Vefstjori.is geymir lykilorð

[krat]

hverju var deletað og hvernig fór samtalið :O

[Gúrú]

Sæll Gúru
Endilega hringdu 546 4000
kv
daniel

Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.

[capteinninn]

Sæll Gúru
Endilega hringdu 546 4000
kv
daniel

Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.

Ég hélt að þetta kallaðist frí white hat hacker þjónusta þegar menn finna galla á vefsíðum og láta vita af því til að loka fyrir öryggislekann.

[rapport]

Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?

Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.

Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.

Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.

p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.

[krat]

Sæll Gúru
Endilega hringdu 546 4000
kv
daniel

Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.

langar að heyra báðar hliðar málsins.

[ASUSit]

Þrátt fyrir að deila afar sjaldan skoðunum með Gúrú, að þá verð ég fyrir mitt leyti einfaldlega að taka hattinn ofan fyrir þér í þetta skiptið.

[Gúrú]

Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.

Ég vil koma því á framfæri að þegar að ég taldi upp allar þessar upplýsingar var ég að nefna það sem er auðveldlega hægt að fá út frá flestum símanúmerum og/eða Facebook auðkennum. Þ.m.t. mínu.
Þessar upplýsingar sjálfar (fullt nafn, kennitala, heimilisfang) eru ekki hluti af GSM skráningarferlinu sem þó fer fram án notendaskilmála.

Það sem þú nefnir um að skaðinn sé skeður og viðvarandi er eitthvað sem að maðurinn sem svaraði mér í símanum afskrifaði algjörlega og missti ég þar með alla von um ásættanlega úrlausn.

[Viktor]

Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Ég trúi ekki að þú sért í forsvari fyrir fyritæki. Ef svo er - áttarðu þig ekki á því - að fyrirtæki, víðsvegar um heim BORGA fólki fyrir að hacka sig inn og láta þau vita af því?

Flestir hackarar sem hafa setið í fangelsi eru svo ráðnir til risastórra fyrirætkja á ofurlaunum.

Vá hvað sumir skilja ekki tækniheiminn.

Heimild:

Google Offers $3.14159 Million In Total Rewards For Chrome OS Hacking Contest

http://www.forbes.com/sites/andygreenbe ... g-contest/

[ASUSit]

Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!

[Dagur]

Veit einhver hjá eldsmiðjunni af þessu? þau eru auðvitað að borga fyrir þetta.

[CendenZ]

*fliss*
Er verið að afsaka þetta fokkopp

[Pandemic]

Þetta með dulkóðunina hljómar eins og klór í bakkann. Það er enginn að segja mér að að forritari sem veit varla hvað hashing algorithmi er hafi implementað dulkóðun á þessi gögn þar sem það er svona 10x auðveldara að nota eitthvað hashing algrím.

[suxxass]

Mjög sloppy vinnubrögð...

[rango]

Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!

Mér grunar sterklega hér að hann sé að tala um mig, Enda var það ég sem gróf upp þennan SQL möguleika.
Það er óþarfi að fara í vörn hérna, Ábyrgðin liggur hjá ykkur.

Veit eldsmiðjan af þessu, Er búið að láta þá vita?

Ég n.b. komst ekki yfir nein gögn,
Enn ég efast samt ekki um að einstaklingur sem vill raunverulega komast yfir slík gögn nái því meðað við ykkar hæfni til forritunar.

[Stutturdreki]

Daníel, ef einhver bendir þér á eitthvað sem þú hefur einfaldlega gert á rangan hátt þá segir maður takk og lagar það. Ekki vera fáviti.

[rango]

Varst það þú daniel sem forritaðir þennan vef?

Ég skal svosem kíkja á þetta hjá þér ef þú ert í vafa með þetta.

[krat]

Bíð eftir svörum frá Daníel.

[Danni V8]

Djöfull finnst mér óþæginlegt að lesa þennan þráð.

[MatroX]

Djöfull finnst mér óþæginlegt að lesa þennan þráð.

hvernig væri að þú byrjaðir að svara þeim hahaha

[krat]

Djöfull finnst mér óþæginlegt að lesa þennan þráð.

Afhverju er það?

[Hargo]

Djöfull finnst mér óþæginlegt að lesa þennan þráð.

Afhverju er það?

Því hann heitir sennilega líka Daníel, hence the nickname

[intenz]

Guð minn almáttugur. Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein, þar sem þessi maður veit ekkert og ætti ekki að vera í þessum geira. Og að fara í vörn og "hóta" lögsóknum er bara barnalegt.

[gRIMwORLD]

ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)

[Klemmi]

Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein

Tölvunarfræðingur er lögbundið starf, hins vegar getur enginn bannað þér að selja þig út sem forritara án formlegrar menntunar, enda þætti mér það mjög óeðlilegt. Hitt er svo annað mál hvort það mætti ekki setja slíkar reglur þegar forritaðir eru gagnagrunnar sem halda utan um persónuupplýsingar.

http://europass.is/wp-content/uploads/2 ... 005-36.pdf

[Gúrú]

Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Þetta er svo fáránleg spurning sem á engan rétt á sér.

Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.

Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.

Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.

Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.

Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.

Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?

Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.