Comments 86
Еще один пример того, что нечего помогать большим корпорациям, если это не открытая bug-bounty программа, а то вместо благодарности только проблемы получишь.
Не только большим. Нашел пачку мелких багов, глюков и актов насилия гуи над логикой пользователей в местной поликлинике. Написал им подробно что, где, в каких случаях, как избавиться. Был так доволен собой, что впал в легкий шок от ответа местного админа — всё знаем, ничего делать не будем, а на тебя можем и в суд подать чтоб не лазил где попало.
Потом выяснилось, что ПО писал какой-то школьник на оутсорсе, исходников не дал, после пары доработок пропал и на связь не выходит. Вот написали бы сразу, мол просто нет возможности доделать. Так нет же, начали с угроз. Как говорится ложки нашлись, а осадочек остался.
Потом выяснилось, что ПО писал какой-то школьник на оутсорсе, исходников не дал, после пары доработок пропал и на связь не выходит. Вот написали бы сразу, мол просто нет возможности доделать. Так нет же, начали с угроз. Как говорится ложки нашлись, а осадочек остался.
Поэтому я думаю, что лучше не помогать корпорациям, а тихо молчать в тряпочку. Дабы не встретить полицая, который будет тыкать тебе винтовкой в лицо.
«Уж сколько раз твердили миру...»
Буду краток: мудаки!
Надо продавать нахрен дыру — и вероятность попасться меньше, и если таки натянут, то хоть будет за что.
Пожелаем компании, чтобы им не попадались такие добрые люди, не пользующиеся уязвимостями их систем, чтобы следующий, найдя такую базу данных, наносил миллионные ущербы, пока они не научатся думать, прежде чем жаловаться.
А как может быть несанкционированный доступ, если это был открытый ftp?
Теоретически, может. Если дверь не закрыта на замок — это (в общем случае) ещё не означает, что в неё разрешено проходить каждому желающему. Особенно если там было предупреждение типа «данная информация только для сотрудников компании такой-то».
Хотя, конечно, по самому своему смыслу эпизод вопиющий. Желание помогать кому-либо, указывая на проблемы с его безопасностью, такие вот ситуации отбивают очень сильно.
Хотя, конечно, по самому своему смыслу эпизод вопиющий. Желание помогать кому-либо, указывая на проблемы с его безопасностью, такие вот ситуации отбивают очень сильно.
Очевидно же, что подобные исследователи наносят вред бизнесу: приходится оплачивать время сотрудников на исправление проблем, терять убытки вследствие падения репутации от публикаций о найденных уязвимостях. Вот поэтому бизнес и огрызается. Когда вопрос касается денег — мораль отходит на второй план.
А раз нет юридической разницы между исследовательским и злонамеренным поиском уязвимостей, то зачем строить из себя белого и пушистого? Например, анонимно выложить уязвимость в паблик, а затем подать коллективный иск от пострадавших пациентов.
А раз нет юридической разницы между исследовательским и злонамеренным поиском уязвимостей, то зачем строить из себя белого и пушистого? Например, анонимно выложить уязвимость в паблик, а затем подать коллективный иск от пострадавших пациентов.
А потыренные ПД пациентов не нанесут ущерба бизнесу? Это как сказать водителю грузовика, что у него колесо спущено, а в ответ получить в глаз за то, что работать мешаешь.
А что, разве так в жизни не бывает?
Бывает, но мне почему-то думалось, что в клиниках должны работать люди слегка умнее, чем самые тупые из водителей.
Вы переоцениваете человечество.
Как-то переходя улицу увидел, что у Газели, стоящей на светофоре, течет радиатор. По доброте душевной сказал об этом водителю. В ответ чуть ли не матом был послан. После таких моментов начинаешь терять веру в человечество.
UFO just landed and posted this here
Это для Вас. А вот для сферического обывателя логика, как мне кажется, может быть строго противоположной. Сам факт того, что слова «утечка данных» и имя компании оказались в одном предложении, может оставить неприятный осадок и негативно сказаться на репутации.
Согласен с предыдущим оратором. Когда была первая информация об отзывах машин, то люди полагали что машины при этом забирают и утилизируют, ибо в них обнаружился фатальный недостаток и компания, которая делает отзыв, плохая, ибо бракоделы. Не то что ВАЗ, у которого такого понятия как отзыв или не было или о нём не слышали. Лажают все, но кто-то исправляет недостатки(и они плохие), а кто-то — «у нас нет брака, это слухи»(это не про ВАЗ в данном случае, а про даже 2х других производителей), хотя форумы полны сообщениями о проблемах и иногда о победе над ней, но для не читавшего они хорошие. Люди видят страшное слово в тельавизоре — отзыв, взлом, утечка и паникуют, выход — прикинуться вето^Wfl.ru/jd.com и не отcвечивать.
Так а смысл-то какой огрызаться? Чтобы «неповадно было»? Компания же от этого ничего выиграть не может — мало того, что она будет медленее залатывать такие уязвимости, потому что дополнительные помощники уйдут, так еще эти уязвимости будут втихоря пордаваться заинтересованным людям. Что мешает похорошему договориться, в том числе и о том, чтобы не публиковать информацию в блоге?
Тут вообще имеет место быть такой интересный эффект. Мы ведь не знаем сколько и кто к компании обращается, может у них накоплен богатый опыт шантажистов которые точно так же начинали… Естественно они сразу будут пресекать такую деятельность, дабы и мысли не было.
А может админам/безопасникам пофигу на сайт им бы текущий год продержаться и сдать его преемникам, а высшее руководство как бы не в курсе остроты конфликта.
А может админам/безопасникам пофигу на сайт им бы текущий год продержаться и сдать его преемникам, а высшее руководство как бы не в курсе остроты конфликта.
ИМХО не корректно сравнивать интернет с улицей и частными домами.
Интернет — это офисное здание. И чтобы найти нужный офис — иногда надо открыть дверь и осмотреться. А еще, иногда дверь заперта, но достаточно повернуть ручку вверх, чтобы она отломилсь и дверь открылась.
И нормальная контора скажем спасибо, что вы нашли баг в ручках, который отламываются и открывают дверь от того, что ее вверх повернули, а не вниз. Денег может и не дать, например, потому что нету. Но спасибо скажет.
И только идиоты с кашей вместо мозгов за такое подают в суд. По понятным причинам.
Интернет — это офисное здание. И чтобы найти нужный офис — иногда надо открыть дверь и осмотреться. А еще, иногда дверь заперта, но достаточно повернуть ручку вверх, чтобы она отломилсь и дверь открылась.
И нормальная контора скажем спасибо, что вы нашли баг в ручках, который отламываются и открывают дверь от того, что ее вверх повернули, а не вниз. Денег может и не дать, например, потому что нету. Но спасибо скажет.
И только идиоты с кашей вместо мозгов за такое подают в суд. По понятным причинам.
Интернет ведь зона свободной информации? (по крайней мере он таким задумывался).
И если кто-то выставляет свой ресурс наружу, то он должен быть готов к тому, что вся выставленная в интернет информация будет доступна в полном объёме.
Это похоже на то, что если бы человек шёл по дороге, а на ней лежал кошелёк (без явных указаний о принадлежности к кому-либо). Т.е. прохожий его нашёл (среди прочих других вещей, которые могут просто лежать на дороге). В свете событий, описанных в этой статье, прохожий автоматом подпадает под статью «Кража»?
И если кто-то выставляет свой ресурс наружу, то он должен быть готов к тому, что вся выставленная в интернет информация будет доступна в полном объёме.
Это похоже на то, что если бы человек шёл по дороге, а на ней лежал кошелёк (без явных указаний о принадлежности к кому-либо). Т.е. прохожий его нашёл (среди прочих других вещей, которые могут просто лежать на дороге). В свете событий, описанных в этой статье, прохожий автоматом подпадает под статью «Кража»?
Любимая отмазка же. «Это не мы накосячили, нас взломали злые хакеры».
Ну, когда-нибудь до специалистов по безопасности дойдет 'мессадж от системы' — не стоит быть честным и правильным, это наказуемо, сразу идите и продавайте свои изыскания на черном рынке.
Вот будет забавно, когда к каждой такой новости будут в «материалы по теме» добавлять ссылку на анонимные форумы, где идёт торговля уязвимостями.
Возможно, это возымеет положительный эффект — официальные вознаграждения за нахождение уязвимостей пойдут вверх.
Возможно, это возымеет положительный эффект — официальные вознаграждения за нахождение уязвимостей пойдут вверх.
Или станет «специалист по безопасности» == «террорист». «Накрыта подпольная ячейка специалистов по безопасности (запрещённая организация), ранее именовавшие себя White Hat, организованная при местном компьютерном клубе. Как видите на кадрах оперативной хроники, было изъято множество устройств и агитационной литературы на тему защиты информации. Задержанным грозит срок от 5 до 10 лет, в случае подтверждения их причастности хоть к одному случаю доступа к открытым данным срок может быть увеличен до 20 лет».
Отлично так к хакерам с винтовками наперевес заявляться.
К Киму Доткому заявлялись точно также, да еще и с поддержкой вертолетов.
Это ещё что, вот буквально на днях было за комментарий во Вконтакте.
Какая-то ахинея если честно.
Было бы желание «таких» на днях можно наклепать сколько угодно.
Было бы желание «таких» на днях можно наклепать сколько угодно.
Вы это о чём сейчас? Считаете, что видео постановочное, или что?
Да, без дополнительной информации склоняюсь к постановке.
Все таки верить любому левому видео на ютубе дело такое…
Все таки верить любому левому видео на ютубе дело такое…
Левое видео, ага.
Для себя могу сделать вывод, что либо вы не следите за политической обстановкой в стране, либо живёте не в России и просто не верите в то, что тут творится последнее время.
Каюсь не поискал, просто перешел на видео, но если бы была ссылка сразу на новость вопросов было бы меньше.
И дальше с учетом, что там есть постановка суда я не думаю, что дело было только в комментарии, скорей всего комментарий послужил причиной копания.
И дальше с учетом, что там есть постановка суда я не думаю, что дело было только в комментарии, скорей всего комментарий послужил причиной копания.
Ну, в СК говорят, что только за это:
Следственными органами СКР по Санкт-Петербургу возбуждено уголовное дело по признакам преступления, предусмотренного ч.1, ст. 282 УК РФ (возбуждение ненависти и вражды, унижение человеческого достоинства).spb.sledcom.ru/Novosti/item/1042638/
В результате проведения следственных действий и оперативно-розыскных мероприятий задержан 36-летний Артем Чеботарев, который подозревается в том, что 7 февраля 2016 года в квартире расположенной в Калининском районе разместил в социальной сети «В Контакте» информацию, направленную на возбуждение ненависти и вражды, а также на унижение достоинства к социальной группе лиц.
Не, пожалуй я соглашусь всё таки с вами.
Вот интересно, как ещё никто из журналистов и общественных деятелей не задал спецслужбам вопрос, почему же они до сих пор не поймали ни одного автора криптолокеров?
При том, что ущерба от их деятельности с каждым годом всё больше, а сами они даже особо не скрываются: ведут блоги, щедро публикуют мастер-ключи, когда «поддержка» очередной версии завершается, вовсю торгуют своими наработками и т.д.
Возникает вполне конспирологический вопрос: уж не ФБР ли крышует этих криптолокерописателей?
При том, что ущерба от их деятельности с каждым годом всё больше, а сами они даже особо не скрываются: ведут блоги, щедро публикуют мастер-ключи, когда «поддержка» очередной версии завершается, вовсю торгуют своими наработками и т.д.
Возникает вполне конспирологический вопрос: уж не ФБР ли крышует этих криптолокерописателей?
Интересно, почему в статье так часто и упорно упоминаются дети?
Потому что в нормальных странах применение и даже угроза оружием рядом с детьми недопустима.
UFO just landed and posted this here
Вы, были бы готовы рискнуть своей при задержании, ради ребенка потенциального преступника?
А они всегда упоминаются.
И в случае цензуры, и в случае войны, и в случае терроризма. Унифицированная отговорка для «взрослых» людей и политиков.
И в случае цензуры, и в случае войны, и в случае терроризма. Унифицированная отговорка для «взрослых» людей и политиков.
Я вот не понимаю, зачем устраивать маски-шоу и бряцание оружием, вламываясь к подозреваемому, который явно не наркобарон с вооруженной охраной и базукой под подушкой. Просто потешить самолюбие?
Отчитаться (перед начальством или налогоплательщиками), запугать подозреваемого, предотвратить схожие правонарушения («вы видели, как Боба скрутили?!») и т.д.
А как ещё должен выглядеть арест в police state?
Потому что заняться больше нечем. Точно также бывает, когда в каком нибудь богом забытом городке банально переворачивается прицеп на дороге — через 10 минут там будет батальон полицейских и пожарных, хотя хватило бы одного трактора оттащить прицеп с дороги.
Потому что могут. И потому что как раз не наркобарон с базукой (ибо они представляют последствие применения и не хотят ощущать на себе в реальности). А тут и лакомство и игрушка — и задержание и безопасная тренировка, да ещё и по телеку показать могут (пусть только сам себя узнать можешь).
Если бы шли брать наркобарона с охраной и базукой — звонить и стучать не стали бы.
В штатах ношение и хранение огнестрельного оружия не возбраняется. Через это задерживают зачастую вот так. Мало ли чего он там выкинет.
В штатах ношение и хранение огнестрельного оружия не возбраняется. Через это задерживают зачастую вот так. Мало ли чего он там выкинет.
Мир катится в пропасть, безумие шагает по планете.
Такое даже Оруэллу не снилось.
Такое даже Оруэллу не снилось.
Мда. США ну совсем оплот демократии. Там нагрянут, тут закроют. Диву даюсь КАК с их законами можно говорить о свободе человека и личности.: / Там лобби, тут лобби — хоба-на и в тюрьме за то что поковырялся в приставке.
Преступности не так и много (по их словам), да только от законов больше урона. Знакомый поехал работать в какую-то лабораторию в США. Жена сама стирала и ходила за покупками в магазин (300м от дома). Сначала соседи накапали в полицию, что он держет жену в чёрном теле и не даёт машину для покупок, а потом получил судебное разбирательство от прачечной за то, что они не сдают вещи в стирку, как это делают все в городке.: /
Преступности не так и много (по их словам), да только от законов больше урона. Знакомый поехал работать в какую-то лабораторию в США. Жена сама стирала и ходила за покупками в магазин (300м от дома). Сначала соседи накапали в полицию, что он держет жену в чёрном теле и не даёт машину для покупок, а потом получил судебное разбирательство от прачечной за то, что они не сдают вещи в стирку, как это делают все в городке.: /
Все-таки, за ковыряние в приставках сажают больше у нас
потом получил судебное разбирательство от прачечной за то, что они не сдают вещи в стирку, как это делают все в городке.
Звучит не очень правдоподобно. Вы штат/город не уточните?
Описанная история есть частью более общей проблемы — виртуализации фактической работы спецслужб. Вместо поимки реальных преступников гораздо удобнее и безопаснее вламываться в полном вооружении и угрожая оружием в дом с младенцем. А реальных бандитов и терорристов пусть дураки ищут.
Pen testing в наши дни — это как ходить по парковке, пробуя закрыты ли двери машин, дабы потом найти хозяина в ближайшей бигмачне и сказать ему об этом. В большинстве случаев хозяин будет не рад этому и велик шанс по лицу огрести )
Мне вот что интересно, почему эта контора катит бочку на человека указавшего на косяк, а не на тех, кто этот косяк допустил? Логику убили и изнасиловали.
Нашел уязвимость — продай, кто сможет купить. Нефиг бесплатно корпорациям помогать.
Как считают они. Есть часть умных пользователей, которые могут взламывать любые защиты. Вот пусть ломают, качают, обмениваются между собой. Но молча, без выноса в паблик. А обычным людям хватит обычной защиты (двери без замка).
Конечно, по моему мнению клиника не права и их путь по решению проблем с безопасностью ошибочен. Кто кого — рассудит время.
Конечно, по моему мнению клиника не права и их путь по решению проблем с безопасностью ошибочен. Кто кого — рассудит время.
По сути, получается, что производители стоматологического ПО шпионят за пациентами клиник, сливая данные о них на какой-то свой головной сервер. На месте клиник я бы отказался от использования такого ПО. Это как если бы корпорация Microsoft имела полный доступ ко всем документам всех пользователей MS Office. Поправьте, если где-то ошибаюсь. (хотя, учитывая телеметрию в Windows 10, не удивлюсь, если в офисное ПО её тоже встроят или уже встроили)
Не понял, что значит «несанкционированный доступ»? Зашел под анонимусом и все труба ?!
На месте пациентов клиник подал бы коллективный иск против этой компании, мильенов на
несколько, чтоб неповадно было.
На месте пациентов клиник подал бы коллективный иск против этой компании, мильенов на
несколько, чтоб неповадно было.
Может они ему работу предложили
Мда, с такими мерками за взлом гос. сайта можно сразу бомбу на дом сбрасывать.
Если уж они выкатывают задержание за несанкционированный доступ — то пусть заодно выкатывают компании штрафы и сроки за доступ к данным 22К пациентов. За каждого человек N тысяч долларов. Чтоб компания трижды подумала, прежде чем наезжать на человека, который указал им на проблему (если только этот человек не занимается вымогательством).
помоему всё логично. вынуждая таким образом людей одевать черные шляпы спецслужбы увеличивают кол-во преступности и создают таким образом себе работу. ведь не будет преступности не будет и полиции. да и предлогов не будет для установки камер в туалете и спальне.
Вот тебе и демократия со своим равенством и справедливостью на лицо. Гляди не хочу называется.
Страшно подумать, что теперь их мирная жизнь испорчена навсегда. Впряли они теперь смогут спать спокойно, что им прослушку повсюду не установят, что на них досье террористическое не заведут, что на их работе не отразится, что соседи о них не придумают легенд Капоне и тд.
Страшно подумать, что теперь их мирная жизнь испорчена навсегда. Впряли они теперь смогут спать спокойно, что им прослушку повсюду не установят, что на них досье террористическое не заведут, что на их работе не отразится, что соседи о них не придумают легенд Капоне и тд.
Sign up to leave a comment.
Нашел уязвимость на медицинском сайте? Получи визит вооруженных агентов ФБР