Nagyon szórakoztató történet kerekedett egy hibajelentésből, amit a Mozilla felé intézett valaki az Oil and Gas International-tól. A jelentés írója megkérdőjelezhető hangnemben kéri számon a Mozillától, hogy miért figyelmezteti kérletlenül a felhasználóit a http feletti login veszélyeire, mondván hogy nekik egy tökéletes biztonsági rendszerük van, ami több mint 15 éve bizonyít.
Az eredeti hibajegy, ami azóta nem érhető el így szól:
Your notice of insecure password and/or log-in automatically appearing on the log-in for my website, Oil and Gas International is not wanted and was put there without our permission. Please remove it immediately. We have our own security system and it has never been breached in more than 15 years. Your notice is causing concern by our subscribers and is detrimental to our business.
(hibajegy mirror itt, css nem tölt be, emiatt a sorok vége nem látszik)
A saját kis biztonsági rendszerük egyébként plaintextben tárol jelszót, https nélkül kezel bankkártya adatokat, és a fejlesztők úgy látszik az sql injection-ről sem hallottak. Azóta úgy tűnik a felhasználók táblát törölték is. Természetesen ftp és mssql adatbázis is elérhető kintről.
Érdemes beleolvasgatni ebbe a reddit szálba is, ahol alaposabban boncolgatják a témát:
https://np.reddit.com/r/programming/comments/60jc69/company_with_an_htt…
- 5008 megtekintés
Hozzászólások
Szerk: Elrontottam a linket fentebb az utolsó előtti blokkban, trey, ha esetleg erre jársz, javítanád :)
- A hozzászóláshoz be kell jelentkezni
Valaki tényleg eldobta alóla a user táblát mert már máshol akad meg ha az ember be akar lépni.
Biztos nem vettek hozzá External Connectort. :P Remélem azért teljesen nem döntik be a Windows Server 2008-t mert ráadásul úgy tűnik shared hosting.
Baromi élvezetes lehet nekik levelezni hibás reverse DNS-el. :)
De a minőségi hostingot meg kell fizetni. ;)
- A hozzászóláshoz be kell jelentkezni
Nadehátnemmegmondták: 15 éve tökéletesen és biztonságosan működött, erre most, hogy a Firefox beleköpött a levesükbe, rögtön feltörték őket.
Post hoc ergo propter hoc.
Nem lennék most a Mozilla jogászainak a helyében...
- A hozzászóláshoz be kell jelentkezni
Amilyen hulyek az amcsik tenyleg megiteli egy inkompetens biro. A gonosz mozilla felhivta a sechole-ra a figyelmet...
- A hozzászóláshoz be kell jelentkezni
Dehogy is, pont ellenkezőleg: megmondták, hogy nem biztonságos, és tessék, tényleg nem az... :D
- A hozzászóláshoz be kell jelentkezni
De eddig biztonsagos volt 15 evig (nem tortent baj) most hogy a gonosz Mooo Zilla odairta maris feltortek see see? :D
- A hozzászóláshoz be kell jelentkezni
Mennyi ilyen önérzetes balfaszt láttam már... :)
- A hozzászóláshoz be kell jelentkezni
+1
--
Rózsár Gábor (muszashi)
- A hozzászóláshoz be kell jelentkezni
Lazán kapcsolódik: hosszú idő után megint kaját akartam rendelni, és sajnos a cég még mindig a yourbank nevű ...halmot használja. Ami persze mikor nem működik megint?
- A hozzászóláshoz be kell jelentkezni
Még lazábban kapcsolódik, asszony elég hosszú idő óta rendel kaját olyan cégtől akiknél szintén a te kedvenc yourbank-odon keresztül fizet hetente. Eddig összesen 2x volt vele baj, de az tény, hogy lassú :-)
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
Én is vagy 10 éve rendelek ettől a cégtől (bár nem emlékszem, hogy mindvégig a YB-ot használták-e), és nekem is csak akkor volt rossz.
Meg ma kétszer. Mindhárom alkalom reggel volt. Tanulság: YB-os "szolgáltatást" nem érdemes használni még mielőtt a pattanásos arcú rendszergazda be nem ér. (délután 1?)
- A hozzászóláshoz be kell jelentkezni
Ez nagyon durva! ;-)
- A hozzászóláshoz be kell jelentkezni
> Click here to receive it via email.
> Enter your email address to receive your password.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"All credit card information is encrypted using our Secure Transaction Server."
- A hozzászóláshoz be kell jelentkezni
Mondjuk az fura, hogy ezt így elfogadják a kártyatársaságok. PCI esetleg?
- A hozzászóláshoz be kell jelentkezni
Mar a domain se az ovek, valami domain dealer oldal van rajta.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
Csak lekapcsolták... tegnap már 404 volt egy ideig, aztán késő estétől ez az oldal van, jó apró betűkkel a jobb felső sarokban, hogy "This Page Is Under Construction - Coming Soon!"
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
> alexandra.hu dettó
- A hozzászóláshoz be kell jelentkezni
Ó, ráadásul hungarian notation-t (magyar jelölést) használnak.
- A hozzászóláshoz be kell jelentkezni
Ezt lattam redditen. Gyakorlatilag hazhoz mentek a pofonert :D
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Nyitott szajjal szaladtak be a faszerdobe, es amikor rajuk szoltak, meggyorsabban kezdtek el futni...
- A hozzászóláshoz be kell jelentkezni
Ezt nem akartam igy leirni, de lenyegeben igen.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Subscribe, ez jó lesz :D
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Most le lesz cserélve az IT...
--
http://naszta.hu
- A hozzászóláshoz be kell jelentkezni
Késő már mobil appokat gyártanak hosting helyett (az mx banner alapján :))
- A hozzászóláshoz be kell jelentkezni
Azóta felvettek valakit, aki a jelszavak karakterei közé beszúr egy szóközt tárolás előtt. Mert azért nem telt el folyamatos tanulás nélkül a 15 év.
- A hozzászóláshoz be kell jelentkezni
hm, ez a magunk alatt vágjuk a fát (bugreport + hangoztatva 15éve biztonságos...) ? Aztán ránk is dől és agyon nyom esete lesz ... :)
- A hozzászóláshoz be kell jelentkezni
Két órája az oldal még mindig működött és pont úgy, ahogy... most már 404, de simán lehet, hogy jobban megtörték és az üzemeltetés még nem vette észre. :)
- A hozzászóláshoz be kell jelentkezni
a reddites cuccot érdemes olvasgatni :) Ott azért voltak problémák 2 órával ezelőttről is .. :)
- A hozzászóláshoz be kell jelentkezni
Követtem... ki is próbáltam ezt-azt, amit írtak. De most már 404 sajnos... :)
De ez frenetikus, ha így történt:
So. Believe it or not, his number is on the website. I just called him. He was quick to answer too.
Twice, actually. Pretty surreal the first time (cannot believe the confidence some people have). All of this is from a VOIP number that shows up as "Private" so he won't be calling back or anything (for better or worse, it would probably be funny/cool). I'll type out my transcript and reply to first comment to get visibility:
Him: "Hello?"
"Hey, I'm looking for a user by the name of dgeorge?"
Him: "I'm dev George."
"When the entire internet browser ecosystem warns you that your website is insecure, why didn't you listen?"
Him: "The website isn't insecure, it's very secure."
"It's not. An entire professional community is talking right now about how it's not secure."
Him: "No it's not, the website is fine."
"I'm trying to share facts with you right now."
hangs up
Second call:
Him: "Hello?"
"Try to log into your website. I'll wait."
Him: "Who is this?"
"That really can't be your first priority right now, please. I'm trying to help you. Not everyone out there is. Log into your own website, it'll take just a moment and you'll see. It's all you have to do to catch up and sooner deal with being sued, being yelled at by any customers you might have, etc. Be an adult, you have to save your own ass right now."
Him: pauses "Okay..." groans
...
Him: "It says server error."
"Yeah and it's probably going to get worse than that. Here's the deal. I woke up today and the places I read from and the people I talk to were all discussing your website and that it's completely broken and what has happened is people found your mozilla bug report; your database table with your users and passwords has been destroyed. I can't explain too much of how or why because this is something people go to school to learn about but essentially, and I say this as a professional, your website is anything but secure. You're in a good spot all things considered because this way, the info for these accounts cannot be shared any longer. You're lucky to have your entire database destroyed. The rumor is, and I haven't verified this part, that you have credit information that is easy to retrieve as well?"
Him: "No, that's not true, we have all of it sent to a secure separate location." (Probably thinking of his payment processor/third party.)
"Okay, so that is good news but I will add, not sure if you're familiar with what SSL is but it says on your website that you use it. You do not. It would be very easy for someone, even with limited experience, to intercept a transaction and the card information if you were ever unlucky enough for someone to have noticed your site's vulnerabilities before today."
Him: "Okay."
"Okay so don't worry about me, or who I am. Just search your own information and username on Google, I wish I could link you but obviously we're over the phone. Search your own information and you will see the articles talking about your site. Alternatively, type a single quotation into your login field and you will see it's broken. I can't do much because like you, I have a job and a life to deal with but best of luck and hope it goes smoothly from here on out."
Him: "Thanks, okay."
- A hozzászóláshoz be kell jelentkezni
Es amikor a fel internet rajta rohog es akad egy ember aki probal segiteni emberunk meg mindig egy arrogans fasz...
Love this guy :D
- A hozzászóláshoz be kell jelentkezni
A reddites transcriptek altalaban kamuk, valoszinuleg ez is.
----------------------
while (!sleep) sheep++;
- A hozzászóláshoz be kell jelentkezni
Szemelyesen erintett vagyok a cikkben, ugyanis van egy kollegam aki senior sysadminnak hivja magat es pontosan ekkora buta s@ggfej.
Megmondtam a fonokomnek, sot annak a fonokenek is 1 honappal azutan amikor idekerult az ember (tehat meg a probaidejen belul), hogy az ember nemcsak hogy hasznalhatatlan es buta, de raadasul k@rva veszelyes is mert fenntartasok nelkul hisz a sajat hulyesegeiben es meg van rola gyozodve hogy o jol tudja.
Ennek ellenere maradt az urge es mar a probaideje is letelt, ugyhogy en meg felmondtam es legyenek boldogok egymassal :)
- A hozzászóláshoz be kell jelentkezni
pontosan ekkora buta s@ggfej.
Én még most sem akarom elhinni, hogy léteznek ekkorák.
- A hozzászóláshoz be kell jelentkezni
Ez is csak ugyanolyan szakma lett, mint a tobbi.
- A hozzászóláshoz be kell jelentkezni
En mar varom a kovetkezo reszt:
"Join in tomorrow for episode 2 - "What Backup?""
- A hozzászóláshoz be kell jelentkezni
:D
- A hozzászóláshoz be kell jelentkezni
Nem figyeltel. Nincs backup hiszen 15 eve secure es solid a cucc.
De mar elmult :P
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni