A nemzeti konzultáció oldalán titkosítatlanul látható az adatbázis elérhetősége ( ͡° ͜ʖ ͡°) Valaki ennek a lefejlesztéséért pénzt kapott ¯\_(ツ)_/¯

Hozzászólások

az komoly :/

Vortex Rikers NC114-85EKLS

Szerkesztve: 2020. 07. 08., sze - 07:44

ez nem új, az összes nemzeti istencsapása konzultáció pont ennyire komoly[talan] volt.
csak pazarlás, semmi más!
már a propaganda értéke is a nullához közelít.

ezt tükrözi a befektetett munka értéke és minősége, miközben az ára az egekben van.

trey: #worksforme

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Ahogy gyorsan ránéztem, nem arról volt szó szerintem, hogy nem működik, hanem arról, hogy valaki félrekonfigurálta. Biztos Orbán vagy Mészáros volt. Előttem van, hogy Lölő éjjel, fáradtan éppen zárja be a terminálon a nano-t, hogy "jó lesz ez a parasztnak így is".

trey @ gépház

Hol van ilyenkor a gigabunti? Egy digis penzugyest meg kellene kerdezni, hogy szerintuk ennek a lamasagnak mekkora az erteke.

 

Vagy ezt most elbagatelizaljuk?

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Miért bagatellizálnánk el? Ha szivárgott ki személyes adat, szabják ki a büntetést.

Szivárgott ki adat? Vagy csak pampogsz? Adatbázis szerver IP cím (nem publikus IP) + jelszó nem személyes adat és önmagában nem alkalmas adatlopásra. Mit szeretnél mondani?

Az, hogy látszik a weben, az problémás, de ez egy üzemeltetési baki. Hogy akarsz ebből politikai ügyet fabrikálni?

trey @ gépház

Akkor úgy kérdezem, hogy a fent belinkelt képen kívül van még valami vagy bármi, nyilvánosan elérhető infód?

A homályos célozgatások nem érdekelnek arról, hogy bármi is lehetett volna. Az elmúlt évtizedekben láttam sok bakit, de önmagában az, hogy tudsz egy lokal hálón levő SQL szerver IP címet meg egy jelszót, még nem jelent automatikusan hozzáférhetőséget.

trey @ gépház

Elnézést, hogy megpróbáltam szakmai vitát folytatni, de látom, nincs rá igény. :( Marad a szar politika. Ezek után nekem még egyszer jöjjön valaki azzal, hogy miért nincs szakmai vita. Azért nincs mert vagy nincs rá igény, vagy rosszabb esetben, nincs hozzáértés.

trey @ gépház

mit szeretnel itt szakmazni? milyen informacioid vannak? semmilyen es valoszinuleg a szemfules hacker tanulva az elmult evek szivatasaibol nem is fog kozzetenni ilyesmit.

amit lehet tudni, hogy megint mukodott a NERselejt bosszuja. persze ez neked kellemetlen, de ha mar a zsirjat elvezed, akkor a szarjat is fogadd el...nem kell mindig vedeni a vedhetetlent.

Elhangzott a "gugabunti" szó. Érdeklődtem volna szakmailag az alábbiak iránt:

  • kinek kéne kiszabni
  • mi alapján
  • mi a megvalósult tényállás
  • szivárgott-e ki adat (a képen látható adatok ezt nem bizonyítják, önmagában nem elég adatlopásra)
  • volt-e portforward, mert local IP-t nem lehet elérni kívülről
  • volt-e egyéb sebezhetőség, amivel esetleg kombinálva megvalósulhatott-e az adatlopás
  • mi az a "titkosított" ebben az esetben, amit a topiknyitó elvárt volna
  • van-e egy árva JPG-nél több szakmai infója a habzószájúaknak
  • és ha van a birtokukban további terhelő infó, a "gigabunti" kiszabása érdekében tett-e valaki feljelentést

A tereléseket hagyd meg a Facebookra a haveroknak.

trey @ gépház

nincs facebook accom..sorry, elvezd csak te es a haverjaid :D

 

kinek: annak a szervnek aki felelos a kozpenzek felhasznalasaert.

mi alapjan: partatlan es szakmai vizsgalat alapjan, aminak alapja a kikerult screenshot.

tett-e valaki feljelentest? remelem tenyi pista(fidesz) hivatasos feljelento megint aktivizalja magat.

egyebkent ezert tartjak az ugyeszseget, de ha nem maffialallamban elnenk, akkor akar szakmai szervezetek is megtehetnek, hogy tisztuljon a szakma.

dehogy kerultem ki..eppen hogy nem en akarom eldonteni, hogy tenylegesen tortent-e vmi, hanem ezt meghagynam olyan embereknek akik ezt korrekten el tudjak donteni. majd ok szakmaznak.

egyelore (megalapozott) gyanu van...es nagyosszegu fogadasom, hogy elsikaljak vizsgalat nelkul..

Adatvedelmi hatosag. 

Adatvedelmi torveny.

Nem tudni, ezt a nyomozohatosag feladata eldonteni.

Kiszivargott az alkalmazas titkositashoz hasznalt kulcsa (APP_KEY) teljes terjedelmeben, a screenshoton ennek egy resze lathato.

A screenshot alapjan nem lehet eldonteni, de ha kornyezeti valtozoban tartalmaz ilyen jellegu informaciot, akkor ez is tudhato.

A screenshot alapjan nem lehet eldonteni, de ha kornyzetei valtozoban tartalmaz barmilyen olyan jellegu infot, amibol ez megallpithato, akkor igen. 

Gondolom plain text jelszora gondolt alapvetoen, letezik masfajta csatlakozasi mod is MySQL, ugy nez ki, hogy a NISZ-nel nincsen eleg tudas ehhez.

A screenshot alapjan barkinek lehet tobb informacioja. 

Errol kerdezd meg ot: Miniszterelnöki Kabinetiroda, 1014 Budapest, Színház utca 1.; leiratkozas.kormanytajekoztato@mk.gov.hu címen; adatvédelmi tisztviselő neve: dr. Kovács Péter, postai levélcíme: Miniszterelnöki Kabinetiroda, 1357 Budapest, Pf. 1; elektronikus levélcíme: adatvedelem@mk.gov.hu

Tehát, akkor egyetértünk abban, hogy előzetes vizsgálat nélkül felesleges üvölteni, hogy miért nem ment még ki "gigabunti mer' a Digi-t is megbuntettek joceg!!!!444"? Mert amit itt előadtál, az feltételezések sorozata. Egy JPG-ről megálmodva.

trey @ gépház

"Tehát, akkor egyetértünk abban, hogy előzetes vizsgálat nélkül felesleges üvölteni"
Ebben igen. Ez az egyetertes az agitproppos topikjaidra is vonatkozhatna amugy, vagy ez csak a blog szekciora ervenyes? 

"Egy JPG-rol megalmodva." 
vs
A konzultációs honlapot a Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) fejlesztette, amely folyamatosan felügyeli a honlap biztonságát. A médiában megjelent egyes állításokkal szemben az interneten megjelent információk ismerete nem alkalmas arra, hogy a nemzeti konzultáció informatikai rendszeréhez illetéktelenek hozzáférjenek."

ROTFL :D

Semmi tereles nincsen ebben, de igaz, a forras lemaradt. Azt hittem, olvasol Indexet, de ezek szerint ezt nem olvastad: 

A konzultációs honlapot a Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ) fejlesztette, amely folyamatosan felügyeli a honlap biztonságát. A médiában megjelent egyes állításokkal szemben az interneten megjelent információk ismerete nem alkalmas arra, hogy a nemzeti konzultáció informatikai rendszeréhez illetéktelenek hozzáférjenek. A konzultációs portál egy tesztelt és megfelelő védelemmel ellátott honlap, amelynek felügyeletén a NISZ szakemberei folyamatosan dolgoznak, és minden felmerülő probléma esetén megteszik a szükséges intézkedéseket. Általánosságban elmondható, hogy az utóbbi időszakban folyamatosan emelkedik a kormányzati oldalak elleni támadási kísérletek száma. A NISZ szakemberei minden esetben gondoskodnak a szolgáltatások védelméről.

Innen: https://index.hu/techtud/2020/07/08/nemzeti_konzultacio_weboldal_sulyos_biztonsagi_hiba_res_serulekenyseg_sebezhetoseg_adatbazis_jelszo_szemelyes_adatok/

jó lesz ez! :)  - kóla pattogatott kukorica -
az állam(i szerv) megbünteti az államot, mert visszaél az állami népességnyilvántartó a pó'gárok titkos adataival, :) amit az állam saját magának sem adhatna ki, nemhogy egy kormánynak becézett pártnak :)

röhej az ilyen policy, meg az ilyen állam, az ilyen weboldal már csak ráadás :)

Tehát, egymás izéjének végignyalogatása után khiraly és akár te is, elmesélhetnétek végre, hogy mi alapján szeretnétek bárkit is megbírságoltatni, kinek mi alapján mehetne a "gigabunti". Mert a terelésben már jók vagytok, azt látom.

trey @ gépház

Nezd nincs itt semmifele tereles! Arra reagaltam, hogy ez is el lesz "bagatelizalva" es hoztam ra peldat is. :D Mi a bajod?

Es hogy a kerdesedre is legyen valasz, mivel tolem nem hangzott el  "gigabunti". Bar nagyon megerdemelnek hozzateszem!

"

  • kinek kéne kiszabni
  • mi alapján
  • mi a megvalósult tényállás
  • szivárgott-e ki adat (a képen látható adatok ezt nem bizonyítják, önmagában nem elég adatlopásra)
  • volt-e portforward, mert local IP-t nem lehet elérni kívülről
  • volt-e egyéb sebezhetőség, amivel esetleg kombinálva megvalósulhatott-e az adatlopás
  • mi az a "titkosított" ebben az esetben, amit a topiknyitó elvárt volna
  • van-e egy árva JPG-nél több szakmai infója a habzószájúaknak
  • és ha van a birtokukban további terhelő infó, a "gigabunti" kiszabása érdekében tett-e valaki feljelentést "

Ezekre a kerdesekre megkapjuk a valaszt abban az esetben ha lenne a dolgoknak jogi kovetkezmenye - De addig amig "elbagatelizaljak" igy a kerdesid nem relevansak.

Ja, kérem, akinek nem tetszik, hogy nem úgy megy egy jogállamban, hogy valami okoska előpattint egy JPG-t és mindjárt bilincsben visznek el valakit, hanem előtte lefolytatnak egy vizsgálatot, ha találnak valamit, akkor az alapján kiszabnak egy bírságot vagy vádat emelnek, annak nehéz lehet ezt feldolgozni. Belátom.

trey @ gépház

jol van ne terelj mar, ezt irtam, hivalatlbol kellett volna eljarast inditani (nem bilincsben elvinni ahogy Te gondolod), es igen egy jpg alapjan, mert ha nem is tortent adatszivargas, de nyitva van az adatbazis, hozzaferheto. Aminek nem lenne szabad.  Es megint es mindig lukra futnak ezek az allami projectek.

es a kokainos zsoootika peldanak okaert, ott hogy is volt? - "hanem előtte lefolytatnak egy vizsgálatot, ha találnak valamit, akkor az alapján kiszabnak egy bírságot vagy vádat emelnek" - volt valami ilyesmi? mert nekem nem remlik, aztan nezd meg az Arpa Attila-t "ex-baratno lehet" jelenthetett fel, az egesz eletet felforgatjak nemcsak az ovet az egesz csaladet. kokainos kocsogot meg eltuntettek sunyiba szepen csendben. , Megy a sokor koma jobarat, az okossagok. Szar az egesz az egesz jog, a jogrendszer, az egeszet felul kellene vizsgalni.

Akkor a mellébeszélésedet átugorva, kanyarodjunk vissza a szakmához:

de nyitva van az adatbazis, hozzaferheto

Na, hát erre az állításra kértem volna bármiféle bizonyítékot. :D Gondolom hálózati alapismereteid megvannak.

trey @ gépház

Milyen allitasra gondolsz? arra hogy el lesz "bagatelizalva" az a baj ezzel az egesszel, hogy amikor erintett vagy egy dologban akkor orditassz mint a szaros kolyok, es te vagy a leghangosabb. Fogd fel _hibaztak_ valaki _hibazott_ - valahol van felelos, Diginel is van felelos vagy volt  (nem kovetem) megkurtak oket. Na hat itt ennek kellene tortennie. Esetleg az a modja, hogy "akkor mostantól mindenkit futni hagyunk."

Szerkesztve: 2020. 07. 08., sze - 08:19

Van vele egy-két apró probléma... Az egyik, hogy a nemzetikonzultacio pont kormany pont hu a hivatalos oldal, meg az is gyanús, hogy a letsencrypt-es certje elég régen lejárt az oldalnak: " Not After 21/06/2018, 16:54:37 (Central European Summer Time)" - szóval ez valami múltbéli próbálkozás lehet... Annak persze gáz, ha igaz, amit a poszt toló ír...

És ilyenre megy el a befizetett adó, ahelyett hogy az utakon tömnék be a kátyúkat.
Vagy ha kódolnak valamit, azt legalább ne Pistike 2000 Bt.-vel! :(

Valószínűsítem én is, hogy úgy adták le a munkamegrendelést, hogy "csináljatok egy kérdőívet, de feltétlen basszátok ám el a konfigot, hogy jól látszódjon a neten a DB kapcsolat adata, hogy a kispolgároknak legyen muníciója az interneten a fórumcimmogásra, a Párbeszéd félbolondjai meg megint visíthassanak fejhangon a parlamentben" :D

trey @ gépház

Aki a lefejlesztés szót használja, az ne szóljon semmit.

Szerkesztve: 2020. 07. 08., sze - 22:03

titkosítatlanul látható az adatbázis elérhetősége

Most olvasom csak ezt a joker részt. Volt néhány CMS-hez szerencsém, de nem mindegyikhez, ezért félve kérdem csak meg, melyik CMS tárolja a konfig fáljában TITKOSITVA a DB connection adatait? :D

trey @ gépház

Normális esetben a 'titkosítatlanul látható' rész úgy módosul, hogy 'titkosítatlanul nem látható'.

(De ha jól értem az 'environment variables' részt, akkor ezek nem is valamilyen `config.php`-ból jöttek, hanem úgynevezett `környezeti változókból`.)