Pull to refresh

Comments 116

а Вы, простите, в тех. поддержку ВТБ написали, перед тем как здесь запостить? ответа дождались?
если нет+нет тогда нельзя так делать, о большой белый хакер.
сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
А я бы как автор поста поступил )
вот будете автором, тогда так и поступите.
автор этого топика сделал неправильно.
где написано, что это неправильно?
Вот найдёте подобную дырку — тогда и поступите так, как считаете нужным. А автор поступил так, как он считает нужным.
Что за стереотипный подход «сперва добейся сам»?

Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.

Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
Пусть учатся быстро закрывать дыры.

Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.

Действительно, получилось из разряда «сперва добейся».

Однако тон первого комментария был слишком категоричным, как на мой взгляд (издёвка «о белый хакер» тоже не добавляла ему привлекательности), что и повлекло за собой вполне ожидаемую реакцию.
Да как же, он запостил неумехам прямой how to как закрыть, и глядя по факту разработчики уже скопипастили решение и закрыли. Да ладно… отшлепать немного прилюдно таких монстров как ВТБ и Лебедва просто необходимо. Вот стартапчики обижать совестно, а таким надо хоть раз в год но давать публичную порку чтобы не зазнавались.
Когда у Вас будет свой сайт и его взломают и опубликуют инфу Вы по другому запоете :-)
Сайт взломан не был по факту. Лишь раскрытие некоторой некритичной информации.
Однако уволить кого-то за это могут. А у него можеть быть дети некормленные
Я вот когда-топоступил так же — написал об одном из багов в системе Приват24. К несчастью, то был мой первый топик на хабре (может и последний) и помимо многочисленных минусов пост вообще удалили. Вот так вот пиши после этого…
скорее всего причиной минусов стало то что ваш пост был не смешной
Люди за это деньги получают. Странно делать работу за других.
я говорю предупредить, а не исправлять. и ничего страшного в этом нету.

этот комментарий заминусуют и не обоснуют, уверен.
Есть еще такие люди, как тестеры. Это их работа!
itspoma считает, что пользователи должны быть и тестерами: тестировать, замечать ошибки, отписывать в теподдержку, ждать ответа, принимать их ответ. Далее опять тестировать, слать обратный отчёт ждать ответа…
назло плюсанул, теперь мучайся в догадках
Да и Лебедев немало берёт к тому же…
Лебедев уже не тот!

Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
так часто бывает, но кто останется крайним итак понятно )
По-хорошему, крайним должен оказаться автор поста: выложил «горячий» материал не разобравшись в вопросе.
Это ведь банковская структура. Тут такие бреши вообще недопустимы, кстати.
Проблем стоило ожидать.

Так и есть, менагеры из банка давно передали поддержку в другую контору,
паршивую контору, буквально, студию на три буквы
Можете еще раз высказать эту же мысль, но русским языком?
Что вам не ясно?
Я подтверждаю ваши догадки относительно непричастности студии Лебедева к поддержке этого проекта.

Не нравится сленг — ваши проблемы!
Лебедев не палится

Артём; Сайт красивый…
хе =)
поясню немного:
обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
тогда же у себя на сайте разместил
сегодня от них ничего не пришло поэтому под вечер кинул сюда

а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.

вот это одобряю, правильно сделал, молодец.

просто в посте ты забыл про это упомянуть.

вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
некий white-hat хакер находит их.
ты хочешь чтобы он сперва тебе сообщил про багу?
или чтобы сразу всему миру начал рассказывать и показывать?
уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
просто поскольку запрос остался без ответа посчитал это несущественным моментом…

а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…

эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
ага, а еще никто не хочет, что бы его грязное белье и черные делишки показали всем, а тут викиликс, журналюги всякие дворцы фотографируют.
вы так говорите, как будто это что-то плохое
А я считаю что подобные вещи должны освещаться.

Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.

А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.

P.S. И неговорите мне что я злой и эгоистичный завистник ;)
Можно так делать, и нужно. Чтобы знали, суки, как за качество отвечать.
почему Вы считаете что автор должен куда-то писать перед тем как публиковать ссылки? автор никому ничего не должен. тем более необходимость писать в техподдержку сомнительна, откуда можно знать ошибочно открыт доступ к данным или это так задумано?
А никто не заметил, там когда открываешь сайт визитку в саом низу видео обращение. И вот самый первый стоп-кадр превьюшка, где этот важный дяд сидит на кресле и на заднем фоне 2 моника и ноут.
Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
Наверное «пасхальное яйцо» от сисадмина)
да это он косынку разложил :))
Основной сайт тоже изначально в студии был сделан.
Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
Ну всем свойственно ошибаться, человеческий фактор. Просто тут он проявился очень сильно.
Вы слишком гуманны. Это даже не ошибка. Они просто забили на такую «мелочь». Нечто подобное может допустить студент-фрилансер, для которого не существует понятия «рейтинг». Уважающая себя контора таких косяков позволять не должна.
Для студента-фрилансера еще не существует понятие рейтинга. А для них, видимо, уже…
а можно насчет этого подробнее? ни разу честно говоря чтобы заказчик говорил делаем на этой CMS и только на ней — это если сайты с нуля, а не доработка того что уже сделано.
А что странного? В крупных организациях есть IT- и PR-отделы, которые имеют свои представления о технологиях. IT — в плане долгосрочной технической поддержки, PR — в плане управления контентом и формирования аналитических отчетов. У вас, возможно, клиенты поменьше..?
По первой ссылке куча куча поздравлений, но иногда и встречается что-то вида: «вкладчик; сосите хуй»… Интересно, это обращение ко вкладчику от ВТБ… или обращение вкладчика к ВТБ? :)
да ещё и IP-шки =) можно полопатить, не комментируют ли сами себя ))
у меня только последняя ссылка открывается, закрыли уже?
Закрыли, отклик через хабр оказался быстрее прямых обращений =)
UFO just landed and posted this here
И конечно же, никто не додумался сделать копии, да?
Для непосвященных: сразу ищите по слову "#уй"
Ну это бы не нашлось :)
а, ад и… даже mod_rpaf не поставили, скрипт от локалхоста пишет на диск.
неужели ты думаешь, что это писали руками?
Кого-то завтра премии лишат, а то и уволят.
Ага, заходит разработчик сайта на хабр и покрывается холодным потом :-)
Судя по тому, что файлы прикрыли — разработчик сайта уже в курсе.
Но у него ещё есть время придумать отмазку, пока Тёма в Норильске зимует.
Должен сказать, сайт производит весьма сильное впечатление. Лебедев и Ко оторвались на славу.
пришел ответ от ВТБ:

Дмитрий, добрый день!

Благодарим за информацию о «дырке» на сайте 20.vtb.ru
Не ожидали мы такого низкого уровня безопасности
от такой много получающей за работу компании.

— с наилучшими пожеланиями, Василий Коцюба
Интересно кого они имеют ввиду, т.к. на сайте Лебедева написано, что сайт снят с поддержки в 2011.
Наверно Лебедев обиделся, что поддержку не продлили и дырок оставил :)
Да и косяки могли появится уже при создании сайта, так что ВТБ теперь будет думать у кого сайты заказывать)
Конечно, куда проще подставить вполне адекватного исполнителя, чем сознаться в полной некомпетентности.
Наверное, таких правдивых отзывов мы бы никогда не услышали, если бы не автор поста.

«Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
надо вывесить этот файлик в паблик, в виде доски + комменты и рейтинг))))
Справделивости ради — почти во всех банках нал через кассу платный — заградительный тариф, направляют людей в банкоматы. Хотя конечно странностей у ВТБ24 хватает, в частности единственный известный мне платный инет-банк.
ВТБ — олигополисты все-таки, им почти все можно.
Не путайте большой ВТБ и розничный банк ВТБ24. ВТБ24 весьма далек от монопольного статуса.
Этот отзыв не единственный.

«shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
Банк втб — кидала, наперсточник!;
Вкладчик украинского ВТБ; Будьте внимательны!
Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
ВТБ — напёрсточник-кидала!;»
Мне кажется, имеет смысл это распространить по сети, вместе со ссылкой на кэш. Страна должна знать своих героев!
выложите копию, кто успел сохранить
Шутки шутками, а в инет утекли айпишники клиентов банка.
db.ripe.net утекли айпишники пользователей интернета. Это на самом деле не велика потеря, тут ничего криминального нету… Там наты сплошные
Парни, у Битрикса в корневом .htaccess есть директива:
Options -Indexes

А в файле /bitrix/modules/.htaccess находится директива:
Deny from all

Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
Nginx поставили, а то, что это не apache — забыли видимо :)
Очевидно за nginx там все-таки Apache:
20.vtb.ru/bitrix/modules/

Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.

Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
Ну а что вы хотели от студии, у которой автоответчик на телефоне центрального офиса матерится? Если любите Лебедева, то не минусуйте, а позвоните и дослушайте до конца список прилагательных, которые зачитывает робот.
Сказал же — позвоните… Или объясните, почему такого уровня компании позволяют себе такое.
ты так говоришь, как будто бы это что-то плохое
хаха позвонил +7 495 926-18-00, там Лебедев жжот на автоответчике
только почему-то без мата
Только что позвонил — довольно милое приветствие, никакого мата.
Ближе к концу он таки говорит, что студия охуенная.
Так это Лебедев записал?
поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
Причем многие писали, видимо, не про ВТБ, а про ВТБ24, не понимая, что это два разных банка.
Ну так надо было догадаться так банки назвать! ВТБ1, ВТБ8, ВТБ42…
За те деньги, которые он берёт, можно идеально всё сделать, ВТБ в своём репертуаре, деньги на ветер. К 20 летию делать сайт поздравительный и однозначно не за маленькие деньги, лучше бы людям ставки по ипотеке и софинансированию снизил, тьфу!
Только Навальному не говорите
С каких пор ВТБ стал заниматься ипотекой? Вы с ВТБ24 не путаете?
Разница? Всё равно воры и жулики :)
ВТБ24 дочерняя организация по отношению к ВТБ. следовательно утверждение верно.
>Даша; Ура, молодцы;127.0.0.1;;1287165363;;;
Ммм… сами себе положительный отзыв написали :)
Я представляю себе комментарии на аналогичном сайте ПриватБанка… украинцы поймут.
> ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
В «ВТБ24» произошел масштабный Хабраэффект.
Я бы сказал, что это «Опять сбой»
У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.

Осталось смешанное впечатление
Sign up to leave a comment.

Articles