На PHDays хакеры взломали систему ДБО

В рамках конкурсной программы Positive Hack Days IV состоялось уже ставшее традиционным соревнование «Большой ку$h», в ходе которого конкурсанты должны были взламывать систему ДБО.
Конкурс проходил в два этапа: сначала участникам для анализа были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе конкурса хакеры должны были за ограниченное время эксплуатировать обнаруженные уязвимости и украсть как можно больше денег.
Специально для конкурса «Большой ку$h» была разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в банковских системах в реальной жизни.
За один час участники должны были воспользоваться проблемами безопасности, обнаруженными на первом этапе соревнования, и перевести деньги с из банка на свой счет. Всего система содержала 20 000 рублей.
На этот раз хакерам удалось почти полностью опустошить счета виртуального банка. Всего было «украдено» почти 17 тысяч рублей из двадцати. Участники могли не только выводить деньги из виртуального банка, но и атаковать счета друг друга (хакеры продемонстрировали успешные примеры таких атак).

Победителем стал участник под ником d4d, которому удалось вывести из системы 9359.71 рублей, второе место занял Helm, похитивший чуть больше 6 тысяч рублей, а BigBear с 533 рублями стал третьим.