نمایش نتایج: از شماره 1 تا 9 , از مجموع 9

موضوع: حفره امنیتی در درگاه پرداخت های وبسایت زرین پال و ناامن بودن زرین پال

  1. #1

    تاریخ عضویت
    May 2014
    نوشته ها
    2
    تشکر
    0
    0 بار تشکر شده در 0 پست

    حفره امنیتی در درگاه پرداخت های وبسایت زرین پال و ناامن بودن زرین پال

    دوستان عزیز سلام
    من یک ماه پیش یک سایت(azmonshop.com) ایجاد کردم برای فروش فایل های دانلودی و برای اینکه بتوانم فروش های خود را سریعتر انجام دهم به درگاه های واسط روی آوردم.چند روز از ایجاد فروشگاهم گذشت و چند تا فروش هم داشتم و خوشحال از اینکه سایت من داره فروش انجا میده.یکی دو بار هم به پنل خودم در سایت زرین پال سرک کشیدم و مبالغ فروش رو اونجا کنترل کردم و همه چی درست بود.و چون مبلغ فروش اندک بود حدود 157/200 تومن با خودم گفتم مبلغ فروشم که 200 هزار تومن شد درخواست پرداخت میدم تا پول به حسابم واریز بشه.
    من دو سه روز به پنل خودم وارد نشدم و اینکه دیدم دو سه روز هست هیچ خریدی از طریق سایت انجام نمیشه.یه خورده مشکوک شدم که چرا فروش انجام نمیشه ولی متوجه نمی شدم دلیلش چی هست.
    جالب این بود که به سابقه خرید سایت می رفتم و اونجا سوابقی رو میدیدم که مشتری ها می آمدند و چندین بار قصد خرید داشتند ولی نمی توانستند خرید را نهایی کنند و بعد دو سه روز با خودم گفتم نکنه فرآیند خرید محصول توی سایت با مشکل مواجه شد و رفتم روی یکی از محصولات کلیک کردم و به صفحه سبد خرید رفتم و سپس روی دکمه پرداخت کلیک کردم و متوجه فاجعه شدم.بعد کلیک بر روی دکمه پرداخت به من پیغام داده شد که "درگاه پرداخت شما با مشکل مواجه شده است".بلافاصله وارد پنل زرین پال خودم شدم و فاجعه عظیم تر اونجا مشاهده کردم که 155 هزارتومان از فروش سایت توسط یک هکر تماما بصورت کارت شارژ ایرانسل از حسابم خارج شده است.
    واقعا شوکه کننده بود که چرا این اتفاق افتاده است.ساعت 11 شب این اتفاق افتاد و سریع برای پشتیبانی تیکت ارسال کردم و متاسفانه هیچ کس از شرکت زرین پال پاسخگو نبود و اصلا پشتیبانی نبود که پاسخ تیکت را بدهد.
    بررسی کردم ببینم چه اتفاقی افتاده.دیدم یک نفر با ایمیل من وارد پنل قدیمی سایت زرین پال شده و درخواست تغییر شما موبایل داده است.شماره موبایل بدون هیچ هشداری به من عوض شده و زرین پال هیچ هشداری به من نداده است که آیا تغییر موبایل را تائید می کنید؟در حالی که شماره موبایل جز اطلعات بسیار مهم سایت زرین پال هست و اولین مشکل زیرن پال این هست که هرکس پسورد داشته باشد می تواند وارد پنل قدیم شود و شماره موبایل را عوض کند بدون اینکه هیچ پیغامی به شماره موبایل قدیم داده شود.هکر با پسورد من وارد شده و توانسته شماره موبایل خود را جایگزین شماره موبایل من کنه و زرین پال با عدم رعایت نکات ایمنی هیچ هشداری به من نداده.هیچ پیامکی نداده است و هکر توانسته تمام موجودی من را با استفاده از شماره موبایل خودش برداشت کرده و کارت شارژ خریده و مجددا با شماره موبایل خودش وارد سایت شده و مجددا موبایل را عوض کرده و شماره موبایل من رو هم قرار داده است و رفته و موبایل خودش را هم خاموش کرده است.باز هم هیچ هشدار و آلارمی به من نداده است و من اگر تا یک ماه به پنل خودم مراجعه نمی کردم متوجه هک شدن حساب خودم نمی شدم.
    جالب هست که سطح کاربری من نقره ای بوده و هکر رفته سطح حساب من رو از نقره ای به عادی تغییر داده و باز هم هیچ پیغامی به من داده نشده است و وقتی با زرین پال تماس گرفتم براحتی گفتند که هیچ مسئولیتی در قبال هک حساب ها و اکانت ها نداریم و سهل انگاری از شما بوده و حتما یک نفر پسورد شما را داشته و وارد حساب شده و هر تغییری که اعمال کرده دیگه به ما مربوط نیست.برو به دادسرا شکایت کن و مااطلاعات مورد نیاز را به پلیس فتا می دهیم. که من عملا برای 155هزارتومن نمی تونستم برم دادسرا و اونجا کلی وقت و هزینه کنم برای دادنامه و برم پلیس فتا و کلی هزینه کنم و در نهایت بیخیال مبلغ شدم و حساب خودم رو از زرین پال به سایت دیگری منتقل کردم تا زمانی که درگاه اصلی خودم رو بگیریم.اینها رو خدمت شما دوستان گفتم تا تجربه بشه براتون و از باز کردن حساب توی همچین سایت های ضعیفی خودداری کنین.تازه پشتبان زرین پال منو تهدید کرد که اگر جایی بازگو کنم این موارد رو با بخش حقوقی سایت طرف هستم و من بخاطر تجربه تلخی که برام اتفاق افتاد این رو اینجا براتون گفتم.
    مهمترین ضعف سیستم زرین پال این هست که هیچ گونه هشداری نمی دهد و هر کس یک پسورد از شما داشته باشد براحتی می تواندمبالغ حساب شما را با خرید کارت شارژ و غیره خالی کند.و سیستم زرین پال براحتی اجازه ویرایش اطلاعات کلیدی شما را به دارنده پسورد یا هکر می دهد
    ویرایش توسط chaabok : 2 هفته پیش در ساعت 00:47

  2. #2
    FileBegir.com آواتار ها
    تاریخ عضویت
    Aug 2011
    نوشته ها
    307
    تشکر
    205
    251 بار تشکر شده در 152 پست
    دوست عزیز ببخشید می پرسم ولی اگر این ماجرا حقیقت داره
    چرا هکر باید از 162 تومن موجودی شما 155 تومنش رو شارژ بخره!

  3. #3

    تاریخ عضویت
    May 2014
    نوشته ها
    2
    تشکر
    0
    0 بار تشکر شده در 0 پست
    کلا 2هزار و دویست تومن رو برام گذاشته.اون هم احتمالا به این دلیل که نتونسته شارژ بخره باهاش

    این پست توسط عبارت زیر به روز شده است :

    اینم تصویری از برداشت های انجام شده

    این پست توسط عبارت زیر به روز شده است :

    مبلغ دقیقش 157 هزار و دویست تومن بوده
    بالاخره اینو گفتم که حواستون باشه.
    این نوع درگاه های پرداخت اصلا مطمئن نیستن و اگه پسورد شما رو کسی بدست بیاره کار حساب شما تمومه.
    من اولین بار هست که تو زندگیم کسی تونسته ازم برداشت کنه.
    توجه داشته باشین که من تمام کارهام با اینترنت بانک هست و تمام پسوردهای مربوط به ایمیل هام همه ذخیره شده رو لپ تاپم هستند و تا بحال یک مورد سوء استفاده از حساب هام نشده واین اولین باری هست که این اتفاق برام افتاده

  4. #4

    تاریخ عضویت
    Feb 2018
    نوشته ها
    2
    تشکر
    2
    0 بار تشکر شده در 0 پست
    بهترین درگاه امن داخلی چی هستش الآن؟
    ساج در تولید کننده انواع درب ضد سرقت ایرانی با قیمت مناسب، تولید کننده انواع درب چوبی، درب ضد آب و درب تمام چوب با بهترین قیمت Http:www.sajdoor.ir

  5. #5
    کاربر فعال انجمن شاپ کیپر bestirani2 آواتار ها
    تاریخ عضویت
    Aug 2011
    نوشته ها
    1,058
    تشکر
    510
    1,154 بار تشکر شده در 642 پست
    اگر طبق توضیحات خودتون هکر پسورد شما را به دست اورده مسئولیت با شما هست.
    این نکته را اینترنت بانک تمام بانک ها هم ذکر کردند ولی اگه این مشکل به دلیل ضعف امنیتی سیستم زرین پال باشه باید جوابگو باشند. به عنوان مثال یک حفره امنیتی که هکر بتونه بدون داشتن
    پسورد وارد اکانت شما بشه.
    اگه شماره موبایل فردی که ازتون پول برداشته را دارید حتما شکایت کنید.
    سیستم زرین پال هم با توجه به اینکه یک سیستم مالی هست باید تایید هویت را ارتقا بده. نکاتی که به نظرم میرسه که مهم هست سیستم هایی مثل زرین پال رعایت کنند.
    برای سیستم لاگین از تایید دو مرحله ای استفاده کنند. (برای اینکه هزینه بالایی نداشته باشه حداقل می توانند از ایمیل برای تایید دو مرحله ای استفاده کنند.)
    جهت تغییر ایمیل و موبایل، تایید از شماره و ایمیل قبلی را دریافت کنند.

  6. کاربران زیر به خاطر این پست از bestirani2 تشکر کرده اند :


  7. #6
    راهبر انجمن شاپ کیپر rahintaxir آواتار ها
    تاریخ عضویت
    May 2011
    نوشته ها
    1,699
    تشکر
    2,401
    1,676 بار تشکر شده در 921 پست
    اینکه شما باید مراقب پسورد خودتون باشید شکی در این نیست و با توجه به توضیحات خودتون این اشتباه از سمت شما بوده و مسئولیتی در این مورد به عهده زرین پال نیست ولی در مورد تغییر شماره موبایل کاملاً حق با شماست و باید روند تغییر شماره موبایل به این صورت باشه که یه کد موقت به شماره موبایل اصلیتون (همون شماره قبلی) ارسال بشه و در صورت ورود کد ارسالی شخص مجاز به تعویض شماره موبایل باشه

  8. #7
    zozze آواتار ها
    تاریخ عضویت
    Oct 2013
    نوشته ها
    950
    تشکر
    412
    794 بار تشکر شده در 457 پست
    سلام
    دوستان صحبت های مهم رو نوشتن و مشخصه که دلیل اصلی پسورد داشتن شخص به اصطلاح هکر هست که شما رو مقصر نشون میده.
    پنل قبلی که با همون یوزر و پسورد وارد میشه، یک سری از موارد مهمش غیر فعاله ولی تست نزدم ببینم شماره ها و اطلاعیه ها به چه شکله که بنظر من هم خیلی مهمه شماره همراه یا با کد تایید یا با یک اطلاعیه ارسال بشه به شماره و ایمیل ثبت شده در پنل.
    پنل جدید هم که برای هر بار لاگین شدن یک رمز موقت به گوشی یا ایمیل میفرسته که امنیتش خوبه.
    در کل توی این 5-6 سالی که از زرین پال استفاده میکنم مشکلی نداشتم حدالامکان هم توی هر مشکلی که وجود داشته کمک کردن.
    موفق باشید.

  9. کاربر زیر به خاطر این پست از zozze تشکر کرده است :


  10. #8
    Alda آواتار ها
    تاریخ عضویت
    Mar 2016
    نوشته ها
    578
    تشکر
    468
    228 بار تشکر شده در 155 پست
    سلام بر شما خسته نباشید
    بنده هیچ کاری به صحبت هایی که شما کردین ندارم و فقط تجربه خودمو از زرین پال میگم
    من یه سیستم خودکاری برای فروش شماره های مجازی طراحی کردم و اونو به درگاه زرین پالم وصل کردم و با توجه به اینکه خودکار هست و ... هیچگاه تا حالا مشکل قطعی درگاه نداشته و مشتریام خدا رو شکر پرداختشون رو در محیطی امن انجام دادن
    درباره تغییر اطلاعات در زرین پال عرض شود که بنده یه بار اطلاعاتم رو ابدیت کردم ، وقتی که اطلاعات ابدیت بشه باید توسط کارشناسا تایید بشه و اجازه فعالیت از شما گرفته میشه و وقتی دوباره تایید بشه پیامک اطلاع رسانیش براتون میاد
    به شخصه درگاه های زیادی مراجعه کردم همشون خوب بودن ولی زرین پال به نظر من از همه اونا بهتره ، چه از نظر پشتیبانی ... چه از نظر تسویه حساب با وجود اینکه زرین کارت هم ندارم تسویه ها رو گاهی اوقات کمتر از 24 ساعت انجام میده ، باید به جناب اقای امیری و همکارانشون تبریک گفت و تشکر نیز کرد

  11. #9
    mosisms آواتار ها
    تاریخ عضویت
    Nov 2012
    نوشته ها
    1,184
    تشکر
    1,595
    844 بار تشکر شده در 442 پست
    سلام
    اینکه اطلاع رسانی نشده بهتون مشکل شماست دوست عزیز
    چرا ؟
    چون :
    1. از طریق ربات زرین پال اطلاع رسانی انجام میشه ، هم پرداخت ها ، هم ورود به سیستم ، هم درخواست واریز و ....
    2. از طریق اپلیکیشن اندرویدی و ویندوزی زرین پال
    3. از طریق پیامک ( باید کیف پول پیامکتون رو شارژ کنین )

    خب با این موارد ، بازم مشکلی هست بنظرتون ؟
    من تا حالا و طی این چندین و چند سالی که با زرین پال بودم ازشون رضایت دارم
    تراکنش هام تو همین ماه اخیر هم فکر کنم بیش از 2 میلیون تومان بوده

    زرین کارتم هم دفعه دومه میگیرم و یبار تمدید شده

    بطور کلی از زرین پال راضیم و بنظرم حتی از برخی از بانک ها هم معتبر تره
    چرا ؟
    چون بانک ها بخاطر پولشون سر پا هستند ولی زرین پال بخاطر اعتماد کاربر هاش
    و کوچک ترین خطا و اشتباهی میتونه براش خیلی گرون تموم بشه پس همیشه هوای کاربر رو داره (بخصوص آقای امیری و بازم بصورت خاص تر علی آقای امیری که خیلی لطف دارند و حتی تیکت دیر پاسخ داده بشه تو تلگرام خودشون شخصا کارا رو راه میندازن)
    زندگی کوزه آبی خنک و رنگین است/آب این کوزه گهی تلخ و گهی شور و گهی شیرین است/زندگی گرمی دلهای به هم پیوسته است/تا در آن دوست نباشد همه درها بسته است

  12. کاربر زیر به خاطر این پست از mosisms تشکر کرده است :


موضوعات مشابه

  1. تبادل بنر با وبلاگ یا سایت... دامین اتوریتی 70 پیج اتوریتی 30
    توسط farasil در انجمن تبلیغات اینترنتی و بازاریابی آنلاین
    پاسخ ها: 10
    آخرين نوشته: 2017-10-20, 14:24
  2. پاسخ ها: 1
    آخرين نوشته: 2016-09-24, 22:00
  3. بک لینک قوی در سایتی با 75 هزار ایندکس و پیج اتوریتی 39
    توسط roozema در انجمن دامنه ، سایت ، گروه و کانال
    پاسخ ها: 33
    آخرين نوشته: 2015-08-10, 17:38

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید
  • شما نمیتوانید پست های خود را ویرایش کنید
  •