Miałem sobie losowe, 10-znakowe hasło składające się z cyfr oraz wielkich i małych liter. Oczywiście zostało specjalnie wygenerowane dla wykopu i tak sobie było od rejestracji. Ale skoro dzisiaj wysłaliście mi maila, abym hasło zmienił - to zmieniłem. Na następujące:
Zostało zaakceptowane, a następnie nie mogłem się zalogować na moje konto! Skoro akceptujecie moje hasło, to raczcie je szanowni honorować! Skorzystałem z przypomnienia hasła i wygenerowaliście mi... 10-znakowe
Administracja klamie w trzech punktach, po pierwsze jest inna metoda uzyskania hasel sa to tkzw "rainbow tables". Hasla w bazie danych nie byly saltowane wiec to lepszy sposob od brute-force'a.
Druga sprawa to "otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób" hahaha :D, bardzo kiepska sciema.
Trzecia sprawa to "luka bezpieczenstwa", ktora tak naprawde byla zwyklym totalnym zaniedbaniem a nie luką. Nie ustawic hasla do bazy danych to blad
Szczególnie, że dostęp do mysql z zewnątrz powinien być ZAWSZE wyłączony (i tak też jest w domyślnej konfiguracji mysql) i ograniczony do localhost. Od tego są tunele po ssh lub trusted hosts... Amatorszczyzna a nie luka bezpieczeństwa.
Tak - teraz czekać aż wykopowi nonkonformiści zaczną ostentacyjnie deklarować skasowanie konta, zupełnie tak jak kiedyś modne były deklaracje nie posiadania konta na NK :P
W tej chwili wszyscy zakładają, że gimbus1xD jest bohaterem uświadamiającym innych, jednak my nadal mamy podejrzenia, że jest to osoba stojąca za szantażem jedyną, która do tej pory, wykorzystała dane z naszej bazy.
Komentarze (134)
najlepsze
Miałem sobie losowe, 10-znakowe hasło składające się z cyfr oraz wielkich i małych liter. Oczywiście zostało specjalnie wygenerowane dla wykopu i tak sobie było od rejestracji. Ale skoro dzisiaj wysłaliście mi maila, abym hasło zmienił - to zmieniłem. Na następujące:
http://pokazywarka.pl/trudne_haslo/
Zostało zaakceptowane, a następnie nie mogłem się zalogować na moje konto! Skoro akceptujecie moje hasło, to raczcie je szanowni honorować! Skorzystałem z przypomnienia hasła i wygenerowaliście mi... 10-znakowe
Only wimps use tape backup: real men just upload their important stuff on ftp, and let the rest of the world mirror it ;)
Torvalds, Linus (1996-07-20). Post to linux.dev.kernel newsgroup. Retrieved on 2006-08-28. [src: za wiki quotes]
Druga sprawa to "otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób" hahaha :D, bardzo kiepska sciema.
Trzecia sprawa to "luka bezpieczenstwa", ktora tak naprawde byla zwyklym totalnym zaniedbaniem a nie luką. Nie ustawic hasla do bazy danych to blad
Mam adres email taki sam jak w pracy.
Jak sie w pracy dowiedzą, jakie jest moje wykopowe stanowisko w pewnych sprawach, to mnie zamordują.
I tak to nie będzie najgorsze, bo wiele osób tutaj ma tak bardzo ciekawe opinie, mogą ucierpieć wiele bardziej.
Sama poznam chętnie poznam ich tożsamość.
Czy może ktoś podać torenta do pliku z tymi kontami - bo nie wiem który jest prawidłowy...
1. czemu lista kont na serwerze testowym (czyli wiadomo że potencjalnie spor dziur) była autentyczna? taki kłopot spreparować własną?
2. czemu tylko sha-1?!!
Juz dawalam screena prosto z vichana w tamtym wykopie o wycieku potwierdzajacego to przypuszczenie: http://img259.imageshack.us/img259/7048/13328629.png