Swedbank aicina IT ekspertus iesaistīties kopīgā drošības veicināšanā

[Swedbank]

Esat pamanījis drošības caurumu? Pastāstiet mums par to!

Pārņemot labāko pasaules praksi, Swedbank aicina klientus iesaistīties kopīgā drošības aizsardzībā – ja pamanāt kādu drošības ievainojamību, aicinām ziņot mums par to, lai mēs pēc iespējas ātrāk varētu veikt labojumus. 

 

Kā paziņot?

Atsūtiet mums e-pasta vēstuli uz adresi: responsible-disclosure@swedbank.com.
Lūdzu, lietojiet mūsu publisko PGP atslēgu, kas aizsargā jūsu pārsūtīto informāciju.

 

Noteikti iekļaujiet šādu informāciju:

• detalizētu aprakstu par ievainojamību, norādot arī URL un ievainojamības veidu;
• vajadzīgo informāciju, lai mēs varētu atveidot problēmu;
• atbilstošos gadījumos arī jūsu atrastās ievainojamības ekrānuzņēmumu;
• kontaktinformāciju: vārdu, uzvārdu, e-pasta adresi, tālruņa numuru un jūsu publisko PGP atslēgu (ja ir).

Par ko varat ziņot?

Jūs varat ziņot par jebkuriem drošības trūkumiem, ko pamanāt mūsu pakalpojumos. Drošības trūkumu piemēri: starpvietņu skriptošana, šifrējuma trūkumi vai drošības trūkumi loģikas kontrolēs.

Šī ziņošanas funkcija nav paredzēta, lai uzrādītu citas loģiskas kļūdas vai kļūdas tekstos, kā arī uzdotu jautājumus par mūsu pakalpojumiem, mūsu pakalpojumu drošību un tamlīdzīgi.

 

Ko varat sagaidīt no Swedbank?

Mēs apstiprināsim, ka esam saņēmuši jūsu aprakstu, un pastāvīgi ziņosim jums par jautājuma risināšanu, kā arī informēsim, kad problēma tiks izlabota.

Atlīdzības prasības par ievainojamības ziņojumu iesūtīšanu netiek pieņemtas.

 

Ko lūdzam no jums?

Gan mums, gan mūsu klientu drošībai ir svarīgi, lai jūs ievērotu labo praksi, tas ir:

• Jūs neizmantosiet ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai, kas nepieder jums.
• Jūs neizmantosiet ievainojamību, lai izņemtu vai grozītu informāciju.
• Jūs neietekmēsiet mūsu pakalpojumu pieejamību, izmantojot DoS (pakalpojumatteices) uzbrukumus.
• Jūs dosiet mums iespēju izlabot paziņoto ievainojamību, pirms jūs to publiskojat.

Vai ziņojumu var iesniegt anonīmi?

Jā, bet tādā gadījumā mēs nevarēsim atbildēt un ziņot jums par problēmas statusu.

 

PGP atslēga

PGP atslēga 
Key ID: 0x0AD6CCAF
Fingerprint: 2D14 4030 6D4B 68C3 F286 3AC6 333B E8E4 0AD6 CCAF

Labots Marts 27, 2015 - Swedbank
Ja reiz gribas speciālistu iesaisti, ieteiktu uzrakstīt šeit pat neverot vaļā mistiskus linkus

[_dunduks_]

Kas tas par spameri, kas prasa spiest uz mistiskiem linkiem?

[webi]

Hahah, stulbā banka, tā jau pelna miljonus, bet nevar noalgot normālus drošības speciālistus.
Saprastu, ja piedāvātu adekvātu, konkrētu atlīdzību.
Nekaunības augstākā pilotāža, laikam, jāpāriet uz DnB.

[erikonkulis]

Pirmdien slēgšu swedbank kontu un arī pāreju uz DnB :>

Labots Marts 27, 2015 - erikonkulis

[lexxx]

vo vo. Ir speciālisi, kam par tādām lietām maksā. Ja kāds atradīs drošības caurumu bankas sistēmā, tad šī informācija var kļūt diezgan vērtīga. Ne tikai bankai if u know what i mean :>

[Mezavecis]

Vai jāstāsta par sekām, ja šādu informāciju mēģināsi pārdot vai pats pielietot praksē? 

 

Ja kāds atradīs drošības caurumu bankas sistēmā, tad šī informācija var kļūt diezgan vērtīga

[usver]

 

 

Ko varat sagaidīt no Swedbank?

Mēs apstiprināsim, ka esam saņēmuši jūsu aprakstu, un pastāvīgi ziņosim jums par jautājuma risināšanu, kā arī informēsim, kad problēma tiks izlabota.

Atlīdzības prasības par ievainojamības ziņojumu iesūtīšanu netiek pieņemtas.

 

 

 

Sarkanais teksts bija jāiznes atsevišķā sadaļā: Ko varat negaidīt no Swedbank?

[Volters]

Kāpēc, lai elementāri informētu par bug'iem, vajadzīga kaut kāda mistiska PGP atslēga.

Tas, cienitie, pats par sevi jau ir Jūsu gļuks, vēršoties pie IT speciem.

 

Vai šo boot.lv foruma lietotāja kontu tiešām izveidojis oficiāls Swedbankas pārstāvis?

Labots Marts 27, 2015 - Volters

[nnoname]

Nopietni, šitas taču nav genuine swedbank??

[Fruzz]

Varu tikai iedomāties, kāda ir bankas attieksme pret klientiem.

[Domugrauds]

Atlīdzības prasības par ievainojamības ziņojumu iesūtīšanu netiek pieņemtas.

hahahaa, nu tagad visi būtisti ies meklēt drošības caurumus. Parasti par to jau maksāja, bet nu laikam ne svensoni, tie vēl liks tev samaksāt par to.

Labots Marts 27, 2015 - Domugrauds

[Volters]

Kurš teica, ka šis lietotājs vispār ir saistīts ar reālu Swedbanku?

[Helmars]

Domāju, ka ir vērts izlasīt šo Slashdot diskusiju. IT drošība ir svarīga, taču IT drošības censonim ir arī nopietns risks tikt smagi sodītam par modrību.

[ImissimI]

"Labākā pasaules prakse" iekļauj arī lielu paldies, kādu prīzīti utml. Vispār PR'ščikiem nevajag raksrīt tekstu, kas paredzēts datoriķiem, teksts izklausās dīvaini lame

- reddit jūs apēstu.

[HTC]

Lai jau aicina, ja nav atlīdzības, tad reti kurš vēlēsies ko darīt. 

 

Šobrīd aktuāli:

telegramas uzlaušana/privāto ziņu lasīšana , atlīdzība virs 300k usd no izstrādātāju puses

googles pakalpojumi, atlīdzība no googles

microshit, atlīdzība no šamiem

facebook, atlīdzība no šamiem

un t.t.

 

 

Un grib, lai bez maksas meklē kļūdas? ^_^ Da ja atradīs, tad nopārdos tiem, kas vēlēsies to izmantot

 

Labots: telegramas termiņš beidzās 4.februārī, tagad iespējams, jauns- jāpapēta.

Labots Marts 27, 2015 - HTC

[Žaks Noriss]

Nav jau teikts, ka ja atrodi caurumu un to aizsūti šai "Swedbankai", tad tā tiešām ir īstā Swedbanka. Varbūt savu drošības atklājumu sūti nepareizām rokām. Ieteiktu šito murgu padzēst, lai vismaz publika nezina uz kurieni ir info jāsūta.

[kazarma]

Arī lasu kaut kādu bulšitu.

 

Cilvēkiem maksā tūkstošus par to, ka uztur sistēmu drošībā,  bet te lūdz speciālistiem meklēt un ziņot bezmaksas.

Kauns ir vai nav? Vai uzskata, ka visi ir idioti, kas strādās bankas labā bezmaksas?

[Gestapo]

Ev  veči, man laukos malka atvesta, būtu pateicīgs, ja jūs atbrauktu, sazāģētu, saskaldītu un sakrāmētu šķūnī. Paldies ar pateikšu, ja viss būs labi izdarīts!

[kazarma]

@Gestapo

 

Pareizi saki es izlasot tekstu padomaju to pašu.

 

Google maksā 10k par katru nozīmīgi ievainojamību.

 

Nu Ok swedbanka varbūt nav tik bagāta, bet vismaz varēja piedāvāt teiksim 1000e par katru nopietnu ievainojamību.

 

Es ātri uzmetu aci un 1x atradu, bet tagad sūtīt viņiem security vunrability aprakstu par ko reāli es normālās kompānijās saņemtu tūkstošus, kur nu vēl no normālas banka, paldies nē.

Labots Marts 27, 2015 - kazarma

[Mezavecis]

Vai tad Zviedrijas Swedbank nav īstā?

 

 

tad tā tiešām ir īstā Swedbanka

 

 

Diskusiju atstāju, lai varētu saprast, cik šādu drošības caurumu meklēšana darbojas LV.

[McB]

Reiz "senos laikos" biju uz darba interviju tajā gudrkantorī.

Speciāli aizbraucu uz Rīgu, lai konstatētu ka Hansabank ir gudru un triperu iestāde. Mani intervēja debīls peģiks un stulba emo-šmara.

Piedāvāja man "algu" - 3Ls dienā. Var būt priecīgi ka nedabuja krēslus sejās. Bet nu gan jau karma atriebsies tiem kroplajiem perdeļiem.

[kazarma]

@Mežavecis

 

LV to sauc par ārējo penetrācijas testu. Cert piedāvā šādu pakalpoju un neskaitāmas citas kompānijas. 

 

Šie testi maksā labi, tāpēc nebrīnos, ka meklē muļķus, kuri bankas darbu darīs par velti.

Labots Marts 27, 2015 - kazarma

[LSTP]

labāko pasaules praksi

redzēju jūsu pasaules labāko praksi  gudriepunkti.lv , kad 2015.gada martā par punktiem varēja nopirkt swedbank piedāvātos seminārus kuri notiek 2015.gada februārī, jeb sen jau beigušies. Ja pat tādu sīkumu, kuru var pamanīt  un novērst jebkurš idiots, jūs laižat cauri tad ko runāt par drošību.. 

P.S  Sī būs pirmā reize kad baudīšu McB epitetus. Uz priekšu,šitie gnīdas un kapeikpisēji to ir pelnījuši 

Labots Marts 27, 2015 - LSTP

[Pirkss]

Ev  veči, man laukos malka atvesta, būtu pateicīgs, ja jūs atbrauktu, sazāģētu, saskaldītu un sakrāmētu šķūnī. Paldies ar pateikšu, ja viss būs labi izdarīts!

Priekš tam eksistē radi

 

redzēju jūsu pasaules labāko praksi  gudriepunkti.lv , kad 2015.gada martā par punktiem varēja nopirkt swedbank piedāvātos seminārus kuri notiek 2015.gada februārī, jeb sen jau beigušies.

Žetons par šo!

Ar tiem gudrajiem punktiem var atslaucīties vai ziedot. Nekam citam viņi nav derīgi.

Ceru, ka tiem, kuri saņem tos ziedojumus no tiem punktiem tiek kaut kas taustāms.

Vienubrīdi safanojos, kad it kā fastr books varot ar šiem pirkt grāmatas.

Prieki ātri beidzās, kad noskaidrojās, ka nevis jebkuras grāmatas, bet tikai dažas un par psihu punktu daudzumu.

Labots Marts 27, 2015 - Pirkss

[LSTP]

@@Pirkss,Paldies par žetonu. Akcija protams  absolūts pufelis, iegāju tīri ziņkāres dēļ. Vēl kas pārsteidza - beigušās  e-grāmatas. Cmon beidzies digitāls lejuplādējams produkts.. vienkārši psc. Un starp citu pamēģināju arī vai tie semināri ar atpakaļejošu datumu ir arī nopērkami. Izrādījās ka ir. Kas uzjautrināja - ja pareizi atceros viņi kā reiz bija IT drošību un drošu iepirkšanos internetā. Atcerējos pareizi te ir    Un jauks citāts no šīs lapas

 

Februāra pēdējā nedēļā Swedbank centrālajā ēkā būs iespēja ielūkoties krāpnieku pasaulē 

 

 Un tagad pasakiet kā saukt tos, kuri pārdod ieejas biļetes  uz sen notikušu notikumu

Labots Marts 27, 2015 - LSTP

[Žaks Noriss]

 

 

Vai tad Zviedrijas Swedbank nav īstā?

 

Pfff... kas to lai zina vai swedbank.com ir īstā. Varbūt swedbank.se ir īstā.

[Pirkss]

 

 

Februāra pēdējā nedēļā Swedbank centrālajā ēkā būs iespēja ielūkoties krāpnieku pasaulē 

Ģeniāla vārdu spēle  

.com ir visas grupas kopējā.

.se ir reģionālā. Tāpat kā .lv .ee .lt utt

[Domugrauds]

 

 

Piedāvāja man "algu" - 3Ls dienā.

Nu tu pizģiš

[iERiS]

Interesanti

Labots Marts 27, 2015 - iERiS

[Gestapo]

 

 

Nu tu pizģiš

Ap 1995 viņi ienāca un ap to laiku tāda alga varētu tikt piedāvāta, vienīgi gan jau pašam betonam tajā laikā bija ~7 gadi  

[e = d]

nu kaut kur tajā laikā ir ar Betonu Zeļļu kojās pāris reizes kopā šņabis dzerts

[HIGH-Zen]

Tas ir humors kaut kāds? Varētu padomāt, ka viņiem nav savu drošības speciālistu. Drošības caurumus parasti atrod tie, kas tos meklē, un tie sevi neafišēs.
Pat vienkāršu portāla datu bāzi ar lietotājiem un telefoniem izliek publikai tikai pēc ilgāka laika un ieraksts ir putnu valodā, lai nevar atšifrēt.

Bet tie, kas ir gatavi ziņot, tie arī ziņo. Komentāros var palasīt, ka dažiem ir pieredze un viņus nemaz neuztrauc tas, ka nav nekādas atlīdzības, bet ir priecīgi, ka paveicās un netika līdz tiesai (daži arī līdz tiesai tika).

Šo tēmu droši vien ievietoja kaut kāds NSA aģents, kas meklē čalovskus.
 

[niekalbis]

http://www.delfi.lv/bizness/bankas_un_finanses/laundari-apdraudejusi-3000-swedbank-klientu-datus-banka-vinus-aicina-mainit-kartes.d?id=45749872

 

sagadīšanās? nejauša?

[HIGH-Zen]

Tu domā, ka viņi šo tēmu izveidoja, lai tagad visi sakrāmētu savus skimmerus somā un dotos uz banku izskaidrot un parādīt kur tieši ir tas drošības caurums?
 

 

- Nu skatieties, rekur te, kur bāž karti iekšā. Te ir tas drošības caurums.

 

Edit:

Nedēļu atpakaļ te viens biedrs taisījās veidot programmas iekš viedkartes, pēc visa spriežot tās ir bijušas VISA ELECTRON un Maestro.

Labots Marts 27, 2015 - HIGH-Zen

[McB]

Nu tu pizģiš

Ne vella. Bij viņiem ģenitālā ideja ieviest kautko tādu kā Unibam Akmens. Un piedāvājums tāds - es ar savu transportu, nonāku pie klienta, uzlieku viņam to progu. Saņemu par to 3Ls, un vel 3Ls pēc mēneša ja "klients ir apmierināts". Klientam var būt 1 kompis un var būt arī 15. Gads tas bija kautkāds 2001, kad jau varēja lietot Webisku i-banku un tādi mēsli bija vajadzīgi tikai tiem kam iezvanpieeja.

Tātad 3Ls pa dienu, jo klients jau būs neapmierināts ar programmu! Un protams ka visādi āksti būs instalējuši tos kompjus, un man būtu vel dotneti un sazinkas jāsainstalē, lai tā gudrkoderu huiņa darbotos. Ak jā, Saurieši, Ulbroka, Mārupe arī viņiem skaitās Rīga. Brauc un instalē.

 

 

nu kaut kur tajā laikā ir ar Betonu Zeļļu kojās pāris reizes kopā šņabis dzerts

Pa kuru istabiņu tusējies? Vai pie mums pa 202. ?

 

 

 

bet man sen atpakalj swedbanka lietussargu uzdaavinaaja par visa krediitkartes lietosjanu:>

Aha, pa tavu naudu uzdāvināja tev nevajadzīgu ķinķēziņu. Neatgādina sievu?

 

 

 

Ap 1995 viņi ienāca un ap to laiku tāda alga varētu tikt piedāvāta, vienīgi gan jau pašam betonam tajā laikā bija ~7 gadi

Tev matemātika ir pilnīgā neizskaidrojamā vietā. 95. gadā nebija nekāda Hanzabanka, pa 3Ls strādāja tikai sētnieki un bomži no "darbatirgus" un man bija 15 nevis 7.

 

 

P.S. Par tiem skimmeriem runājot, vai beidzot kāda "banka" ir sapratusi ka bankomāta izskatu var uzlikt uz ekrāna kā screensaver? Vai varbūt tas ir pa sarežģītu tiem gudriem...

Labots Marts 27, 2015 - McB

[Gestapo]

 

 

lietussargu uzdaavinaaja

 

a man tika šekeļu zutenis, tiesa, neatceros par kādiem grēkiem. 

 

 

 

95. gadā nebija nekāda Hanzabanka

Tu saki?

http://lv.wikipedia.org/wiki/Swedbank 

[Vitalijs Kuzmins]

Paldies par jūsu viedokļiem.

 

Vēlos apliecināt, ka šī ir Swedbank oficiālā iniciatīva. Pārņemam Zviedrijas praksi, jo tur šāda iniciatīva sadarbībā ar klientiem un IT ekspertiem jau ilgstoši veiksmīgi strādā. Ikdienā jau saņemam daudz atbalsta no klientiem un IT ekspertiem, kas palīdz mums uzturēt sistēmas augstākajā kvalitātē. Ar šo iniciatīvu vēlamies sadarbību vienkāršot un ieviest vienu skaidru adresi, kur var sūtīt savus atklājumus un idejas par IT tēmu.

 

Vitalijs Kuzmins.

[VIL]

 

 

Pirmdien slēgšu swedbank kontu un arī pāreju uz DnB :>

 

parādi sava iesnieguma foto, lai ļaudis var pamācīties, kā tas pareizi aizpildāms.

[nnoname]

 

 

Paldies par jūsu viedokļiem. Vēlos apliecināt, ka šī ir Swedbank oficiālā iniciatīva. Pārņemam Zviedrijas praksi, jo tur šāda iniciatīva sadarbībā ar klientiem un IT ekspertiem jau ilgstoši veiksmīgi strādā. Ikdienā jau saņemam daudz atbalsta no klientiem un IT ekspertiem, kas palīdz mums uzturēt sistēmas augstākajā kvalitātē. Ar šo iniciatīvu vēlamies sadarbību vienkāršot un ieviest vienu skaidru adresi, kur var sūtīt savus atklājumus un idejas par IT tēmu. Vitalijs Kuzmins

 

Vitālij, man tāds jautājums Jums, patiesībā pat divi:

 

Jums nav mazliet, nu kaut nedaudz, kauns paģērot šādu haļavu no saviem klientiem vai vēl vairāk, nozares profesionāļiem? Tiešām vienai no vadošajām LV bankām ir tik trūcīgs it drošības budžets?

Un kā izskaidrosiet šo?

 

 

Professional Experience
    
2010 - Present
Local IT Security Officer - GE Money Bank
    
1905 - 2010
IT Risk manager, Latvia - Swedbank
    
2006 - 2009
IT Risk manager - Hansabank Group

[Domugrauds]

Viķam apnika stāstiu plēst, tāpēc cer, ka auni bez maksas atradīs caurumus, a šis kā pāvs ienesīsies priekšnieku kabinetā un lielīsies cik šis labs un lai dod prēmiju

Labots Aprīlis 1, 2015 - Domugrauds