Тестировщик
36,8
рейтинг
3 августа 2015 в 21:42

Разработка → 5 нажатий на экран терминала — и открывается любая папка recovery mode

Не так давно я попробовал воспользоваться платёжным терминалом одного украинского банка.
Всего лишь 5 безобидных нажатий на сенсорный экран открыли мне доступ к Windows Explorer этого терминала.

image

На главном экране терминала были доступны три большие кнопки: «Банковские услуги», «Оплата услуг» и «Восстановить квитанцию».
Реклама продуктов банка и, грубо говоря, пополнение мобильного/оплата за интернет мне неинтересны.

image

А вот как устроена функция «Восстановить квитанцию» — меня заинтересовало (к примеру, в банке, где я работаю, в терминалах пока такой функции нет).

Нажимаю вышеуказанную кнопку. Открывается экран, где нужно заполнить два поля: «Реквизит» и «Дата».

image

Не указываю данных в первом поле, во втором дата предустановлена автоматически, поэтому просто нажимаю «Печать».
Жду сообщение об ошибке. Сообщение об ошибке получаю не совсем корректным («Введите идентификатор» при том, что поле называется «Реквизит»), ну да ладно.

image

Нажимаю единственно доступную на экране «ОК» и жму «Выход» — ничего интересного я не увидел.

Но тут на долю секунды мелькает открытый проводник.

image

Показалось? Пробую ещё раз: Квитанции, Печать, Ок, Выход — нет, не показалось.
За эту долю секунды пробую нажать на дерево папок слева, и это удаётся — компьютер переходит в папку и отображает её содержимое.
Мысленно говорю себе, что наверняка после перехода терминала в режим ожидания что-то собьётся, пробую ещё раз — однако всё та же папка остаётся открытой.
За следующую долю секунды я смог посмотреть, какие программы установлены в этом терминале.

image

Потом смог открыть Сетевое окружение и удивиться, что здесь видно так много устройств (особенно повеселили названия. А что? Сотрудники банков тоже люди!)

image

В общем, так как терминал находится внутри отделения банка, долго смотреть на это я не хотел, поэтому ушёл.

Позвонил в поддержку, сказали, что сообщение об ошибке нужно писать на e-mail. Сообщение на e-mail я отправил с картинкой, но это не ускорило процесс — со мной связались только через полторы недели. Решили проблему ещё где-то через неделю.

Итог? Такие ситуации встречаются мне постоянно, несмотря на то, что всё давно изучено и описано. Пресловутый человеческий фактор всё ещё даёт работу тестировщикам.
@Gorodnya
карма
31,0
рейтинг 36,8
Тестировщик
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (27)

  • +25
    Опасаетесь что по фото пальца узнают?)
    • +7
      Может у человека родимое пятно на руке запоминающееся.
    • +19
      Мне другое напомнило
      image

      image
  • +26
    Банкомат тупо в общей сети банка? Просто финиш.
    • +5
      Это не банкомат, это платежный терминал. Им не надо быть в сети банка, они общаются с платежными шлюзами через API. Скорее всего, это внутренняя сеть подрядчика, который обслуживает терминал
      • –1
        SSH или VPN до платежного шлюза не вариант разве?
  • 0
    фоторобот пальца вдруг составят…
  • +10
    Смешнее, чем проводник на терминале только папка «svn на Vovan-nout». Деплой, видимо, старым добрым методом от Яндекса: svn checkout + copy.
    • 0
      «Crazy Machines 3 на Vano» — Кто-то пилит третью часть? :)
      «atm's на Grib» — интересно, что там может быть
  • +4
    Все правильно, ПРОСТІШЕ НЕ БУВАЄ
  • 0
    Там наверное такой говнокод…
  • +15
    Однажды в салоне Рено меня заинтересовал аппарат для поддержки\рекламы\регистрации авто и тыды (выглядит как стандартный терминал оплаты телефона, только софт иной), в общем через пару минут увидел сетевую шару с базами 1С, выписками из банка и эксель файлы «Зарплата 2015».
    Позвал админа — он краснел.
    Имхо это вообще стандартно, что такие железки плохо защищают.
  • +6
    BaDimon на Притон_бродяг
    как-то не внушает доверие к банку :)
    • 0
      Ну дык, терминалы — не банкоматы. Их где только не ставят. :)
    • 0
      Ладно притон_бродяг… А как вам имя компьютера Ахтунг?
  • –39
    Это которая статья уже по счету про дыры в хохлобанках? Меня терзают смутные сомнения…
  • +4
    Притон_бродяг — это еще что. Я встречал внутренние сетевые сервера Sarkazm, Morazm, Extaz и Orgazm
    Но тамошние админы кроме чувства юмора свое дело знали — секьюрность была знатная…
  • +5
    Помню, как-то задумался и три раза пальцем щёлкнул по экрану платёжного терминала. Был удивлён синему экрану сметри. Больше так не делал.
    • 0
      Я как-то у нас видел как подобный терминал выдал кернел паник, секунд через 10 ребутнулся и требовал вручную проверить корень. На тач не откликался — ничем ему помочь не смог.
  • +2
    Тематически называть компы — это нормально. У нас админы увлекались астрономией.
    • 0
      Только не компы, а сервера.
      Рабочие станции назывались либо по отделам, либо по сотрудникам
      • 0
        И компы тоже. Сервера — самые яркие звёзды в созвездиях (а контроллер домена имел короткое имя Sun). Когда их все можно запомнить, то можно не увлекаться систематизацией.
  • +5
    Однажды в одном ТЦ нужно было срочно зайти в интернет, там стоял wifi без пароля, а у меня с собой ноутбук. Скорость была чуть больше чем через dial-up и я решил подобрать пароль с помощью Dumpper & Jumpstart и уязвимости в WPS протоколе.
    Сделав неотложные дела я поблагодарил неизвестную компанию распечатав благодарность и способ закрыть уязвимость на их принтерах.
    • 0
      Тема не нова. Я через терминалы в торговых центрах по Инету уже лет 5 брожу, особенно, когда кого-то надо ждать, — с телефона медленнее. Да и «Проводник» обычно висит фоном и доступ к нему есть через стандартные кнопки (если есть экранная клавиатура) или жесты (листание, прокрутка).
      • 0
        Может подскажете несколько самых частых возможностей обхода терминала? Сколько не пробовал разные способы — мне всё никак не поддаются. То ли терминалы хорошие то ли я криворукий
        • 0
          Технически можно работать и через сканер штрих-кодов в торговом зале. Вопрос в том, какая конечная цель…
  • 0
    Не первая статья про этот банк :). Ждемс еще.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.