Új hozzászólás Aktív témák
-
sutszi
veterán
Gondolom a jelenlegi weboldalt szomszéd pistikével csináltatták és jóformán senki sem üzemeltette a rendszert. Örültek mert megúszták néhány tízezerből...vagy pár pizzából... Nem értem miért lepődnek meg? Abba bele sem megyek, hogy adutiáltatták-e egyáltalán? Mert szerintem azt sem tudják mi az.
Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage
-
xmaas
őstag
Valami suttyok ehesek voltak de nem volt "pinz" az ilyeneket ki kene nyomozni es jo buntetest rajuk verni hogy tobbe ne legyen kedvuk ilyen dolgokat csinalni
-
senior tag
Az adutiálról én sem tudom mi is lenne, mellesleg biztosan ugy tortenhetett, ahogy te elkepzelted.
En is rengeteg helyen hasznalok univerzalis felhasznalonevet es jelszot, amit nem sajnalok ha barmi folytan odalesz.
A 'regisztralj facebookoddal' oldakra persze sokan igy lepnek be az egyszerusege vegett...Új S23 / S24 / S24+ / S24 Ultra rendelhető! /// People with passion can change the world for the better |||
-
CactuS
Arcképgyáros
válasz LurkerSheik #3 üzenetére
Az eredeti weboldal kódjából van:
<meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />
Sajnos ez tényleg elég régi volt, már nagyon régen nem támogatott az 1.5-ös Joomla. De akkor sem feltétlenül kellene ilyen szinten pálcát törni egy kis cég felett, ahogy a #1-ben leírja a kolléga. Lehet, hogy ők rendesen fizettek érte valakinek, csak az a valaki végzett hanyag munkát.
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
sutszi
veterán
válasz LurkerSheik #3 üzenetére
Azt elírtam. Auditálást akartam írni... Időként tesztelni kell a meglévő rendszereket, mert az IT világ igen nagy sebességgel halad körülöttünk és ha megállunk akkor nagyon csúnya vége lehet a dolognak...
(#4) CactuS : A pálcatörés oka, hogy ismerem az ilyen "kis" cégek hozzáállását. Fontosabb a főnöknek, hogy X6 legyen M packetel, mint az, hogy rendben legyen a cég... Árajánlatnál kiakadnak mi kerül valami annyiba amennyibe. Utána keresnek valakit aki megoldja okosba töredék pénzből. De utólag ennek is megvan az ára... Ráadásul az a tudat van bennük, hogy egyszer megcsináltatják és azt hiszik, hogy az utána perpetum mobile és nem kell csinálni semmit. De ez sem másabb mint bármely használati eszköz. Időnként szervizelni kell.
Egyébként a google tárolt változatában az oldal forrásában még most is megtalálható a hacker által beírt szöveg, amiben ott a neve és az linkek ahonnan elérhetők az adatok. Szerencsére már nincs a linkeken semmi...
[ Szerkesztve ]
Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage
-
hemaka
nagyúr
pizzas oldalt hackelni, lol
-
-
-
7s26c
senior tag
Az utolsó ember a Földön a szobájában ült. És akkor kopogtak az ajtón…
-
Real_Gabe
tag
Nem olyan rég a pizzadicasa.hu volt trójaival fertőzve. Legalább egy hónapba telt nekik míg javították az oldalt és nem kapcsolták le közben!
Nekem az Eset azonnal jelzett és tiltotta az oldalt. Mivel kb. 2 hét elteltével is vírusos volt az oldaluk, Facebook-on rájuk írtam és azt mondták, hogy tudnak a dologról és dolgoznak rajta!
De le nem kapcsolták volna az oldalt, had fertőződjön a kedves vendég, ha nincs megfelelő védelme![ Szerkesztve ]
sáríála
-
8th
addikt
Micsoda hír. Megéheztem.
-
sutszi
veterán
Arra gondolsz, hogy nincs megfelelő biztonsági szakértő csapat aki el tudná végezni, vagy másra gondolsz?
Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage
-
-
sutszi
veterán
Közvetlenül nem. De a visszajelzések érintették a munkám...
Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage
-
st3v3np3t3r
veterán
"Az internet sok gyerek számára az önmegvalósítás eszköze. Lehetővé teszi, hogy felfedezzék, kik is ők, és mivé akarnak válni, ez azonban csak akkor működik, ha megmarad magánjellegűnek és névtelennek, ahol lehet úgy hibázni, hogy közben senki sem figyel meg. Attól tartok, az én generációm volt az utolsó, amely élvezhette ezt a szabadságot." - Edward Snowden
[ Szerkesztve ]
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
őstag
pizza hackerek - komoly.
Aminek kerekei, vagy mellei vannak, azzal előbb-utóbb gond lesz.
-
nem akarom konkrétan leírni a történetet, hogy ne lehessen guglival egyszerűen megtalálni, de aki ismer, emlékszik, hogy mit csinálok, az össze fogja tudni legózni.
nemrég kitalálták, hogy bizonyos szoftvereket auditáltatni kell. majd kiderült, hogy az auditori feladatokra pályázni kell, és valahogy úgy alakult, hogy egy cég felel meg. ez még csak egy kis magyar életkép, börleszk azután lesz belőle, hogy kiderült, túl sok mindenkire vonatkozik az auditálási kötelezettség, így elkezdték lazítani a feltételeket, majd a vége az lett, hogy ÖNBEVALLÁS alapján adták ki az auditálási bizonyítványt.
szerinted te megbuknál egy olyan auditon, amit önbevallás alapján készítenek el két megyével arrébb?
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dragon1993
őstag
Auditálás ?
A valóságban kapnak egy 80-100k-s árajánlatot, ha felveted nekik, hogy havi 1k a frissítés már mást keresnek mert lehúzod őket, de a másol oldal se szent dolgoztam olyan rendszeren amit egy 2 éves is feltörne, mert egy elsőéves egyetemista írta aki azt se tudta mi az az sql injection, persze ilyenkor lehet mondani, hogy miért nem írod újra, a válasz az, hogy a főnök szerint működik, te tedd bele az új feature-t és kuss.
-
Realradical
őstag
Nagyobbacska auditálással foglakozó nemzetközi cégek meg kiküldik az embert aki meg tudja futtatni "A Scriptet". Majd minden évben megajánlanak róla egy tételt javításra. "A Script" persze változatlan.
Things that try to look like things often do look more like things than things
-
válasz Realradical #22 üzenetére
fenti auditálásnál kaptam egy kérdőívet, ami arra volt kihegyezve, hogyha az ügyvezető igazgató notebookján futtatjuk azt a bizonyos szoftvert, akkor a gyereke otthon hozzáfér-e.
egy lendülettel ment a kérdőív a darálóba...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Na, ez engem is érint. Mondjuk ott a jelszavam 11111111 volt, szóval...
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
Na hát brutális teljesítmény volt "feltörni" egy pizzázó ezer éves elavult weblapját.
Feltételezem tizenéves gyerek csinálta poénból hogy henceghessen az iskolában. Csak annyi esze nincs hogy ha elkapják ilyen baromságért akkor azt életre megemlegeti meg a környezete is. -
st3v3np3t3r
veterán
válasz MasterDeeJay #25 üzenetére
Nos, ha már adatról van szó, akkor nézzük:
- Volt-e a pizzéria weboldalát üzemeltető személynek vagy cégnek engedélye az adattárolásra? Egyáltalán be volt-e jelentve az Adatkezelő hivatalnál hogy adatot kezelnek? Nem? Akkor a pizzéria is bajba kerül, nem csak a hacker,feltéve ha megtalálják, bár kétlem, ha csak nem hagyott hátra D.F.-et...ha nem, akkor soha nem lesz meg, mivel f*hungary@to*** mail címet adta meg, így vagy
T.A.N.-on kersztül csinálhatta vagy
szerintem inkább intraneten(belső hálózatról,pl nyílt wifin) keresztü. Kisebb a kockázat,tehát a gép IP-je D.F. hiányában nem lesz meg...bár ha kezdő, a célpontból ítélve talán az, biztos hogy hagyott hátra valamit...Én pl nem kínlódtam volna WAN-on keresztül. Sajnos a felmérés valós lehet, minden 3.dik router sebezhető beállítási hiányosságok miatt. Alapértelmezett jelszó használata,nincs wifi elszigetelés(bár ezt kevés router tudja)...
Nagyon sanszos hogy a szerver és a wifi egyazon routerről ment...szerintem...
[ Szerkesztve ]
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
CactuS
Arcképgyáros
válasz st3v3np3t3r #26 üzenetére
Naih-hoz nem kell feltétlenül minden esetben bejelentkezni. Vannak kivételek, vagyis 2016-ban még biztosan voltak.
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
st3v3np3t3r
veterán
Mivel a pizzéria webáruháznak minősül így köteles a NIAH felé bejelentést tenni mint adatkezelő és feldolgozó... De eleve az infotörvényt is megszegte, mert maga az adatkezelés módja nem felelt meg a biztonságos adatkezelésnek, a hacker állítása szerint nem voltak titkosítva a jelszavak sem, meg az egyéb személyes adatok sem...ha már személyes adatokat tárol(név,cím,telefonszám,email,jelszó,születési dátum,stb) egy cég vagy természetes személy, jelen esetben a pizzéria, már bejelentési kötelezettsége van, mert személyes adattal vissza is lehet élni. Jelen helyzetben a pizzéria is nagy bajban van, az is bejelentés köteles, ha hírlevelet küld egy oldal!
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
CactuS
Arcképgyáros
válasz st3v3np3t3r #28 üzenetére
Önmagában az, hogy webaruház, még nem jelent bejelentési kötelezettséget.
Szerk:Megnéztem, még mindig ott vannak a kivételek a naih honlapján.
[ Szerkesztve ]
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
st3v3np3t3r
veterán
Amúgy ha de a DonPepe, se a PizzaCasa pizzéria nem mentesült az adatvédelem/adatkezelési bejelentési kötelezettség alól, akkor miért pont a Cézár mentesülne?
Aki adatot tárol és feldolgoz valamilyen formában, arra vonatkozik az infotörvény és a hatóságnak nyilvántartásba kell venni! Csak egy pici pizzéria ezen akart spótolni.de a spórolás megbosszulta magát...Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
Male
nagyúr
Mondjuk a konkurencia oldalán meg PHP-s deprecated üzenet jelenik meg már legalább fél éve... remélem azért kicsit ránéznek most ők is, mielőtt baj lesz.
-
haxiboy
veterán
Valami script kiddie letöltött valamit a hackforumsról és most vagánykodik.
Tény hogy itt az 1.5 joomla a ludas mert annyi az exploit mint égen a csillag, na meg nem szép dolog a mai világban plain textben bármit tárolni nemhogy jelszavakat.
Példát kéne statuálni egy jó kis büntivel (amit még kibírnak mondjuk bevétel % alapon) súlyosbító körülménnyel hogy bár tudtak a dologról nem szóltak róla.
Talán akkor más cégek elkezdenének odafigyelni hogy ne büntessék meg. Én kapásból a saltolást is kötelezővé tenném. Na meg az ssl-t ha már itt tartunk. Ma már olyan könnyű a Man in the middle vagy session hijack hogy egy telefon is elég hozzá nem kéne szopatni az usert.
[ Szerkesztve ]
Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)
-
-
Szerintem valamelyik egyetemista hülyegyerek próbált bosszút állni.
Saltolás alap, meg kell egy normális hash függvény, pl SHA256. A MITM csak a régi TLS-eknél használható, amihez a támadottnak régi, gagyi kliensel kell rendelkeznie.
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
CactuS
Arcképgyáros
Én nem azt mondtam, hogy egy pizzéria vagy ők mentesültek a naih bejelentés alól, nem értem, hogy miért kevered ide a don pepet. Én azt mondtam, hogy önmagában az, hogy webshop nem jelenti azt, hogy bejelentési kötelezettsége van. Ott a GYIK a naih oldalán.
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
st3v3np3t3r
veterán
Nos akkor mégegyszer....
NAIH GYIK 11.pontja
11. Be kell-e jelenteni a nyilvántartási rendszerbe
a) az olyan adatkezelést, amely az adatkezelővel ügyfélkapcsolatban lévő
személyek adataira vonatkozik?
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi
nyilvántartásba bejelenteni, ha:
az adatokat közvetlenül az érintettektől veszik fel,
- az adatkezelés célja az érintett számára ismert,
- a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre
meghatározott,
- az adatokat csak az előre meghatározott céllal összefüggésben
használják fel,
- az adatok nem kerülnek ki az adatkezelő kezeléséből (ide nem értve az
adatfeldolgozónak történő adatátadást),
- az érintetteket minderről megfelelően tájékoztatják.Talán ha még sem volt neki kötelező bejelenteni, akkor is megszegte az infotörvényt,mivel a személyes adatokat nem tárolta megfelelő módon, tehát így is,úgy is bajban van a pizzéria...
[ Szerkesztve ]
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
CactuS
Arcképgyáros
válasz st3v3np3t3r #39 üzenetére
Még mindig erről a szerencsétlen pizzériáról beszélsz... Olvasod azt, amit írok? Vagy csak tolod a ctrl+c, ctrl+v-t?
Az infótörvényt meg sem említettem, nem tudom miért akarsz engem mindenáron meggyőzni, de nagyon lelkes vagy.
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
st3v3np3t3r
veterán
Persze olvasom de látom nem érted mire akarok kilyukadni ugye... Mindenki a hackert szidja! Valahol jogos, amit tett az etikátlan,ha egyszer meglesz vaskos büntetést fog kapni amiért nyilvánosságra hozta. Másrészről hibás a weboldal üzegeltetője is(tök mind1 ki), mivel az infotörvényben meghatározott feltételeknek nem felelt meg, ha egyáltalán lehet hinni annak amit a Hacker kiírt, hogy titkosítatlanul voltak tárolva a személyes adatok(mint pl. Jelszó, de miért is személyes adat a jelszó, mert természetes személyhez köthető közvetlen vagy közvetett úton)... Most már érted? Ebben az országban mindenen spórolnak a cégek, csak azon nem amin igazán kéne... Sokan nem fogják fel egy ilyen incidens valódi károkozását... Azt hogy,hogy csinálta már tök lényegtelen,mert már csak találgatás. Ez akkor lett volna érdekes ha lebukik akció közben... Remélem lesz majd friss hír az esetről, már ha tettek bejelentést a rendőrségen...mert a cikk erre sem tért ki hogy a hatóságok indítottak-e eljárást az ügyben vagy nem...
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
akom
senior tag
Amúgy a pizzájuk nem volt rossz.
-
válasz st3v3np3t3r #41 üzenetére
Ez oldal 8 éve is ugyanígy nézett ki. Akkor jó volt a Joomla 1.5. Csak azóta nem költöttek rá.
[ Szerkesztve ]
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
DeltaPower
őstag
válasz st3v3np3t3r #39 üzenetére
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi
nyilvántartásba bejelenteni, ha:
az adatokat közvetlenül az érintettektől veszik fel, - regisztráció során a user adja meg
- az adatkezelés célja az érintett számára ismert, - ászf-ben meg szokták adni
- a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre
meghatározott, - ászf-ben meg szokták adni
- az adatokat csak az előre meghatározott céllal összefüggésben
használják fel, - rendelésre illetve hírlevélre ha kér (szintén ászf)
- az adatok nem kerülnek ki az adatkezelő kezeléséből (ide nem értve az
adatfeldolgozónak történő adatátadást), - a feltörés nem szándékos átadás
- az érintetteket minderről megfelelően tájékoztatják. - "az ászf-et elolvastam és elfogadom" checkboxEgy megfelelően kivitelezett webshopnál pont hogy nem kell bejelenteniük.
[ Szerkesztve ]
"Moonshine Whiskey (70°, ízesítés nélküli) van. Fincsi" - Teebee - "De az kiírtaná az egész családomat..Akkor is ha csak én innék belőle.." - forintuser
-
st3v3np3t3r
veterán
válasz DeltaPower #44 üzenetére
Mint írtam... Ha kivételek közé is tartozik akkor is hibázott...
Infotörvény 6pont-7...nos, nem tartotta be eleve a biztonsági követelményeket,így a btk 219.1/b pontja értelmében az adatkezelö/feldolgozó vétség miatt minimum 1év szabadságvesztésre számíthat....[ Szerkesztve ]
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
st3v3np3t3r
veterán
válasz st3v3np3t3r #45 üzenetére
Ez az adatkezelés,adatvédelem azért nem olyan egyszerű és könnyű mint ahogy egyesek gondolják...
Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...
-
CactuS
Arcképgyáros
Így visszakeresve elvileg már az 1.5 is is "sózza" a jelszavakat: "Joomla! 1.5 uses md5 to hash the passwords. When the passwords are created, they are hashed with a 32 character salt that is appended to the end of the password string. The password is stored as {TOTAL HASH}:{ORIGINAL SALT}."
Elvben a virtuemart is a joomlára támaszkodik a jelszó tárolásban, így végképp nem értem, hogy hogyan került plain text-be a jelszó.
st3v3np3t3r: senki - legalábbis én - biztosan nem állítottam, hogy nincs felelőssége a pizzériának abban, hogy sebezhető weboldalt használt, webarchive szerint sok-sok éve már. Itt még mindig arról van szó, hogy egy webshop üzemeltetése nem feltétlenül naih bejelentés köteles. A gyakorlati büntetésre kíváncsi vagyok, nekünk egy nagyon érintőlegesen hasonló - minimális adatvesztéssel - járó ügyünk van, azt a "nyomozást" nem bírták lezárni ~ 3 éve már...
[ Szerkesztve ]
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
gyugyo79
addikt
Én nagyon ellene vagyok az összes ilyen weboldalnak meg időben se tudom ezért az 1.5 J. - t hova rakni de gondolom az eleje nagyon. Viszont valaki mondja már meg ekkor (vagy esetleg még most se) még legalább egy alap PASSWORD() függvény sem volt használva a jelszavakhoz? Mert értem én, hogy az se védelem de ! = plain txt - el. De azért akik az alapot csinálták \ ják azért nem azok a "web fejlesztők" akik utána felhasználják én azt gondoltam, hogy ez a része legalább a kornak megfelelően "web fejlesztő" biztos.
Én amúgy se értettem sose, hogy mi szükség lehet egy jelszóra amiért az szerver oldalon így van letárolva miért nem elég ha megváltoztatható ha kell...
Mire megírtam választ is kaptam. Így viszont furcsa.
[ Szerkesztve ]
-
CactuS
Arcképgyáros
Alapból sózva van, ahogy írtam, viszont van ennél durvább esetet is. Plesk Panel-es buli rémlik valakinek?
Joomla 1.5 2012 szeptemberig volt támogatva, az utolsó javítás 2012 márciusában jött hozzá.
[ Szerkesztve ]
Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin
-
dqdb
nagyúr
Kivéve, ha olyan vírusirtót használsz, ami SSL védelem címszóval mitm támadást hajt végre ellened minden egyes hálózati kapcsolat során, és a biztonságot hangoztatva a gyártónak sikerült olyan implementációt összehozni, hogy egyszerűen "elfelejtik" ellenőrizni az eredeti tanúsítványt, amit ugyebár elrejtenek előled.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek