شما هم اکنون در حال مشاهده مطلب درگاه پرداخت پی پینگ چگونه هک شد؟ از اولترا سیکوریتی می باشید

این صفحه تاکنون 19 بار بازدید داشته است
درگاه پرداخت پی پینگ چگونه هک شد؟
آموزش ، تست نفوذ وب سایت ۱۷ آبان ۹۸ 19 بازدید
چکیده مطلب:

  سلام خدمت تمامی کاربران عزیز وبسایت تیم امنیتی اولترا   در این پست میخوایم راجب هک شدن سایت پی پینگ صحبت کنیم ، سایت پی پینگ یکی از سایت های بسیار معروف پرداخت است که کاربران زیادی از خدمات این سایت استفاده میکنن ، به دلیل اینکه سایت پی پینگ در حوزه پرداحت فعالیت […]

 

سلام خدمت تمامی کاربران عزیز وبسایت تیم امنیتی اولترا

 

در این پست میخوایم راجب هک شدن سایت پی پینگ صحبت کنیم ، سایت پی پینگ یکی از سایت های بسیار معروف پرداخت است که کاربران زیادی از خدمات این سایت استفاده میکنن ، به دلیل اینکه سایت پی پینگ در حوزه پرداحت فعالیت میکنه حتی کوچکترین ضعف های امنیتی هم برای این سایت خطرناک هست ، در این پست ما به صورت کامل توضیح دادیم که پی پینگ چگونه هک شد؟ و همچنین  برخورد تیم پی پینگ نسبت به موضوع پیش اومده چطور بود و… پس حتما ما رو تا آخر این پست همراهی کنید

 

 

نکته ای بسیار مهم : هدف ما از انتشار این پست تخریب سایت پی پینگ نیست ، بلکه ما به دنبال گوشزد کردن مواردی هستیم که مهم هستن و خیلی از سایت با رعایت نکردن این موارد ضرر های بسیار بزرگی میکنن ، امیدواریم چه سایت پی پینگ و چه بقیه سایت هایی که در بحث های پرداخت هستن و سایتشون از حساسیت بالایی برخوردار است به دنبال ارتقا سطح امنیتی خودشون باشن و با بی دقتی اطلاعات کاربران رو در دسترس افراد سودجو قرار ندن

 

 

 

 

 

پی پینگ چگونه هک شد ؟

درحال بررسی وبسایت پی پینگ بودم که ناگهان متوجه یکسری اطلاعات با فرمت XML در یکی از صفحات پی پینگ شدم که حاوی یک لیست عظیم از آیدی و آدرس فایل های آپلود شده روی سرور بود. میدانستم این اتفاق بر اثر بی دقتی تیم فنی سایت رخ داده و یک حفره بزرگ امنیتی نیست و وجود آن در اکثر وبسایت ها مانعی ندارد و مشکلی به وجود نمی آورد اما این مورد برای سایت ها و سرویس های امثال پی پینگ صدق نمی کند.
کمی با اطلاعات موجود در آن صفحه بازی کردم و متوجه شدم که این اطلاعات می توانند با ارزش و حیاتی باشند؛ پس به کمک پایتون یک اسکریپت برای پردازش آیدی ها و آدرس ها و در نهایت دانلود فایل های آپلود شده نوشتم، البته به دلیل عظیم بودن لیست فایل ها فقط به دانلود تصاویر و فایل های PDF , DOCX و XLS بسنده کردم و تا حد امکان به دانلود ادامه دادم و پس از متوقف کردن اسکریپت، شروع به بررسی فایل های دانلود شده کردم.
بعد از یک نگاه اجمالی به فایل ها شگفت زده شدم! اطلاعات به دست اومده حاوی فاکتور های پرداخت کاربران، واریز ها، شماره تلفن ها، شماره های شبا و شماره حساب بانکی کاربران، به همراه نام و تعدادی از اطلاعات شخصی افراد، ایمیل ها و لینک های برگشتی خرید و همچنین برخی تصاویر که کارمندان پی پینگ داخل یا خارج شرکت از خود گرفته اند بود، میان آنها تصاویر و اطلاعاتی از زمان مراحل ساخت و طراحی سرویس پی پینگ نیز وجود داشت؛ بهتر است بگوییم هر اطلاعاتی که باید مخفی باشد و حتی کارمندان پی پینگ هم به آن دسترسی نداشته باشند، حالا در درایو D سیستم بنده همسایۀ فایل اسکریپت بود. اطلاعات به قدری کافی بود که حتی شماره تلفن، شماره حساب بانکی، تاریخ تولد، کد ملی و حتی نام پدر مدیر عامل پی پینگ نیز به دست آمد.
همانطور که گفتم وجود این بی دقتی در خیلی از سایت ها مشکلی به وجود نمی آورد اما از آنجا که پی پینگ با اینکه مجوز فعالیت دارد و تماما قانونی عمل می کند چند باری فیلتر شد، هر بار هم تنها به دلیل اینکه یکی از کاربران آن تخلفی کرده بود، حال اگر پی پینگ تنها با تخلف یکی از کاربرانش فیلتر می شود قطعا با افشای اطلاعات ذکر شده تا مرز نابودی پیش خواهد رفت.
ابتدا این موضوع را با چند نفر از دوستانم در میان گذاشتم و بعضا می گفتند “تا میتونی با این اطلاعات ازشون بِکَن!”، شاید هم کار درست همین بود اما شخصا این که آن ها را مجبور کنم تا حتما مبلغی در ازای نقص امنیتی پرداخت کنند و اگر پرداخت نکنند بدبخت خواهند شد را غیراخلاقی میدانم، و ترجیح دادم این موضوع را به خود پی پینگ بسپارم که اگر پاداشی میخواهند بدهند با رضایت کامل باشد؛ پس به سراغ پشتیبانی پی پینگ رفتم و با ایشان گفتگو کردم تا هرچه سریع تر این نقص را برطرف کنند؛ و خوشبختانه افراد ماهری در تیم فنی پی پینگ حضور دارند و تنها ظرف چند ساعت این نقص امنیتی را برطرف کردند.
البته آن ها هم کم لطفی نکردند و یکی از پلن های پی پینگ رو با کارمزد رایگان برای قدردانی به بنده هدیه دادند و نه تنها مثل بعضی از سایت ها ناراحت نشدند و برخورد نامناسب نداشتند بلکه بسیار استقبال هم کردند. این یعنی امنیت برای پی پینگ از اهمیت زیادی برخوردار است و میتوانیم مطمئن شویم که بعد از این اتفاق امنیت رو در درجه اول اهمیت قرار دهند و اجازه بروز مجدد همچین اتفاقی را ندهند.
البته این اتفاق مربوط به دی ماه ۱۳۹۷ است و ما صبر کردیم تا پی پینگ از امنیت خود به طور کامل اطمینان حاصل کند و بعد این مطلب را منتشر کنیم.
لازم به ذکر هست که الان این اتفاق نه تنها از اعتبار پی پینگ کم نمی کند بلکه در حال حاضر پی پینگ از امنیت بالایی برخوردار است و بنده شخصا به پی پینگ که یکبار امنیت آن نقض شده و استرس آن را چشیده و درس عبرت گرفته بیشتر اعتماد دارم تا دیگر سرویس های مشابه و از همان زمان هم بنده برای پرداخت ها از سرویس پی پینگ استفاده می کنم و تا به الان هیچ مشکلی پیش نیامده و بسیار عالی بوده؛ و فکر میکنم پی پینگ در آینده ای نزدیک به دلیل داشتن سادگی و در عین حال داشتن خدمات بسیار، جایگاه ویژه ای میان سرویس های ارائه درگاه پرداخت کسب خواهد کرد.

 

 

    دیدگاه کاربران
    1. مجتبی گفت:

      اگر مورد تایید بانک مرکزیه چرا فیلتر هست؟؟

      • اشکان مقدس گفت:

        سلام

        پی پینگ الان فیلتر نیست ولی چند باری قبلا فیلتر شده بود به دلیل تخلفاتی که کاربران میکردن ، مورد تایید بودن دلیلی بر این نیست که اگر تخلفی صورت بگیره برخوردی صورت نگیره با درگاه پرداخت

    مطالب پیشنهادی اولترا سیکوریتی
    محبوب ترین دوره های آنلاین مشاهده تمامی دوره ها
    دوره آموزشی باج افزار نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی باج افزار...

    دوره آموزشی ساخت بات نت متصل به تلگرام با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ساخت بات...

    دوره آموزشی ویروس نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ویروس نویسی...

    کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

    طراحی و توسعه توسط اولترا سیکوریتی