alta procedura..sau sa ii infectez sistemul cu altceva neortodox. Posibilitati sunt multiple. Nu subestima imaginatia celor care se ocupa cu scamming si care din genul acesta de lucruri "marunte" isi duc existenta. Dupa ce AH a raportat vulnerabilitatile respective, acestea s-au patch-uit frumos, iar tu in calitate de cumparator nu trebuie sa iti mai faci griji pentru posibilitatile de escrocare enumerate mai sus....cel putin deocamdata ! pina nu se mai gaseste altcineva care sa observe un alt bug!
  • +1 (3 voturi)    
    @Cristi (Marţi, 16 iunie 2009, 13:00)

    F177Y [anonim]

    1. Ce programe "facute de altii" folosim noi la SQL Injection? Termenul de "pinguin" ti s-ar potrivi tie, nu noua.
    2. "nu exista in ro hackers in adevaratul sens al cuvantului" - sunt curios ce ar avea de zic RST Center aici... :)) Mai ales kw3rln sau bebxar =))
    3. Pe Alien Hackers am zis ca au fost gasite date sensibile, nu am zis nimic de carduri (doar am incercuit niste nume de tabele in care NU m-am uitat.
    4. Arata-mi o "opera" de a ta, capabilule si apoi vii si comentezi. Fac pariu ca nu ai mai mult de 13-14 ani (dupa comportament)
  • 0 (0 voturi)    
    Morala (Marţi, 16 iunie 2009, 17:00)

    gaspy [utilizator]

    1. Am intalnit SOCANT de multi 'dezvoltatori' (care nu isi prea merita titlul), in special de PHP care habar nu au ce e "SQL injection".

    2. De carduri se ocupa in general GeCAD/Romcard, deci intr-adevar informatiile despre carduri nu au fost compromise.

    3. Pentru siguranta, cel mai bine platiti prin ramburs.
  • 0 (0 voturi)    
    emag si skin media hotii secolului (Luni, 31 august 2009, 11:33)

    alex bn [anonim]

    eu eram client fidel emag.ro pana mi s-a defectat un aparat si si-au batut joc de mine ..ei si cei de la skin media..care iti ofera garantia..pe langa tupeu nesimtit al angajatilor care nici macar nu stiu sa minta bine m-au facut sa si platesc pentru ca mi-au "diagnosticat" aparatu ...lucru care l-am facut eu cerandu-mi-se sa le precizez la trimiterea aparatului defectele.. si mi-au mi-au cerut si 90 de lei pt o clema la usita de la baterii si nu mi-au zis ca imi iau oricum 50 de mi pt diagnsticare (din cei 90).am avut incredere in ei si am fost tras in piept. nu va recomand sa cumparati de la ei deoarece o sa va para rau.


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version