02128428905

درگاه پرداخت پی پینگ چگونه هک شد؟

 

سلام خدمت تمامی کاربران عزیز وبسایت تیم امنیتی اولترا

 

در این پست میخوایم راجب هک شدن سایت پی پینگ صحبت کنیم ، سایت پی پینگ یکی از سایت های بسیار معروف پرداخت است که کاربران زیادی از خدمات این سایت استفاده میکنن ، به دلیل اینکه سایت پی پینگ در حوزه پرداحت فعالیت میکنه حتی کوچکترین ضعف های امنیتی هم برای این سایت خطرناک هست ، در این پست ما به صورت کامل توضیح دادیم که پی پینگ چگونه هک شد؟ و همچنین  برخورد تیم پی پینگ نسبت به موضوع پیش اومده چطور بود و… پس حتما ما رو تا آخر این پست همراهی کنید

 

 

نکته ای بسیار مهم : هدف ما از انتشار این پست تخریب سایت پی پینگ نیست ، بلکه ما به دنبال گوشزد کردن مواردی هستیم که مهم هستن و خیلی از سایت با رعایت نکردن این موارد ضرر های بسیار بزرگی میکنن ، امیدواریم چه سایت پی پینگ و چه بقیه سایت هایی که در بحث های پرداخت هستن و سایتشون از حساسیت بالایی برخوردار است به دنبال ارتقا سطح امنیتی خودشون باشن و با بی دقتی اطلاعات کاربران رو در دسترس افراد سودجو قرار ندن

 

 

 

 

 

پی پینگ چگونه هک شد ؟

درحال بررسی وبسایت پی پینگ بودم که ناگهان متوجه یکسری اطلاعات با فرمت XML در یکی از صفحات پی پینگ شدم که حاوی یک لیست عظیم از آیدی و آدرس فایل های آپلود شده روی سرور بود. میدانستم این اتفاق بر اثر بی دقتی تیم فنی سایت رخ داده و یک حفره بزرگ امنیتی نیست و وجود آن در اکثر وبسایت ها مانعی ندارد و مشکلی به وجود نمی آورد اما این مورد برای سایت ها و سرویس های امثال پی پینگ صدق نمی کند.
کمی با اطلاعات موجود در آن صفحه بازی کردم و متوجه شدم که این اطلاعات می توانند با ارزش و حیاتی باشند؛ پس به کمک پایتون یک اسکریپت برای پردازش آیدی ها و آدرس ها و در نهایت دانلود فایل های آپلود شده نوشتم، البته به دلیل عظیم بودن لیست فایل ها فقط به دانلود تصاویر و فایل های PDF , DOCX و XLS بسنده کردم و تا حد امکان به دانلود ادامه دادم و پس از متوقف کردن اسکریپت، شروع به بررسی فایل های دانلود شده کردم.
بعد از یک نگاه اجمالی به فایل ها شگفت زده شدم! اطلاعات به دست اومده حاوی فاکتور های پرداخت کاربران، واریز ها، شماره تلفن ها، شماره های شبا و شماره حساب بانکی کاربران، به همراه نام و تعدادی از اطلاعات شخصی افراد، ایمیل ها و لینک های برگشتی خرید و همچنین برخی تصاویر که کارمندان پی پینگ داخل یا خارج شرکت از خود گرفته اند بود، میان آنها تصاویر و اطلاعاتی از زمان مراحل ساخت و طراحی سرویس پی پینگ نیز وجود داشت؛ بهتر است بگوییم هر اطلاعاتی که باید مخفی باشد و حتی کارمندان پی پینگ هم به آن دسترسی نداشته باشند، حالا در درایو D سیستم بنده همسایۀ فایل اسکریپت بود. اطلاعات به قدری کافی بود که حتی شماره تلفن، شماره حساب بانکی، تاریخ تولد، کد ملی و حتی نام پدر مدیر عامل پی پینگ نیز به دست آمد.
همانطور که گفتم وجود این بی دقتی در خیلی از سایت ها مشکلی به وجود نمی آورد اما از آنجا که پی پینگ با اینکه مجوز فعالیت دارد و تماما قانونی عمل می کند چند باری فیلتر شد، هر بار هم تنها به دلیل اینکه یکی از کاربران آن تخلفی کرده بود، حال اگر پی پینگ تنها با تخلف یکی از کاربرانش فیلتر می شود قطعا با افشای اطلاعات ذکر شده تا مرز نابودی پیش خواهد رفت.
ابتدا این موضوع را با چند نفر از دوستانم در میان گذاشتم و بعضا می گفتند “تا میتونی با این اطلاعات ازشون بِکَن!”، شاید هم کار درست همین بود اما شخصا این که آن ها را مجبور کنم تا حتما مبلغی در ازای نقص امنیتی پرداخت کنند و اگر پرداخت نکنند بدبخت خواهند شد را غیراخلاقی میدانم، و ترجیح دادم این موضوع را به خود پی پینگ بسپارم که اگر پاداشی میخواهند بدهند با رضایت کامل باشد؛ پس به سراغ پشتیبانی پی پینگ رفتم و با ایشان گفتگو کردم تا هرچه سریع تر این نقص را برطرف کنند؛ و خوشبختانه افراد ماهری در تیم فنی پی پینگ حضور دارند و تنها ظرف چند ساعت این نقص امنیتی را برطرف کردند.
البته آن ها هم کم لطفی نکردند و یکی از پلن های پی پینگ رو با کارمزد رایگان برای قدردانی به بنده هدیه دادند و نه تنها مثل بعضی از سایت ها ناراحت نشدند و برخورد نامناسب نداشتند بلکه بسیار استقبال هم کردند. این یعنی امنیت برای پی پینگ از اهمیت زیادی برخوردار است و میتوانیم مطمئن شویم که بعد از این اتفاق امنیت رو در درجه اول اهمیت قرار دهند و اجازه بروز مجدد همچین اتفاقی را ندهند.
البته این اتفاق مربوط به دی ماه ۱۳۹۷ است و ما صبر کردیم تا پی پینگ از امنیت خود به طور کامل اطمینان حاصل کند و بعد این مطلب را منتشر کنیم.
لازم به ذکر هست که الان این اتفاق نه تنها از اعتبار پی پینگ کم نمی کند بلکه در حال حاضر پی پینگ از امنیت بالایی برخوردار است و بنده شخصا به پی پینگ که یکبار امنیت آن نقض شده و استرس آن را چشیده و درس عبرت گرفته بیشتر اعتماد دارم تا دیگر سرویس های مشابه و از همان زمان هم بنده برای پرداخت ها از سرویس پی پینگ استفاده می کنم و تا به الان هیچ مشکلی پیش نیامده و بسیار عالی بوده؛ و فکر میکنم پی پینگ در آینده ای نزدیک به دلیل داشتن سادگی و در عین حال داشتن خدمات بسیار، جایگاه ویژه ای میان سرویس های ارائه درگاه پرداخت کسب خواهد کرد.

 

 

 

دیدگاه کاربران
  • مجتبی 9 نوامبر 2019

    اگر مورد تایید بانک مرکزیه چرا فیلتر هست؟؟

    • اشکان مقدس 10 نوامبر 2019

      سلام

      پی پینگ الان فیلتر نیست ولی چند باری قبلا فیلتر شده بود به دلیل تخلفاتی که کاربران میکردن ، مورد تایید بودن دلیلی بر این نیست که اگر تخلفی صورت بگیره برخوردی صورت نگیره با درگاه پرداخت

  • Retrr0 15 نوامبر 2019

    وقتی بهشون نفوذ شده چرا انکار میکنن ! اینه عاقبت دروغگو !

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به مناسبت تولد دوسالگی اولترا کد تخفیف 50 درصدی برای تمامی محصولات فروشگاه (همراه با جوایز ویژه) کد تخفیف : tavalodکلیک کنید
+