Kréta feltörése

Címkék
Kréta feltörése
2022-11-17T12:14:29+01:00
2022-11-21T15:29:57+01:00
2022-11-21T15:45:30+01:00
  • Igen, ezt olvastam. Remélem így is van :) De aki kitette ezt nem tudhatta, és mindenképp aggályos, hogy kikerült a netre. A "hackertől" éppen kikerülhetett volna akármi is, ami azért nem kicsit problémás.
    Mutasd a teljes hozzászólást!
  • Az XSS védelemhez egy kis adalék ("Megmosolygott megoldások és egy terhes örökség" szakasz). A névtelenül nyilatkozó fejlesztők szerint az a gányolás legacy Neptun kód, amit az éles rendszer nem futtat már.

    Más kérdés hogy ez lehet zsigerből jövő hárítás is: "azt a kódot a dilettáns elődeim írták, nem én, meg különben se fut már"...
    Mutasd a teljes hozzászólást!
  • Amúgy a forráskód és az adatbázis(ok) nyilván két különböző dolog, amit a (nem szak)sajtó eléggé jól összemosott.

    Nem a sajtó mosta össze, hanem ők állították, hogy adatbázisokhoz is hozzáfértek. És tettek is ki adatbázisból emailcímeket, amiért megérdemelnének egy elég komoly büntetést... Hogy ez milyen adatbázis, azt persze nem tudjuk.

    Készült egy ilyen cikk egyébként: Mit tanulhatunk a KRÉTA feltöréséből? De vannak benne erős gondolatok azért, mint pl az ORM.
    Mutasd a teljes hozzászólást!
  • Igen, persze, engem sem azért érdekel a "kivitelezés módja", hogy valahol hasonlóval kísérletezzem, hanem hogy higgadtan végiggondoljam, a mi fejlesztéseinkben/folyamatainkban hol lehetnek hasonló hibák. Bár persze nagyságrendekkel kisebb horderejű dolgokkal foglalkozunk, de hát azért mégis...

    Amúgy a forráskód és az adatbázis(ok) nyilván két különböző dolog, amit a (nem szak)sajtó eléggé jól összemosott. Végül is adatszivárgás történt-e eddig vagy sem? Van ennek a sawarim jóembernek ez a tízes posztja: Sawarim$ és itt valóban láthatók kódolt jelszavak meg email címek, de azért itt milliós nagyságrendű adatokról van szó, nem csak erről  néhány sorról...
    Mutasd a teljes hozzászólást!
  • Még mindig semmi, ezek szerint jól ráijesztettek a gyerekekre, vagy alapból sok volt részükről a blöff...

    Már így is túl sokmindent osztottak meg abból, amihez hozzáfértek... Nem biztos, hogy nagyon helyes lépés volt az óvodás szintű SQL injection/XSS "védelmet" kirakni a netre. Remélhetőleg az események fényében komoly fejlesztések fognak történni biztonság terén a Krétánál. Az nagyonis indokolt, hogy ebből botrány lett, és hogy ezzel a sajtóhoz fordultak, ha már a cég maga nem jelentette be, és egyértelmű, hogy ellenlépéseket se tettek. De az intézési mód és a stílus a "hackerek" részéről is nagyon messze van az etikusságtól, meg mindentől, ami mentén egy ilyen esetben helyes eljárni.

    Amúgy engem leginkább a "fiatal projektmenedzser (szuperadmin???) rákattint az adathalász linkre" bekezdés érdekelne , hogy valami háttér információ csak kellett legyen a hackerek kezében, máskülönben honnan tudták volna, hogy milyen rendszerüzenetet imitáljanak?

    Ez egy célzott támadás volt, nem egy email adatbázisnak szétküldött random email. Valószínűleg nem az adathalász emaillel kezdték a munkát, így tudhatták mivel lehet becsapni a jóembert. 

    Nem azt érdemes belőle megtanulni, hogy hogyan lehet egy ilyet kivitelezni, hanem hogy milyen architekturális tervezési hibákat nem szabad elkövetni ilyen érzékeny területen. Az mondjuk nem egyértelmű, hogy tényleg fértek hozzá személyes adatokhoz, és hogy valóban a PM hozzáfért-e ezekhez. Ha igen, akkor az döbbenetes. De szerintem(/remélem) azért vannak épelméjű és felkészült biztonsági szakemberek is az állami rendszerek körül, akik biztonsági szempontból közelről felügyelik ezeknek az érzékeny rendszereknek a fejlesztését, és beleszólnak az architektúrájukba.
    Mutasd a teljes hozzászólást!
  • Még mindig semmi, ezek szerint jól ráijesztettek a gyerekekre, vagy alapból sok volt részükről a blöff...
    Amúgy engem leginkább a "fiatal projektmenedzser (szuperadmin???) rákattint az adathalász linkre" bekezdés érdekelne , hogy valami háttér információ csak kellett legyen a hackerek kezében, máskülönben honnan tudták volna, hogy milyen rendszerüzenetet imitáljanak? 
    Közben ezt hallgatom, de sokkal okosabb nem lettem még tőle: Frissítsd a böngésződet
    Mutasd a teljes hozzászólást!
  • Bocsánat, közben megfejtettem a telegrammot: Sawarim$
    Mutasd a teljes hozzászólást!
  • Ugye itt kezdődött az egész: Sawarim$
    (Valaki tudja ezt a "csodás" telegramm rendszert úgy használni, hogy minden bejegyzés egyszerre megjelenjen és a képek nagyíthatók legyenek?)
    Ez viszont még mindig üres: GitHub - sawarimhacker/ekreta-exploits
    Mutasd a teljes hozzászólást!
  • Nem látok még ilyen témát, és hát meglehetősen zavarosak az információk... Az ellenzéki sajtó avval van tele, hogy "megpróbálták elhallgatni" meg "kikerülhettek" a személyes adatok, de mondjuk pont ez a része nem érdekel különösebben. Sokkal inkább érdekelne a konkrét történés és a konkrét forgatókönyv, a projektvezető meg az adathalász levél, meg az egésznek a biztonsági, infrastrukturális háttere stb. stb. stb.
    Szóval, ki mit tud erről?
    Mutasd a teljes hozzászólást!
Címkék
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd