Biztonsági incidens a Microsoft indiai webáruházában

 ( trey | 2012. február 13., hétfő - 18:26 )

A Microsoft indiai webáruházához illetéktelenek fértek hozzá. A weboldalt deface-elték, de úgy fest, hogy az adatbázisokhoz is hozzáfértek. Az eddigi adatok alapján a jelszavakat plain text tárolták, így azokat a támadók könnyűszerrel megszerezték. A webáruházon jelenleg a "The Microsoft Store India is currently unavailable." üzenet olvasható. A behatolás részletei itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Plain text jelszótárolás.

Ez rideg.

Emiatt azt hiszem többek között Aseem Banshal nem fog tudni hozzáférni a Gmail fiókjához.

Jó reklám Microsoftnak. Ez lenne az indiai szakértelem?

EZ az indiai szakértelem. napi $3-ért a pakik meg a bangik bármit, ismétlem: BÁRMIT elvállalnak. email|fórum|levlista manual spammelése, programo^Wkódolás, farmolás, lájkolás 67ezer fb accounttal, bármit, legyen az legális vagy illegális.

Indiai Microsoft Store-nál szerinted ilyenek dolgoznak?

Hát, ha plaintext a jelszó tárolási módja, akkor mindenesetre gyanús a dolog...

Azért gondolom Indiában figyel ilyenre a Microsoft, attól, hogy India még nem sufnicég. Bár tény, a hír nem ezt erősíti meg...

ne hidd. a Microsoft nem figyel semmire, az egy cég.
figyelni az emberek, azaz alkalmazottak szoktak, de hogy mire és mennyire gondosan, az egy hosszú történet.
szerintem kb. egy darab ms marketinges elment indiába és kötött egy szerződést a "kecskefejő programozókkal".
ott tényleg mindenre rábólintanak, még akkor is ha a rossz angoljuk miatt esetleg fingjuk nincs arról
miről beszél a másik. aláírták, nekiláttak, és kinézetre kifaragták, ahhoz értenek, és van seggük is hozzá.
ms-től valaki megnézte, örült, és azóta megy, termelte a profitot, nem is foglalkoztak vele, mert így megy ez
minden nagy cégben. most meg bebuktak. ennyi.
majd kötnek új szerződést mással, remélhetőleg erősebb alapokon nyugvó kompániával :)

---
Why use Windows, if you have open doors… to Linux

De ezek szerint bár én nem a Wordpress-es ügyfelekkel, néhány ezer látogatóval, de egy ekkora vállalat megengedheti magának, hogy a security egyáltalán ne legyen szempont.

Amellett, hogy nem táplálok illúziókat magamban a CMS-ek, meg a tárhelyszolgáltatók kapcsán, de azért alapvetően a részemről mindent megteszek amit lehetséges.

"ms-től valaki megnézte, örült, és azóta megy, termelte a profitot, nem is foglalkoztak vele, mert így megy ez
minden nagy cégben."
Gyártottam webet nagyobb cégben, nincs ez így mindenhol.

Mondatod sugallja a kizárólagosság kétoldali hiányát. Ennek ellenére miért ellenkezel?

Szerintem nem csak az indiai microsoftnál. a windowst is ilyen rabszolgák fejlesztik.

Azért hozzáteszem, a Java EE tanulóprojektemben - egyelőre - én is plaintextelek. Csak az egy tanulóprojekt.

legalább egy md5-öt bassz rá, hoyg szokjad. be ne rögzüljön a plaintext, mert a fogtündér megvár egy sikátorban.

+1 :) A kiscicakrol nem is beszelve (akiket megolnek, amikor plaintextben tarolod a jelszot).

----------------------
while (!sleep) sheep++;

Szakállas, pocakos fogtündér bunkósbottal? :-))

Persze. Egyébként a jaas-t szeretném megtanulni.

Nono, es a salting meg a key stretching hol marad? :)

--
"You're NOT paranoid, we really are out to get you!"

Epic fail: "a jelszavakat plain text tárolták"

+1 Attya uristen....

+1

LOL

--
FBK

ez nagyon nagy.... LOL
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Ha a linux kernel developerek csendben javitanak security bugokat es ez mar az lwn-nek is feltunik(tudom, lwn nem megbizhato hirforras), a php remote bug sem hir, de meg a mysql 0day-rol is csak hunger blogjan legyen szo, az mar erdekes. Mikozben egy Microsoft oldalhoz tortek be, az meg hir.

Almát almával összehasonlítva jól látszik, hogy a HUP elfogult. A Google első találati oldala bizonyítja, hogy 3x annyi linuxos biztonsági incidensről számol be, mint microsoftosról :(

Persze almát sóspereccel hasonlítva is kijön, hogy milyen elfogult köcsög vagyok. :D

--
trey @ gépház

:-D

A paintos rajz haláli.

Kikérem magamnak. Ez egy Gimp-es rajz.

--
trey @ gépház

A jo rajzolo barmiben tud paint-ezni (a "jo programozo barmiben tud fortran programokat irni" mintajara). - vagy hogy is volt pontosan :)

Ahahah az a kép - made my day :D


[ NeoCalc - Earnings Calculator for NeoBux ]

Azert a plain text jelszotarolas mindent visz, szoval ehhez mast hasonlitani nehez, ne is haragudj :)

Hogy hogy itt kevesebb a troll megnyilvánulás mint anno a kernel.org esetén ? Nem látok olyan hsz-t, hogy "Persze mert windóz a szar"... :)

Egyébként számomra plain text tárolni jelszavakat elég perverznek tűnik...

--
openSUSE 11.4

Valoszinuleg azert, mert ugyana huppereknek van mar tapasztalatuk a "windozzal", de van valami fogalmuk az indiai IT dolgozokrol is, es a ketto kozul az utobbi a rosszabb.

--
I have come to the conclusion, that the matrix must have some bad bullet lag.

Előfordul(hat) előbbit ismerem, utóbbit nem... :))

--
openSUSE 11.4

utobbiak ismereteben, kicsit sajnalom a microsoftot.

Ha hiányzik egy kis trollkodás (de csak leheletfinoman):

Remélem, a plaintext jelszótárolás nem "a számítástechnika jövőjét forradalmasító új feature" a Win8-ban, aminek az indiai MS store-ban volt az éles tesztje... ;-)

Én már csak azt nem értem, hogy miért van a Microsoftnak külön indiai webstore-ja?

Hát ezért. Saját magukra szabják a szolgáltatást és egy repülő szőnyeggel az égbe emelik a színvonalat. :-)