Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 57
Вчера случилась беда,
комп подсказал, что кабель порвал сатана.
Скорее спешите исправить фигню,
Пришлите кабелящика в нашу избу.
Сами не можем исправить мы сетку,
без ЭГо повесим себя мы на ветку
комп подсказал, что кабель порвал сатана.
Скорее спешите исправить фигню,
Пришлите кабелящика в нашу избу.
Сами не можем исправить мы сетку,
без ЭГо повесим себя мы на ветку
Творчество сумасшедших из «Понедельник начинается в субботу»?
Вот это еще неплохо:
Здравствуйте, как я понял, вы заблокировали http. Видимо вам прислали запрос. В общем SQL инъекции я сделал в образовательных целях. И никакие linux серверы взламывать не собирался, какой смысл лезть дальше под вашим IP. А тем кому написал нехорошие url запросы, ничего деструктивного не случилось, так как запросы были безобидные типа: «проверка на уязвимость апострофом», «количество полей в базе», «имя юзера», «имя базы данных», и «индекс в базе текущей страницы». А загружать шелл на их сервер я бы не рискнул.
В общем, делать это не буду больше. Я занимаюсь лишь созданием (написание драйверов на Linux, чистый Win32, DirectX, и вот недавно всё сменилось на Веб: Flex+Java+JavaScript), а так как на веб перешёл вот и получилось так, что веб привёл в эту сторону и любопытство одолело на миг, попался как первоклассник.
Я не хакер. И это видно так как был замечен, а так как был замечен, угрозы не может исходить. Опытный бы не допустил такого.
Здравствуйте, как я понял, вы заблокировали http. Видимо вам прислали запрос. В общем SQL инъекции я сделал в образовательных целях. И никакие linux серверы взламывать не собирался, какой смысл лезть дальше под вашим IP. А тем кому написал нехорошие url запросы, ничего деструктивного не случилось, так как запросы были безобидные типа: «проверка на уязвимость апострофом», «количество полей в базе», «имя юзера», «имя базы данных», и «индекс в базе текущей страницы». А загружать шелл на их сервер я бы не рискнул.
В общем, делать это не буду больше. Я занимаюсь лишь созданием (написание драйверов на Linux, чистый Win32, DirectX, и вот недавно всё сменилось на Веб: Flex+Java+JavaScript), а так как на веб перешёл вот и получилось так, что веб привёл в эту сторону и любопытство одолело на миг, попался как первоклассник.
Я не хакер. И это видно так как был замечен, а так как был замечен, угрозы не может исходить. Опытный бы не допустил такого.
Epic Fail
Вы хотели похвастаться?
Нашел дырку — сообщи кому надо. А разглашая сведения о дырке Вы привносите, возможно, еще больший вред конкретным людям(!!!), нежели этот чудо провайдер.
Не понимаю я когда вот так вот делают…
Нашел дырку — сообщи кому надо. А разглашая сведения о дырке Вы привносите, возможно, еще больший вред конкретным людям(!!!), нежели этот чудо провайдер.
Не понимаю я когда вот так вот делают…
Кому надо сообщено уже часов 5 как.
Данные лежат в гугле, собственно, где и нагуглились.
Данные лежат в гугле, собственно, где и нагуглились.
… выстрелы прозвучали почти одновременно.
>База обращенйи пользователей «Новотелеком» в поддержку на публике: t.co/PoETdW4U Читать t.co/DJJKUk0Q (15 минут назад)
Надеюсь ты сгоришь в аду.
Надеюсь ты сгоришь в аду.
Вы хотели продемонстрировать неумение читать? Великолепно получилось, я считаю. Я оповестил их по телефону. Описал проблему. Мой товарищ создал тикет. А вот через несколько часов мы решили предать огласке этот неприятный момент в их работе. Потому что данные уже по сети растеклись. Причём дырку нашёл в Гугле вообще человек с Сахалина. И лавину породил он, я лишь работаю на предотвращение.
>В течение нескольких часов после оповещения проблема всё ещё не решена
Выложу пожалуй ее на хабру, помогу людям. Ну за ппц простите.
Выложу пожалуй ее на хабру, помогу людям. Ну за ппц простите.
Ку, росреестр даже ничего и не скрывает, все находится через его встроенный поиск.
Реестр кадастровых инженеров ФИО, номера телефонов, адреса, паспортные данные
Реестр кадастровых инженеров ФИО, номера телефонов, адреса, паспортные данные
Ну конечно, лучше же на хабре написать, чем админам сайта.
В 221 ФЗ (О кадастре), 30 статья:
9. Государственный реестр кадастровых инженеров подлежит размещению на официальном сайте органа кадастрового учета в сети «Интернет».
30 статья Пункт 2 говорит о том, какие сведения относятся к реестру, именно они и публикуются. Туда входят и ФИО и паспортные данные и тд.
Ну а в 152 ФЗ (о перс. Данных ) сказано:
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
9. Государственный реестр кадастровых инженеров подлежит размещению на официальном сайте органа кадастрового учета в сети «Интернет».
30 статья Пункт 2 говорит о том, какие сведения относятся к реестру, именно они и публикуются. Туда входят и ФИО и паспортные данные и тд.
Ну а в 152 ФЗ (о перс. Данных ) сказано:
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
По теме
7125 — уникальных рабочих email. неплохо.
grep "email: " tickets.log |awk -F# '{printf $3 "\n"}'|sort|uniq|wc -l
7125 — уникальных рабочих email. неплохо.
Там и пароли попадаются.
Думаю, что 7125 уникальных рабочих email, с географической и тематической привязкой — это не плохой вклад в копилку спамера.
Есть места где такие мыла продают от 100к. Так что от 7к мыл опять же толку мало(
Ага… таким же макаром можно выдрать номера телефонов и совершить обзвон.
Эта тематическая привязка имеет очень хороший порог вхождения.
«Здравствуйте, мы компания Мегпапупер-телеком, мы узнали что Ваш провайдер потерял ваши персональные данные, сделал их доступными для всех пользователей Интернет. Мы предлагаем Вам подключиться к нашим услугам. В нашей компании безопасность пользователя и его данных на первом месте.»
или
«Мы юридическая компания Новосибирска. Нам стало известно что Новотелеком открыл доступ к Вашим персональным данным. Мы готовы помочь Вам с подачей иска в суд и получении возмещения ущерба.»
Эта тематическая привязка имеет очень хороший порог вхождения.
«Здравствуйте, мы компания Мегпапупер-телеком, мы узнали что Ваш провайдер потерял ваши персональные данные, сделал их доступными для всех пользователей Интернет. Мы предлагаем Вам подключиться к нашим услугам. В нашей компании безопасность пользователя и его данных на первом месте.»
или
«Мы юридическая компания Новосибирска. Нам стало известно что Новотелеком открыл доступ к Вашим персональным данным. Мы готовы помочь Вам с подачей иска в суд и получении возмещения ущерба.»
В рунете последним писком моды стало искать утечки личных данных и громогласно о них сообщать. Смешно :)
Да ладно. У нашего провайдера вобще в открытом доступе на ftp я нашел всю инфу по предоставляемому виртуальному хостингу со всеми файлами (php, html и др) с возможностью чтения содержимого. От туда соответственно можно было узнать логины и пароли на почту, админку сайта и ко многим другим интересным местам.
Аналогично же были найдены файлы с именами подключений к этому провайдеру, именами абонентов и их адресами.
И все это через чертов гугл ((%
Аналогично же были найдены файлы с именами подключений к этому провайдеру, именами абонентов и их адресами.
И все это через чертов гугл ((%
> Новосибирские абоненты с восторгом обнаруживают в логах свои фамилии, е-мейлы и телефоны.
Учитывая сколько народа зарегистрированно в различных соц сетях и что они указывают о себе кучу правдивой личной инфы, то пусть новосибирские абоненты с восторгом обнаружат, что эта утечка для них не самое страшное.
Учитывая сколько народа зарегистрированно в различных соц сетях и что они указывают о себе кучу правдивой личной инфы, то пусть новосибирские абоненты с восторгом обнаружат, что эта утечка для них не самое страшное.
Присоединюсь. По сути — нарыв инфу в соц. сетях различных. Можно, так сказать, инициировать утечку. Ну т.е. сделать «вид», что она была.
Делаем файлик из 50, к примеру, человек. Выкладываем. И говорим, что «они были стащены с сайта ололо.ххх». Всё. Потом, конечно, выяснится, что никто ничего не ломал, но репутация запятнается.
Делаем файлик из 50, к примеру, человек. Выкладываем. И говорим, что «они были стащены с сайта ололо.ххх». Всё. Потом, конечно, выяснится, что никто ничего не ломал, но репутация запятнается.
Кстати. В заголовке мало желтизны! Надо было написать: «Сенсация! Данные жителей Новосибирска выложены в сеть!».
p.s. Мде…
p.s. Мде…
Всё проспал. Если у кого остались сохранённая копия — обезличьте и выложите в публичный доступ, пожалуйста. Поскольку, как мне кажется, провайдер не будет публично заявлять о том, что подобный инцидент был и, что самое главное, абоненты не получат информации о том, какие их данные могут находится в посторонних руках.
если Вам очень хочется — гуглокэш в помощь
там нет уже
Если у гугля спросить «cache:tv2.cn.ru/ftp/ticket/tickets.log» (без кавычек) то всё вполне на месте
гм, и правда.
А он изначально был таким маленьким или это гугл его так?
В комментарии выше идёт речь о 7125 e-mail адресах, в гуглокеше я насчитал только 299.
2007 год. Ну ниче так, столько лет файлик лежал и стрельнул только сейчас.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новосибирский провайдер «Новотелеком» выложил данные о пользователях