Przejrzałem te logi i jedyne co tam widzę, to kilka h4ks0rskich nicków, umiejętność obsługi skanerów, zdobywania nieopublikowanych exploitów i czytania publikacji z sourceforge. Jeśli baza została zdobyta, to na pewno nie w taki sposób, nie uwierzę.. dodatkowo sha1 bez soli, wyobraźnia mi siada.
Przecież administracja przy takiej wpadce od razu poinformowałaby użytkowników, żeby zmienili hasła? Czy tylko ja nie mogę tego pojąć?
EDIT: jeszcze jak mi przez łeb przeleciała myśl, że tak
omg... jak zacząłem sobie czytać tego loga z irca w powiązanych to zwątpiłem w administrację Wykopu, a miałem ich za taki poważny i profesjonalny serwis...
Ci kolesie znaleźli hosta na którym stał MySQL, otwarty, niefiltrowany, zaczęli szukać dalej, znaleźli dziurę w apache'u przez którą mogli próbować wykonać atak, ale tak od niechcenia jeden spróbował się zalogować do bazy, na roota i weszli bez żadnego hasła i mieli dostęp do odczytu i zapisu
Od dawna wątpiłem w zdrowy rozsądek programistów wykopu. Jest wiele tak głupich niedoróbek, które da się poprawić w 5 min, że szkoda gadać. Ale to co zrobili w tym odcinku przechodzi ludzkie pojęcie. Nie obwiniam adminów, bo pewnie mają na tyle rozumu, żeby takich rzeczy nie robić. Pewnie jakiś studenciak-php-haxor-główny programista wystawił sobie bazę żeby rozwijać nowe nadzwyczaj skomplikowane funkcje serwisu (takie jak zabezpieczenie przed double-post, nie-gubienie sesji etc).
Mam nadzieję, gimbus1xD, że zdajesz sobie sprawę, że odpowiesz za dysponowanie danymi użytkowników wykopu. Danymi, których nie masz prawa przechowywać i rozporządzać nimi. Podawanie ludziom maili, jako dowód, tylko cię pogrąża.
Pytałem go o moje konto, odpowiedział, ale w żadnym przypadku nie zamierzam świadczyć przeciw niemu. To co tutaj robi jest bardzo pozytywne. Wiele osób wiedziało o wycieku, ale nikt nie pofatygował się powiedzieć o tym użytkownikom.
Komentarze (754)
najlepsze
Przecież administracja przy takiej wpadce od razu poinformowałaby użytkowników, żeby zmienili hasła? Czy tylko ja nie mogę tego pojąć?
EDIT: jeszcze jak mi przez łeb przeleciała myśl, że tak
Ci kolesie znaleźli hosta na którym stał MySQL, otwarty, niefiltrowany, zaczęli szukać dalej, znaleźli dziurę w apache'u przez którą mogli próbować wykonać atak, ale tak od niechcenia jeden spróbował się zalogować do bazy, na roota i weszli bez żadnego hasła i mieli dostęp do odczytu i zapisu
Garażowe firmy są
ja nie. a ty?