Pull to refresh

Comments 298

можно было "спамить" сообщениями с характерным содержанием о уязвимостях bestpersons, сейчас это более походит на хулиганство.
UFO landed and left these words here
ОМОН из ФСБ, конечно же, выезжает за каждый косвенно признавшимся в том, что он хакер )
Я кстати тоже хакер, если кто спросит. *ушёл ставить чай для ОМОНовцев*
где купить футболку "Я - хакер! Привет, ФСБ!"?
в матросскай тишине те все футболки дадут:))))
а я тоже хакер. мне тоже ждать ОМОН из ФСБ или даже спецназ ФСО? :-D
большое уважение romanser.
однажды нашли эксплойт в neo-lit.ru, еще в старые времена. пароли там хранились в открытом виде некогда. отфильтровали друзей-товарищей, а всех остальных запостили на главную.
мне кажется, что нахождение дыр адекватными людьми - куда лучше чем нахождение оных теми, кто никому не скажет о "находке". после "адекватных" - их закроют.. а может, и проект закроют...
контакт тоже хранит пароли в открытом виде :) Неудивительно, что в нём так много появилось спама.
Да, когда это увидел, то сразу сменил там пароль. Я вообще не понимаю программистов которые хранят пароли в открытом виде.
А от того, что вы сменили там пароль - он стал храниться в закрытом виде? ;)
Нет конечно)) Самое главное, что больше нигде такого пароля как там нету, и что максимум потеряю, так это только "висящий в воздухе" аккаунт. :)
Нашли… И причем под заказ нашли… Злостно похачили и зверски надругались над святая святых сайта )))
ааааааааааа! это ж ты был!! :)) ёёёё точно точно)) да, вот он ломатель!!)
Прежде чем минусовать автору и кидать в него камни, подумайте, что он мог бы натворить, если бы действительно хотел воспользоваться аккаунтами со злыми намерениями. Хотя его действитя, возможно, излишне радикальны, но шанс для бестперсон.ру «публично извиниться и закрыть ошибки» он давал.
И таки да, проекту теперь точно ппц.
Да, но нафига делать всё с таким пафосом?. Парень сейчас просто довольный тем, что нашел дырку в сайте. Такое ощущение что автор просто хочет загасить BestPerson. Я им не пользовался - но видно по нему что люди старались и работали над ним весьма усердно. Жаль что облажались конечно, возможно комуто и был полезен сервис.
После вашего коммента мне их стало жалко
а вы считаете, что проект с такой функциональностью и с такими дырами не должен быть загашен?!
я считаю он должен обанкрочен и разорен!
UFO landed and left these words here
Вы забываете одну вещь - он таки сообщил. Ага. Вот только то что не все исправили, а пользователей уверили что "теперь все ОК" - это факт...
UFO landed and left these words here
БП я не уважал и раньше, а человек и правда заспамил всех своими цифорками, значит дыра была.
UFO landed and left these words here
Romanser не сообщал нам о найденной уязвимости до публикации статьи на хабре.
а вчера ДО того, как появились нынче модные записи о 9c95чета-там?
Смотря что называть словом "сообщал". Вот вы осмелитесь солгать, что не знали о уязвимости до публикации статьи на хабре?
UFO landed and left these words here
Пафос вполне уместен. Расслабился - получи.
Дай-ка ты ему ещё разок, для ума (© Место встречи изменить нельзя)
слежу за скандалом с БП с первого же ромина поста.

на мой взгляд, автор не "гасит" проект. по крайней мере, не собирался.
человек нашел уязвимости, которые, насколько я понимаю (не прогер и не какер я), можно очень легко использовать для получения пароля пользователя к аккаунту раскрученного амбициозного и, вроде как, весьма дорогого проекта, сделанного без должного отношения к безопасности пользователей.
"гасить" проект такого рода не стоит, автор этого не делал - написал пост на хабре, связывался с техподдержкой сервиса.
действия БП мне кажется не вполне адекватными ситуации.
лично мне "повезло" - мой пароль на БП выглядел примерно так: tLyz8CZGou4MEEN45, но многие пользователи, я уверен, попали в ситуацию, когда нужно менять пассы ко многим аккаунтом, потому как пасс они использовали везде один, - данные временные и нервные завтраты - прямое следствие отношения реководства БП к безопасности пользователей.
вывод: втопку такие сервисы вместе с их руководством и программистами.

п.с.: по-моему, БП может уже и не оправиться от такого скандала, потому как принятые руководством сайта меры, мягко говоря, ситуации не соответствуют.
Мне был, о чём я у себя и писала. Тем, у кого больше одного блога, вообще полезны штучки для кросспоста и агрегирования. Щас пойду или искать локальный блогоклиент, или регаться на френд-фиде или как его там. "Благодарю" здешнюю публику за геморрой...
Вы хотите обвинить Хабралюдей в том, что кто-то не предоставляет полной защиты Вашего аккаунта на БП?
я не "обвиняю", а лишь указываю на то, что критика ИМХО должна быть конструктивной, а не направленной на разрушение ресурса, у которого есть свои благодарные юзеры.
дык продолжайте пользоваться %) что изменилось для вас? сервис стал хуже? нет, как был так и остался... :) работает наверно даже...
А Вы ничего не хотите сказать "полезному" ресурсу, который запросто дает возможность нагадить во всех Ваших блогах? И при этом пишет, что "все нормально, ваши пароли у нас, не беспокойтесь".
конечно, лучше бы вы дальше жили без "геморроя", не подозревая что ваши персональные данные доступны кому хочешь. Меньше знаешь крепче спишь.
да блин, хранить не plain-text-пароли, а хотя бы их md5-хэш (даже без соли) можно было поучиться ещё в древности у создателей незабвенного php-nuke и тому подобных древних cms. это же ЭЛЕМЕНТАРНЫЕ вещи.
ну хранить пароли от других социалок в md5 не получится. Только каким-то шифрованием с обратной расшифровкой
Автору большой респект!(жаль только плюсануть сейчас ничего не могу, но тем не менее...).
На самом деле, чем таких людей будет больше, тем интернет будет лучше! Именно таких людей раньше называли хакерами, именно такие люди сделали интернет достоянием общества и именно они являются катализатором развития информационных технологий. Человек нашел уязвимость - побаловался, ведь он это просто делает из чистого любопытства и, даже можно сказать, тяги к знаниям, а не по заказу какого то там ревнивого дядьки, который хочет узнать, что там у его молодой подружки на сайте лежит. Мой пароль он возможно тоже получил(блин, ну это ппц!!! Неужели нельзя простенький хеш считать?! Фига их в открытом виде то хранить?!). Его посты в своем ЖЖ удалять не буду, как назидание о том, что такие люди еще есть.
Респект тебе, romanser, и уважуха!
Типа понравилось и хочется еще? Смотрите, посмотреть профиль romanser - вот есть желающий! Хакни ему все аккаунты еще раз, во имя развития информационных технологий и чтобы интернет стал достоянием общества! Он даже посты в ЖЖ удалять не будет!
Я заметил тень сарказма в Вашем ответе, а между прочим, товарищ, зря стебетесь!
Ведь romanser не потырил кучу ааков и не стал продавать их за деньги, а честно всем сказал - "Ребята, там пипец какие дырища и никто их латать не хочет!". Никто не прислушался(я, конечно, не имею ничего против представителей хакнутого сайта, да и задумка у них неплохая, но их сервисами я не пользовался, по причине того, что он еще развивается и еще будут доработки... по крайней мере мне картина именно такой и представляется). Начнем с того, что мои аккаунты никому нах не нужны и я прекрано это понимаю. Я не храню на этих сайтах какую-либо критичную инфу. Но вот, что касается Вас... Вы меня уж извините, но нетерпимость, с которой Вы воспринимаете действия этого молодого человека заставляет меня ассоциировать Вас с создателями FreeBSD в том плане, в котором их очень ярко охарактеризовал Линус Торвальдс. Советую Вам умерить свою параною и жизнь будет казаться гораздо легче и лучше(конечно же Ваше личное дело следовать этому совету или нет, но тем не менее...).
Я Вас абсолютно не понимаю. Что прикольного в том, что чужой человек читает, например, Вашу почту? Даже если в этой почте нет ничего важного, это все равно неприятно. Как это может НРАВИТСЯ?! Сам факт несанкционированного вмешательства в чужую личную жизнь уже ОТВРАТИТЕЛЕН (с моей точки зрения). И я не вижу никакого морального оправдания хакерам. Я не хочу, чтобы они лазили ко мне в почту или писали из под моих accounts. И более того, я не считаю, что защищаться от них нужно исключительно с помощью софта. Когда человек вторгается в чужую частную жизнь - адекватнее всего защищаться от него с помощью правоохранительных органов, если есть такая возможность. Да, этот конкретный хакер поступил с Вами благородно - ничего плохого не сделал. А кто-то другой поступит иначе. Зачем поощрять это, восхваляя такие поступки?
Дело ведь тут совсем в другом. Человек прямо указал на то, что есть возможность взлома, причем, насколько я понимаю, она не является какой либо экстраординарной, т.е. дыра была вполне тривиальной. Своими действиями он просто ЗАСТАВИЛ обратить внимание разработчиков на эту проблему, тем самым повысив хоть ненамного безопасность этого сайта. Именно за это я его и хвалю и всячески выказываю ему свое уважение, а не за сам факт взлома. Таких людей можно рассматривать как волков(если уместна такая аналогия - ведь никто не пострадал, по большому счету) в природе - их ведь не зря называют санитарами леса. ИМХО естественный отбор в интернете и в мире софта(я имею в виду реальный отбор, а нет тот где все проплачено и проделана огромная работа по лоббированию откровенно лажовой продукции) не есть зло - от этого нам, конечным пользователям, будет только лучше.
А кто ему дал право ЗАСТАВЛЯТЬ других что-то делать, причем незамедлительно? Но мой главный вопрос другой - Вам-то лично какой прикол быть "мясом" в чужой игре? Он мог бы написать на Хабрахабре - "ребята, я нашел дыру на сервисе BP, ваши пароли в опасности - если хотите, я докажу это показательным взломом одного ДОБРОВОЛЬЦА". И проблема решилась бы. Но человек то ли опьянел от ощущения своей власти, то ли вообще был кем-то нанят (хотя я думаю все-таки первое). Он выбрал себе жертв и сыграл в свою игру. В том числе Вами, используя Вас как в своих целях. Теперь пострадавшие его еще и боготворят. Это какой-то мазохизм, IMHO. Или разновидность стокгольмского синдрома. Или страх повторения.
ОК. Представим такую ситуацию: romanser нашел эксплоит и выложил все его подробности на Хабре... Лично меня такой расклад не устраивает ибо очень сильно возрастает риск, что какие либо кулхацкеры еле как знакомые вообще с ИТ могли круто напакостить, а судя по той скорости с которой отреагировали на все это ребята с БП все могло обернутся гораздо более серьезными последствиями. Так что ИМХО надо радоваться, что такую "проделку" совершил именно этот человек, а не кто либо другой...
А зачем объяснять, в чем именно эксплойт? Достаточно продемонстрировать факт, если бы не поверили на слово. И только после того, как сервису дано время среагировать адекватным образом. Время - это, например, неделя. А не пару часов.
Ну, тут не могу не вспомнить поговорку "Назвался груздем - полезай в кузов", т.е. еслм ребята взялись за реализацию такого серьезного проекта должны были быть хоть немного готовыми к таким форсмажорным обстоятельствам. А отключать сервер уже после того как атака совершилась... Ну, извините меня конечно, это как минимум пахнет дилетантством....
romanser, рулишь! писать откровенно лажовый код - позор... баги у всех бывают, но не на детских граблях
UFO landed and left these words here
В тексте поста явно написано, что Романсер прямо указал на уязвимости только администрации бестперсонс (до это на хабре кроме констатации факта наличия дыры ничего не было). Хорошие ребята из бестперсонс практически НИЧЕГО НЕ СДЕЛАЛИ, и даже не прдупредили пользователей о возможной угрозе. Понимаете. Это откровенно наплевательское отношения к простым смертным, верным пользователям ресурса. Поэтому Вы не правы, бестперсонс получили то что заслужили(даже меньше).
UFO landed and left these words here
В принципе согласен. Но хронологию при большом желании подтвердить можно.
Я сам ни на чьей стороне. Меня просто убивает сам факт такого отношения бестперсонс.
Поясните, с какой это стати ему надо доказывать эту хронологию? И вообще, с какой стати он должен отчитываться? Есть факт взлома, есть факты (доказанные посредством кучи спама в куче блогов) об утечке информации, которые bp до сих пор официально не подтвердили и своих пользователей до сих пор не предупредили и не сказали, что им нужно хотя бы сменить эти самые пароли. ДО СИХ ПОР!
Обратите внимание, романсер-то как раз пользователей предупредил, и не один раз.
UFO landed and left these words here
Что за истерика? Каким образом это Вас так глубоко задело?

Ложь. Романсер сперва увёл 400 паролей, поднял себе карму с чужих аккаунтов,

Кстати - подтвердите доказательствами эти свои слова. Раз уж на то пошло :)
UFO landed and left these words here
Я думаю многие его защищают потому что они его БОЯТСЯ!
Интересно кто его здесь боится :) А вообще, нельзя делать серьёзные веб-сервисы, которые может сломать любой школьник начитавшийся журнала Хакер.
А почему тогда ему поют восторженные дифирамбы здесь в комментариях и плюсуют карму многие пользователи, аккаунты которых он поимел? Типа понравилось?
Вообще, я не совсем в теме так как никогда не пользовался BP, но из беседы на хабре ситуация пока мне видится так (хотя возможно я и ошибаюсь).

С помощью XSS уязвимости на сервисе BP, которая очевидно срабатывает на браузерах типа IE, романсеру удалось забрать акки с помощью которых можно проходить авторизацию на других сервисах в том числе и хабра. Похоже пароли от хабра остались романсеру неизвестны, но тем не менее если зайти через BP на хабр автоматически, то можно наплюсовать себе карму от чужого лица.

Лично для себя сделал общие выводы:
1. Пользоваться Firefox+NoScript.
2. На каждый веб-сервис иметь отдельный пароль.
3. Никогда не доверять пароли сторонним веб-сервисам.
4. При создании своего веб-сервиса проверить его на общеизвестные уязвимости.

Первого, второй и третий пункт я уже давно выполняю, другое дело, что мне теперь более понятно почему я так делаю :) А четвёртый это пометка на будущее не пренебрегать элементарной безопасностью.
Я тоже никогда не пользовался BP и мои аккаунты, слава Богу, пока никто не поломал. Но я не понимаю людей, которым хакнули их аккаунты и, например, читали их почту и которые затем ВОСХВАЛЯЮТ хакера - типа "ай да молодец"! Что в этом приятного?! Какой-то чужой человек побывал под твоими аккаунтами, мог от твоего имени писать что угодно кому угодно. У некоторых почитал их почту. А люди тащатся! Это извращение какое-то.
Ну вообще, если уж так говорить, то в потере своих данных виноваты и сами пользователи. Ведь говорят, пользуйтесь безопасными браузерами, нет нам плевать на безопасность, для нас главное удобство.

А идея сложить свои пароли в одно место тоже странная, что она даёт? Она кому-то видимо даёт удобство, но естественно в обмен на безопасность.

Лично для меня извращение пренебрежительное отношенение к многочисленным рекомендациям по безопасности даже не сайтостроения, а обычного сайтохождения.

>Но я не понимаю людей, которым хакнули их аккаунты и, например, читали их почту и которые затем ВОСХВАЛЯЮТ хакера - типа "ай да молодец"!

Приведи конкретный пример.
Пример чего? Что он смотрел их почту и лазил по прочим аккаунтам? Смотрите в самом верху, цитирую "героя дня":
у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства)
Конкретные ники людей с хабра у которых взломали акк и которые потом сами, подчёркиваю сами написали восхваление, о том что их взломали.
Показывать на людей пальцем в таком контексте вне прямого диалога с ними - неэтично. Вы могли бы и первый факт найти сами - при внимательном чтении этой ветки или просто поиском. В чем цель Ваших последних 2 комментариев? Попытаться подловить меня на чем-то?
Похоже имелся ввиду разговор shoguevara и sysprg, где sysprg сделал излишнее предположение о том, что shoguevara нравится, что его акк сломали, а сам shoguevara сказал, что он не пользовался сервисами BP.

Иными словами shoguevara ничем не навредили, я сам зареган на множестве сайтов и мне все равно если один из них взломают, особенно если я им не пользуюсь.

Не стал бы это рассматривать как вредительство, потому что те кому действительно навредили высказываются негативно.
Наверняка есть даже люди, которые до сих пор не в курсе, как именно их взломали и до какой степени они теперь уязвимы. Какая-нибудь условная девушка не из IT-тусовки вообще вряд ли догадывается, что ей нужно срочно поменять пароли и секретные вопросы вообще везде, даже на своей почте. Думает, что все это безобразие только сайтом bestpersons ограничилось.
А вы меня опроверните! Что, нихуя не получается? Правильно, потому что это также бездоказательно ка и сказанное romanser-ом. А почему бы вам просто не поверить мне, как вы это сделали по отношению к нему, а? Чего это вы лезете проверять мои слова в то время как его слова проглотили и облизнулись? Неувязочка.


1) Не материтесь 2)Не верю что «сперва увёл 400 паролей, поднял себе карму с чужих аккаунтов» потому что сам вчера повышал ему карму – когда она еще было в 2 раза меньше чем сейчас.
3) Если Вы требуете доказательств от romanser – неплохо бы и самому предъявлять доказательства. Где они?

Несколькими комментами выше вы можете видеть, как один из фундаментальных пунктов romanser-a официально опровергнут пользователем Chemist. Почему бы вам не поверить ему на слово, а?


Потому что 1) Существует сам первый топик 2)К этому первому топику есть комментарии представителей сервиса 3)По комментариям представителей сервиса видно как они пытаются сделать хорошую мину при плохой игре.
Предлагаете проверить его слова делом? Найти новые дыры? :)
Romanser не сообщал нам о найденной уязвимости до публикации статьи на хабре.
Ну так я так и напсиал. Н ахабре был только пост о существовании дыры, никаких подробностей и кроме спецов по безопасноти(или знакотоков этой проблемы) никто не мог воспользоваться этой уязвимостью. Покрайней мере без предварительно подготовки. Поэтому у меня к вам, как представителью вопрос. Он вам написал с подробностями о дырах(как описано в данном посте) или так же как на хабре?
Нет, не писал. Романсер начал активно пользоваться уязвимостью в своих целях не поставив в известность администрацию сайта о обнаруженных багах.
Гм..активно пользоваться, это те первые 400? или это уже исотрия со скриптами? Прямо детектив получается. Может напигите пост ответ, типа точка зрения опонента. Будет интересно узнать тчк зрения другой стороны.
Хотя конечно факту дырявости все равно нет оправдания никакого.
UFO landed and left these words here
по вопросу кто тусует карты, бестперсонс или романсер, не понятно. Я ж с самого начала сказал, что ни на чьей стороне. пока что есть только факт вопиющей безалаберности разработчиков сервиса, допустившим такую дыру(этой дыры просто не существовало бы, при грамотном подходе к делу, тут ничего нового открыто не было, только старые трюки.). Ну а кто виноват и что было покажут только обнародаванные логи переписки и действий романсера на сервере(естесвенно без деталей что раскроют коммерческую и др тайны). Я думаю что сейчас бестперсонс спасет только полная открытость, а не сообщения что ничего не украдено и никто не пострадал.
UFO landed and left these words here
Дело в том, что пока прямой выгоды романсера нет. Карма на хабре, сомнительная выгода, это приходящее, тем более высокая карма как раз таик крута при не анонимности автора. Далее Пиар сайта, гм.. ну пока что он не приносит денег. Сейчас я только вижу, публичную порку, и показательную акцию. В основном для стартапщиков. Я бы поступил подобным образом, если действия администрации бестперсонс протекали подобно тому как описывает романсер. Сейчас чаша весов на его стороне, так как бестперсонс после объявы о исправлении уязвимости, на самом деле залатали не все дыры. Я бы на их месте отсослал письма пользователям об извинении о неработоспособности сервиса, и не запускал пока не была бы проведена комплексная проверка безопасности. Может даже можно было обойтись без полного отключения, а всего лишь урезанием функциональности. Вообещм вариантов много. Но простой сервис во много раз лучше, чем потенциальная уязвимость. Вот такое мое мнение. Конечно может у ребят не хватало опыта, ну ж тожь, вот и расплата. На успешные проекты денег жалеть не нужно, и обязательно приглашать спецов, с опытам управления и сопровождения крупных проектов, который бы все эти тонкости и продумал, гораздо раньше.
>Он вам написал с подробностями о дырах(как описано в данном посте)
>Нет, не писал.

Ну что за наглая ложь? Неужели придется выкладывать личную переписку с вашим программистом? Тогда, уж извините, придется и ваши угрозы выложить. Кому это надо?
До вашего первого поста на хабре вы нам ничего не сообщали.
1. Вопрос был о правдивости написанного в топике. Вы ответили, что написана неправда (о том, что я сообщил в подробнотях о багах) и тем самым солгали. Зачем?

2. До моего первого поста на хабре вы уже знали о баге (или будете отрицать?). И то, что вам я лично о нем не писал роли не играет и значения не имеет. И сам я ни разу не утверждал, что лично писал вам о баге до своего первого поста на хабре. Но писал, что вы о нем знали, и это правда.

3. Что вы хотите оправдать многократным повторением (в этой теме уже минимум 4 раза) "romanser нам о баге до первого поста не писал"? Или это та единственная правдивая вещь, которую вам сказать по данной ситуации не стыдно?
Не, ну ребят! Это же не серьезно! Прямо как в пионер лагере: расскажи, покажи, дай попробовать! Я думаю вполне было достаточно того, что вам указали на уязвимость и на ее характер, а дополнительную информацию требовать это как минимум глупо, а как максимум нагло... Вы уж меня извините, я, как человек знающий что такое разработка, искренне понимаю(кроме вот этого вот момента) и поддерживаю создателей BestPersons, но в данном случае я поддерживаю пользователя с ником romanser(кста, с BestPersons удалил всю инфу о своей учетке, но ее саму сносить не стал, надеюсь и верю, что у ребят когда нибудь(причем, чем скорее - тем лучше) дела у ребят пойдут в гору, идея то действительно хорошая).
С чего же вы тогда до публикации статьи на хабре отключили сервер? Интуиция?
UFO landed and left these words here
Вы тут западный Интернет упомянули - на Западе после такой "громкой" акции Вас бы разыскивала полиция и когда бы Вас поймали, Вы бы замучились платить по искам от пользователей, чьи аккаунты взломали, а не только от владельцев ресурса. "Благими намерениями" известно куда дорога вымощена.
Мм, наверное все западные хакеры уже давно сидят или платят по искам, ага?
Конечно, не всех смогли поймать. Но некоторые сидят и платят по искам. У остальных хотя бы хватает ума не "светиться" публично.
Уже не в первый раз эта тема поднимается. Если вас успокоит это, в профиле - не настоящее имя, в логах - не настоящий IP, на хостинге - не настоящие данные, куки стерты, жесткий диск висит на веревочке за окном (ножницы в руке), пластический хирург - за соседним столом. Найти можно, но сложно.
Мне-то пофик, мой аккаунт Вы нигде ломали, слава Богу. :)
Но если доступ к сайту Вы делали из дома или с работы, без всяких заграничных proxy - вычислить Ваше местоположение для МВД/ФСБ не составляет никакой сложности (особенно с помощью СОРМ-2, но можно и без этого - СОРМ-2 создана просто для избежания административной волокиты). Особенно учитывая, что для многих методов взлома (про данный конкретный Ваш случай - не в курсе) нужно иметь открытый IP, а не машину за NAT/proxy. Понятное дело, что из-за раздолбайства в России никто хакеров не ловит, но технически нет особых сложностей в простых случаях упомянутого рода (если доступ был с домашнего адреса или с работы).
А вы не рассматриваете такой вариант, что я из Казахстана? Или Исландии? :]
Возможно, но маловероятно :)
ssh или VPN все это исправляет. Ловите потом..
ловят, нормально ловят. Просто большинство пострадавших махают рукой и не решаются идти в милицию.
МВД, ФСБ, СОРМ-2 (!), хакеры - много умных слов, но мало здравого смысла
Хакеры, кракеры, куки, закладки.
Простите, а вы понимаете как работает СОРМ?
Я знаю как работает его западный аналог в сетях кабельных модемов (имею нормативную документацию, описывающую детали протоколов). Но именно российский вариант мне не известен в деталях, только на уровне схемы одной из платформ. Думаю, что хотя их структура различается, базовая функциональность примерно одинаковая - ведь задачи общие.
я где-то читал, что это симптомы серьезного заболевания под названием "хакирство")
на западе такие ситуации заранее описывают в пользовательском соглашении, снимая с себя всякую отвественность, и заставляя юзера согласитьс с ним, перед тем как начать пользоваться ресурсом
Это делается для того, чтобы пользователи с порталом не судились, а не с хакером. Хакера не всегда удается поймать и это может быть подросток какой-нибудь - что с него возьмешь? И тогда злобные пользователи затаскают по судам портал за то, что там не было должных мер безопасности. Поэтому портал заранее с себя снимает ответственность в лицензионных соглашениях. Но действия хакера остаются уголовным преступлением в развитых странах (где есть соответствующее законодательство). С него ответственность лицензия портала не снимает.
Забил в поисковики число, неплохо так :)).
Хороший пиар вам-числу и бп. Но особенно выгодно в этом свете выглядит Хабр =)). Пиар ему тоже зачетный. Скоро Хабр заставят регистрироваться как СМИ такими темпами :)
Отлично сделано, возможно кому-то покажется и не совсем порядочным - но судя по пунктам начиная от 9-го, непорядочными оказываются доморощенные бизнесмены - готовы доложить о выполнения и перевыполнении плана в срок...
Мда. Маразм крепчал.. Авторы сайта балбесы, по другому не назовешь. И хуже всего, что сами не понимают, похоже, к чему это все может привести. Умалчивают опасность от пользователей..

Жерналу "Мурзилке" в виде Security Lab вообще как-то теперь не знаю, стоит ли хоть как-то доверять их статьям. Если их авторы тоже не понимают что могло бы быть.

PS. Почитав комментарии на SL к статье, понял, насколько все же на хабре нормальные люди.
UFO landed and left these words here
А где я писал, что он для меня стал авторитетом? Ничего не перепутали?

Я не говорю, что люди в БП плохи тем, что изначально написали код с такими уязвимостями. Мне не нравится то, как они себя ведут в такой ситуации. И именно это поведение я считаю очень неправильным.
UFO landed and left these words here
romanser вы благородно послупили, а ведь фактически столько ботов виртуальных заимели, мог ли бы устроить какой нить политический/фантастический скандал .
Скандал был бы еще тот :) Молодец что еще раз подтвердил - все свое надо носить с собой
Погуглил по интернету, порадовал вот этот пост в блоге
Говорят, кто напишет у себя 9c951267, дадут инвайт на новый сайт
)))
а что, так и получилось - кто не заходил на Хабр и не знает о его существовании, теперь может стать постоянным членом :)
Информация - это интересно и хорошо.
А ну как владельцы "Бестперсонс" все-таки напишут заявление в отдел "К" ? Или владельцы почтовых систем, на которые вы заходили? Это ведь все статья УК.
Я бы на вашем месте все-таки как-то подготовился к возможным вопросам со стороны милиции. Шутки шутками, и общественное мнение общественным мнением - но всякое бывает, не хотелось бы вас видеть в роли очередного мученика за свободу информации.
Не уверен, что у нас на Мальте есть отдел "К".
А ну как повестку пришлют, или в розыск объявят? Или когда-нибудь в России появитесь - неприятности могут быть.
да ну, ты что, никто не будет этим заниматься, потому что это никому не выгодно
UFO landed and left these words here
если бесперсонс это сделают, то проект можно смело закрывать будет
а если напишут заявление - расскажем всем всю правду о создателях бестперсонс. как они облажались и вместо извинений начали ловить безобидного, в общем-то, человека.
Не зря удалился с bestpersons.
Как чувствовал, что это не конец истории... Сидим в сторонке с попкорном, и ждём продолжения... )
Хм. Думаю, в первую очередь надо пароль этот на других аккаунтах менять, а удаляются почему-то чаще...
Может удаляются те, у кого на других сервисах другие пароли? Терять-то в общем нечего.
romanser, а может вы откроете секрет, что это за магическое число 9c951267?
Со временем кто-нибудь догадается. Пока подсказок мало, но скоро будет больше.
Так нас еще ожидает целый квест? Отличненько :-)
кусочек из MD5 чего-нибудь?
как сказать как сказать, я попробовал двухбайтные числа по ASCII таблице пробить например

А скажите, здорово ведь пользуясь уязвимостью в одном известном ресурсе распиарить свой собственный? Этож какая грамотная рекламная компания получилась на пустом месте.
Я не мог упустить такую возможность :]
UFO landed and left these words here
"Втаптывание в грязь неплохих в общем то людей". Никто не говорит что эти люди плохие, и в грязь их никто не втаптывает. Человек связался с администрацией сайта, рассказал все дыры, они могли бы их и пропатчить. Если они этого не делают - значит из них плохие администраторы сайта. Тем более сайт, который хранит кучу паролей для всего рунета, можно сказать.. Бедь там нормальные админы, не прошло бы и 2х минут как они устранили дыры. И в любом случае, на их ошибках будут учиться другие, я думаю уже большая часть людей, читающих посты про этот взлом, уже проверили свои сайты, а нет ли у них таких дыр? А не ждать ли им своих романсеров?
Другой вопрос - для чего текстовое поле на небезызвестной страничкe? Просто для рассчета md5?
Надо Коломбо позвонить =)
не поможет. он из отдела убийств 8-)
Надо кого-то убить и Коломбо позвонить!
9c951267.ru (сайт романсера)
Кроме мега кнопки на RSS сайт генерит МД5 хеш. Если ввести 9c951267 пишет Too Short :)
Кстати что-то это нифига не md5 хеш, проперил 3-4 пробных слова-не свпало с хешами md5sum и md5deep, а им я доверяю :)
не понял, что проверили?
это обычный php-шный md5();
А как вы md5sum вызывали? echo "слово" | md5sum - неправильно, \n добавляется к слову.
Чорд, уловил для себя этот способ из одного коммента на хабре... который кстати получил достаточно плюсов... а как же тогда правильно?
Читаем man bash: "echo [-neE] [arg ...] Output the args, separated by spaces, followed by a newline. The return status is always 0. If -n is specified, the trailing newline is suppressed."

И наблюдаем:
merlin@lsrv ~ $ echo "word" | md5sum
a46ec67a0f2e7c387926ac5d783ea4b8 -
merlin@lsrv ~ $ php -r 'echo md5("word\n")."\n";'
a46ec67a0f2e7c387926ac5d783ea4b8

Правильно:
merlin@lsrv ~ $ php -r 'echo md5("word")."\n";'
c47d187067c6cf953245f128b5fde62a
merlin@lsrv ~ $ echo -n "word" | md5sum
c47d187067c6cf953245f128b5fde62a -
Как это часто бывает-ответ приходит во время задания вопроса, как только отвравил сообщение, то пошел читать ман и нашел. Хотел было написать, мол все-все, да задержка в 5 минут, но все равно спасибо за внимание.
UFO landed and left these words here
tp://9c951267.bestpersons.ru/ вот ещё =))
Это ответ на главный вопрос Жизни, Вселенной и Всего Такого.
42 - это отцензурированная версия, настоящий ответ в книжке не напишут :)
ага, на самом деле md5(42)
это я знаю. Я спрашивал, что это означает.
UFO landed and left these words here
так, квест это интересненько, давайте еще подсказок =)
UFO landed and left these words here
это пароль всех пользователей на всех блогах
После первого поста тут же удалил свой аккаунт с bestpersons. Жалею, то что сразу не догадался, что нельзя доверять все свои пароли одному сервису, тем более, что новому. Но как говорится, на ошибках учатся.
зря удалили. Теперь вам кружку не получить ))
а нахрена кружка-то теперь?
напиться с горя.. ))
это значит "отличный пример black smo" )
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Прочитал историю, между прочим директор столовой мог поставить камеры и посадить наблюдать за столовой охранника, хакера бы взяли с поличным или как минимум нашли потом по записям. С интернетом же дело гораздо хуже, так как веб-сервис уязвим с любой точки подключения к интернету, а это весь мир. Скажу вещь даже более опасную чем солонка - разнообразные магазины самообслуживания и между прочим находились маньяки, которые таким образом убивали людей. А за качество продаваемого товара несёт ответственность продавец, и если продавец создаёт условия, где любой может испортить товар, то он тоже виноват. Таким образом необходимо совершенствовать процессы оказания услуг, а не тупо игнорировать проблемы.
UFO landed and left these words here
В тему безопасности: позабавило, что веб-сервер на xakep.ru - всеми горячо любимый Microsoft IIS.
А что с ним такого? Его ломают реже апача.
Или вы просто троль)
Это не я минуснул.

Недавно была ведь шумиха вокруг IIS: уязвимость, из-за которой около полумиллиона серверов оказались инфицированы.

Ну а вообще да, прошу прощения, я немного не в тему.
Да? Не видел этой шумихи) помню только отчет секьюрити лаба)
А вообще, на кой черт хранить пароли где-то _в онлайне_? O_o
Это на фундаментальном уровне небезопасно. Т.е. не существует даже 99% уверенности, что база с онлайн-проекта не будет уведена. Ведь как ни крути, в проекте работают живые люди. Ладно, даже если не будет уязвимостей, как на bestpersons - кто поручится за адекватность и отсутствие злого умысла у совершенно незнакомых вам людей - программистов, сисадминов, итд? Думаю, даже их собственное начальство не поручилось бы своей головой :)
Лучший password keeper - /dev/head =)) 5-10 паролей всегда можно запомнить. А если речь идет скажем, о 100 паролях - это уже отдельная тема, и тут надо совсем другие решения юзать.
Не просто хранить пароли, а пароли от соц. сетей. В которые можно добавить сообщение, во все, при помощи одного унифицированного интерфейса. Некоторым такая унификация нравится (они не задумываются, что если уж и хочется блог, достаточно иметь ОДИН блог, и не обязательно регистрироваться в каждом новом проекте). Ну, а раз есть хранилка паролей от соц. сетей, почему бы не хранить там и другие пароли?
В любом случае, при регистрации где нибудь ваши пароли сохраняются в базе данных, будь то хабр или вконтакте или еще что нибудь. В любом случае получается что вы доверяете свои данные незнакомым людям.
Разумеется, нет.

1) Пароли у овнеров сервиса в 99% случаев хранятся зашифрованными - на кой он им в открытом-то виде?
2) Насчет других данных, которые "мы доверяем". Это уже от сервиса зависит. Точнее, от того, насколько он нам нужен, и какой у него, скажем так, траст. Разумеется, на хоумпейдже Васи Пупкина вбивать свой реальный адрес, телефон етц. никто не станет :D А если вы скажем в адсенсе регаетесь - то придется, да и опасений не будет особых :)

С бестперсонс, как видите, совсем другая ситуация.. по обоим пунктам.
В любом случае, при регистрации на любом сайте ваши пароли храняться в базе, значит все таки ВСЕ пользователи интернета доверяют создателям сайтов.
И ведь наверняка на карму сайта бестперсонс это почти никак не повлияет. Ай-Ти гуру и так пароли свои хранят там где надо, а барби-девочки такие посты не читают. Вуаля.
Не стоит недооценивать сетевое сообщество. Пара-тройка таких публичных случаев и все запомнят, что защита информации - это хорошо. Почтой же научились пользоваться :]
И каждый может поспособствовать этому. Блоги нынче у 80% постоянных пользователей.
UFO landed and left these words here
Нккому в друзья не лезу. А акция проведена абсолютно правильно. ИНАЧЕ у нас люди не понимают, вы пост читали?
Ваших добрых и бедненьких ребят 2 раза прямо предупреждали, с указанием места уязвимости. Но нет же. Потчи ничего сделано не было + вранье пользователям!!
Поэтому пока мордой не ткнули, они не поняли.
Понимаешь, твои ребята наплевали на то что уйдут чьито пароли, потеряется личная информация и тд и тп. А это иногда приводит к плачевным результатам. Вообщем ненадо утт демагогию разводить. К сурту такой сервис, пусть банкротятся, и скажут спасибо что ничего действительно плохого с личными данными пользователей не произошло. Иначе можно было уже думать о компенсациях.
UFO landed and left these words here
Вы пост читали? Точно читали? А из него следует, что пост в поисках кармы появился уже ПОСЛЕ того, как администрация была в курсе о проблемах с безопасностью.

Даже если не верить тому, что там написано - администрация сообщила, что проблема решена, а потом все воочию увидели, что ни черта она не решена! Кому тут можно не верить - так только администрации, тут обман виден невооружённым глазом.
UFO landed and left these words here
Администрация включила сервер и сообщила, что "всё пучком", на деле ВООБЩЕ НИЧЕГО не исправив! Правильно поступили? Да. Можно было смело продолжать красть пароли пользователей!

ЭТОТ факт мы знаем вовсе не со слов романсера - мы сами это видели, воочию.
UFO landed and left these words here
> Все воочию увидели как хакер-пиарщик ...
А вообще звучит забавно "хакер-пиарщик"
UFO landed and left these words here
1. На карму,PR и тд господина хакреа мне наплевать, меня она не интересует. Поэтому ближе к делу.
Вообщем у нас просто разные позиции, вот моя:
Я сам часто сталкивался с наплевательским отношением безопасности, в доволльон серьезных проектах ив сегда жестко на это реагировал. Вплоть до заморозки любой активной деятельности пока не будет исправлен баг.
В нашем случае(говорим в теории тк заподлинно не известно), романсер сообщил о уязвимости на хабре, и детально администрации бестперсонс. Далее мы видели отключение сайта, потом бац снова работает, и что. А почти ничего не исправленно. Потом снов тоже самое, да еще и маленький пресс-релизик, типа ребята все ок, не стоит беспокоится. Понимаете, бестперсонс такой сервис, у которого должны быть повышенные требования к безопасности(по понятным причинам), а тут вдруг всплыло что они казывается наплевали на это. Отмазки типа мы не знали, не проходят. Та дыра что была, это фундаментальная ошибка, они вопросами сохранения личных данных пользователей фактически воообще не занимались. Я такой подход терпеть не собираюсь. И раз относительно по хорошему они не понимают, то извините, но такой сервис нужно топить прилюдно и с позором. Чтобы другим не было повадно. И самое главное чтобы по нима это реально финансово больно ударило. Чтобы и наши инвесторы тоже наконец задумывались. а всяки атм кармы, black SMO - это все такие мелочи, чтобы из-за них так сильно беспокоится, а ты все время на них стрелки переводишь.
UFO landed and left these words here
Как ты не понимаешь. Ситуация да не штатная. НО! снова повторюсь, она вскрыла наплевательское отношение к разработке, грубо говоря полнейший непрофессионализм. Так нельзя. Это из того же рода что вам операцию будут делать не дифференцированными инструментами. Вот 100 раз пронесло, а на 101 раз бам, и спид или что еще.(прости за аналогию). Поэтому сервис не имеет право на жизнь. Все точка. Пусть в будущем появится другой сервис, подобного плана, переписанный с нуля, с другим именем и тд. Но этот нет. Повторюсь, как урок другим. Все что я сказал имхо конечно же. Переубеждать не хочу. Просто я считаю что сегодня по другому нельзя.
Когда тигр убивает антилопу, он, гад, скрупулезно извлекает просчитанную выгоду. Возможно он даже становится героем, который накормил своих сородичей. Но он этого недостоин, ибо его моральный облик и цели паршивы - он просто хочет набить себе брюхо. Вот только благодаря этому тигру в следующем поколении антилопы будут бегать быстрее, т.к. самые медленные не дают потомства.

Есть основы безопасности. Существует набор несложных рекомендаций, выполнение которых сведет к минимуму возможность взлома. Криворуким разработчикам, которые пишут свои "саиты" не зная этих основ нужно отрывать руки. Криворуких разработчиков, которые, не зная основ, создают платежные системы либо сайты наподобие БП - нужно кастрировать, т.к. они создают большие неприятности пользователям в случае взлома. Не хакеры виноваты в возникших неприятностях, а именно разработчики.

Уверен, если бы у вас украли бы внушительную сумму денег, какой-нибудь элементарной CSRF-уязвимостью, вы бы запели совсем другую песню. Может даже требовали от разработчиков вернуть вам деньги. А тут всего лишь написали несколько бессмысленных постов в говнобложеки - ух какие злые "хакиры" вокруг!

К счастью, после подобных случаев, недоразработчики десять раз подумают, перед тем как выпускать в продакшн свое очередное глюкавое детище.
romancer, вам, конечно, виднее. Но только то, что вы сделали является фактически признанием в совершении уголовно-наказуемого преступления.
А это не он, это через упомянутый сайт хацкеры от его имени запостили.
romanser ты делаешь правильное дело. причем очень неблагодарное.
пожалуйста, позаботься, чтобы тебя за Ж не взяли. мир такой.
да сегодня видел на блог.ру 5 постов подряд с 9c951267 после люди чей блог взломали писали..об этом....
я хочу от него ребенка!
Да, от него будет полно детей, так как он, по его словам, поимел с полтыщи людей. Не все, конечно, девушки, но, какая-то часть :)
UFO landed and left these words here
Ай, молодца! Да уберегут тебя Великие Кремниевые Мозги от гнева людского! :-)
romanser - молодец.
Надавал по шапке.

Вами скоро будут программистов пугать, как нас в детстве Бабайками пугали :)
А в Багдаде все спокойно:

Новости за 21.07.2008 с Bestpersons:

Произошла атака на сервис Bestpersons.ru.
XSS атаке была подвержена небольшая часть аккаунтов.
Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
Мы приносим свои извинения пользователям, которых затронул данный инцидент.
когда они потеряли все свои данные у всех пользователей было написано "У небольшого количество пользователей возможно могла потеряться часть информации". Людям, которые банальный ежедневный дамп не делают я доверять не стал и ушел оттудова сразу)
поорут-поорут и забудут( кто-нибудь ещё про radarix.com вспоминает?
Думаю, если radarix.com предложит ввести свое имя и е-мейл, вы откажетесь :]
а что было с радариксом? :-) простите за тупой вопрос.
Если что мне тоже интересно))
шумиха была вокруг него)) а сча тишина)))
«Ламер - юзер, регулярно наступающий на грабли»

Причём на такие на которые ещё и насрано.

Извините если кого задел.
Граблями-то не мудрено и задеть ;)
Особенно, если они со «сплешем» :)
Сплэш это когда они на верёвочке привязаны и ими размахиваютъ на 360 градусов.
Или когда с них говно летит «по площади».
Вообще, не понимаю людей, которые говорят про уголовные дела. Эта проблема носит чисто технический характер. Сам я с XSS встречался лишь пару раз, когда при заходе на некоторые сайты мне файер говорил о том, что он используется и это опасно, одновременно не разрешая выполнение если я сам того не захочу. Я почему-то не хотел и уходил от таких сайтов подальше, теперь вот благодаря статье примерно знаю как воруются кукисы и чем опасен XSS.
Вам файрвол говорил про XSS? Вы в качестве файрвола индуса используете?
Firefox для непонятливых с установленным плагином NoScript.
UFO landed and left these words here
Хорошее дело можно организовать, заказные атаки на интернет ресурсы. Вы создали проект, работали ночами, недосыпали, недоедали и т.д., думаю многим знакомо...

Вот он долгожданный момент - запуск, первые пользователи, рост посещаемости и .... (смотрим весь пост с самого начала) случается полное ж (хотя по комментам владельцев ресурса у них все ок, честнее надо быть с людьми, вы для них работаете, но сейчас не об этом), теперь то не важно как такое случилось, по не знанию, по случайности, по неопытности, это уже не важно - факт ситуации и последствий на лицо.

Вопрос в том, как таких ситуаций избежать всем остальным? Ведь нередко, те кто знает как получить доступ к подобной информации, отнюдь не преследуют просветительские цели. Часто вы о них даже не знаете. И автор действительно делает правильно, только так можно обратить внимание на проблематику безопасности. Благодушные посты о том как важно уделять повышенное внимание безопасности нихрена не имеют эффекта, а вот такие материалы имеют. На скольких наших популярных ресурсах вы видили политику конфиденциальности (privacy policy), думаю по пальцам пересчитать можно... Вообщем предлагается романсеру и подобным объединиться и проверять новые проекты на "прочность" на коммерческой основе. Я первый в очереди+)
подобная практика уже много лет практикуется. не только за рубежом но и у нас...
а где у нас искать практикантов?
Поищите услугу аудит безопасности - рынок по данной услуге вполне имеется.
UFO landed and left these words here
Google вовремя включила свою фичу, уведомляющая, что кроме тебя ещё кто-то пользуется почтой.
А это вы о чем? Расскажите подробнее, пожалуйста.
незнаю поднимался этот вопрос или нет, а карму romanser сам себе накрутил чужими акками, или это благодарные люди за 13 дней так накинули ?
За 2 дня. Рекорд, наверное.
не в обиду будет сказано, скорее от зависти (=
а че завидовать, он наслаждается заслуженными авациями =) присоединяюсь ко всем поддержавшим =)
"Вами коро будут программистов пугать, как нас в детстве Бабайками пугали :)"

Ну это конечно перебор.
romanser сам знает, что шумиха эта скоро утихнет.
bestperson.ru это не гуглъ, о нем знает боюсь предположить какая доля процента интерент-пользователей.

Это все-таки локальный хак, но с правильной идеей, хоть и с немного пафосной реализацией.
Зачем нужен bestperson кстати?
Нажимаю кнопку "Удалить аккаунт" на бестперсонс и после оптимистичного сообщения "ваш аккаунт удален" попадаю опять на страницу профиля где все данные так и остались указанными. Это так модно?
после входа/выхода данные пропали, но в страницу до сих пор можно залогиниться. И что-то мне подсказывает, что номер моей аськи никто не удалил.
скоро и лебедев сам пропишит себе в title заветные 9c951267…
Мой простой вопрос... Хакер - человек разбирающийся во многих аспектах безопастности, находящий и отправляющий отчеты к авторам уязвимых систем. Зачем Вам шалить? Зачем хулиганить? Зачем хвастаться определенными успехами? Нужно всего лиш выдать данные о уязвимости проавйдеру у котрого обнаружена уязвимость, и лиш потом, после ее исправления сообщать об этом. Разве не так? Самохвальство не лучшая деятельность для профессионалов. Настоящий хакер, он нато и хакер, для сообщения о критических ошибках у кого они их нашли, и лиш после исправления их сообщать остальным.

Без обид - Вы не хакер, а Какер. Срать и унижать других, тыкая их носом, не сообщив им об ошибках делают лиш Какеры.

Например моя цель - обнаружение ошибок в локальных и корпоративных сетях, и сообщение о них хозяевам сети, даже если они игнорируют это, не стоит выкладывать это на общее обсуждение, это только их дело, а не других.

Есть такая вещь как - Этика. И она должна касаться всех.
Да какая в жопку этика, это же пиар и антипиар - "два в одном", разуй глаза.
обнаружение ошибок в локальных и корпоративных сетях, и сообщение о них хозяевам сети, даже если они игнорируют это, не стоит выкладывать это на общее обсуждение, это только их дело, а не других
Использование дыры в корпоративной сети как правило наносит ущерб фирме, а не конкретным людям (хотя бывает по-всякому). Если руководство фирмы не хочет затыкать дыру — оно создаёт проблему самому себе. В этих условиях не выкладывать в public информацию о найденных дырах — нормально. Более того, если Вас пригласили как специалиста для исследования сети — Вы и права не имеете публиковать информацию о дырах без согласия нанимателя.

Но здесь ситуация совершенно иная. Владельцы ресурса в разглашении не заинтересованы, страдают от дыр не владельцы, а пользователи ресурса, и посмотреть профиль romanser ни был нанят владельцами ресурса для исследования его безопасности. В этих условиях он имеет полное право разгласить информацию о найденных дырах, для предупреждения пользователей ресурса. Просто с точки зрения этики он должен был дать возможность владельцам ресурса заткнуть дыры до их публикования.
Вы путаете исследование корпоративной сети специалистом нанятым руководством фирмы и поиск бага независимым хакером в публичном сервисе. В первом случае Вы не имеете права публиковать информацию о найденных уязвимостях без разрешения нанимателя, плюс от принятого нанимателем решения "не затыкать дыры" как правило пострадать может сам наниматель, так что он полностью в своём праве принимая такое решение. Во втором случае никаких обязательств перед сервисом у хакера нет, пострадать от уязвимости могут пользователи сервиса, а не его руководство, и руководство зачастую не заинтересовано ни в публикации информации об уязвимостях ни в затыкании дыр.

В этих условиях это не "только их дело, а не других", и опубликовать информацию об уязвимости крайне желательно, в интересах пользователей сервиса — вне зависимости от того, заткнули дыру или ещё нет. А с точки зрения этики нужно просто дать возможность заткнуть дыру до выкладывания информации по уязвимости (сообщить им полную информацию по найденным проблемам и дать неделю/месяц на затыкание дыр).

И хотя я считаю, что этику нужно соблюдать, нельзя не признать тот факт, что эффект для пользователей будет значительно больше если информацию опубликовать сразу. Ибо пока жареный петух не клюнет никто шевелиться не будет. Одно дело узнать, что где-то когда-то теоретически была найдена какая-то мелкая уязвимость, которую уже (ура!) исправили, и мы в полной безопасности, а другое когда от твоего имени в разных местах появляются сообщения, которые ты не писал. И хотя ошибки делают все, но ошибки бывают разные. Если допускаются грубые ошибки на сервисе, который берётся хранить мои пароли от других сервисов — я считаю что шоковая терапия в этом случае полезнее этичного поведения — если этот сервис сильно пострадает, то возможно другие сервисы задумаются, стоит ли продолжать экономить на безопасности в надежде что их взломает более этичный хакер...
Хабр глючит. Сначала съел комментарий, а когда я написал его второй раз — съел второй но зато показал первый. Вероятно, чуть позже и второй появится, извиняюсь повтор.
А, по-моему, тут две стороны:
1. Это конечно набит себе популярности как хакер (что считается довольно похвальном в их-ней среде), а потом перевести это в, то что он не плохой специалист по веб защите.
2. То что он наглядно показал как администраторы крупных проектов забивают на всё и думают тока о своём. И он им ясно показал, что они не правы и будут долго ещё сожалеть.
Считаю что такого вида показуха излишнее, но ведь надо поставить кому-то наместо всех зажравшихся (хоть и таким не очень красивым способам), ведь это тока подумать по идее судить надо эту фирму (закона зря нету) ведь это не в ус ногой....
bestpersons - R.I.P :(
password - Login?
login - password?
ну ладно, пиши уже контакты, тебя хотят в Майкрософт!
А, по-моему Рунету не нужны такие сайты руководство которых не может (или не хочет) учиться на ошибках. Им (руководству BestPersons) указали на ошибки, указали способы получения паролей, дали время на устранение и что в итоге?
Romanser не сообщал нам о найденной уязвимости до публикации статьи на хабре.
Похоже, chemist просек фишку постинга клонированных сообщений.
Судя по топику Romanser:
7. Сайт выключили, меня попросили сказать, где же именно ошибки на сайте о_О
8. Я сказал: в таких-то полях у вас не фильтруется html, кроме того у вас совершенно не фильтруются GET-запросы и через них можно делать что угодно. Поблагодарили, сказали что исправят.
9. Сайт включили, написали обнадеживающие новости - юзерам ничего не угрожает О_о. //То, что у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства) им, пользователям, знать не нужно.
10. Вечером перед сном решил еще раз зайти на сайт - посмотреть как там с уязвимостями. Обнаружил, что ничего в лучшую сторону не изменилось - поправили XSS в некоторых (не всех) полях, но через GET-запросы все еще можно делать все что угодно. В частности, удалять сообщения других пользователей и постить в их блоги на других сайтах.


Дело не в публикации, а в отношении к личным данным пользователей, которые открытым текстом утекли и еще не известно первый это раз или нет!
А столько шуму было когда только открылся BestPersons. Мда...
Позор им, не признают свои ошибки! Да и исправлять не торопятся.

В своё время обнаружил подобные ошибки на сервисе парковки доменов - можно было ставить переадресацию на любой домен в системе, чем я и воспользовался. Где-то с месяц получал неплохой трафик, а там уже баг закрыли - решил им высказать его, чтобы и самому потом проблем небыло.

Вывод есть только один - рано открылись!
А я клаву новую купил. Клёвая такая, тоненькая, тяжёлая. Нажимаешь как девушку трогаешь.
БП.ру в дауне, а я хочу самоудалиться :'-(
Пользуясь случаем, хочу передать привед всем моим знакомым бичам! Чмоки чмоки!

Ну, просто хотел стать частью момента, гыгы.
БП должны быть благодарны.
И все таки, я думаю все таки всем до сих пор хочется узнать что же за магиская строчка... Romancer, ждем ваших подсказок:)
Лично я думаю, что это кусок md5 от самого популярного пароля на бестперсонс) А вот ответы сайта на некоторые строчки:

login: Password?
password: Login?
9c951267: Too short
romancer: ORLY?!
bestpersons: R.I.P. :(
с утра поменял все пароли, удалился только что с БП!Фпезду его !В твиттере и ЖЖ автор оставил сообщения:(
Могу сказать так, это не только bestpersons.
На однокласниках тоже воруют.
Зарегистрировался я там и больше не заходил... потом черз 3 мес.! Думаю зайду посмотрю...а там под моей учетной записью - уже другой дядя. Вопрос как он зашел и изменил учетную запись? Втихаря :) И судя по всему существуют проблемы везде.
Я считаю, что romanser был как ангел-хранитель bp, извините на шару протестил сайт на предмет безопастности.
Хорошо когда пароли попадают в честные руки.
9c951267 по количеству октетов похоже на ip адрес. 156.149.18.103?
Не пингуется. :(
inetnum: 156.149.0.0 - 156.149.255.255
netname: SONZ-SHEL-NZ
descr: imported inetnum object for SNHCL
country: NZ
admin-c: SAA3-AP
tech-c: SAA3-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MNT-ERX-SHELLCOMPAUST-NON-AU
changed: hostmaster@arin.net 19920213
changed: hm-changed@apnic.net 20031215
changed: hm-changed@apnic.net 20050909
source: APNIC

role: Shell Apnic Admin
address: Shell Information Technology International B.V.
address: Dokter van Zeelandstraat 1
address: 2265 BD Leidschendam
address: the Netherlands
country: NL
phone: +31 70 303 8911
e-mail: IPManagement@shell.com
admin-c: MB223-AP
tech-c: MB223-AP
nic-hdl: SAA3-AP
remarks: Please send abuse reports to abuse@shell.com
mnt-by: MAINT-NEW
changed: hm-changed@apnic.net 20060718
changed: marcel.bouwhuis@shell.com 20080328
source: APNIC
есть возможность подать на них в суд и закрыть их ? я бы сделал это первый! Еще и компенсацию потребовал, ибо пароль который я там использовал - использовался мной во многих разных проектах
Я выяснил настоящее имя Romanserа!!! Его зовут Тимур Бекмабметов!!! Скоро на экранах будет новый фильм (название пока не удалось выяснить),но точно известно, что действие будет происходить в загадочной 9той стране (9th Country = 9c) 9 мая 1267 года. Вот вам и тайна 9c951267.
Только что пришло еще одно письмо с bestpersons. Пишут, что мол извините еще раз меняйте пароли и "В ближайшее время будет опубликован официальный обзор произошедшего и отчет о принятых мерах."
Я ответил, мол давно уже на Хабре все отчеты лежат и получил письмо следующего содержания: "Большая часть приведенной в статьях информации по поводу взлома не соответствует действительности."
Следим за событиями )
Действительно прислали. Это хорошо, что не забили на пользователей совсем. Плохо, что для того, чтобы о них задумались, нужен мощный пинок. Про несоответствие действительности оставим на совести разработчиков. Без этой фразы им было сложно обойтись.
На самом деле роблема чуть двубокая.

Сайты, которые не предоставляют ключ к своему апи для постов (например friendfeed, google services), а принимают только связку логин+пароль, сами подставляют своих пользователей.

С другой стороны, беря на себя ответственность хранения паролей, уже можно позаботиться хотя бы о простейшем 128 битном шифровании, или входе на сайт посредством OpenID. Таким образом решается большая половина проблем и забот, связанная с этим складированием паролей.

На счёт судиться - какая в России законодательная база по этому поводу? Я бы поигрался :)
каждому, кто писается тут от счастья, предлагаю дать адреса ваших личных сайтов этому санитару леса. пусть он поимеет ваш сайт на безопасность. проверит вашу резинку на прочность. войдет к вам на сайт с заднего входа...
о своих ощущениях поделитесь после соития.
Вчера прочел ..сейчас по телеку в новостях показали... теперь думаю может РУнет(разработчики) задумаются о защите.
Какой канал? Может есть где-то запись?
Чем больше народу пишет в эту тему - тем сильнее она светится, тем больше народу ее читает, тем больше внимания она привлекает, тем больше страдает репутация BestPersons и тем больший эффект приобретает эта акция. Кто-то до сих пор думает, что основной вопрос в том, правильно или нет поступил romanser, но суть-то в другом... Вся эта история - это просто канонический пример черного пиара. Не стоит философствовать на тему "хорошо или плохо", даже вопрос безопасности здесь не на первом плане. romanser, отличный заход! )
Спасибо :]. И конечно, спасибо персоналу bestpersons. Без их активной поддержки так весело бы не получилось. Но еще я уверен, что все это принесет много добра будущим и нынешним стартапам. Следите за новостями - еще осталось на сладкое :P
UFO landed and left these words here
Признайтесь, вы не очень сильный физически и вас обежали в школе? Никогда не встречал сильных людей, которые бы так издевались над другими. Ну, РА не в счет, армия вообще ломает психику частенько.
конечно же, обижали
А когда вам в школе учитель ставит двойку, вы тоже считаете это издевательством? Похоже, да. Я же указание людям на их ошибки (и даже публичное указание, если случай почти безнадежный) считаю уроком, а не издевательством. Те, кто подставлял и продолжает подставлять своих пользователей, заслуживают большего урока.
Что-то вы увлеклись ролью спасителя всего рунета и Учителя :) Указали на ошибка - спасибо, реальное спасибо, без шуток. Урок полезен и ценен.
Пример с учительницей не корректен. Учительница ставит двойку и все, а не продолжает пинать свою жертву и обещать завтра поставить еще одну двойку. Хотя, опять же, всякие учителя бывают, не всем везёт с ними.
Вовремя остановится - это искуство не меньшее, чем вовремя начинать. Не принижайте свои победы актами некрофилии над жертвой. Ну или не называйте себя борцом за безопасность в рунете, коим вы хотите казаться, как мне кажется из ваших комментариев.
Мы, ваши почитатели, ждем новых побед, а не пинания лежачего :) Наверняка в Сети ещё остались сервисы и сайты, в которых вы способны найти уязвимости и написать о них на Хабре.
Мы, ваши почитатели, ждем новых побед, а не пинания лежачего :) Наверняка в Сети ещё остались сервисы и сайты, в которых вы способны найти уязвимости и написать о них на Хабре.
Согласно ч.4 статьи 33 УК РФ: «Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом».

:)
ИМХО, правильно сделал, что наказал, в следующий раз не повадно будет.
Почему никто из комментаторов не поинтересовался, зачем вообще bestpersons задумали собирать пароли пользователей от чужих сервисов?
А когда romancer сорвал все планы этим, не плохим, в общем-то, людям, они, конечно, стали исходить на говно.
И кто у нас, простите, ЗНАК и чего он на анонимность romancer'а напирает? У самого профиль пустой.
БП пароли собирает потому, что у них работа такая. Вы бы поинтересовались, что это за сервис сначала...

"Исходить на говно" — это очень грубо и не соответствует действительности. По крайней мере я ничего такого пока в репликах "от имени" БП не замечал.

"сорвал все планы" — полная чушь. В общем, Вы бы сначала изучили обсуждаемый вопрос, а уже потом вставляли свои пять копеек.

Есть сильное подозрение, что посмотреть профиль 3HAK — это виртуал посмотреть профиль METEOP, созданный для обхода ограничения на один комментарий раз в пять минут (у обоих карма в минусах) — слишком уж они "хором" пишут, по очереди отвечая на комментарии. А у посмотреть профиль METEOP профиль заполнен.

Анонимность посмотреть профиль romanser нужна, т.к. то, что он сделал — попадает под некоторые статьи УК. Правда, лично я подозреваю что он таки немного облажался, и про анонимность вспомнил когда ему намекнули в комментариях... так что данные в профиле посмотреть профиль romanser могут быть верными.
Признаюсь, мне не интересен сервсис БП, я не вхожу в его целевую аудиторию. Но он грубо нарушает основные принципы безопасности и провоцирует к этому, будем откровенны, чайников и ламеров.
Если Вы не заметили грубости со стороны защитников БП (виртуалов ли или нет), я за Вас рад, но у меня матерщина (как признак скрытого или явного гомосексуализма) вызывает неодолимое чувство брезгливости и отвращение.
UFO landed and left these words here
Есть такое понятие: показательный процесс. Выбирается относительно случайный объект, который хоть и виноват, но не более чем все остальные, и показательно приносится в жертву. Чтобы другим неповадно было.

Как я уже многократно писал, на мой взгляд качеству и безопасности веб-сервисов не уделяется должного внимания. Ибо для зарабатывания бабла достаточно сделать (и разрекламировать) глючное и дырявое говно, лишь бы быстро и фичи нужные были. Переломить эту ситуацию можно только больно ударив по баблу, другого языка в наше время не понимают, к сожалению.

Безусловно, БП не "заслужили" такой травли. Но они очень удачно подошли на роль объекта для показательного процесса:
  1. взялись хранить чужие пароли, что предполагает повышенные требования к безопасности
  2. не обеспечили безопасность не то что на повышенном уровне, а даже на базовом
  3. продемострировали "традиционное" отношение к проблемам безопасности, вместо реакции которая ожидалась от сервиса с повышенными требованиями к безопасности
  4. продемонтрировали "традиционное" отношение к пользователям, вместо опять таки ожидаемого от такого сервисаЯ не считаю, что БП "оступились всего один раз" — они просто действовали так, как действует сейчас абсолютное большинство сервисов, т.е. "забили" на безопасность.

    Резюме: я считаю что публичная порка БП пойдёт на пользу всему рунету. На месте БП мог (и ещё может) оказаться практически любой сервис, это все понимают, и именно это заставит уделить больше внимания и ресурсов проблемам безопасности в этих сервиса.

    Ваша же позиция "активной защиты БП" в данном случае не адекватна ситуации. Понятно, что конкретно БП как бы "не заслужил", он ведь такой же как и все... Но по сути его именно за это и травят: что он "такое же как и все". А должен бы быть другим. Как и все.
UFO landed and left these words here
UFO landed and left these words here
ЗНАК, свое отношение к я БП уже выразил, менять его не буду, хоть ругайте меня, хоть сказки читайте.
Про то, что хабраудитория в своем повереднии похожа на обычную толпу, каждому должно быть понятно.
romancer не герой, просто в данной ситуации он занимает позицию силы, и он прав. А Ваше поведение в этом топике жалко и не достойно мужчины. Собственно, оно только ухуждшает отношение людей к БП. Прекратите их "защищать" или смените тактику.
Повезло, что я удалил свой аккаунт за месяц до происшествия. :-)
Only those users with full accounts are able to leave comments. Log in, please.