Hasła klientów 810 sklepów IAI Shop przesyłane otwartym tekstem
Trzy miesiące temu rozpoczęliśmy akcję piętnowania serwisów, przechowujących hasła klientów w sposób nie zapewniający odpowiedniego bezpieczeństwa. Wiele serwisów poprawiło swoje zabezpieczenia, jednak niektóre pozostają nieugięte.
XpedobearX z- #
- #
- #
- #
- #
- #
- #
- #
- 24
Komentarze (24)
najlepsze
Ja p!!@@#%ę, dostają kasę i to pewnie niemałą (810 to trochę jest) za taką fuszerkę. Czy w tej branży naprawdę jest mało specjalistów? Jeśli firma, której kod nie spełnia podstawowych zasad bezpieczeństwa może mieć aż tylu klientów...
Co więcej skrypt odpowiadający za pobieranie naszego dokumentu wyglądał tak download.php?id=12345
Wystarczyło inne id i cudownie pobieraliśmy plik, który należał do innego
Skoro i tak w bazie mają hasło w plaintexcie to w celu "weryfikacji" ten hash wcale nie musi być z hasła, a np. kombinacją "hasło z bazy + mail", albo o zgrozo hash z samego maila :D
Podstawowym powodem dla którego nie zdecydowali się na haszowanie haseł jest wg nich nieopłacalność takiego rozwiązania dla sklepów internetowych, zwłaszcza tych większych. :D
Lamerstwo, przecież transakcje istnieją od dziesięcoileci? Nie. Po prostu bardziej się opłaca od