Из первых рук про 9c951267

    Ламер — юзер, регулярно наступающий на грабли, но по-прежнему уверенный, что граблей не существует.
    Какая-то энциклопедия


    Прошел день с того времени, как я сделал попытку убедить людей, что в сети нужно очень тщательно выбирать, кому доверять свои данные (пафосно звучит, правда?)

    О том, что же было и что из этого получилось, дальше.


    Сайт bestpersons был выбран, конечно, не случайно, но он просто идеален в качестве наглядного пособия по тому, как не нужно делать безопасные сайты. О начале издевательств над ним можно почитать здесь: Сервис хранения паролей и раздачи их всем желающим.

    Из-за туманных комментариев владельцев сайта, не утрудивших себя описанием того, что случилось с их сайтом и даже не уведомивших своих пользователей о том, что им нужно сделать (сменить все пароли, которые совпадали с паролем на bestpersons, удалить свой аккаунт ;) ) даже крупные интернет-издания не смогли понять, что же произошло. Ни rian.ru, ни Roem.ru, ни Securitylab не дали реальной версии событий.

    Итак, по порядку:
    1. Я нахожу то, что описано в первом топике и пробую это использовать.
    2. Поскольку я не особо скрываюсь, некоторые пользователи, пароль которых я получил, заметили, что у них в настройках сменился email и сообщили об этом программистам сайта.
    3. Сайт был отключен, когда я успел получить всего около 400 паролей.
    4. Я написал пост на хабр, поскольку считал, что раз владельцы сайта узнали о уязвимостях, они их закроют.
    5. Сайт включили.
    6. Я увидел, что уязвимости никто не правил и написал об этом комментарий.
    7. Сайт выключили, меня попросили сказать, где же именно ошибки на сайте о_О
    8. Я сказал: в таких-то полях у вас не фильтруется html, кроме того у вас совершенно не фильтруются GET-запросы и через них можно делать что угодно. Поблагодарили, сказали что исправят.
    9. Сайт включили, написали обнадеживающие новости — юзерам ничего не угрожает О_о. //То, что у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства) им, пользователям, знать не нужно.
    10. Вечером перед сном решил еще раз зайти на сайт — посмотреть как там с уязвимостями. Обнаружил, что ничего в лучшую сторону не изменилось — поправили XSS в некоторых (не всех) полях, но через GET-запросы все еще можно делать все что угодно. В частности, удалять сообщения других пользователей и постить в их блоги на других сайтах.
    11. Написал простенький скриптик, постящий во все блоги, пароли к которым были оставлены пользователями на bestpersons. Запустил его.
    12. Посреди работы сервера bestpersons повисли (у них подвисали некоторые скрипты). Их перезагрузили и скриптик спокойно продолжил работу о_О
    13. По всему рунету появились сообщения, содержание которых вы знаете. К настоящему времени большая часть из них уже удалена (уж точно на всех блогах, хозяева которых о них еще помнят).
    14. Владельцы bestpersons добавили в новость о уязвимости еще одну строчку «От лица наших пользователей были отправлены странные сообщения, ничего страшного».

    Ребята, с таким отношением к данным пользователей рунет никогда не станет похож на западный интернет :)

    Тут многие высказывали тезис такого содержания: «Все ошибаются. На ошибках учатся. Теперь сайт еще надежнее».

    Ошибка — это когда злоумышленник может изменить имя другого пользователя, украсть куки или совершить не слишком важное действие на сайте от лица дугого пользователя.

    То, что происходит на bestpersons — это не ошибка. Это полное непонимание основ безопасности сайтов господами ведущими программистами высоконагруженных и распределенных систем (вроде ничего не перепутал?)

    Так ведь нельзя :)

    Надеюсь, сайты, так относящиеся к своим пользователям, будут в дальнейшем публично пороты и писать код «как bestpersons» станет для веб-проектов, претендующих на серьезность, стыдно.

    Спасибо за внимание.

    з.ы. не факт, что я первый нашел как получить пароли пользователей того сайта. А поскольку сделать это можно было незаметно для самого пользователя (и уж конечно для администрации сайта), стоит передать своим знакомым, у которых есть аккаунт на bestpersons, что их пароли могут быть уже не их. И если ими еще никто не воспользовался, это не означает, что не воспользуется.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 298

      +3
      можно было "спамить" сообщениями с характерным содержанием о уязвимостях bestpersons, сейчас это более походит на хулиганство.
      • UFO just landed and posted this here
          0
          ОМОН из ФСБ, конечно же, выезжает за каждый косвенно признавшимся в том, что он хакер )
            +4
            Я кстати тоже хакер, если кто спросит. *ушёл ставить чай для ОМОНовцев*
              0
              где купить футболку "Я - хакер! Привет, ФСБ!"?
                +1
                в матросскай тишине те все футболки дадут:))))
                –1
                а я тоже хакер. мне тоже ждать ОМОН из ФСБ или даже спецназ ФСО? :-D
              +4
              большое уважение romanser.
              однажды нашли эксплойт в neo-lit.ru, еще в старые времена. пароли там хранились в открытом виде некогда. отфильтровали друзей-товарищей, а всех остальных запостили на главную.
              мне кажется, что нахождение дыр адекватными людьми - куда лучше чем нахождение оных теми, кто никому не скажет о "находке". после "адекватных" - их закроют.. а может, и проект закроют...
                +1
                контакт тоже хранит пароли в открытом виде :) Неудивительно, что в нём так много появилось спама.
                  +1
                  Да, когда это увидел, то сразу сменил там пароль. Я вообще не понимаю программистов которые хранят пароли в открытом виде.
                    +1
                    А от того, что вы сменили там пароль - он стал храниться в закрытом виде? ;)
                      +2
                      Нет конечно)) Самое главное, что больше нигде такого пароля как там нету, и что максимум потеряю, так это только "висящий в воздухе" аккаунт. :)
                  0
                  Нашли… И причем под заказ нашли… Злостно похачили и зверски надругались над святая святых сайта )))
                    0
                    ааааааааааа! это ж ты был!! :)) ёёёё точно точно)) да, вот он ломатель!!)
                  +1
                  Прежде чем минусовать автору и кидать в него камни, подумайте, что он мог бы натворить, если бы действительно хотел воспользоваться аккаунтами со злыми намерениями. Хотя его действитя, возможно, излишне радикальны, но шанс для бестперсон.ру «публично извиниться и закрыть ошибки» он давал.
                  И таки да, проекту теперь точно ппц.
                    +1
                    Да, но нафига делать всё с таким пафосом?. Парень сейчас просто довольный тем, что нашел дырку в сайте. Такое ощущение что автор просто хочет загасить BestPerson. Я им не пользовался - но видно по нему что люди старались и работали над ним весьма усердно. Жаль что облажались конечно, возможно комуто и был полезен сервис.
                      0
                      После вашего коммента мне их стало жалко
                        +13
                        а вы считаете, что проект с такой функциональностью и с такими дырами не должен быть загашен?!
                          0
                          я считаю он должен обанкрочен и разорен!
                          • UFO just landed and posted this here
                              0
                              Вы забываете одну вещь - он таки сообщил. Ага. Вот только то что не все исправили, а пользователей уверили что "теперь все ОК" - это факт...
                              • UFO just landed and posted this here
                                  0
                                  Скажем так - проверяем
                                    0
                                    БП я не уважал и раньше, а человек и правда заспамил всех своими цифорками, значит дыра была.
                                    • UFO just landed and posted this here
                                    +1
                                    Romanser не сообщал нам о найденной уязвимости до публикации статьи на хабре.
                                      0
                                      а вчера ДО того, как появились нынче модные записи о 9c95чета-там?
                                        0
                                        тьфу - позавчера....
                                        0
                                        Смотря что называть словом "сообщал". Вот вы осмелитесь солгать, что не знали о уязвимости до публикации статьи на хабре?
                                        • UFO just landed and posted this here
                                  0
                                  Пафос вполне уместен. Расслабился - получи.
                                  Дай-ка ты ему ещё разок, для ума (© Место встречи изменить нельзя)
                                    +1
                                    слежу за скандалом с БП с первого же ромина поста.

                                    на мой взгляд, автор не "гасит" проект. по крайней мере, не собирался.
                                    человек нашел уязвимости, которые, насколько я понимаю (не прогер и не какер я), можно очень легко использовать для получения пароля пользователя к аккаунту раскрученного амбициозного и, вроде как, весьма дорогого проекта, сделанного без должного отношения к безопасности пользователей.
                                    "гасить" проект такого рода не стоит, автор этого не делал - написал пост на хабре, связывался с техподдержкой сервиса.
                                    действия БП мне кажется не вполне адекватными ситуации.
                                    лично мне "повезло" - мой пароль на БП выглядел примерно так: tLyz8CZGou4MEEN45, но многие пользователи, я уверен, попали в ситуацию, когда нужно менять пассы ко многим аккаунтом, потому как пасс они использовали везде один, - данные временные и нервные завтраты - прямое следствие отношения реководства БП к безопасности пользователей.
                                    вывод: втопку такие сервисы вместе с их руководством и программистами.

                                    п.с.: по-моему, БП может уже и не оправиться от такого скандала, потому как принятые руководством сайта меры, мягко говоря, ситуации не соответствуют.
                                      –2
                                      Мне был, о чём я у себя и писала. Тем, у кого больше одного блога, вообще полезны штучки для кросспоста и агрегирования. Щас пойду или искать локальный блогоклиент, или регаться на френд-фиде или как его там. "Благодарю" здешнюю публику за геморрой...
                                        +1
                                        Вы хотите обвинить Хабралюдей в том, что кто-то не предоставляет полной защиты Вашего аккаунта на БП?
                                          –1
                                          я не "обвиняю", а лишь указываю на то, что критика ИМХО должна быть конструктивной, а не направленной на разрушение ресурса, у которого есть свои благодарные юзеры.
                                            +2
                                            дык продолжайте пользоваться %) что изменилось для вас? сервис стал хуже? нет, как был так и остался... :) работает наверно даже...
                                              0
                                              А Вы ничего не хотите сказать "полезному" ресурсу, который запросто дает возможность нагадить во всех Ваших блогах? И при этом пишет, что "все нормально, ваши пароли у нас, не беспокойтесь".
                                            0
                                            конечно, лучше бы вы дальше жили без "геморроя", не подозревая что ваши персональные данные доступны кому хочешь. Меньше знаешь крепче спишь.
                                              0
                                              –2
                                              да блин, хранить не plain-text-пароли, а хотя бы их md5-хэш (даже без соли) можно было поучиться ещё в древности у создателей незабвенного php-nuke и тому подобных древних cms. это же ЭЛЕМЕНТАРНЫЕ вещи.
                                                0
                                                ну хранить пароли от других социалок в md5 не получится. Только каким-то шифрованием с обратной расшифровкой
                                              0
                                              Автору большой респект!(жаль только плюсануть сейчас ничего не могу, но тем не менее...).
                                              На самом деле, чем таких людей будет больше, тем интернет будет лучше! Именно таких людей раньше называли хакерами, именно такие люди сделали интернет достоянием общества и именно они являются катализатором развития информационных технологий. Человек нашел уязвимость - побаловался, ведь он это просто делает из чистого любопытства и, даже можно сказать, тяги к знаниям, а не по заказу какого то там ревнивого дядьки, который хочет узнать, что там у его молодой подружки на сайте лежит. Мой пароль он возможно тоже получил(блин, ну это ппц!!! Неужели нельзя простенький хеш считать?! Фига их в открытом виде то хранить?!). Его посты в своем ЖЖ удалять не буду, как назидание о том, что такие люди еще есть.
                                              Респект тебе, romanser, и уважуха!
                                                –1
                                                Типа понравилось и хочется еще? Смотрите, посмотреть профиль romanser - вот есть желающий! Хакни ему все аккаунты еще раз, во имя развития информационных технологий и чтобы интернет стал достоянием общества! Он даже посты в ЖЖ удалять не будет!
                                                  0
                                                  Я заметил тень сарказма в Вашем ответе, а между прочим, товарищ, зря стебетесь!
                                                  Ведь romanser не потырил кучу ааков и не стал продавать их за деньги, а честно всем сказал - "Ребята, там пипец какие дырища и никто их латать не хочет!". Никто не прислушался(я, конечно, не имею ничего против представителей хакнутого сайта, да и задумка у них неплохая, но их сервисами я не пользовался, по причине того, что он еще развивается и еще будут доработки... по крайней мере мне картина именно такой и представляется). Начнем с того, что мои аккаунты никому нах не нужны и я прекрано это понимаю. Я не храню на этих сайтах какую-либо критичную инфу. Но вот, что касается Вас... Вы меня уж извините, но нетерпимость, с которой Вы воспринимаете действия этого молодого человека заставляет меня ассоциировать Вас с создателями FreeBSD в том плане, в котором их очень ярко охарактеризовал Линус Торвальдс. Советую Вам умерить свою параною и жизнь будет казаться гораздо легче и лучше(конечно же Ваше личное дело следовать этому совету или нет, но тем не менее...).
                                                    –2
                                                    Я Вас абсолютно не понимаю. Что прикольного в том, что чужой человек читает, например, Вашу почту? Даже если в этой почте нет ничего важного, это все равно неприятно. Как это может НРАВИТСЯ?! Сам факт несанкционированного вмешательства в чужую личную жизнь уже ОТВРАТИТЕЛЕН (с моей точки зрения). И я не вижу никакого морального оправдания хакерам. Я не хочу, чтобы они лазили ко мне в почту или писали из под моих accounts. И более того, я не считаю, что защищаться от них нужно исключительно с помощью софта. Когда человек вторгается в чужую частную жизнь - адекватнее всего защищаться от него с помощью правоохранительных органов, если есть такая возможность. Да, этот конкретный хакер поступил с Вами благородно - ничего плохого не сделал. А кто-то другой поступит иначе. Зачем поощрять это, восхваляя такие поступки?
                                                      0
                                                      Дело ведь тут совсем в другом. Человек прямо указал на то, что есть возможность взлома, причем, насколько я понимаю, она не является какой либо экстраординарной, т.е. дыра была вполне тривиальной. Своими действиями он просто ЗАСТАВИЛ обратить внимание разработчиков на эту проблему, тем самым повысив хоть ненамного безопасность этого сайта. Именно за это я его и хвалю и всячески выказываю ему свое уважение, а не за сам факт взлома. Таких людей можно рассматривать как волков(если уместна такая аналогия - ведь никто не пострадал, по большому счету) в природе - их ведь не зря называют санитарами леса. ИМХО естественный отбор в интернете и в мире софта(я имею в виду реальный отбор, а нет тот где все проплачено и проделана огромная работа по лоббированию откровенно лажовой продукции) не есть зло - от этого нам, конечным пользователям, будет только лучше.
                                                        –2
                                                        А кто ему дал право ЗАСТАВЛЯТЬ других что-то делать, причем незамедлительно? Но мой главный вопрос другой - Вам-то лично какой прикол быть "мясом" в чужой игре? Он мог бы написать на Хабрахабре - "ребята, я нашел дыру на сервисе BP, ваши пароли в опасности - если хотите, я докажу это показательным взломом одного ДОБРОВОЛЬЦА". И проблема решилась бы. Но человек то ли опьянел от ощущения своей власти, то ли вообще был кем-то нанят (хотя я думаю все-таки первое). Он выбрал себе жертв и сыграл в свою игру. В том числе Вами, используя Вас как в своих целях. Теперь пострадавшие его еще и боготворят. Это какой-то мазохизм, IMHO. Или разновидность стокгольмского синдрома. Или страх повторения.
                                                          0
                                                          ОК. Представим такую ситуацию: romanser нашел эксплоит и выложил все его подробности на Хабре... Лично меня такой расклад не устраивает ибо очень сильно возрастает риск, что какие либо кулхацкеры еле как знакомые вообще с ИТ могли круто напакостить, а судя по той скорости с которой отреагировали на все это ребята с БП все могло обернутся гораздо более серьезными последствиями. Так что ИМХО надо радоваться, что такую "проделку" совершил именно этот человек, а не кто либо другой...
                                                            –2
                                                            А зачем объяснять, в чем именно эксплойт? Достаточно продемонстрировать факт, если бы не поверили на слово. И только после того, как сервису дано время среагировать адекватным образом. Время - это, например, неделя. А не пару часов.
                                                              0
                                                              Ну, тут не могу не вспомнить поговорку "Назвался груздем - полезай в кузов", т.е. еслм ребята взялись за реализацию такого серьезного проекта должны были быть хоть немного готовыми к таким форсмажорным обстоятельствам. А отключать сервер уже после того как атака совершилась... Ну, извините меня конечно, это как минимум пахнет дилетантством....
                                              +7
                                              romanser, рулишь! писать откровенно лажовый код - позор... баги у всех бывают, но не на детских граблях
                                              • UFO just landed and posted this here
                                                  0
                                                  В тексте поста явно написано, что Романсер прямо указал на уязвимости только администрации бестперсонс (до это на хабре кроме констатации факта наличия дыры ничего не было). Хорошие ребята из бестперсонс практически НИЧЕГО НЕ СДЕЛАЛИ, и даже не прдупредили пользователей о возможной угрозе. Понимаете. Это откровенно наплевательское отношения к простым смертным, верным пользователям ресурса. Поэтому Вы не правы, бестперсонс получили то что заслужили(даже меньше).
                                                  • UFO just landed and posted this here
                                                      0
                                                      В принципе согласен. Но хронологию при большом желании подтвердить можно.
                                                      Я сам ни на чьей стороне. Меня просто убивает сам факт такого отношения бестперсонс.
                                                        +1
                                                        Поясните, с какой это стати ему надо доказывать эту хронологию? И вообще, с какой стати он должен отчитываться? Есть факт взлома, есть факты (доказанные посредством кучи спама в куче блогов) об утечке информации, которые bp до сих пор официально не подтвердили и своих пользователей до сих пор не предупредили и не сказали, что им нужно хотя бы сменить эти самые пароли. ДО СИХ ПОР!
                                                        Обратите внимание, романсер-то как раз пользователей предупредил, и не один раз.
                                                        • UFO just landed and posted this here
                                                            0
                                                            Что за истерика? Каким образом это Вас так глубоко задело?

                                                            Ложь. Романсер сперва увёл 400 паролей, поднял себе карму с чужих аккаунтов,

                                                            Кстати - подтвердите доказательствами эти свои слова. Раз уж на то пошло :)
                                                            • UFO just landed and posted this here
                                                                –1
                                                                Я думаю многие его защищают потому что они его БОЯТСЯ!
                                                                  0
                                                                  Интересно кто его здесь боится :) А вообще, нельзя делать серьёзные веб-сервисы, которые может сломать любой школьник начитавшийся журнала Хакер.
                                                                    –1
                                                                    А почему тогда ему поют восторженные дифирамбы здесь в комментариях и плюсуют карму многие пользователи, аккаунты которых он поимел? Типа понравилось?
                                                                      +1
                                                                      Вообще, я не совсем в теме так как никогда не пользовался BP, но из беседы на хабре ситуация пока мне видится так (хотя возможно я и ошибаюсь).

                                                                      С помощью XSS уязвимости на сервисе BP, которая очевидно срабатывает на браузерах типа IE, романсеру удалось забрать акки с помощью которых можно проходить авторизацию на других сервисах в том числе и хабра. Похоже пароли от хабра остались романсеру неизвестны, но тем не менее если зайти через BP на хабр автоматически, то можно наплюсовать себе карму от чужого лица.

                                                                      Лично для себя сделал общие выводы:
                                                                      1. Пользоваться Firefox+NoScript.
                                                                      2. На каждый веб-сервис иметь отдельный пароль.
                                                                      3. Никогда не доверять пароли сторонним веб-сервисам.
                                                                      4. При создании своего веб-сервиса проверить его на общеизвестные уязвимости.

                                                                      Первого, второй и третий пункт я уже давно выполняю, другое дело, что мне теперь более понятно почему я так делаю :) А четвёртый это пометка на будущее не пренебрегать элементарной безопасностью.
                                                                        0
                                                                        Я тоже никогда не пользовался BP и мои аккаунты, слава Богу, пока никто не поломал. Но я не понимаю людей, которым хакнули их аккаунты и, например, читали их почту и которые затем ВОСХВАЛЯЮТ хакера - типа "ай да молодец"! Что в этом приятного?! Какой-то чужой человек побывал под твоими аккаунтами, мог от твоего имени писать что угодно кому угодно. У некоторых почитал их почту. А люди тащатся! Это извращение какое-то.
                                                                          0
                                                                          Ну вообще, если уж так говорить, то в потере своих данных виноваты и сами пользователи. Ведь говорят, пользуйтесь безопасными браузерами, нет нам плевать на безопасность, для нас главное удобство.

                                                                          А идея сложить свои пароли в одно место тоже странная, что она даёт? Она кому-то видимо даёт удобство, но естественно в обмен на безопасность.

                                                                          Лично для меня извращение пренебрежительное отношенение к многочисленным рекомендациям по безопасности даже не сайтостроения, а обычного сайтохождения.

                                                                          >Но я не понимаю людей, которым хакнули их аккаунты и, например, читали их почту и которые затем ВОСХВАЛЯЮТ хакера - типа "ай да молодец"!

                                                                          Приведи конкретный пример.
                                                                            0
                                                                            Пример чего? Что он смотрел их почту и лазил по прочим аккаунтам? Смотрите в самом верху, цитирую "героя дня":
                                                                            у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства)
                                                                              0
                                                                              Конкретные ники людей с хабра у которых взломали акк и которые потом сами, подчёркиваю сами написали восхваление, о том что их взломали.
                                                                                –1
                                                                                Показывать на людей пальцем в таком контексте вне прямого диалога с ними - неэтично. Вы могли бы и первый факт найти сами - при внимательном чтении этой ветки или просто поиском. В чем цель Ваших последних 2 комментариев? Попытаться подловить меня на чем-то?
                                                                                  0
                                                                                  Похоже имелся ввиду разговор shoguevara и sysprg, где sysprg сделал излишнее предположение о том, что shoguevara нравится, что его акк сломали, а сам shoguevara сказал, что он не пользовался сервисами BP.

                                                                                  Иными словами shoguevara ничем не навредили, я сам зареган на множестве сайтов и мне все равно если один из них взломают, особенно если я им не пользуюсь.

                                                                                  Не стал бы это рассматривать как вредительство, потому что те кому действительно навредили высказываются негативно.
                                                                              0
                                                                              Наверняка есть даже люди, которые до сих пор не в курсе, как именно их взломали и до какой степени они теперь уязвимы. Какая-нибудь условная девушка не из IT-тусовки вообще вряд ли догадывается, что ей нужно срочно поменять пароли и секретные вопросы вообще везде, даже на своей почте. Думает, что все это безобразие только сайтом bestpersons ограничилось.
                                                                    0
                                                                    А вы меня опроверните! Что, нихуя не получается? Правильно, потому что это также бездоказательно ка и сказанное romanser-ом. А почему бы вам просто не поверить мне, как вы это сделали по отношению к нему, а? Чего это вы лезете проверять мои слова в то время как его слова проглотили и облизнулись? Неувязочка.


                                                                    1) Не материтесь 2)Не верю что «сперва увёл 400 паролей, поднял себе карму с чужих аккаунтов» потому что сам вчера повышал ему карму – когда она еще было в 2 раза меньше чем сейчас.
                                                                    3) Если Вы требуете доказательств от romanser – неплохо бы и самому предъявлять доказательства. Где они?

                                                                    Несколькими комментами выше вы можете видеть, как один из фундаментальных пунктов romanser-a официально опровергнут пользователем Chemist. Почему бы вам не поверить ему на слово, а?


                                                                    Потому что 1) Существует сам первый топик 2)К этому первому топику есть комментарии представителей сервиса 3)По комментариям представителей сервиса видно как они пытаются сделать хорошую мину при плохой игре.
                                                                      0
                                                                      Предлагаете проверить его слова делом? Найти новые дыры? :)
                                                              0
                                                              Romanser не сообщал нам о найденной уязвимости до публикации статьи на хабре.
                                                                0
                                                                Ну так я так и напсиал. Н ахабре был только пост о существовании дыры, никаких подробностей и кроме спецов по безопасноти(или знакотоков этой проблемы) никто не мог воспользоваться этой уязвимостью. Покрайней мере без предварительно подготовки. Поэтому у меня к вам, как представителью вопрос. Он вам написал с подробностями о дырах(как описано в данном посте) или так же как на хабре?
                                                                  +1
                                                                  Нет, не писал. Романсер начал активно пользоваться уязвимостью в своих целях не поставив в известность администрацию сайта о обнаруженных багах.
                                                                    0
                                                                    Гм..активно пользоваться, это те первые 400? или это уже исотрия со скриптами? Прямо детектив получается. Может напигите пост ответ, типа точка зрения опонента. Будет интересно узнать тчк зрения другой стороны.
                                                                    Хотя конечно факту дырявости все равно нет оправдания никакого.
                                                                    • UFO just landed and posted this here
                                                                        0
                                                                        по вопросу кто тусует карты, бестперсонс или романсер, не понятно. Я ж с самого начала сказал, что ни на чьей стороне. пока что есть только факт вопиющей безалаберности разработчиков сервиса, допустившим такую дыру(этой дыры просто не существовало бы, при грамотном подходе к делу, тут ничего нового открыто не было, только старые трюки.). Ну а кто виноват и что было покажут только обнародаванные логи переписки и действий романсера на сервере(естесвенно без деталей что раскроют коммерческую и др тайны). Я думаю что сейчас бестперсонс спасет только полная открытость, а не сообщения что ничего не украдено и никто не пострадал.
                                                                        • UFO just landed and posted this here
                                                                            +1
                                                                            Дело в том, что пока прямой выгоды романсера нет. Карма на хабре, сомнительная выгода, это приходящее, тем более высокая карма как раз таик крута при не анонимности автора. Далее Пиар сайта, гм.. ну пока что он не приносит денег. Сейчас я только вижу, публичную порку, и показательную акцию. В основном для стартапщиков. Я бы поступил подобным образом, если действия администрации бестперсонс протекали подобно тому как описывает романсер. Сейчас чаша весов на его стороне, так как бестперсонс после объявы о исправлении уязвимости, на самом деле залатали не все дыры. Я бы на их месте отсослал письма пользователям об извинении о неработоспособности сервиса, и не запускал пока не была бы проведена комплексная проверка безопасности. Может даже можно было обойтись без полного отключения, а всего лишь урезанием функциональности. Вообещм вариантов много. Но простой сервис во много раз лучше, чем потенциальная уязвимость. Вот такое мое мнение. Конечно может у ребят не хватало опыта, ну ж тожь, вот и расплата. На успешные проекты денег жалеть не нужно, и обязательно приглашать спецов, с опытам управления и сопровождения крупных проектов, который бы все эти тонкости и продумал, гораздо раньше.
                                                                        0
                                                                        >Он вам написал с подробностями о дырах(как описано в данном посте)
                                                                        >Нет, не писал.

                                                                        Ну что за наглая ложь? Неужели придется выкладывать личную переписку с вашим программистом? Тогда, уж извините, придется и ваши угрозы выложить. Кому это надо?
                                                                          0
                                                                          До вашего первого поста на хабре вы нам ничего не сообщали.
                                                                            +1
                                                                            1. Вопрос был о правдивости написанного в топике. Вы ответили, что написана неправда (о том, что я сообщил в подробнотях о багах) и тем самым солгали. Зачем?

                                                                            2. До моего первого поста на хабре вы уже знали о баге (или будете отрицать?). И то, что вам я лично о нем не писал роли не играет и значения не имеет. И сам я ни разу не утверждал, что лично писал вам о баге до своего первого поста на хабре. Но писал, что вы о нем знали, и это правда.

                                                                            3. Что вы хотите оправдать многократным повторением (в этой теме уже минимум 4 раза) "romanser нам о баге до первого поста не писал"? Или это та единственная правдивая вещь, которую вам сказать по данной ситуации не стыдно?
                                                                        0
                                                                        Не, ну ребят! Это же не серьезно! Прямо как в пионер лагере: расскажи, покажи, дай попробовать! Я думаю вполне было достаточно того, что вам указали на уязвимость и на ее характер, а дополнительную информацию требовать это как минимум глупо, а как максимум нагло... Вы уж меня извините, я, как человек знающий что такое разработка, искренне понимаю(кроме вот этого вот момента) и поддерживаю создателей BestPersons, но в данном случае я поддерживаю пользователя с ником romanser(кста, с BestPersons удалил всю инфу о своей учетке, но ее саму сносить не стал, надеюсь и верю, что у ребят когда нибудь(причем, чем скорее - тем лучше) дела у ребят пойдут в гору, идея то действительно хорошая).
                                                                        0
                                                                        С чего же вы тогда до публикации статьи на хабре отключили сервер? Интуиция?
                                                                        • UFO just landed and posted this here
                                                                  +3
                                                                  Вы тут западный Интернет упомянули - на Западе после такой "громкой" акции Вас бы разыскивала полиция и когда бы Вас поймали, Вы бы замучились платить по искам от пользователей, чьи аккаунты взломали, а не только от владельцев ресурса. "Благими намерениями" известно куда дорога вымощена.
                                                                    0
                                                                    Мм, наверное все западные хакеры уже давно сидят или платят по искам, ага?
                                                                      +1
                                                                      Конечно, не всех смогли поймать. Но некоторые сидят и платят по искам. У остальных хотя бы хватает ума не "светиться" публично.
                                                                        +16
                                                                        Уже не в первый раз эта тема поднимается. Если вас успокоит это, в профиле - не настоящее имя, в логах - не настоящий IP, на хостинге - не настоящие данные, куки стерты, жесткий диск висит на веревочке за окном (ножницы в руке), пластический хирург - за соседним столом. Найти можно, но сложно.
                                                                          –12
                                                                          Мне-то пофик, мой аккаунт Вы нигде ломали, слава Богу. :)
                                                                          Но если доступ к сайту Вы делали из дома или с работы, без всяких заграничных proxy - вычислить Ваше местоположение для МВД/ФСБ не составляет никакой сложности (особенно с помощью СОРМ-2, но можно и без этого - СОРМ-2 создана просто для избежания административной волокиты). Особенно учитывая, что для многих методов взлома (про данный конкретный Ваш случай - не в курсе) нужно иметь открытый IP, а не машину за NAT/proxy. Понятное дело, что из-за раздолбайства в России никто хакеров не ловит, но технически нет особых сложностей в простых случаях упомянутого рода (если доступ был с домашнего адреса или с работы).
                                                                            +22
                                                                            А вы не рассматриваете такой вариант, что я из Казахстана? Или Исландии? :]
                                                                              –6
                                                                              Возможно, но маловероятно :)
                                                                                +5
                                                                                ssh или VPN все это исправляет. Ловите потом..
                                                                              +1
                                                                              ловят, нормально ловят. Просто большинство пострадавших махают рукой и не решаются идти в милицию.
                                                                                0
                                                                                МВД, ФСБ, СОРМ-2 (!), хакеры - много умных слов, но мало здравого смысла
                                                                                  0
                                                                                  Хакеры, кракеры, куки!
                                                                                    +1
                                                                                    Хакеры, кракеры, куки, закладки.
                                                                                    0
                                                                                    Простите, а вы понимаете как работает СОРМ?
                                                                                      0
                                                                                      Я знаю как работает его западный аналог в сетях кабельных модемов (имею нормативную документацию, описывающую детали протоколов). Но именно российский вариант мне не известен в деталях, только на уровне схемы одной из платформ. Думаю, что хотя их структура различается, базовая функциональность примерно одинаковая - ведь задачи общие.
                                                                                    –1
                                                                                    я где-то читал, что это симптомы серьезного заболевания под названием "хакирство")
                                                                                0
                                                                                на западе такие ситуации заранее описывают в пользовательском соглашении, снимая с себя всякую отвественность, и заставляя юзера согласитьс с ним, перед тем как начать пользоваться ресурсом
                                                                                  0
                                                                                  мда, чуть не в тему :)
                                                                                    0
                                                                                    Это делается для того, чтобы пользователи с порталом не судились, а не с хакером. Хакера не всегда удается поймать и это может быть подросток какой-нибудь - что с него возьмешь? И тогда злобные пользователи затаскают по судам портал за то, что там не было должных мер безопасности. Поэтому портал заранее с себя снимает ответственность в лицензионных соглашениях. Но действия хакера остаются уголовным преступлением в развитых странах (где есть соответствующее законодательство). С него ответственность лицензия портала не снимает.
                                                                                  –1
                                                                                  Забил в поисковики число, неплохо так :)).
                                                                                  Хороший пиар вам-числу и бп. Но особенно выгодно в этом свете выглядит Хабр =)). Пиар ему тоже зачетный. Скоро Хабр заставят регистрироваться как СМИ такими темпами :)
                                                                                    0
                                                                                    Отлично сделано, возможно кому-то покажется и не совсем порядочным - но судя по пунктам начиная от 9-го, непорядочными оказываются доморощенные бизнесмены - готовы доложить о выполнения и перевыполнении плана в срок...
                                                                                      +6
                                                                                      Мда. Маразм крепчал.. Авторы сайта балбесы, по другому не назовешь. И хуже всего, что сами не понимают, похоже, к чему это все может привести. Умалчивают опасность от пользователей..

                                                                                      Жерналу "Мурзилке" в виде Security Lab вообще как-то теперь не знаю, стоит ли хоть как-то доверять их статьям. Если их авторы тоже не понимают что могло бы быть.

                                                                                      PS. Почитав комментарии на SL к статье, понял, насколько все же на хабре нормальные люди.
                                                                                      • UFO just landed and posted this here
                                                                                          +1
                                                                                          А где я писал, что он для меня стал авторитетом? Ничего не перепутали?

                                                                                          Я не говорю, что люди в БП плохи тем, что изначально написали код с такими уязвимостями. Мне не нравится то, как они себя ведут в такой ситуации. И именно это поведение я считаю очень неправильным.
                                                                                          • UFO just landed and posted this here
                                                                                        –1
                                                                                        romanser вы благородно послупили, а ведь фактически столько ботов виртуальных заимели, мог ли бы устроить какой нить политический/фантастический скандал .
                                                                                          +1
                                                                                          Скандал был бы еще тот :) Молодец что еще раз подтвердил - все свое надо носить с собой
                                                                                          +7
                                                                                          4 8 15 16 23 42
                                                                                            +2
                                                                                            Погуглил по интернету, порадовал вот этот пост в блоге
                                                                                            Говорят, кто напишет у себя 9c951267, дадут инвайт на новый сайт
                                                                                            )))
                                                                                              –1
                                                                                              а что, так и получилось - кто не заходил на Хабр и не знает о его существовании, теперь может стать постоянным членом :)
                                                                                                –3
                                                                                                инвайт на лепру
                                                                                                0
                                                                                                Информация - это интересно и хорошо.
                                                                                                А ну как владельцы "Бестперсонс" все-таки напишут заявление в отдел "К" ? Или владельцы почтовых систем, на которые вы заходили? Это ведь все статья УК.
                                                                                                Я бы на вашем месте все-таки как-то подготовился к возможным вопросам со стороны милиции. Шутки шутками, и общественное мнение общественным мнением - но всякое бывает, не хотелось бы вас видеть в роли очередного мученика за свободу информации.
                                                                                                  +21
                                                                                                  Не уверен, что у нас на Мальте есть отдел "К".
                                                                                                    0
                                                                                                    А ну как повестку пришлют, или в розыск объявят? Или когда-нибудь в России появитесь - неприятности могут быть.
                                                                                                      +3
                                                                                                      да ну, ты что, никто не будет этим заниматься, потому что это никому не выгодно
                                                                                                        0
                                                                                                        Ну будем надеяться :)
                                                                                                    • UFO just landed and posted this here
                                                                                                      +4
                                                                                                      если бесперсонс это сделают, то проект можно смело закрывать будет
                                                                                                        +1
                                                                                                        а если напишут заявление - расскажем всем всю правду о создателях бестперсонс. как они облажались и вместо извинений начали ловить безобидного, в общем-то, человека.
                                                                                                        +1
                                                                                                        Не зря удалился с bestpersons.
                                                                                                        Как чувствовал, что это не конец истории... Сидим в сторонке с попкорном, и ждём продолжения... )
                                                                                                          0
                                                                                                          Хм. Думаю, в первую очередь надо пароль этот на других аккаунтах менять, а удаляются почему-то чаще...
                                                                                                            0
                                                                                                            Может удаляются те, у кого на других сервисах другие пароли? Терять-то в общем нечего.
                                                                                                          +3
                                                                                                          romanser, а может вы откроете секрет, что это за магическое число 9c951267?
                                                                                                            +2
                                                                                                            Со временем кто-нибудь догадается. Пока подсказок мало, но скоро будет больше.
                                                                                                              +1
                                                                                                              Так нас еще ожидает целый квест? Отличненько :-)
                                                                                                                0
                                                                                                                кусочек из MD5 чего-нибудь?
                                                                                                                  0
                                                                                                                  Это очевидно
                                                                                                                    0
                                                                                                                    как сказать как сказать, я попробовал двухбайтные числа по ASCII таблице пробить например

                                                                                                                    А скажите, здорово ведь пользуясь уязвимостью в одном известном ресурсе распиарить свой собственный? Этож какая грамотная рекламная компания получилась на пустом месте.
                                                                                                                      +1
                                                                                                                      Я не мог упустить такую возможность :]
                                                                                                                      • UFO just landed and posted this here
                                                                                                                          0
                                                                                                                          "Втаптывание в грязь неплохих в общем то людей". Никто не говорит что эти люди плохие, и в грязь их никто не втаптывает. Человек связался с администрацией сайта, рассказал все дыры, они могли бы их и пропатчить. Если они этого не делают - значит из них плохие администраторы сайта. Тем более сайт, который хранит кучу паролей для всего рунета, можно сказать.. Бедь там нормальные админы, не прошло бы и 2х минут как они устранили дыры. И в любом случае, на их ошибках будут учиться другие, я думаю уже большая часть людей, читающих посты про этот взлом, уже проверили свои сайты, а нет ли у них таких дыр? А не ждать ли им своих романсеров?
                                                                                                                      0
                                                                                                                      Другой вопрос - для чего текстовое поле на небезызвестной страничкe? Просто для рассчета md5?
                                                                                                                    +1
                                                                                                                    Надо Коломбо позвонить =)
                                                                                                                      +1
                                                                                                                      не поможет. он из отдела убийств 8-)
                                                                                                                        0
                                                                                                                        Надо кого-то убить и Коломбо позвонить!
                                                                                                                    +1
                                                                                                                    9c951267.ru (сайт романсера)
                                                                                                                      0
                                                                                                                      Не все так просто
                                                                                                                        0
                                                                                                                        Кроме мега кнопки на RSS сайт генерит МД5 хеш. Если ввести 9c951267 пишет Too Short :)
                                                                                                                          0
                                                                                                                          Кстати что-то это нифига не md5 хеш, проперил 3-4 пробных слова-не свпало с хешами md5sum и md5deep, а им я доверяю :)
                                                                                                                            –1
                                                                                                                            не понял, что проверили?
                                                                                                                            это обычный php-шный md5();
                                                                                                                              +1
                                                                                                                              А как вы md5sum вызывали? echo "слово" | md5sum - неправильно, \n добавляется к слову.
                                                                                                                                0
                                                                                                                                Чорд, уловил для себя этот способ из одного коммента на хабре... который кстати получил достаточно плюсов... а как же тогда правильно?
                                                                                                                                  +2
                                                                                                                                  Читаем man bash: "echo [-neE] [arg ...] Output the args, separated by spaces, followed by a newline. The return status is always 0. If -n is specified, the trailing newline is suppressed."

                                                                                                                                  И наблюдаем:
                                                                                                                                  merlin@lsrv ~ $ echo "word" | md5sum
                                                                                                                                  a46ec67a0f2e7c387926ac5d783ea4b8 -
                                                                                                                                  merlin@lsrv ~ $ php -r 'echo md5("word\n")."\n";'
                                                                                                                                  a46ec67a0f2e7c387926ac5d783ea4b8

                                                                                                                                  Правильно:
                                                                                                                                  merlin@lsrv ~ $ php -r 'echo md5("word")."\n";'
                                                                                                                                  c47d187067c6cf953245f128b5fde62a
                                                                                                                                  merlin@lsrv ~ $ echo -n "word" | md5sum
                                                                                                                                  c47d187067c6cf953245f128b5fde62a -
                                                                                                                                    0
                                                                                                                                    Как это часто бывает-ответ приходит во время задания вопроса, как только отвравил сообщение, то пошел читать ман и нашел. Хотел было написать, мол все-все, да задержка в 5 минут, но все равно спасибо за внимание.
                                                                                                                                      0
                                                                                                                                      echo -n "word" | md5
                                                                                                                              0
                                                                                                                              Можно ещё написать в поле "romancer", ответ - "ORLY?!" :)
                                                                                                                                0
                                                                                                                                и еще слово password
                                                                                                                              0
                                                                                                                              tp://9c951267.bestpersons.ru/ вот ещё =))
                                                                                                                                0
                                                                                                                                Это ответ на главный вопрос Жизни, Вселенной и Всего Такого.
                                                                                                                                  0
                                                                                                                                  не, 42 - ответ :)
                                                                                                                                    0
                                                                                                                                    42 - это отцензурированная версия, настоящий ответ в книжке не напишут :)
                                                                                                                                      0
                                                                                                                                      ага, на самом деле md5(42)
                                                                                                                                0
                                                                                                                                это я знаю. Я спрашивал, что это означает.
                                                                                                                                • UFO just landed and posted this here
                                                                                                                                    0
                                                                                                                                    или кусок хеша пароля =)
                                                                                                                                      0
                                                                                                                                      так, квест это интересненько, давайте еще подсказок =)
                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                      0
                                                                                                                                      это пароль всех пользователей на всех блогах
                                                                                                                                  +3
                                                                                                                                  После первого поста тут же удалил свой аккаунт с bestpersons. Жалею, то что сразу не догадался, что нельзя доверять все свои пароли одному сервису, тем более, что новому. Но как говорится, на ошибках учатся.
                                                                                                                                    +3
                                                                                                                                    зря удалили. Теперь вам кружку не получить ))
                                                                                                                                      0
                                                                                                                                      а нахрена кружка-то теперь?
                                                                                                                                        +3
                                                                                                                                        напиться с горя.. ))
                                                                                                                                    –1
                                                                                                                                    а что таки занчит 9c951267?
                                                                                                                                      +1
                                                                                                                                      это значит "отличный пример black smo" )
                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                              0
                                                                                                                                              Прочитал историю, между прочим директор столовой мог поставить камеры и посадить наблюдать за столовой охранника, хакера бы взяли с поличным или как минимум нашли потом по записям. С интернетом же дело гораздо хуже, так как веб-сервис уязвим с любой точки подключения к интернету, а это весь мир. Скажу вещь даже более опасную чем солонка - разнообразные магазины самообслуживания и между прочим находились маньяки, которые таким образом убивали людей. А за качество продаваемого товара несёт ответственность продавец, и если продавец создаёт условия, где любой может испортить товар, то он тоже виноват. Таким образом необходимо совершенствовать процессы оказания услуг, а не тупо игнорировать проблемы.
                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                –1
                                                                                                                                                В тему безопасности: позабавило, что веб-сервер на xakep.ru - всеми горячо любимый Microsoft IIS.
                                                                                                                                                  –1
                                                                                                                                                  А что с ним такого? Его ломают реже апача.
                                                                                                                                                  Или вы просто троль)
                                                                                                                                                    0
                                                                                                                                                    Это не я минуснул.

                                                                                                                                                    Недавно была ведь шумиха вокруг IIS: уязвимость, из-за которой около полумиллиона серверов оказались инфицированы.

                                                                                                                                                    Ну а вообще да, прошу прощения, я немного не в тему.
                                                                                                                                                      0
                                                                                                                                                      Да? Не видел этой шумихи) помню только отчет секьюрити лаба)
                                                                                                                                              +3
                                                                                                                                              А вообще, на кой черт хранить пароли где-то _в онлайне_? O_o
                                                                                                                                              Это на фундаментальном уровне небезопасно. Т.е. не существует даже 99% уверенности, что база с онлайн-проекта не будет уведена. Ведь как ни крути, в проекте работают живые люди. Ладно, даже если не будет уязвимостей, как на bestpersons - кто поручится за адекватность и отсутствие злого умысла у совершенно незнакомых вам людей - программистов, сисадминов, итд? Думаю, даже их собственное начальство не поручилось бы своей головой :)
                                                                                                                                              Лучший password keeper - /dev/head =)) 5-10 паролей всегда можно запомнить. А если речь идет скажем, о 100 паролях - это уже отдельная тема, и тут надо совсем другие решения юзать.
                                                                                                                                                0
                                                                                                                                                Не просто хранить пароли, а пароли от соц. сетей. В которые можно добавить сообщение, во все, при помощи одного унифицированного интерфейса. Некоторым такая унификация нравится (они не задумываются, что если уж и хочется блог, достаточно иметь ОДИН блог, и не обязательно регистрироваться в каждом новом проекте). Ну, а раз есть хранилка паролей от соц. сетей, почему бы не хранить там и другие пароли?
                                                                                                                                                  0
                                                                                                                                                  В любом случае, при регистрации где нибудь ваши пароли сохраняются в базе данных, будь то хабр или вконтакте или еще что нибудь. В любом случае получается что вы доверяете свои данные незнакомым людям.
                                                                                                                                                    0
                                                                                                                                                    Разумеется, нет.

                                                                                                                                                    1) Пароли у овнеров сервиса в 99% случаев хранятся зашифрованными - на кой он им в открытом-то виде?
                                                                                                                                                    2) Насчет других данных, которые "мы доверяем". Это уже от сервиса зависит. Точнее, от того, насколько он нам нужен, и какой у него, скажем так, траст. Разумеется, на хоумпейдже Васи Пупкина вбивать свой реальный адрес, телефон етц. никто не станет :D А если вы скажем в адсенсе регаетесь - то придется, да и опасений не будет особых :)

                                                                                                                                                    С бестперсонс, как видите, совсем другая ситуация.. по обоим пунктам.
                                                                                                                                                    0
                                                                                                                                                    В любом случае, при регистрации на любом сайте ваши пароли храняться в базе, значит все таки ВСЕ пользователи интернета доверяют создателям сайтов.
                                                                                                                                                    –1
                                                                                                                                                    И ведь наверняка на карму сайта бестперсонс это почти никак не повлияет. Ай-Ти гуру и так пароли свои хранят там где надо, а барби-девочки такие посты не читают. Вуаля.
                                                                                                                                                      +3
                                                                                                                                                      Не стоит недооценивать сетевое сообщество. Пара-тройка таких публичных случаев и все запомнят, что защита информации - это хорошо. Почтой же научились пользоваться :]
                                                                                                                                                      И каждый может поспособствовать этому. Блоги нынче у 80% постоянных пользователей.
                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                          0
                                                                                                                                                          Нккому в друзья не лезу. А акция проведена абсолютно правильно. ИНАЧЕ у нас люди не понимают, вы пост читали?
                                                                                                                                                          Ваших добрых и бедненьких ребят 2 раза прямо предупреждали, с указанием места уязвимости. Но нет же. Потчи ничего сделано не было + вранье пользователям!!
                                                                                                                                                          Поэтому пока мордой не ткнули, они не поняли.
                                                                                                                                                          Понимаешь, твои ребята наплевали на то что уйдут чьито пароли, потеряется личная информация и тд и тп. А это иногда приводит к плачевным результатам. Вообщем ненадо утт демагогию разводить. К сурту такой сервис, пусть банкротятся, и скажут спасибо что ничего действительно плохого с личными данными пользователей не произошло. Иначе можно было уже думать о компенсациях.
                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                              0
                                                                                                                                                              Вы пост читали? Точно читали? А из него следует, что пост в поисках кармы появился уже ПОСЛЕ того, как администрация была в курсе о проблемах с безопасностью.

                                                                                                                                                              Даже если не верить тому, что там написано - администрация сообщила, что проблема решена, а потом все воочию увидели, что ни черта она не решена! Кому тут можно не верить - так только администрации, тут обман виден невооружённым глазом.
                                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                                  0
                                                                                                                                                                  Администрация включила сервер и сообщила, что "всё пучком", на деле ВООБЩЕ НИЧЕГО не исправив! Правильно поступили? Да. Можно было смело продолжать красть пароли пользователей!

                                                                                                                                                                  ЭТОТ факт мы знаем вовсе не со слов романсера - мы сами это видели, воочию.
                                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                                    0
                                                                                                                                                                    > Все воочию увидели как хакер-пиарщик ...
                                                                                                                                                                    А вообще звучит забавно "хакер-пиарщик"
                                                                                                                                                                    • UFO just landed and posted this here
                                                                                                                                                                  0
                                                                                                                                                                  1. На карму,PR и тд господина хакреа мне наплевать, меня она не интересует. Поэтому ближе к делу.
                                                                                                                                                                  Вообщем у нас просто разные позиции, вот моя:
                                                                                                                                                                  Я сам часто сталкивался с наплевательским отношением безопасности, в доволльон серьезных проектах ив сегда жестко на это реагировал. Вплоть до заморозки любой активной деятельности пока не будет исправлен баг.
                                                                                                                                                                  В нашем случае(говорим в теории тк заподлинно не известно), романсер сообщил о уязвимости на хабре, и детально администрации бестперсонс. Далее мы видели отключение сайта, потом бац снова работает, и что. А почти ничего не исправленно. Потом снов тоже самое, да еще и маленький пресс-релизик, типа ребята все ок, не стоит беспокоится. Понимаете, бестперсонс такой сервис, у которого должны быть повышенные требования к безопасности(по понятным причинам), а тут вдруг всплыло что они казывается наплевали на это. Отмазки типа мы не знали, не проходят. Та дыра что была, это фундаментальная ошибка, они вопросами сохранения личных данных пользователей фактически воообще не занимались. Я такой подход терпеть не собираюсь. И раз относительно по хорошему они не понимают, то извините, но такой сервис нужно топить прилюдно и с позором. Чтобы другим не было повадно. И самое главное чтобы по нима это реально финансово больно ударило. Чтобы и наши инвесторы тоже наконец задумывались. а всяки атм кармы, black SMO - это все такие мелочи, чтобы из-за них так сильно беспокоится, а ты все время на них стрелки переводишь.
                                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                                      0
                                                                                                                                                                      Как ты не понимаешь. Ситуация да не штатная. НО! снова повторюсь, она вскрыла наплевательское отношение к разработке, грубо говоря полнейший непрофессионализм. Так нельзя. Это из того же рода что вам операцию будут делать не дифференцированными инструментами. Вот 100 раз пронесло, а на 101 раз бам, и спид или что еще.(прости за аналогию). Поэтому сервис не имеет право на жизнь. Все точка. Пусть в будущем появится другой сервис, подобного плана, переписанный с нуля, с другим именем и тд. Но этот нет. Повторюсь, как урок другим. Все что я сказал имхо конечно же. Переубеждать не хочу. Просто я считаю что сегодня по другому нельзя.
                                                                                                                                                                        0
                                                                                                                                                                        Когда тигр убивает антилопу, он, гад, скрупулезно извлекает просчитанную выгоду. Возможно он даже становится героем, который накормил своих сородичей. Но он этого недостоин, ибо его моральный облик и цели паршивы - он просто хочет набить себе брюхо. Вот только благодаря этому тигру в следующем поколении антилопы будут бегать быстрее, т.к. самые медленные не дают потомства.

                                                                                                                                                                        Есть основы безопасности. Существует набор несложных рекомендаций, выполнение которых сведет к минимуму возможность взлома. Криворуким разработчикам, которые пишут свои "саиты" не зная этих основ нужно отрывать руки. Криворуких разработчиков, которые, не зная основ, создают платежные системы либо сайты наподобие БП - нужно кастрировать, т.к. они создают большие неприятности пользователям в случае взлома. Не хакеры виноваты в возникших неприятностях, а именно разработчики.

                                                                                                                                                                        Уверен, если бы у вас украли бы внушительную сумму денег, какой-нибудь элементарной CSRF-уязвимостью, вы бы запели совсем другую песню. Может даже требовали от разработчиков вернуть вам деньги. А тут всего лишь написали несколько бессмысленных постов в говнобложеки - ух какие злые "хакиры" вокруг!

                                                                                                                                                                        К счастью, после подобных случаев, недоразработчики десять раз подумают, перед тем как выпускать в продакшн свое очередное глюкавое детище.
                                                                                                                                                            0
                                                                                                                                                            romancer, вам, конечно, виднее. Но только то, что вы сделали является фактически признанием в совершении уголовно-наказуемого преступления.
                                                                                                                                                              +9
                                                                                                                                                              А это не он, это через упомянутый сайт хацкеры от его имени запостили.
                                                                                                                                                              +9
                                                                                                                                                              romanser ты делаешь правильное дело. причем очень неблагодарное.
                                                                                                                                                              пожалуйста, позаботься, чтобы тебя за Ж не взяли. мир такой.
                                                                                                                                                                –2
                                                                                                                                                                да сегодня видел на блог.ру 5 постов подряд с 9c951267 после люди чей блог взломали писали..об этом....
                                                                                                                                                                  0
                                                                                                                                                                  Ну вы крутой.
                                                                                                                                                                    +7
                                                                                                                                                                    я хочу от него ребенка!
                                                                                                                                                                      +3
                                                                                                                                                                      Да, от него будет полно детей, так как он, по его словам, поимел с полтыщи людей. Не все, конечно, девушки, но, какая-то часть :)
                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                      +2
                                                                                                                                                                      Ай, молодца! Да уберегут тебя Великие Кремниевые Мозги от гнева людского! :-)
                                                                                                                                                                        +1
                                                                                                                                                                        romanser - молодец.
                                                                                                                                                                        Надавал по шапке.

                                                                                                                                                                        Вами скоро будут программистов пугать, как нас в детстве Бабайками пугали :)
                                                                                                                                                                          +6
                                                                                                                                                                          А в Багдаде все спокойно:

                                                                                                                                                                          Новости за 21.07.2008 с Bestpersons:

                                                                                                                                                                          Произошла атака на сервис Bestpersons.ru.
                                                                                                                                                                          XSS атаке была подвержена небольшая часть аккаунтов.
                                                                                                                                                                          Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
                                                                                                                                                                          Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
                                                                                                                                                                          С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
                                                                                                                                                                          Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
                                                                                                                                                                          Мы приносим свои извинения пользователям, которых затронул данный инцидент.
                                                                                                                                                                            +1
                                                                                                                                                                            когда они потеряли все свои данные у всех пользователей было написано "У небольшого количество пользователей возможно могла потеряться часть информации". Людям, которые банальный ежедневный дамп не делают я доверять не стал и ушел оттудова сразу)
                                                                                                                                                                            0
                                                                                                                                                                            поорут-поорут и забудут( кто-нибудь ещё про radarix.com вспоминает?
                                                                                                                                                                              0
                                                                                                                                                                              Думаю, если radarix.com предложит ввести свое имя и е-мейл, вы откажетесь :]
                                                                                                                                                                                +1
                                                                                                                                                                                а что было с радариксом? :-) простите за тупой вопрос.
                                                                                                                                                                                  0
                                                                                                                                                                                  Если что мне тоже интересно))
                                                                                                                                                                                    0
                                                                                                                                                                                    шумиха была вокруг него)) а сча тишина)))
                                                                                                                                                                                  0
                                                                                                                                                                                  Хорошая хронология
                                                                                                                                                                                    0
                                                                                                                                                                                    «Ламер - юзер, регулярно наступающий на грабли»

                                                                                                                                                                                    Причём на такие на которые ещё и насрано.

                                                                                                                                                                                    Извините если кого задел.
                                                                                                                                                                                      0
                                                                                                                                                                                      Граблями-то не мудрено и задеть ;)
                                                                                                                                                                                        0
                                                                                                                                                                                        Особенно, если они со «сплешем» :)
                                                                                                                                                                                          0
                                                                                                                                                                                          Сплэш это когда они на верёвочке привязаны и ими размахиваютъ на 360 градусов.
                                                                                                                                                                                            0
                                                                                                                                                                                            Или когда с них говно летит «по площади».
                                                                                                                                                                                      0
                                                                                                                                                                                      Вообще, не понимаю людей, которые говорят про уголовные дела. Эта проблема носит чисто технический характер. Сам я с XSS встречался лишь пару раз, когда при заходе на некоторые сайты мне файер говорил о том, что он используется и это опасно, одновременно не разрешая выполнение если я сам того не захочу. Я почему-то не хотел и уходил от таких сайтов подальше, теперь вот благодаря статье примерно знаю как воруются кукисы и чем опасен XSS.
                                                                                                                                                                                        –2
                                                                                                                                                                                        Вам файрвол говорил про XSS? Вы в качестве файрвола индуса используете?
                                                                                                                                                                                          0
                                                                                                                                                                                          Firefox для непонятливых с установленным плагином NoScript.
                                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                                          +3
                                                                                                                                                                                          Хорошее дело можно организовать, заказные атаки на интернет ресурсы. Вы создали проект, работали ночами, недосыпали, недоедали и т.д., думаю многим знакомо...

                                                                                                                                                                                          Вот он долгожданный момент - запуск, первые пользователи, рост посещаемости и .... (смотрим весь пост с самого начала) случается полное ж (хотя по комментам владельцев ресурса у них все ок, честнее надо быть с людьми, вы для них работаете, но сейчас не об этом), теперь то не важно как такое случилось, по не знанию, по случайности, по неопытности, это уже не важно - факт ситуации и последствий на лицо.

                                                                                                                                                                                          Вопрос в том, как таких ситуаций избежать всем остальным? Ведь нередко, те кто знает как получить доступ к подобной информации, отнюдь не преследуют просветительские цели. Часто вы о них даже не знаете. И автор действительно делает правильно, только так можно обратить внимание на проблематику безопасности. Благодушные посты о том как важно уделять повышенное внимание безопасности нихрена не имеют эффекта, а вот такие материалы имеют. На скольких наших популярных ресурсах вы видили политику конфиденциальности (privacy policy), думаю по пальцам пересчитать можно... Вообщем предлагается романсеру и подобным объединиться и проверять новые проекты на "прочность" на коммерческой основе. Я первый в очереди+)
                                                                                                                                                                                            0
                                                                                                                                                                                            подобная практика уже много лет практикуется. не только за рубежом но и у нас...
                                                                                                                                                                                              0
                                                                                                                                                                                              а где у нас искать практикантов?
                                                                                                                                                                                                0
                                                                                                                                                                                                Поищите услугу аудит безопасности - рынок по данной услуге вполне имеется.
                                                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                                                              0
                                                                                                                                                                                              Google вовремя включила свою фичу, уведомляющая, что кроме тебя ещё кто-то пользуется почтой.
                                                                                                                                                                                              –7
                                                                                                                                                                                              незнаю поднимался этот вопрос или нет, а карму romanser сам себе накрутил чужими акками, или это благодарные люди за 13 дней так накинули ?
                                                                                                                                                                                                +3
                                                                                                                                                                                                За 2 дня. Рекорд, наверное.
                                                                                                                                                                                                  –1
                                                                                                                                                                                                  не в обиду будет сказано, скорее от зависти (=
                                                                                                                                                                                                    0
                                                                                                                                                                                                    а че завидовать, он наслаждается заслуженными авациями =) присоединяюсь ко всем поддержавшим =)
                                                                                                                                                                                                +1
                                                                                                                                                                                                "Вами коро будут программистов пугать, как нас в детстве Бабайками пугали :)"

                                                                                                                                                                                                Ну это конечно перебор.
                                                                                                                                                                                                romanser сам знает, что шумиха эта скоро утихнет.
                                                                                                                                                                                                bestperson.ru это не гуглъ, о нем знает боюсь предположить какая доля процента интерент-пользователей.

                                                                                                                                                                                                Это все-таки локальный хак, но с правильной идеей, хоть и с немного пафосной реализацией.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Зачем нужен bestperson кстати?
                                                                                                                                                                                                  +1
                                                                                                                                                                                                  Нажимаю кнопку "Удалить аккаунт" на бестперсонс и после оптимистичного сообщения "ваш аккаунт удален" попадаю опять на страницу профиля где все данные так и остались указанными. Это так модно?
                                                                                                                                                                                                    0
                                                                                                                                                                                                    после входа/выхода данные пропали, но в страницу до сих пор можно залогиниться. И что-то мне подсказывает, что номер моей аськи никто не удалил.
                                                                                                                                                                                                    +4
                                                                                                                                                                                                    скоро и лебедев сам пропишит себе в title заветные 9c951267…
                                                                                                                                                                                                      –3
                                                                                                                                                                                                      Мой простой вопрос... Хакер - человек разбирающийся во многих аспектах безопастности, находящий и отправляющий отчеты к авторам уязвимых систем. Зачем Вам шалить? Зачем хулиганить? Зачем хвастаться определенными успехами? Нужно всего лиш выдать данные о уязвимости проавйдеру у котрого обнаружена уязвимость, и лиш потом, после ее исправления сообщать об этом. Разве не так? Самохвальство не лучшая деятельность для профессионалов. Настоящий хакер, он нато и хакер, для сообщения о критических ошибках у кого они их нашли, и лиш после исправления их сообщать остальным.

                                                                                                                                                                                                      Без обид - Вы не хакер, а Какер. Срать и унижать других, тыкая их носом, не сообщив им об ошибках делают лиш Какеры.

                                                                                                                                                                                                      Например моя цель - обнаружение ошибок в локальных и корпоративных сетях, и сообщение о них хозяевам сети, даже если они игнорируют это, не стоит выкладывать это на общее обсуждение, это только их дело, а не других.

                                                                                                                                                                                                      Есть такая вещь как - Этика. И она должна касаться всех.
                                                                                                                                                                                                        –4
                                                                                                                                                                                                        Да какая в жопку этика, это же пиар и антипиар - "два в одном", разуй глаза.
                                                                                                                                                                                                          +1
                                                                                                                                                                                                          обнаружение ошибок в локальных и корпоративных сетях, и сообщение о них хозяевам сети, даже если они игнорируют это, не стоит выкладывать это на общее обсуждение, это только их дело, а не других
                                                                                                                                                                                                          Использование дыры в корпоративной сети как правило наносит ущерб фирме, а не конкретным людям (хотя бывает по-всякому). Если руководство фирмы не хочет затыкать дыру — оно создаёт проблему самому себе. В этих условиях не выкладывать в public информацию о найденных дырах — нормально. Более того, если Вас пригласили как специалиста для исследования сети — Вы и права не имеете публиковать информацию о дырах без согласия нанимателя.

                                                                                                                                                                                                          Но здесь ситуация совершенно иная. Владельцы ресурса в разглашении не заинтересованы, страдают от дыр не владельцы, а пользователи ресурса, и посмотреть профиль romanser ни был нанят владельцами ресурса для исследования его безопасности. В этих условиях он имеет полное право разгласить информацию о найденных дырах, для предупреждения пользователей ресурса. Просто с точки зрения этики он должен был дать возможность владельцам ресурса заткнуть дыры до их публикования.
                                                                                                                                                                                                            +2
                                                                                                                                                                                                            Вы путаете исследование корпоративной сети специалистом нанятым руководством фирмы и поиск бага независимым хакером в публичном сервисе. В первом случае Вы не имеете права публиковать информацию о найденных уязвимостях без разрешения нанимателя, плюс от принятого нанимателем решения "не затыкать дыры" как правило пострадать может сам наниматель, так что он полностью в своём праве принимая такое решение. Во втором случае никаких обязательств перед сервисом у хакера нет, пострадать от уязвимости могут пользователи сервиса, а не его руководство, и руководство зачастую не заинтересовано ни в публикации информации об уязвимостях ни в затыкании дыр.

                                                                                                                                                                                                            В этих условиях это не "только их дело, а не других", и опубликовать информацию об уязвимости крайне желательно, в интересах пользователей сервиса — вне зависимости от того, заткнули дыру или ещё нет. А с точки зрения этики нужно просто дать возможность заткнуть дыру до выкладывания информации по уязвимости (сообщить им полную информацию по найденным проблемам и дать неделю/месяц на затыкание дыр).

                                                                                                                                                                                                            И хотя я считаю, что этику нужно соблюдать, нельзя не признать тот факт, что эффект для пользователей будет значительно больше если информацию опубликовать сразу. Ибо пока жареный петух не клюнет никто шевелиться не будет. Одно дело узнать, что где-то когда-то теоретически была найдена какая-то мелкая уязвимость, которую уже (ура!) исправили, и мы в полной безопасности, а другое когда от твоего имени в разных местах появляются сообщения, которые ты не писал. И хотя ошибки делают все, но ошибки бывают разные. Если допускаются грубые ошибки на сервисе, который берётся хранить мои пароли от других сервисов — я считаю что шоковая терапия в этом случае полезнее этичного поведения — если этот сервис сильно пострадает, то возможно другие сервисы задумаются, стоит ли продолжать экономить на безопасности в надежде что их взломает более этичный хакер...