Wpis z mikrobloga

@safehouse: how about captcha przy logowaniu po 3 nieudanych próbach + dla każdego usera osobny salt do hasła ?

@dridex: tak. też pisałem o tym.

p.s. oczywiście taka captcha to zablokowanie dostępu przez API. trzeba by osobno to aktywować i wymusić wtedy bardzo solidne hasło

I limitować ostro ilość akcji przez api

@Dorrek: najmocniejsze hasło jest g---o warte jeśli jest stosowane w kilku miejscach

@safehouse: Przecież mają takie możliwości, jak trzeba było w----ć pasek czarnego protestu(i to jeszcze ze z------m cookie path #programista1k) to problemu nie było ( ͡° ͜ʖ ͡°)

to weźcie skina z prażubra, wywalcie żubra i dajcie warning o hakowaniu.

@safehouse:
albo z czarnego marszu.
Skoro nie dają warna na stronie głównej to widocznie popierają ten hack.

@niebezpiecznik-pl: macie i uczcie się jak a) powinno reagować się na wlam b) jak powinno weryfikować możliwość użycia ataku słownikowego za pomocą personalnego pytania użytkowników o sile ich hasła xD

Obecnie wspólnym mianownikiem wszystkich przejętych kont są banalnie proste hasła

@a__s: A skąd wiecie jakie hasła Ci użytkownicy mieli? Czyżby plaintext albo brak soli?

@simivv: No i wydało się, pewnie szukają multikont po hasłach, jak kiedyś Allegro xD

@simivv już wcześniej napisała

@a__s: oddaj moje konto

@a__s: A może by tak dodać reguły ograniczające próby logowania z d...y? :P
Tyle kont brute-forcem machnąć i żebyście tego nie zauważyli, to gratuluję. :) Jeśli macie na to logi i nie widzieliście, to może ktoś użył istniejącego wycieku z innych miejsc i logował się przy pomocy adresu e-mail?

Captcha pewnie mogłaby ograniczyć skalę problemu, albo opóźnić kolejną falę dopóki ktoś użyje istniejących rozwiązań z ludźmi klepiącymi captche za grosze.

@Dorrek: ale czemu one wszystkie pomaranczowe ?

@R2D2_z_Sosnowca: Kiedy umarł Kenny Baker to Cię na wypoku pocieszałem, i ogólnie wydajesz mi się dobrym Mirkiem, to Cię ostrzegę. Zmień hasło do konta. Jesteś na liście wykopujących jedno ze znalezisk tutaj w tej aferze omówionych: http://x3.wykop.pl/cdn/c3201142/comment_G2NdqXGvlpXdAdI4VmJMV7nP2gZceaBC.jpg

Tu więcej info: http://www.wykop.pl/link/3708433/aferabotowa-i-kolejne-znaleziska-sztucznie-wykopywane/

@MattJedi: dziękuję, nie wiedziałem

@R2D2_z_Sosnowca: Znaczy generalnie potwierdzasz że to nie Ty wykopałeś rozumiem. Sprawdź IP pod jakim się Tobie logowali na konto jeśli Ci się chce.

@MattJedi: nie, to nie ja. Sprawdzę

- najlepiej z automatu zablokować konto wszystkim co logowali się z innego IP niż zazwyczaj

@safehouse:
I co jeszcze? Na LTE co 24h mam nowe IP, tak jak i wiele innych osób. Pewnie, zablokujmy im konto. Ktoś pojechał do ciotki i podpiął sie do WI-FI? Komunikat o banie na pewno go zadowoli. Oni doskonale wiedzą co mają robić i nie potrzebują twoich "złotych" rad.

@a__s
Powodzenia!

Na LTE co 24h mam nowe IP, tak jak i wiele innych osób.

Przecież napisałem, że inne niż zazwyczaj, jak masz zazwyczaj zmienne to nic.
Zresztą można po puli IP, jak zawsze jesteś z LTE a nagle z proxy w Nigerii to słabo.

Pewnie, zablokujmy im konto.

Pokaż całość