Aktywne Wpisy
Revvvvvvvvvvvvvvvv +416
Ostatnio nauczycielka p0lskiego u mnie na lekcji powiedziała coś o tym że mężczyźni nie są czuli dla swoich dzieci itp. Ja powiedziałem "ale z Pani seksitka", a ta sie tak oburzyła, zaczeła gadać że ją tym obraziłem, że nie mam do niej szacunku i mi wpisała nagane xDDDD
Taki wygląd p0lek i stanu szkolnictwa w #szk0la
90% nauczycieli to kobiety i potem jest jak jest. Seksizm oczywiście działa w jedną strone xD
Taki wygląd p0lek i stanu szkolnictwa w #szk0la
90% nauczycieli to kobiety i potem jest jak jest. Seksizm oczywiście działa w jedną strone xD
dqdq1 +134
Aktywne Znaleziska
Włamanie na testowy serwer Wykopu
Drodzy Wykopowicze.
Kilka tygodni temu odnotowaliśmy włamanie na jeden z serwerów testowych, na którym przygotowujemy nową wersję serwisu. Lukę naprawiliśmy bardzo szybko, jednak włamywaczom udało się pobrać starą kopię bazy danych, której tam używaliśmy.
W związku z próbami szantażowania Wykopu ze strony hackerów, zgłosiliśmy niezwłocznie zawiadomienie do organów ścigania. Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować. Sprawy potoczyły się jednak za daleko i należą Wam się słowa wyjaśnienia.
Felerna baza zawiera konta użytkowników zarejestrowane do 31 marca 2009 roku! W bazie zapisane były m.in. hasła do Waszych kont na Wykopie. Każde z haseł ze względów bezpieczeństwa, zostało zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana "brute force". W celu ochrony przed możliwymi konsekwencjami wycieku danych, wszystkie osoby, które zarejestrowały konto przed 31 marca 2009 roku prosimy o zmianę hasła (im więcej znaków w haśle, tym hasło bezpieczniejsze). Sprawdźcie również, czy nie używaliście tego hasła na innych serwisach.
Cała nasza firma, mimo weekendu, jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie tele
Komentarz usunięty przez autora
kłamstwo!
Bynajmniej to nie przynajmniej! Lata mijaja, a ludzie dalej tego nie wiedza..
Ja przepraszam bardzo, ale serwery testowe trzyma się za bardzo mocnym firewallem. Nie jest prawdą, że hasła są nie do złamania - większość z nich jest słownikowa, więc metoda porównywania z bazą haszy różnych słów i zwrotów zadziała wyśmienicie. Administracja wykopu nie ma NIC na swoją obronę. Zachowaliście się jak licealiści piszący od miesiąca w PHP. Słusznie zrobiłem zachowując od początku duży margines bezpieczeństwa jeśli idzie
Komentarz usunięty przez autora
Tęczowe tablice, o których najprawdopodobniej myślisz, to w sumie też brute force, tylko nieco lepiej zorganizowany.
1. Dlaczego hasła były hashowane tylko sha1 bez żadnej soli?
2. Dlaczego robiliście testy na serwerze niemal niezabezpieczonym (brak hasła roota)
Sprawy zaszły za daleko? ;D więc dopóki nic nie widzieliśmy to siedzieliście cicho a teraz jak ktoś z zewnątrz łaskawie nas ostrzegł to należy nam się wyjaśnienie? Lepiej było stawiać nie wiadomo kogo na nogi niż jak najszybciej ostrzec userów z tym samych hasłem na innych serwisach o zmianę go jak najszybciej?!
co do "jedynej metody" bruteforce to klamstwo, sa przeciez tkzw. "rainbow tables" ; )
Moim zdaniem ukrywanie tej informacji nie było fair. Powinniście w tym przypadku chociaż poprosić użytkowników o zmianę haseł. Poza tym, czy można nazwać to włamaniem? Serwer bazy wystawiony na świat, konto roota bez hasła.
Jak najbardziej masz rację.
Mam nadzieję, że te akcje organów ścigania nie są wymierzone w gościa, który dodał wykop - on raczej pomógł, bo złodzieje nie będą już mogli bezkarnie wykorzystywać tych danych.
Swoją drogą: miłego weekendu ;).
Zrzutę zróbmy na premię dla admina, żeby chłopina się nie zdołował, bo takie przypadki zdarzają się często i nawet najlepszym :)
Lukę naprawiliśmy
IMO to żadna luka, tylko zaniedbanie.
Bynajmniej ja tak robię a danych wcale nie mam tak wartościowych bo w sumie tylko baza numerów GG użytkowników czata
i trzeba było czekać aż ktoś to wszystko rozdmucha żeby ewentualnie powiadomić użytkowników o tym że ich hasła wyciekły? bardzo odpowiedzialnie.
Bardziej mnie dziwi, że serwer był widoczny z zewnątrz O_o I już nie
Właśnie chodzi o to, że dodający Wykop był jedyną osobą, która tych danych użyła w niecnych celach (logowanie na Allegro). Pozostali poinformowali administrację o błędzie chyba tego samego dnia, co wykryli lukę. Wszystko było ok, dopóki szałwia (aka gimbus1xD) nie obraził się na resztę i nie zaczął odwalać głupich rzeczy.
Tu masz fragment loga, w którym on przyznaje się do winy (pod nickiem zywegowno_xD):
http://xinfo.eu/download/26d4de8bb1be4aefc3dd7dc231b0246ewykop-szalwia.jpeg
Szczęśliwie podobno na wykradzione konto NK
@qspy - tablice tęczowe traktuję jako odmianę brute force
[EDIT] Chociaż po przeczytaniu komentarzy, które pojawiły się "w międzyczasie" nie jestem już tego taki pewien... Powiem tyko: nie dajcie się ponieść emocjom, nie próbujcie na siłę szukać "kozła ofiarnego". Powodzenia.
Komentarz usunięty przez moderatora