اطلاعیه در خصوص هک شدن سایت زرینپال
در تاریخ ۱۲ مرداد ۱۳۹۷حدود ساعت ۲۰:۰۸ روتر Edge شرکت زرینپال که از برند میکروتیک بوده است مورد حمله قرار گرفت و با استفاده از باگی که مدتی قبل نیز توسط مرکز ماهر گزارش شده بود، از طریق تکنیک IP Spoofing ترافیک به خارج از ایران منتقل شده و صفحه Deface بجای سایت زرینپال بارگذاری شده است.
در این زمان سایت جعلی که شامل خبر بوده بجای سایت اصلی زرینپال نمایش داده میشد.
با توجه به بررسیهای کارشناسی شده و با توجه به نوع زیرساخت طراحی شده توسط زرینپال، دسترسی نفوذکننده تنها به همین لایه محدود بوده و امکان دسترسی به دادههای مشتریان میسر نمیباشد. بدیهیاست با توجه به نوع نفوذ و تجهیزات درگیر حتی امکان حمله Man In the Middle هم برای نفوذکننده وجود نداشته است.
تصاویر منتشر شده نیز موید این موضوع است که سایت Deface بارگذاری شده فاقد SSL بوده و شخص نفوذ کننده تنها قادر به انتقال ترافیک به سمت سرور خود بوده است و هیچگونه نفوذی به زیرساخت زرینپال صورت نپذیرفته است.
وظیفه روتر مورد بحث، برقراری Uplink و BGP با دیتاسنتر بوده است و هیچ نوع وظیفهای اعم از برقراری Routing و Vlaning برای لایههای پایینتر نداشته است. توضیح اینکه بر روی روتر مورد بحث تنها ۲ پورت فعال بوده است که وظیفه برقراری با Uplink بالادستی و فایروال پاییندست موسوم به Access را برعهده داشته است.
با توجه به اینکه SSL Termination در لایههای پایینتر انجام میشود، کلیه ترافیک عبوری از این روتر به صورت Encrypted بوده و در این لایه دیتای خامی عبور نمینماید.
کنترل دسترسی به سرورهای دیتابیس در ۲ لایه پایینتر از روتر Edge صورت پذیرفته و تنها سرورهای واقع در یک Vlan اجازه دسترسی به دیتابیسها را دارند و ادعای دسترسی به دیتابیس با توجه به زیرساخت و نوع تجهیزات درگیر در نفوذ، فاقد اعتبار بوده و به هیچ عنوان امکانپذیر و عملی نیست.
بدیهی است که DBMS ها علاوهبر کنترل ACL خود، دارای نام کاربری و رمز عبور میباشند و جهت دسترسی به آن باید از رمز عبور و شیوه احراز هویت آن مطلع بود.
با این وجود با اطمینان به کاربران زرینپال اعلام میداریم هیچگونه دسترسی به اطلاعات کاربری آنها به وجود نیامده است.
تایملاین
چارت زمانی اقدامات صورت گرفته برای رفع مشکل پیشآمده:
± ۲۰:۰۸: کشف اختلال در لایه شبکه بیرونی زرینپال و شروع بررسی توسط تیم فنی.
± ۲۰:۲۲: انتشار اولین خبر هک شدن سایت زرینپال.
± ۲۰:۳۶: تیم فنی زرینپال روتر و وب سرویس اصلی زرینپال را از دسترس خارج کرد و با هماهنگی دیتاسنتر آسیاتک شروع به رفع مشکل پیش آمده و حرکت به سمت دیتاسنتر کرد.
± ۲۰:۵۱: درخواست قطع ارتباط BGP از سمت دیتاسنتر.
± ۲۱:۵۰: رسیدن تیم فنی به دیتاسنتر (به دلیل برگزار بودن کنسرت زمان زیادی برای رسیدن به دیتاسنتر صرف شد.)
± ۲۱:۵۵: تیم فنی زرینپال اقدام به تعویض فیزیکی روتر و تنظیمات مورد نیاز بر روی روتر جدید نمود. همچنین بررسی وجود حفرههای امنیتی در قسمتهای پایینتر شبکه و احتمال نفوذ به آنها توسط تیم فنی زرینپال آغاز گردید.
± ۲۲:۲۲: حل کامل مشکل و بازگردانی سایت زرینپال به حالت عادی.
در انتها از همکاری تیم آسیاتک، مرکز ماهر، آدانیک و همچنین پیگیریهای پلیس فتا تشکر میکنیم و از همراهی و صبوری دوستان و کاربران زرینپال ممنون هستیم.
بهروزرسانیهای جدید پیرامون این موضوع در همین پست انجام میشود.
اطلاعیه فوری مرکز ماهر در خصوص دیفیس وبسایت زرین پال و موارد مشابه
سلام
خوشحال شدم که مشکل رفع شد
به امید موفقیت بیشتر برای شما و همکارن گرامی
بسیار عالی . خسته نباشید
سلام ،
بابت مشکل پیش اومده متاسفم ، متاسفانه برخی از افراد با هدف تخریب زرین پال دست به چنین اقداماتی میزنن ،
#همیشه_با_زرین_پال
موفق باشید .
اعتماد ما به زرین پال کم نمیشه، ممنون از اطلاع رسانی و شفاف سازی شما
ممنون امیر جان
من لحضه ای که خبر هک شدن سایت رو شنیدم خیلی نگران شدم که اطلاعات من و دیگران بر اساس گفته هکر به فروش برسه.
مرسی که توضیح دادید.
مگه الکیه؟
اول اینکه بین درگاه های واسط زرین پال معتبرتره وامنیتش بالاتره دوم اینکه اگر نیم درصد هم اطلاعات بدست کسی بیفته رمزو عوض کنید.
در مورد قسمت اخر فرمایشاتتون میشه بفرمایید اگه قبل از اینکه رمزو عوض کنیم حسابمون خالی بشه چی؟ والا با این چند نفر به اصلاح پشتیبانی که شما دارید فکر نمیکنم بعدش اصلا گردن بگیرید که بخاطر ضعف سیستم شما حساب ما دود شده و حتما واسه اون هم یه ترفندی دارید
ما که از خدمات زرین پال خیلی راضی هستیم.
خیلی وقته نتونستم جایگزینی برای زرین پال پیدا کنم چون خدماتش همون چیزایی هستن که لازم دارم.
خوشحالیم که این اتفاق جدی نبوده.
امیدوارم موفق باشید.
ممنون میلاد جان
انشالله همواره موفق باشید.
اما به عنوان یک سامانه پرداخت بهتره یه تیم فنی قوی تر و بروز بودن اطلاعات رو در نظربگیرید!
بعدشم اینکه چرا از روتر های معروف تر مثل سیسکو استفاده نمیکنید!
اما ما همواره از خدمات شما استفاده کرده و باز هم استفاده خواهیم کرد. به امید همراهی بهتر و بیشتر!
سلام
من که کماکان از این سیستم استفاده میکنم
و مطمئنم مشکلی پیش نیامده
امیدوارم زرین پال در تمامی مراحل پیشرفت سربلند باشه
با تشکر
امیرحسین جمالی
سلام امیرحسین عزیز
ممنون از همراهی و لطفت
چرا جواب اونی که انتقاد کرده نمیدین؟ :))) فقط اونایی که ماچ و بوسه فرستادن رو جواب دادین و قربون صدقه؟
اینها فقط پیامهایی که دوست دارند تایید میکنند و جواب میدن، ادعای رقابت هم دارند، وقتی با این همه دک و پز هک شدن، دیگه جای اعتماد کردن ندارند، من تا چند وقت پیش فکر میکردم زرین پال بینظیر و امن هست حالا با این اتفاق نظرم عوض شد،
شما لایق پیشرفت هستید.
ممنون حمید جان
آفرین و خسته نباشید به شما موفق باشید
ممنون از محبتتون
سلام
مهم نیست . بجاش قویتر شدید .
ممنون
ما زرین پال دوست داریم و برای همیشه با این شبکه با کیفیت کار داریم
ممنون از محبت و همراهیتون
خدا قوت،
همگی خسته نباشید.
ممنون 🙂
سلام
پیش میاد دیگه، مهم اینه که به اطلاعات دیتابیس دست پیدا نکردنو همه چی سره جاشه
ضمنا یادتون نره که فقط قطار در حال حرکت رو سنگ میزنند
با قدرت برید جلو💪❤
ممنون از لطف و همراهیتون
ممنون از توضیحات شفاف سازیتون
ولی اون هکر من زنده میخام
خسته نباشید سعی کنید دیگه این اتفاق پیش کنید این باعث شد که پیشرفت امنیت بالاتر ببرید
چیزی که ما رو نکشه، قوی تر میکنه
ممنن از صداقتتون.من زرین پال میمونم
ممنون از همراهی شما
خسته نباشید ، امیدوارم همیشه موفق باشید
ممنون علی جان
مال حلال پایمال نمیشه.
یاعلی مدد
خدا قوت
ممنون
بهترین کار که می شد انجام شه پاسخگویی و شفاف سازی کامل بود که به خوبی انجامش دادین.
بیش از پیش بدرخشید.
ممنون از پیگیری های شما
ما به شما و کار شما اطمینان داریم،برای همین بعد از شنیدن خبر کوچکترین نگرانی نداشتم.
خسته نباشید از تلاش شما سپاسگزاریم
سلام
خسته نباشید دوستان امیدوارم همیشه پیروز و موفق باشید.
و من به عنوان یک دوست و کار آفرین اعتقاد دارم که در بد ترین شرایط ما کار آفرین ها باید هوای یک دیگر را داشته باشیم و به سمت موفقیت با کمک هم پیش برویم.
آرزوی بهترین ها را برای تیم زرین پال از خدا خواستار هستم
ممنون ابراهیم جان
چیزی از ارزشهای زرین پال کم نشده
تا الان شاهد این بودم که زرین پال به مشکل های مختلفی بر خورده و خیلی جسورانه از پسش بر اومده اصلا ذات استارتاپ همینه 🙂 این هم مثل اونا خداقوت
من همون اول که دیدم فهمیدم صفه دیفنس اومده بالا و از امنیت زرین پال خیالم راحته و ممنون از تیم زرین پال با قدرت بیشتر ادامه بدین.
نکته مثبت عملکرد حرفهای شما در اطلاع رسانی به کاربران در باره اتفاق پیش آمده بود، براتون آرزوی موفقیت بیشتر دارم.
وقتی میگید ” باتوجه به زیرساخت ” مو به تن ادم سیخ میشه…. !!!
اگه سرورهای واقع تو یک vlan اجازه دسترسی دارند از کجا اینقدر مطمئنید که طرف سرورها رو زامبی نکرده باشه و دسترسی گرفته باشه؟؟؟
و اینکه اگه دیتابیس دستش نیست پس چرا داره ۳ بیت میفروشه؟ چی میفروشه؟
رفیق اینا بلدن چیکار کنن.یه جوری اطلاع رسانی و شرح واقعه کردن که ۹۹ درصد متوجه نشن چی میگن و برای اون یک درصد که میفهمن (مثل خودت) هم خیلی راحت جوابتو نمیدن یا اگه بدن جوری میدن که تو هم بری تو اون ۹۹ درصد!!!
همیشه مشکلات هست و مهم کیفیت خوب سرویس شما و اینکه قابل اطمینانهستید
بعد از چند سال تراکنش های متوالی حداقل ماهیانه ۲ میلیارد ریال ، واقعا از مجموعه زرین پال متشکریم و با وجود مشکلات متعدد بهترین خدمات ارائه شده .
فقط میتونم بگم ؛ دست مریزاد و خدا قوت
ما مشترکین زرین پال قدردان هستیم و حتی اگر اطلاعات ما منتشر میشد نیز وفادار بودیم
ممنون از حمایت و همراهیتون
با سلام
تشکر بابت اطلاع رسانی
با توجه به نیمه خصوصی بودن مجموعه و استفاده از زرین پال ، بسیار نگران تراکنش ها و هویت فردی شدیم که با توجه به توضیحات موضوع رفع شده
سپاس بابت پیگیری
در هر کسب و کاری ، این موضوعات پیش میاد.
مطمئن باشید ما هم مثل شما، نگران شما و زرین پال بودیم و این اتفاقات هرگز باعث نمیشه که وجهه ی زرین پال و تیمش نزد ما خراب بشه.
ما هستیم قطعا در کنار شما.
امید که همیشه موفق و پیروز باشید.
اعتماد ما به زرین پال کم نمیشه.
سلاو تشکر از پیگیری زرین پال
با نشستی که در نمایشگاه با تیم فنی داشتم تو انتخابم دیگه هسچ شکی ندارم، به امید پی اس پی شدنتون.
زیرن پالی میمونیم
جی بی فود
لقمه یاب
نت فود
شهرخرید
شهرهوشمند
ساینا
داریم
هواتونو داریم زرین پال
What doesn’t kill you makes you stronger
خسته نباشید.
سلام من از لحظه ای که شنیدم میدونستم مشکل خاصی نیست چون واقعا به روش کار زرین پال اعتماد دارم
ممنون که هستین
یاحق
به والله که اگه بانک مرکزی را در دست راستم قرار بدن و بانک های دیگر را در دست چپم بگذارن باز هم دست از زرین پال نمیکشم 😆😆😆
خداییش کارتون درسته
هر مشکلی هم باشه باز هم زرین پال بهتره
دم شما گرم بابت این همه انرژی خوب و مثبت 🙂
با اعتماد به تیم زرین پال و خبررسانی های دقیق در کانال زرین پال، خبر انتشار اطلاعات کاربران باورکردنی نبود.
آرزوی بهترین ها را برای تیم زرین پال.
باید منتظر گزارش مرکز ماهر باشیم تا ببینیم عمق فاجعه چقدره. امیدوارم سایر لاگ ها مثل روتر پریده باشه. ولی خیلی جالبن اینایی که بهتون میگن دمتون گرم!!! هنوز داغن
درود بر شما
شفاف سازی و اطلاع رسانی بصورت کامل ، باعث شد نه تنها مثل گذشته اعتماد کامل به زرین پال داشته باشیم ، بلکه خیالمان بابت حوادثی از این قبیل ، آسوده تر خواهد بود ، چرا که تیم های بسیاری در صورت بروز مشکلات ، دست بکار خواهند شد
خسته نباشید ، بهروز و پاینده باشید
عضو کوچکی از خانواده زرین پال
ممنون از محبت و همراهیتون حامد عزیز 🙂
سلام
خسته نباشید
ممنونم و مچکر بابت اطلاع رسانی و صداقتتون
حرف اول داخل درگاههای وهسط می زنید
همچنان همراهتونم
با درود
بنده بیش از ۶ سال با درگاه امن شما فعالیت می کنم و همیشه از تیم شما حمایت می کنم.
در هر زمینه ای قطعا مشکلات و تخریب اعتباری پیش می آید و دلیل بر این نیست افرادی که از خدمات شما استفاده کنند با همچین مشکل که کاملا بدیهی است دست از حمایت شما بکشند.
بازگشت دوباره زرین پال را به تمامی دوستان گرامی تبریک عرض میکنم 😁
سلام. ازاینکه مشکل جدی نبوده خوشحالیم وبااین چیزها اعتمادمان به زرین پال دیگه بیشترخواهدشد.ازکارکردن بازرین پال خوشحالیم
انشاالله موفق وپیروز باشید.
خدا قوت من چند سایتم با درگاه زرین پال و ملی فعالیت دارند .
متأسفانه برخی افراد مریض و بیمار نمیتوانند پیشرفت دیگران را ببینند و از هر طریقی قصد تخریب شرکت ها و کسب و کار و افراد موفق دارند .
خوشحال شدم و خدا را شکر که به خیر گذشت .
با سرعت عمل بالای شما
در پناه حق
ممنون حامد جان
همیشه امکانش هست که سیستمی هک بشه یا اتفاقاتی از این دست پیش بیاد…
هیچ ایرادی هم نداره، گوگل و فیس بوک هم گاهی از این ناحیه آسیب دیدن…
اما وجود تایملاین به نظرم کمی احمقانست …
یعنی شما سایتت علی الظاهر هک شده، بعد تیم فنی داره میره بررسی کنه یکی ساعت دستشه ثبت می کنه که فلان ساعت رسیدیم، فلان ساعت روتر رو در آوردیم و…
با منطق من جور در نیومد !
این زمانها به صورت تقریبی هست و برای شفافیت بیشتر و واقعا کسی مامور این کار نبوده که ثبت کنه :))
سلام و عرض ادب به همه مهندسین ایرانی عزیزم
خدا را شکر که زود رفع مشکل شد. حملات همیشه وجود دارد تنها راه موفقیت در برابر این مشکلات داشتن اعتماد بنفس و دانش بالا است.
ما از زرین پال کسب روزی میکنیم و آرزوی موفقیت و امنیت بیشتر را آرزومندیم.
درود بر ایران و پاینده باد مهندسین موفق مخصوصا برنامه نویسان باحال خودم
ممنون از لطف و محبتتون 🙂
سلام و خسته نباشید خدمت همه زحمت کشان این عرصه خواستم بپرسم الان باید رمز دوم کارتمو عوض کنم یا نیازی نیست
نیازی به تغییر هیچ چیز نیست حمیدرضا جان
من نگران شایعات لو رفتن اطلاعات بودم، ممنون از شفاف سازیتون!
بهترین درگاه پرداخت زرین پال ..
بهترین سایت زرین پال …
دیشب تمامی کانالی ها که داشتم خبر هک شدن رو زده بودن ..
خیلیا میگفتند برید پلیس فتا شکایت کنید
اما مطمیئن بودم سایتی با این همه کاربر قطعا اینقدر بیخیال نیست و یه هدسی هم میزدم که دایرکت شده باشه روی یه سرور دیگه و از اونجا لود بشه …
واقعا از خدمات خوبتون ممنون
ممنون از لطف و همراهیتون امید جان
سلام خوشحال شدم دیدم مشکل حل شده و متاسفم برای کسانی که دنبال تخریب استارت آپ های ایرانی هستند .
سلام بهتر نیست بجای حرف زدن و دادن جو همه چی خوبه مدرکی ارائه بدید که کسی که هک کرده به اطلاعات ما دسترسی نداشته . حرف زدن رو هوا بدرد نمیخوره بهتره مستند ارائه بدید . وقتی اسکن کارت ملی و شناسنامه میخواید باید بتونید ازش محافظت کنید یا نه ؟
رفیق اینجا فقط جواب اونایی رو میدن که قربون صدقه میرن.الان یکلام کامنت بزن دمتون گرم ۳ سوت جوابتو میدن
******زرین پال عالی هست ******
دوستانی که فکر میکنند اطلاعات کارتون هک میشه و رمز دومشون دست افراد سود جو میوفته کاملا اشتباه فکر میکنند ***زرین پال یک واسطه هست *** درگاه بانک ربطی به هک شدن زرین پال ندارد****
تشکر از خدمات ویژه زرین پال
هر اتفاقی پیش بیاد ما تا آخر با زرین پال میمونیم😍😍😍
ممنون علی جان 🙂
امیدوارم واقعا مشکلی نباشه!
برای اون دسته از دوستان که متوجه نشدن به زبان عامیانه بگم
فکر کن یه روز میایید خونه خودتون میبینید نیستش ! جای دیگست و یه خونه دیگه جای خونه شماست
اما کلید خونه خودتون همچنان مال خودتونه و کسی نمیتونه بازش کنه
خیالتون راحت
چقدر جذاب و راحت و شیوا، ممنون مجید جان برای این مثال خوبت 🙂
خب استاد میشه بفرمایید اونوقت اون کلید به چه درد شما میخوره وقتی خونه پریده؟!!
سپاس ، خوشحالم که مشکل بر طرف شده .
در بعضی کانال های تلگرامی اخبار جعلی منتشر شده بود ، اما چیزی خاصی نبود و مشکل به سرعت حل شد .
دمتون گرم خوب حالشون رو گرفتین
عددی نیستن
ایول دمتون گرم بابت تیم حرفه ای و به وقت خداقوت.
درود
حالا به غیر از این مورد ، لطفا حذف کردن اکانت توسط کاربرم اضافه کنید تا از شر بعضی افرادی که میخوان اکانتشونو حذف کنن راحت بشیم
در حال بررسی هست که میشه این امکان رو فراهم کرد یا نه
جالبه هیچ کامنتی مبتنی بر اینکه کسی دیگه از سرویستون استفاده نمیکنه یا انتقادی نکرده نیست!
دم وردپرس گررررررررررررررررم…
اینم حذف کن!!!!! کی به کیه! زرین پاله دیگه! پارتی و پول و رشوه و رانت!!!!
خخخخخخخخخخخخخخ
دقیقا مث صدا و سیماس
همه راضی ن همه چی عالیه هیچ اتفاقی نیفتاده
همه دارن میگن ما همیشه پشتتون هستین
جالبه که اکانت هم نمیشه حذف کرد تیکت هم میزنی جواب سر بالا میدن
سلام و خسته نباشید
امیدوارم این مشکلات دیگه پیش نیاد ، چه برای زرین پال چه سایر درگاه های پرداخت معتبر و خدا رو شکر که اطلاعاتمون محفوظه . همیشه برقرار و سربلند باشید
این به خاطر موفقیت های زرین پال هست و میخوان اینجوری به اعتبار زرین پال ضربه بزنن ولی هیچ وقت موفق نمیشن چون زرین پال اثبات شده هست برای همه
موفق باشید
ممنون مهرداد جان
شاید خنده دار باشه ولی من از این اتفاق خوشحال شدم چون افراد بیشتری به زرین پال یقین میکنن اعتماد رو که از قبل همه داشتن.
راست میگی.واقعا خنده دار بود
سلام
مشکلی واسه درگاه ها پیش نمیاد؟
سلام
نه امیرحسین عزیز
همه صحبت های شما یک ادعای یک طرفه میباشد و برای اثبات نیاز مند پیوست مدارک است …
با توجه به اینکه شخص هکر به روتر دسترسی پیدا کرده پس میتونسته دسترسی به دیتابیس نیز پیدا بکنه و طبق ادعای شما هکر به دیابیس نتونسته دسترسی پیدا بکنه اما هیچ مدرکی از گفته خودتون قرار ندادین.
بنده و سایر همکاران منتظر شفاف سازی دقیق این موضوع میباشم در غیر این صورت طبق بند ۱۵ خود زرین پال امکان شکایت از مجموعه زرین پال را به دلیل سهل انگاری در نگه داری اطلاعات محرمانه خود داریم.
سلام
ممنون از توضیحات کامل و شفافتان، با امید موفقیت روز افزونه زرین پال
موفق باشید
سلام وقتتون بخیر
زرین پال بزرگتر از اونه که با این کارها بتوانند تخریبش کنند.
از زحماتتان سپاسگذارم / موفق باشید
من همیشه برام سوال بوده،واقعا مشکل بعضی ها با این جور وب سایت ها چیه؟من از اون موقعی که کد نمی زدم با زرین پال آشنا بودم،برای همه هم زرین پال رو به علت این که محیط کاربری آسون و قدرت و اعتماد مردم رو داره رو پیشنهاد کردم.
اون از قضیه حمله DDOS اینم از این.یه عده هم که گفتم زرین پال رفته دست بازی کرده بقیه رو از دور خارج کرده،صحت اینو نمی دونم،ولی استدلال من اینه که اون بقیه چرا دست بازی نکردن زرین پال رو از دور خارج کنن اگه شدنی بود این جور از دور خارج کردنا.
من کلا با دوسیستم کار می کنم،یکی زرین پال و اون یکی هم نام نمی برم که تبلیغی نباشه تو پیامم،ولی خواستم بگم،خوشم اومد اونجا تویه کلیپ کانال تلگرامتون گفتین کوتاهی از ما بوده که آپدیت نکردن،واقعا خوبه اینجوری با مشتری کاستی ها رو در میون می زارین.شفافیت چیز مهمیه.
ممنون امین جان که صادقانه نظرت رو برامون نوشتی
ممنون از زرین پال و تیم خوبش
ما کماکا از سرویس استفاده میکنیم و از امنیت سرویس کاملا اطمینان داریم
با این اوضاع دیگه نمیشه به زرین پال اعتماد کرد!
بسیار عالی
زرین پالی میمونیم
قطعا شنیدن این خبر برای هممون ناراحت کننده بود و منتظر بودیم زودتر درست بشه و به حالت عادی برگردین و خوشحالیم که خیلی زود درست شد و خیلی هم عالی تر این که گزارش تکنیکال و کامل دادید. موفق باشید
ممنون از همراهی و لطفتون امیرحسین بقایی عزیز
از خبر هک شدن زرین پال ناراحت شدم چون تیتر داغی شده بود ولی به تیم زرین پال ایمان داریم.
ممنون از تیم قوی زرین پال.موفق باشید
خدا قوت.
ممنون پیام جان
خداروشکر مشکل حل شد
مرسی از گزارش دقیق و سرعت عمل خوبتون
ممنون علی حاجیمحمدی عزیز 🙂
تا آخرین نفس تو نت پشتتون هستیم.
با سپاس سید اسماعیل مهین نژاد
فشار تیم فنیتون رو درک می کنم
خسته نباشید
سلام خدا قوت
زرین پال خیلی عالیه
فقط زمان واریز ها رو کمتر کنید
۴ روز خیلی زیاده
با تشکر
خوشحال شدیم که مشکل سریع رفع شد.
پیروز باشید …
ممنون و سپاس که مشکل سریعا حل شد
از طرف تیم آنتی کالا از زرین پال برای خدمات درجه یک سپاسگذاریم
امیدوارم دیگه این مشکلات پیش نیاد
و ما هم همچنان با زرین پال هستیم و خواهیم ماند
ممنون یزدان جان
[…] اطلاعیه زرین پال […]
دم همه بچه های زرین پال گرم
حالا فهمیدم چرا جلو کنسرت ها رو میگیرن. خب یکیش همینه که اگه یکی سایت یکی دیگه رو هک کنه بشه سریعتر تیم فنیش برسن سر صحنه جرم 😉
ممنون امیر جان، اینم حرفیه :))))
خدا قوت
ممنون از زرین پال به خاطر حل مشکل به وجود اومده.
خدا رو شکر که مشکل حل شد.
متاسفانه همیشه افرادی هستن که از آب گلآلود ماهی میگیرند و سعی در تخریب دارند.
گرچه این مشکل قطعا باعث شد قویتر بشید و یک سری ملاحظات امنیتی دیگه رو هم، در نظر بگیرید.
در کل امیدوارم مثل قبل موفق و پیروز باشید
خیلی ممنون مجید علویزاده عزیز، شما همیشه به ما لطف دارین و همینطوره که میگین.
ما که همیشه از زرین پال راضی بودیم، کسی هم که اینکارو کرد معلوم بود خیلی سوخته، از متنی هم که نوشت توی اون صفحه جعلی هم مشخص بود.
موفقو پیروز باشید!
با سلام…یهویی حسابمون خالی نشه
خیلی ممنون از شما
بعد از بیش از ۳ سال اشنایی با شما و کسب اعتماد با این هک ها اعتماد ما کم نمیشه
با سلام
اینکه رقبای شما چشم دیدن موفقیت شما رو ندارن شکی نیست. متاسفانه در ایران به جای اینکه خدمات و سرویس های خودشون و نحوه برخورد با مشتریانشون رو ارتقا بدن، به بقیه کسب و کار های موفق صدمه میزنن. رقابت در ایران خیلی ناجوان مردانه هست و همه ما اون رو می دونیم.
فقط یک مورد هست که ممنون میشن شفاف سازی بفرمایید:
زمانی که این اتفاق رخ داد، درگاه پرداخت هم از کار افتاد. لطفا یه توضیح بدین که چرا همزمان با این مشکل تمامی پرداخت ها خطا می داد.
آیا این مورد از سمت شما بوده و یا دلیل دیگه ای داشته؟
با تشکر
سلام، ممنون از لطفتون. بله درگاههای پرداخت هم به دلیل تغییر مسیر ترافیک خطا میدادن اما هیچ دسترسی و نفوذی اتفاق نیافتاده.
اینجور اتفاقات زرین پال رو قویتر میکنه.
سلام و خدا قوت
خداروشکر که مشکل حل شد
تشکر بابت گزارش و سرعت عملی فوق العاده در رفع مشکل
واقعا زرین پال خیلی از بانکها بهتره . و درگاههای بانکها خیلی بی تدبیر عمل میکنن و متاسفانه قوانینی خوبی ندارن در این خصوص
به نظرم اطلاع رسانیتون بسیار ضعیف بود
همون موقع که این اتفاق افتاد بهتر بود سریع خبرش رو توی شبکه های اجتماعی پرطرفدار مثل تلگرام و ایستناگرام میذاشتید تا سکته نکنیم!
اونقدر فقط توی توییتر که مخاطب زیادی نداره داشتید مطلب میذاشتید
شخصا خیلی ناراحت بودم که اینقدر دیر اطلاع رسانی میکنید
ما سعی کردیم تو توییتر و اینستاگرام و تلگرام به صورت موازی اطلاعرسانی دقیق انجام بدیم اما تمرکز به دلیل حجم بیشتر خبرها و اتفاقات در توییتر بود.
سلام.
چند نکته که به ذهن من امد.
۱. زرین پال مدت ها پیش کیک بود الان لاراول شده و خوب تغییر خوبیه. ولی php اصلا سازگار خوبی برای ساخت وب سرویس های این چنینی هست؟ البته ساختار داخلی را نمیدونم شاید میکروسرویس ها با go یا چیز دیگه باشه.
۲. فرض دیتابیس هم هک بشه نباید اطلاعات خاصی دستگیر هکر بشه. احتمالا پسوردها به صورت مناسبی انکریپت میشه ولی اطلاعاتی مثل تصویر کارت ملی بعد از اپلود نیازی نیست دسترسی اینترنت داشته باشند یا اینکه تصاویر و اطلاعات خاص رمزنگاری بشن و تنها مدیران این رمز را داشته باشند.
من به شخصه دیگه از امکانات شما استفاده نمیکنم
یه بار قطع شده بوددید به مدت چند روز
الانم هک شدن در سطح عادی
حالا فردا پس فردا میزنید زیر همه چی
کسی مجبورت نکرده استفاده کنی
مشکل اینه که شما اصلا بابت حرف تخصصی ارزش قائل نیستی. خیلی ساده میگی هک. اصلا معنی هک و دیفیس را میدونی چیه؟ عزیز من استفاده نکن کسی شما را مجبور نکرده.
درود دوست عزیز مشکلات در همه وب سایت ها هست مهم خوش نامی یک سایت هست زرین پال سال هاست که اره خدمات ارائه میده اینطوری هم نیست که بزنه زیر چیزی
سرافراز باشید
محمد خوب کاری میکنی.اینا فعلا داغن نمیفهمن که این حادثه یعنی سیستم امنیت نداره و فقط به به و چه چه بلدن!! انگار مثلا شاخ غولو شکستن.اصلا یکی از همین طرفدارا بگه کدومتون تضمین میکنید دیگه اتفاقی مثل این یا بدتر نیفته؟؟همیشه گفتن دزد یه قدم از پلیس جلوتره.شما اگه اینکاره بودید اجازه همین حرکت رو هم نمیدادید.حالا جدی جدی تیم فنی بیخیال کنسرت شدن بخاطر ما؟؟!!
با سلام علف هرز آفتی نداره میوه و ثمره ناب آفت داره پس زرین پال میوه بی نظیره این اقدامات ما را از زرین پال نمیتونه جدا کندزرین پال هر آنچه که به شروع یک کسب و کار نیازه عرضه کرده و مرتب حامی مشتریان خود.
دم شما گرم که خدمات خوب ارائه می کنید
دم اونی که زد هم گرم بالاخره هوشیارتر شدین
دم اونایی که این وسط زرزر میکنن که زرین پال فلان و زرین پال بسار و کلی خوشحال شدن هم گرم
همچنان با شماییم
دم شما هم گرم و ممنون 🙂
جناب عباسیفرد شما هم فقط جواب تعریفارو میدی؟؟حال میکنی نه؟؟!! خب اخر همون اطلاعیه مینوشتی ممنون از اونایی که باور کردن و میخوان تشکر کنن.چرا خودتو خسته میکنی هی کپی پیست ممنونم میزنی؟؟!!یکم در مصرف کلیک صرفه جویی کن
جناب تهرانی سعی شده متن اطلاعیه شفاف و گویا باشه برای تمام دوستان، جواب کامنتهایی که بار فنی دارند رو بنده پاسخ ندادم تا دوستان فنی من تو زرینپال در فرصت مناسب جواب بدن. ممنون از دقت توجه و همراهیتون 🙂
من با این که توی حسابم پول داشتم اصلا ی لحظه هم نگران نشدم
چون میدونم زرین پال تشکیلات داره ینی این که شرکت و …. داره و به طور جدید روش کار میشه
موفق باشید
sansorchi.com
زنده باد زرین پال ما اعتماد کامل به امنیت زرین داریم
در هر موضوعی موارد “ناخواسته ای” وجود داره. وقتی تمرکز بر راه حل ها باشه، ناخواسته ها تبدیل به نقطه قوت و پیشرفت میشن. زرین پال مسیر رو به پیشرفت رو طی میکنه و البته هر موضوعی هرچه بهتر شود جا دارد که باز هم بهتر شود. از نظر من این “ناخواسته” موجب شد که یک گام به بهتر شدن بردارید و مطمئنا تجربه مفیدی برای شما هست. ضمنا جای نگرانی برای سنگ اندازی ها نیست. همینکه تمرکز مجموعه فقط بر افزایش کیفیت و توانمندیهای خودش باشه؛ نتیجه نهایتا این میشه که “عدو شود سبب خیر”
سلام باید صبر کرد دید همش که بهبه و چهچه نمیشه. امیدوارم فردا پس فردا اطلاعات مردم فروش نره الان که همه چی خوبه باید صبر کرد دید…
ممنون که کاربران سایت رو از این موضوع با خبر کردین.
ممنون از خدمات خوبتون.
سلام
روز بخیر
به نظر من چنین اقداماتی زرین پالی ها رو با انگیزه تر می کند.
ما منتظر موفقیت های بزرگتر شما هستیم.
پیشرفت شما یعنی پیشرفت ما
موفق باشید
با عرض سلام و ارادت
بنده کامنت ها را کامل مطالعه کردم ، چند مورد را باید عرض کنم و ایراد بگیرم
قبل از اینکه وارد بحث فنی بشم باید عرض کنم جناب آقای عباسی فرد عزیز ، دوست گرامی ، شما ایرادی که در کامنت میشه ازتون گرفت این هست که فقط جواب کسانی را دادید که به به و چه چه کردند و اصلا به سوالات انتقادی پاسخی ندادید ، که این به عنوان یک اپراتور سایتی چون زرین پال دون شخصیت شما و کاربران می باشد.
در مورد بحث فنی هم باید عرض کنم ، شما فرمودید دو مورد باید شفاف سازی شود
اول اینکه به گفته خودتان این باگ قبلا اطلاع رسانی شده ، پس چرا اقدامی برای حل مشکل نشده بود؟
دوم اینکه فرمودید از طریق تکنیک IP Spoofing اقدام صورت گرفته
کسانی که در زمینه امنیت فعالیت دارند به خوبی میدانند هدف حمله IP Spoofing بیشتر در چه زمینه هایی است
این نوع حمله در واقع ip را به عنوان ip دوست در سرور تعریف کرده که جعل آدرس نماید
هدف اصلی این تکنیک جعل IP برای دسترسی غیرمجاز است اما طبیعتا می توان از آن استفاده های دیگری نیز کرد. برای مثال یک هکر یکی از Library های یک وب سایت را جعل می کند و خودش را جای آن سرویس جا می زنید و کاربر اینترنتی با وارد کردن آدرس مورد نظر به سمت URL مورد نظر و جعل شده هکر هدایت می شود.
در این حالت اگر کاربری به صفحه جعل شده دسترسی پیدا کند ، مهاجم می تواند به اطلاعات حساس و منابع شبکه ای که کاربر نیاز دارد دسترسی پیدا کند. در اینجاست که مهاجم می تواند اطلاعاتی از قبیل رمز کارت اعتباری و پسورد و غیره را بدست بیاورد و در عین حال بدافزار مورد نیاز خود را بر روی سیستم کاربر نصب کند. حتی امکان دسترسی کامل مهاجم بر روی سیستم کاربر مورد نظر هم وجود دارد و در اصطلاح فنی مهاجم کلاینت را یک Zombie برای سوء استفاده های بعدی می کند.
در سرویس های درگاه پرداخت این خطرناکترین نوع حمله می باشد.
با این اوضاع و احوال چگونه ادعا میشود با توجه به اینکه به روتر هم دسترسی پیدا کردند که اطلاعاتی سرقت نشده؟
لطفا به حقوق و اعتماد مردم احترام بگذارید و اطلاعات و مدارک دقیقتری جهت شفاف سازی اعلام فرمایید.
دوستانی هم که تعریف میکنند نیز عرض کنم بنده به شخصه منکر تلاش و امکانات زرین پال نیستم ولی یاد بگیرید وقتی حقی از شما ضایع میشه به جای تعریف و تمجدید به خوبی پیگیر اتفاق رخ داده شده باشید
جناب حسینی عزیز سلام
ممنون از دقت توجهتون
این یادداشت توسط تیم فنی زرینپال نگارش شده و من هم با نگارش نهایی منتشر کردم و اکثر کامنتهایی که من جواب ندادم بار فنی و امنیتی داره که من فقط تایید میکنم تا دوستان فنی من خودشون جواب بدن. هیچ قصد و غرضی در کار نیست.
در مورد صحبت شما هم دوستان فنی من بعد از مطالعه جواب خواهند داد.
اما تا جایی که امکان داشت سعی شده صادقانه و شفاف توضیحات لازم برای دوستان ارائه بشه و ما هم نمیتونیم در قالب اطلاعیه معماری شبکه زرینپال رو به صورت کامل ارایه بدیم.
در هر صورت ممنون از دقت توجهتون
ارادت
سلام به زرین پالی ها
اونوقت که جهان پی و پارس پال و لاین پی و … رو از رده خارج می کردین و به قدرت لابی گری تون مستدام بودین، و بعدش هم بصورت کاملا فرمالیته خودتون رو هم دو سه روزی قطع کردین، باید یاد میگرفتین که امنیت خودتون رو ببرین بالا. چون دست بالا دست زیاده قربان. کاش بجای تخریب رقبا که الحق مانند برخی هاشون هیچوقت دیگه ظاهر نشدند … حداقل خودتون رو حرفه ای تر می کردید
سلام
خیلی از دوستان می گویند که برید رمز رو نام کاربری رو عوض کنید ایا لازمه ؟
سلام، خیر لازم نیست، ضمن اینکه زرینپال از رمز یکبار مصرف استفاده میکنه
سلام
ممنون اطلاع رسانی کردید
باتشکر فراوان از تیم زرین پال
خدا رو شکر که مشکل خاصی نبود، ولی یک سوال، استفاده از میکروتیک بعنوان edge بنظرم کم لطفی در حق خودتونه. میکروتیک قرار نیست برای کارهای خیلی جدی راه حل خوبی باشه.
عشق زرین پال
دم شما گرم
کارتون درسته
سلام انشاالله که چیزی نشده باشه ولی خداییش زود به تیکت ها جواب بدین اخه مگه شما هم کاغذ بازی دارید زود کار مردم راه بندازید کارتون حرف نداره
بسیار عالی , و قطعا زرینی بودیم هستیم و خواهیم بود.
ولی بسیار و بسیار عالی تر اینه که اگر در مواردی جزیی و اینچنینی که باعث اختلال و وقفه در کسب و کار زرینی ها شده هرچند و تنها یک دقیقه و شاید تنها یه تراکنش که به اختلال رسیده ,بزرگواران زرین پال برای دلگرمی و تعهد همه جانبه خود نسبت به زرینی ها برآورد خسارت ناشی از اختلال بوجود آمده هرچند یک دقیقه هرچند یک تراکنش نماید و برای جبران خسارت اقدام نماید.
البته و مطمئنا مدیران ارشد این مجموعه قطعا برای جبر ان چنین خساراتی تدابیر ی در خور زرینی های عزیز اتخاذ و پیش بینی نموده است.انشاالله.
سلام
خسته نباشید
دمتون گرم که اعلام میکنید
من به عنوان مشتری زرین پال اصلا نگران نیستم
چون بهترین درگاه اینترنتی
درضمن آدم که خودش درستکار باشه خدا پشتش است
من از همه عوامل زرین پال تشکر میکنم بلاخصوص پرسنل زحمت کش
motasefaneh yeki beman msg daad ke tamaame etelaate shomaro darim page deface ro neshoon daad man khodam karam amniat web hast vaghan nemidunam chi begam . man tu keshvare engilis hastam be jaaye inke in aadam haa az raahe ghanoono poole khoon dar biaran mian in karo anjam midan .
روتر میکرویک برای چنین کاری مناسب نیست
اعتماد ما به زرین پال کم نمیشه، ممنون از اطلاع رسانی و شفاف سازی شما
این جور چیزها برا هر وب سایتی پیش میاد جای نگرانی نیست مرسی از زرین پال
مرسی از اطلاع رسونیتون
خدا قوت خوبه که سریع مشکل رو برطرف کردید
سلام و خدا قوت
خدا رو شکر که مشکل حل شد
تشکر بابت گزارش و سرعت عمل فوق العاده شما برای رفع مشکل
خوشحال شدیم که مشکل سریع رفع شد.
اینجور اتفاقات طبیعی هست و همیشه برای سایت های بزرگ و قدرتمند میفته
پیروز باشید …
سلام
خوبه خدا رو شکر تیم زرنگتون تونست زود مشکل رو حل بکنه
تا آخرین لحظه آپ بودن سایتمون با زرین پال خواهیم بود
سلام
زرین پال عزیز، لحظه ای در توئیتر اخبار و اطلاعیه هاتون رو چک میکردم
واقعا از اینکه میدیم اینقدر سریع و حرفه ای وارد عمل شدید خوشحال شدم و خوشنود از انتخاب خوبی که داشتم
مثل همیشه کارتون عالیه
با سلام
متاسفانه این اولین باری نیست که زرین پال به دلیل عدم رعایت نکات امنیتی و عدم استخدام و بهره گیری از متخصصین در این زمینه باعث شده که سایت به مشکل بر بخوره و احتمال افشا شدن اطلاعات خصوصی کاربران رو به دنبال داشته باشه. واقعاً که اعتماد کردن به زرین پال دیگه سخت و غیر منطقی هست. بار اول آدم میگه خب اتفاق میفته اما وقتی این موضوع تکرار میشه به این معناست که زرین پال اهمیتی به امنیت اطلاعات خصوصی کاربران نمیدهد و تدابیر امنیتی را رعایت نمی کند. واقعاً جای تأسف دارد.
هنگام شنا مثل یه دست و پا چلفتی/بپا به مسیر دهن کوسه نیفتی 🤦🏻♂😑
من تا قبل از اینکه این متن رو بخون مطمئن بودم که حمله به زیر ساختها بوده و دیتاها امنه. الان مطمئنم که یه چیزی رو این وسط دارید میپیچونید و قطعا دیسپکتش پکتور* شده.
* – ™️ Omid Design
اگه مشابه یه سری درگاه های واسط بیخود دیگه، پسورد رو بدون هش و …. ذخیره میکنید، بگید که پسوردها رو عوض کنیم!!!
مسلم جان تو زرینپال از پسوردهای یه بار مصرف استفاده میشه. نیازی به این کار نیست
بسیار عالی البته کم کاری از شما هم بوده زودتر باید این مشکل رو بر طرف میکردید تا ایین مشکل به وجود نیاد
صد در صد، جناب امیری در ویدیویی که ازشون منتشر شد به این موضوع اشاره مستقیم داشتن
ممنون
بعد از مدت ها، صداقت و شفاف سازی در یک مرکز دیده شد
واقعا سپاسگذارم که به صورت کامل موضوع را شرح دادید
خسته نباشید
فوق العاده ای زرین پال
#باهاتیم
امکان هک شدن همیشه هست و هوشیاری زیادی می طلبه که خداروشکر تیم زرین پال این توان رو داره!
یه نکته تو پرانتز ؛ کاش زرین پال برای کارمزدهاش سقف (مثلا ۱ درصد تا حداکثر ۱۰ هزار تومان در روز) تعیین می کرد تا ما هم بتونیم از خدمات پرداخت اون بهره مند شیم. چون ما عادت نداریم از مشتریانمون کارمزد اضافه بگیریم به تبع انتظار نداریم …
فقط زرین پال 😡
با درود و خسته نباشید
اول اینکه از جناب هکر تشکر میکنم با اینکه نتونست بکنه، اما کار بزرگی کرده و اون اینه که باعث شد، زرین پال بیش از پیش امنیتش بیشتر بشه☝️ بنابراین هکر با اینکارش به پیشرفت زرین پال و حس اعتماد بیشتر ما کاربرانش کمک کرده😉
دوم اینکه از پرسنل زرین پال تشکر میکنم جهت شفاف سازی و اطلاع رسانی.
من با اینکه نماد اعتماد الکترونیکی دارم، باز هم از زرین پال استفاده میکنم.
پیروز و سربلند باشید🏵
سلام.یه جایی دیدم هکر ، اطلاعات رو سه بیت فروخته … این واقعیت داره؟
نکته دوم اینکه چرا با وجود اعلام مشکل در بعضی از میکروتیک ها در روزهای قبل ، زودتر به فکر نیوفتادید؟
با سلام و خدا قوت
البته در تخصص کادر زرین پال شکی نیست و بنده فقط سوال برام پیش اومده
اونم اینه که مگه اطلاعات کاربران به صورت کد گذاری ذخیره نمیشه
که اگه اینجور باشه خوب حتی دیتابیس دست هکر هم بیافته طبعا بدردش نمی خوره
با تشکر
زرین پال عالیه.موفق باشید
بلا به دور
با سلام
من که تا حالا از خدمات زرین پال استفاده نکردم
ولی خوشحالم که چیز مهمی نیست و برطرف شده
برای من سوال هست که چرا زرین پال از برند میکروتیک برای روتر edge خودش استفاده میکنه؟ فکر نمیکنم که مجموعه زرین پال فاقد شرایط مالی مناسبی باشه.
با سلام
من زیاد دکتر میکروتیک رو کار نکردم ولی کارایی شو رو حدودا میدونم
ولی نمی دونم که سرور های شما چه ربطی به دکتر داره می تونید واضح بگید که دکتر این وسط چه کاری انجام میده؟
ممنون ک سایت رو برگردوندید
من خیلی از تراکنش هام روی سایت شماس
اگه ازبین بره سایتتون بیچاره ام
امیدوارم هیچ اتفاقی برای شما نیفته
به امید درخشش گسترده در ایران زمین برای زرین پال عزیز
بعداز منتشر شدن خبر خب طبیعتا ترس از منتشر شدن اطلاعات داشتیم که با شفاف سازی شما حل شد سپاسگزارم از تیم زرین پال.
عزیز کجای کاری؟؟!! نیم درصد رو عشقه
سلام:هر گز اعتماد ما به سایت زرین پال کم نمیشه و همیشه از این سایت لینک پرداخت میگیرم…