Как банки защищают ваши персональные данные — log.txt

[deadmoto]

На хабр то зачем это писать? Есть же специализированные ресурсы :)

[la0]

Здесь охват больше и, соответственно, напомнить о недопустимости подобного можно большему числу людей.
Это и есть главная цель. Именно поэтому я всячески избегаю упоминания ТМ банка, он то тут наименее виноват…

[MuLLtiQ]

> Именно поэтому я всячески избегаю упоминания ТМ банка

Да, а то нам тут непонятно на чей ресурс ссылочка из вашего поста ведет :)

[la0]

Ага =)
Но что-то вида «какойтотамбанк не защищает ваши данные» не самый лучший заголовок.

[zoriko]

Мда, хоть пароли не в открытом виде… Да и судя по дате и контенту — мало и старое.

[la0]

в битриксе по умолчанию даже солится немного. А вот чекворды для сброса паролей нет, но на счастье их срок действия около неск. часов (по дефолту).

[posthuman]

Заголовок нужно заменить на «Как банки НЕ защищают ваши персональные данные».

[la0]

Нет, не думаю. Слишком желтые заголовки — не очень хорошо.

[posthuman]

это понятно, но в статье речь не о желтизне, а о истином состояние вещей.
этот лог файл много стоит, даже не хакер, а простой юзер может использовать социальную инженерию и десяток фишинговых схем, чтобы добиться не плохих результатов. Там куча открытых мейлов.

[la0]

Если бы он действительно много стоил по моим оценкам, я бы заморочился, но уж не на хабр бы писал, а попытался добиться решения проблемы.

[dovg]

Да это же промо-страница на битриксе, там персональных данных нет.

[la0]

хм. email. Информация о том, что возможно клиент банка. Чем не ПД.

[josser]

Я правильно понимаю что тут сайт банка сделаный на bitrix?

[la0]

Ну битрикс и битрикс. Не в битриксе проблема, а в руках всех уровней (от хостеров/сисадминов до разработчиков), которые «недоглядели». Ну и не сайт банка (который судя по всему ASP, и в худшем случае на netforge), а сайт одной фичи

[galex1981]

Думаю что log.txt это просто тестовый лог, и скорее всего никаких реальных данных в нем нет, пот ому просто сброшен не в приватную папку. Обычно на сайтах реальные логи *.log

[la0]

Пресс-релиз от www.computerbild.ru/content/1346937144/promsvyazbank-otkryl-pervyy-v-mire-magazin-bankovskih-kart
Запуск в сентябре, данные вроде конец декабря. Т.е всё это время логер находился на боевых серверах.

[noma4i]

www.aic.ru/log.txt

[bazil11]

facepalm.jpg

[unrealphp]

А администрации сообщили?

[XPyCT]

Извините, вы пост читали?

[unrealphp]

Прошу прощения, пропустил видимо.

[shanker]

Без ссылочки и картиночки (которые были убраны из поста) совершенно неясна суть сообщения и его полезность.
Можно было бы картинку оставить, но замазать чувствительные данные

[pab]

в гуглокэше этой страницы все ссылки остались

[qxfusion]

кстати уже нет…

[Kastrulya]

дыдыш

[qxfusion]

Я говорил про оригинал, ну да ладно.

[Kastrulya]

Ссылка, которая была в посте есть в выдаче. Но НЛО злое, поэтому не буду указывать на конкретное место, но это довольно очевидно. :))

[qxfusion]

Я уже нашел по другому, поэтому вопрос снят.

[la0]

поддерживаю, кому надо(что странно) тот найдёт.

[masterx]

Отписал своей подруге из АДВ на всякий случай.

[la0]

Спасибо. Вы сделали даже больше чем я =)

[Diabllo]

Для большей маскировки надо вообще весь текст убрать и название файла, оставьте только слово «плохо.»

[la0]

Пост в общем-то не про банки, а про log.txt.
Набор для иронии:
Как log.txt защищает ваши ПД? Плохо. Не берите на работу log.txt

[w0den]

▉▉▉▉▉▉ добрый ▉▉▉.
▉▉▉▉ от ▉▉▉▉ ▉▉▉▉▉ ▉▉▉ в ▉▉▉▉▉▉ ▉▉▉ ▉▉▉▉▉▉ не ▉▉▉▉▉▉, ▉▉▉▉ тут.
▉▉▉ ▉▉ и ▉▉▉▉ ▉▉▉: ▉▉▉▉ — плохо. Не ▉▉▉ об ▉▉ и ▉▉▉ (напр. ▉▉▉ ▉▉▉▉) ▉▉▉ свои ▉▉▉▉.

[xldsakamrhahn]

Открыл пост, читаю: «это вырезали, то вырезали, log.txt — плохо». Может убрать этот пост, он уже не несет никакой пользы ни для кого в таком виде.

[la0]

Не уберу я — уберёт НЛО (которое вроде чтит закон, хотя и не с нашей планеты)…

[ChemAli]

Вы бы хотя бы написали что тут было — сейчас это бесполезный набор байтов.

[la0]

Добавил чуть подробностей.

[shanker]

Ну, если Вам не жалко кармы и рейтинга — можете оставить как есть. Но не забывайте, что есть ещё 2 выхода
1. Добавить-таки картинку, но замазать адрес сайта и др. чувствительную информацию, оставив только общее понимание проблемы (ведь НЛО наверняка не нравилось именно наличие чувствительной информации в открытом виде, не замазанной)
2. Убрать в черновики пост

[la0]

Добавил.

[stdanila]

Пароль qwerty123 вам о чем-нибудь говорит? Пароль 123456 замечательный пароль. И если я ношу флэшку в кармане, это не значит, что я админ или менеджер.

[qxfusion]

ее просто НЛОфицировали до валидного содержания :D

[qxfusion]

Нужно добавить что:
— это был не основное ядро сервиса, а дополнение
— основанное на ядре Битрикс
— в данный момент баг пофиксили

[nikitasius]

Лог файл оттуда уже убрали. Ни у кого не осталось копии, почитать перед сном?

[nikitasius]

Можно использовать и консольный gnupg, только зачем? Если логи закрыть для учетки вебсервера, то их никто не прочтет, а если получат доступ к серверу, то логи не расшифруют (без закрытого ключа), но конфиги-то утянут, а они не зашифрованы. А по ним уже и получат нужные доступы.
Пустая трата процессорного времени и ресурсов машины.