🔴 PayHere වැඩ පෙන්නයි! 65GB ක දත්ත ලීක් කරගනී!

KSPathirana

Well-known member
  • Apr 22, 2015
    2,390
    2,233
    113
    ධනිකයා ඕක නැවෙන්න එක ටෝකක් එෆ්.බි එකේ දාපු ගමන් , අපේ උන්
    -අපි දන්නවා අයියා ඕව බොරු කියල.
    -අපි හැමදාම අයියා එක්ක.
    - ඊමේල් එකක් පාස්වර්ඩ් එකක් ලික් වුනාට මොකද වේනනේ. අපි භාෂා සමග.
    - අපේ දේ අපිට වටිනවා
    කවුද ඒයි ධනික කියන්නෙ
     

    HAneo

    Well-known member
  • Jan 30, 2007
    7,794
    14,596
    113
    Homagama
    මේ උස්සල තියෙන ඒවගෙ හැටියට මේල් නෙවෙයි ටෙලිග්‍රැම් එහෙමත් එයි ඉස්සරහට

    4yke0T9.png



    අනිවා බයියෙක් හිටියෙත් ආයෙ හොදම එකේ උන් ඉන්නෙ. ලපයි සිපයි නෑ.
    ------ Post added on May 2, 2022 at 7:36 PM

    කෝමත් මචන්ල දැන් මේ ටෙක්නොලොජි එක උපරිමේටම තියෙන ලෝකෙ වෙනම එකවුන්ට් එකක් මේන්ටේන් කරපන් කාඩ් එක යූස් කරන්න. ඔය අටෝරාසියක් තියෙන පේමන්ට් සර්ව්සි iPAY, හෙළපේ, අනම් මනන් ඒවට ඒක ලින්ක් කරල පේමන්ට් එකක් කරන්න තියෙනකොට විතරක් ට්‍රාන්සර් එක කරල සල්ලි දාන්න. ඒක කෝමත් සේෆ්.
    ------ Post added on May 2, 2022 at 7:39 PM
    මේක තමා කරන්න ඕනේ ටැක්ටික් එක. සම්පත් විශ්ව එකෙන් කෙලින්ම තව acc එකක් හදාගන්න ඕනේ සේකන්දරී ස්වින් වගේ එකක්. එකට දන්නා ලොකු ප්‍රමාන වල සල්ලි. කාඩ් ලින්ක් කල එකේ 1000 වගේ හැම වෙලේම ඉතුරු වෙන්න ගානට දාගෙන ඕනේ පය්මන්ට් එක කරන්න. හදිස්සියේ සල්ලි ඕනේ නම් own acc transfer එකක් ගහන්න තියෙන්නේ ෆෝන් එකෙන්. (1000 ක් වත් තිහාල්ල නැත්නම් හිගන්නෝ කියල හිතයි )

    Credit Cards, Debit Cards සේව් වෙලා නෑ කියමුකෝ.
    ඒත් ඔය ලීක් එකේ අපේ සම්පූර්ණ නම්, ඇඩ්‍රස්, ෆෝන් නම්බර්, ඊමේල්ස් ,IPs අනිවා තියෙනවා.
    attacker ට වෙබ්හුක් එකකින් අපේ පාස්ව්ර්ඩ්ස් ප්ලේන් ටෙක්ස්ට් වලින් ගන්න පුළුවන් වෙලා කියන්නේ
    පේමන්ට් ගේට්වේස් වල ඉන්පුට් වෙන අනිත් ෆීල්ඩ්ස් ගන්න බැරි කමක් තියෙන්න බෑ.
    ඔය ටික දැනටමත් සෙල් වෙවී යනවා ඇති. ෆෝරම්ස් තියෙනවා ඕනි තරම් ඕවා විකුනන්න දාන.
    ලංකාවේ ඉන්න ගොඩක් එවුන් එකම පාස්වඩ් එක ලොගින්ස් ඔක්කොටම වගේ යුස් කරනවා. එහෙමත් එකෙක් ඇරනම.
    ඉලෙක්ෂන් කැම්පේන්ස් කරන ඉන්දියන් කාරයෝ ටිකකට ඔය ටික ගියා නම්.
    වෙබ් හුක් ඕනේ නැ . අපේ ගොබ්බයො පාස්වර්ඩ් එකයි එකේ සෝල්ට් එකයි එකම රෝ එකේ සේව් කරලා තියෙන්නේ. බඩුම තමා.

    පේමන්ට් ගේට්වේස් වල ඉන්පුට් වෙන අනිත් ෆීල්ඩ්ස් ගන්න බැරි කමක් තියෙන්න බෑ.
    මේකෙදි ඕනේ Marchand ID , Password , key , exppearURL, PayURL මේ ටික තමා IPG එකට මර්චන් කෙනෙක් දෙන්න ඕනේ. ඔකේ අනිවා key එක උන්ගේ db එකක තියලා යනෝ නම් බඩුම තමා. DSS හරියට සෙටිෆයි උනා නම් HSM එකක් දාල මේ key ගන්න ඕනේ එකෙන් කමාන්ඩ් යවල.. ඒ වගේම අර උඩින් කිව්වා හැම කාඩ් එකකම අදාළ අකෞන්ට් ඔක්කොගෙම පාස්වර්ඩ් සේව් කරන්න ඕනේ මේ වගේ HSM එකක. hardware HSM එකක් බැරි නම් Secure Vault එකක් හරි අනිවා දාන්න කියනවා
    ------ Post added on May 2, 2022 at 8:03 PM
     

    shadow1

    Well-known member
  • Jun 12, 2015
    8,568
    1,352
    113
    Earth
    ----------



    can you post a sample here machan
    ------ Post added on May 2, 2022 at 7:47 PM


    Advertisement එන්නෙ මචන්..

    හැබැයි ඒ Advertisement මගේ field එකටවත් මම කවදාවත් search කරපු දේවල් වලටවත් සම්බන්ධයක් නැති AD. ඒ mail වල CC එක යන්නෙත් මගෙ mail address එකටම සමාන ඒත් Gmail නොවන එකකට (CC - Myemailusername[email protected])

    Advertisement එන mail address එක
    From : [email protected]
     

    HAneo

    Well-known member
  • Jan 30, 2007
    7,794
    14,596
    113
    Homagama
    Advertisement එන්නෙ මචන්..

    හැබැයි ඒ Advertisement මගේ field එකටවත් මම කවදාවත් search කරපු දේවල් වලටවත් සම්බන්ධයක් නැති AD. ඒ mail වල CC එක යන්නෙත් මගෙ mail address එකටම සමාන ඒත් Gmail නොවන එකකට (CC - Myemailusername[email protected])

    Advertisement එන mail address එක
    From : [email protected]
    Ehenam okata related nathuwa athi machan
    Btw don't reply to mails. and don't do steps mentions in the mails if you not familiar with the sender for safety
     

    HAneo

    Well-known member
  • Jan 30, 2007
    7,794
    14,596
    113
    Homagama
    This is Identity Verification. Identity services are basically used for web based system
    We need something strong to secure payment related sensitive data. so that is why we must follow PCI Standard those are specifically for Payment and card related companies.

    Now what has happened here is they have first use identity system (There web and Mobile platform) and then mix those data with the Payment system side. we can never save Card related data on less secure systems like Identity service cus they are easy to by pass. so this is actually a mistake on there side but it's not a mistake

    Identity Services
    https://identityserver4.readthedocs.io/en/latest/

    PCI DSS
    https://digitalguardian.com/blog/what-pci-compliance

    SO DSS is 100% powerful than Identity
     

    @media

    Well-known member
  • May 21, 2011
    1,271
    321
    83
    ධනිකයා ඕක නැවෙන්න එක ටෝකක් එෆ්.බි එකේ දාපු ගමන් , අපේ උන්
    -අපි දන්නවා අයියා ඕව බොරු කියල.
    -අපි හැමදාම අයියා එක්ක.
    - ඊමේල් එකක් පාස්වර්ඩ් එකක් ලික් වුනාට මොකද වේනනේ. අපි භාෂා සමග.
    - අපේ දේ අපිට වටිනවා
    1651506363154.png

    හරියට හරි
     

    milindasenarath

    Well-known member
  • Mar 23, 2007
    17,351
    1,095
    113
    Sri Lanka
    Update on 2022-05-02:

    On 2nd May 2022, a website ‘haveibeenpwned.com’ has listed the data that has been leaked by the attacker as a result of compromising our database during the attack. The leaked data includes names, emails, addresses, phone numbers, purchase histories, IP addresses & obfuscated card data (card type, first 6 and last 4 digits, expiry date) as per that website.

    We would like to still emphasise that NO full card numbers have been compromised or leaked as we do not store full card numbers on our databases. We store only the masked card numbers returned by our partner banks after processing card payments that includes only first 6 digits (BIN number) & last 4 digits, and does not include the rest 6 digits in the middle. Since the full card number is needed to perform a card transaction anywhere, please note that this leaked obfuscated card data cannot be used to perform any financial transaction. Therefore, we confirm that there’s no financial risk due to this obfuscated card data being exposed & it’s not needed to take actions to change cards.

    Express Your Reaction

    https://blog.payhere.lk/ensuring-integrity-on-payhere-cybersecurity-incident/
     

    හෙළයෙක්

    Well-known member
  • Apr 26, 2014
    18,436
    27,773
    113
    Update on 2022-05-02:

    On 2nd May 2022, a website ‘haveibeenpwned.com’ has listed the data that has been leaked by the attacker as a result of compromising our database during the attack. The leaked data includes names, emails, addresses, phone numbers, purchase histories, IP addresses & obfuscated card data (card type, first 6 and last 4 digits, expiry date) as per that website.

    We would like to still emphasise that NO full card numbers have been compromised or leaked as we do not store full card numbers on our databases. We store only the masked card numbers returned by our partner banks after processing card payments that includes only first 6 digits (BIN number) & last 4 digits, and does not include the rest 6 digits in the middle. Since the full card number is needed to perform a card transaction anywhere, please note that this leaked obfuscated card data cannot be used to perform any financial transaction. Therefore, we confirm that there’s no financial risk due to this obfuscated card data being exposed & it’s not needed to take actions to change cards.

    Express Your Reaction

    https://blog.payhere.lk/ensuring-integrity-on-payhere-cybersecurity-incident/
    ඔය ආර්ටිකල් එක ඊයෙ දාපු එකක් නෙවෙයි කියල ලොකු සුවර් එකක් තියෙනව.
     

    HAneo

    Well-known member
  • Jan 30, 2007
    7,794
    14,596
    113
    Homagama
    මේකේ කමෙන්ට් ටික බැලුවාම ලංකාවේ ඉන්න ගොබ්බයො ගාන උබලටම හොයා ගන්න පුළුවන්. කමක් නැ මයිනා හොරකන් කලේ නැ කියන උන් 30% විතර තාම ලංකාවේ ඉන්නවනේ. ශික් බන්


    We would like to still emphasise that NO full card numbers have been compromised or leaked as we do not store full card numbers on our databases. We store only the masked card numbers returned by our partner banks after processing card payments that includes only first 6 digits (BIN number) & last 4 digits,
    According to PCIDSS third parry cannot store card no other than issuer. even if it is masked. this should be stored inside a secure vault or A HSM
    Even issuer not allow to store full card number or it's track records. it is that much secure.
    ------ Post added on May 2, 2022 at 9:36 PM
     

    kasun090354t

    Well-known member
  • Aug 21, 2011
    10,644
    16,328
    113
    කෑගල්ල
    අප්පේ ඇති යන්තම් සිංහල ගහගන්න හදාගත්තා. අපිත් හොඳ වැඩේ ගූගල් දෙයියට වැද ගෙන ඉන්නේ නැතිව පිට යනවාට.
     
    • Haha
    Reactions: EdNygma and HAneo

    HAneo

    Well-known member
  • Jan 30, 2007
    7,794
    14,596
    113
    Homagama
    ඒකත් අද මාසෙකට පස්සෙ.
    පේමන්ට් පැත්තේ සොෆ්ට්වෙයා එකක් හදන්න නම් අනිවාර්යෙන් ඒ පැත්තේ කම්පැනි එකක අඩුම අවරුදු 3 ක් 4 ක් වැඩ කරලා තියෙන්නම ඕනේ. ඕවගේ තියන රහස්. එක එක සේටෆිකෙට්, සිකියුරිටි සිස්ටම් නිකන් පිටට දෙන්නේ නැ . ඒ ඩිවලොප්මන්ට් කම්පැනි එකට ෂුවර් උනාම තමා ඒ වගේ දේවල් අල්ලන්න ලැබෙන්නේ. නැත්නම් එහෙම රිපෝ තියේද කියලවත් හුගක් උන් දන්නේ නැ . මාත් මේ කතා කලේ සැහෙන ලිමිට් එකකට. මට පෙන්නේ මේ සිස්ටම් එක හදලා තියෙන්න එහෙන් මෙහෙන් අල්ලා ගත්ත දේවල් වලින් වෙබ් ඩිවලොප්මන්ට් වගේ දේවල් කලාට මේවා එහෙම කරන්න බැ කියන එක මගේ අදහස. :cry: :cry:
     

    Shamal3001

    Well-known member
  • Sep 22, 2021
    524
    826
    93
    අනේ මන්දා ..අපේ රටේ කම්පැනියක්...කොහොම හරි අභියෝග මතින් ජයගන්නම ඔන ...!!