Comments 25
за вымогательство элементарно могли привлечь
Могли, но кто не рискует…
А если бы эти данные попали не ко мне, а к другому человеку и были распространены? Репутация, мне кажется дороже данной суммы. Во много раз.
Да и «привлекли» бы — пойдите и докажите.
А если бы эти данные попали не ко мне, а к другому человеку и были распространены? Репутация, мне кажется дороже данной суммы. Во много раз.
Да и «привлекли» бы — пойдите и докажите.
Что было бы с данными, если бы они не заплатили?
Ничего:)
Был курьёзный момент. Я ждал звонока о переводе денег. А его не было. Ну, надоело, не хочет человек — фиг с ним. Сел, написал письмо, в котором рассказал, что как и обещал данные дальше меня не уйдут, но и я их удалять не буду, так сказать «во избежание». И поскольку дело происходило под Новый Год, пожелал фирме процветания и поменьше таких ошибок, и попросил чтобы их специалист связался со мной — я расскажу ему о бреши.
Буквально через пару секунд после отправки поступил звонок, в котором и сообщили о переводе. Было жутко неудобно.
Был курьёзный момент. Я ждал звонока о переводе денег. А его не было. Ну, надоело, не хочет человек — фиг с ним. Сел, написал письмо, в котором рассказал, что как и обещал данные дальше меня не уйдут, но и я их удалять не буду, так сказать «во избежание». И поскольку дело происходило под Новый Год, пожелал фирме процветания и поменьше таких ошибок, и попросил чтобы их специалист связался со мной — я расскажу ему о бреши.
Буквально через пару секунд после отправки поступил звонок, в котором и сообщили о переводе. Было жутко неудобно.
записать телефонный разговор, уточнить договоренность в присутствии лиц в форме, отследить email (конечно, подделать элементарно, но тоже риск), нагрянуть при передаче денег и пр.
Статья 163. Вымогательство
1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под у грозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких,
— наказывается ограничением свободы на срок до трех лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.
— оно вам это надо было из за мелочной суммы?
Статья 163. Вымогательство
1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под у грозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких,
— наказывается ограничением свободы на срок до трех лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.
— оно вам это надо было из за мелочной суммы?
Должны.
А в чем тут вымогательство? Человек сообщил об уязвимости системы. Способной нанести ущерб клиентам этой системы. И предложил за деньги рассказать, как устранить уязвимость. Что же касается угрозы выложить данные — то как еще можно было заставить контору раскачаться и закрыть дыру, а не замять дело и продолжать своей некомпетентносстью подставлять клиентов под возможный удар?
Если бы их «специалисты» были способны сами найти дыру — сами бы ее ликвидировали и ничего бы не платили.
Если бы их «специалисты» были способны сами найти дыру — сами бы ее ликвидировали и ничего бы не платили.
Вам повезло. Могли и маски-шоу устроить с меченными купюрами и статьями за вымогательство, шантаж и пр.
Это вы для Ксакепа статью писали?
расскажите еще как правильно «шифроваться»? т.е. прокси, открытые wifi и т.д.
никак. мне кажется, кому надо — найдут.
ну вы же не с домашнего номера звонили и писали не с домашней айпишки провайдеру?
Вы знаете, врядли я смогу конкретно ответить на Ваш вопрос, шифруйтесь настолько, насколько считаете нужным в данной ситуации:)
Одно скажу (хотя это, видимо, региональный аспект) — когда у меня проводили экспертизу, эксперт дал удивительное заключение. Если кратко — то у него нет методических пособий как проводить экспертизу данных с компьютера, на котором установлен linux. Вот и всё.
Одно скажу (хотя это, видимо, региональный аспект) — когда у меня проводили экспертизу, эксперт дал удивительное заключение. Если кратко — то у него нет методических пособий как проводить экспертизу данных с компьютера, на котором установлен linux. Вот и всё.
Вы знаете, врядли я смогу конкретно ответить на Ваш вопрос, шифруйтесь настолько, насколько считаете нужным в данной ситуации:)
Одно скажу (хотя это, видимо, региональный аспект) — когда у меня проводили экспертизу, эксперт дал удивительное заключение. Если кратко — то у него нет методических пособий как проводить экспертизу данных с компьютера, на котором установлен linux. Вот и всё.
Одно скажу (хотя это, видимо, региональный аспект) — когда у меня проводили экспертизу, эксперт дал удивительное заключение. Если кратко — то у него нет методических пособий как проводить экспертизу данных с компьютера, на котором установлен linux. Вот и всё.
Первый пост комом… )))
И что, вот так просто через инъекцию получили рут доступ?
Т.е. внедрением sql кода умудрились выполнить системные команды? :) Как бэ рут mysql'я и рут шелла — разные вещи.
Ну да, конечно, хакерские недели…
Т.е. внедрением sql кода умудрились выполнить системные команды? :) Как бэ рут mysql'я и рут шелла — разные вещи.
Ну да, конечно, хакерские недели…
К концу недели пойдут истории о взломе через RFI и command execution? Или венцом хакерской недели станет душещипательная история о взломе хомяка Васи через бажный phpBB 2.0.6?
Сейчас принят закон о хранении личных данных.
Компании заставляют проходить аудиторские проверки соответствия PCI DSS (Payment Card Industry Data Security Standard).
И я должен сказать, это очень правильно, но этого мало.
Компания N принимает кредитные карты. Они проходят аудит, им указывают на дыры в системе (подробностей сказать не могу — просто не знаю). Все, проверка пройдена.
А что внутри?
Хорошо, новые транзакции хранятся и передаются в маскированном виде (1234-хххх-хххх-5678, а не полный номер карты). А старые?
1. Хранятся на сетевом диске копии файлов (убили сразу).
2. В БД инет магазина полная информация о платежах со всеми клиентами за все годы (я сразу обрезал карты по маске).
3. В сервере, обрабатывающем платежи в трех местах — в БД, в файлах, в логах. БД уже обрезал, файлы теперь удаляются после обработки и не хранятся, а логи надо оставить, тоже как-то маскировать номера в них.
4. И где-то на лентах или дисках есть резервные копии БД — и там все так и хранится. Пока не понимаю, что с ними делать.
Я к чему это? Директор не зря думал на крысу. Изнутри украсть данные в сотни раз проще. И деньги сотен тысяч клиентов зависят от добросовестности сотрудников.
Компании заставляют проходить аудиторские проверки соответствия PCI DSS (Payment Card Industry Data Security Standard).
И я должен сказать, это очень правильно, но этого мало.
Компания N принимает кредитные карты. Они проходят аудит, им указывают на дыры в системе (подробностей сказать не могу — просто не знаю). Все, проверка пройдена.
А что внутри?
Хорошо, новые транзакции хранятся и передаются в маскированном виде (1234-хххх-хххх-5678, а не полный номер карты). А старые?
1. Хранятся на сетевом диске копии файлов (убили сразу).
2. В БД инет магазина полная информация о платежах со всеми клиентами за все годы (я сразу обрезал карты по маске).
3. В сервере, обрабатывающем платежи в трех местах — в БД, в файлах, в логах. БД уже обрезал, файлы теперь удаляются после обработки и не хранятся, а логи надо оставить, тоже как-то маскировать номера в них.
4. И где-то на лентах или дисках есть резервные копии БД — и там все так и хранится. Пока не понимаю, что с ними делать.
Я к чему это? Директор не зря думал на крысу. Изнутри украсть данные в сотни раз проще. И деньги сотен тысяч клиентов зависят от добросовестности сотрудников.
Sign up to leave a comment.
К чему может привести Sql-инъекция