Vefstjori.is geymir lykilorð


krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

hverju var deletað :o og hvernig fór samtalið :O
Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Gúrú »

Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
Modus ponens

capteinninn
Of mikill frítími
Póstar: 1725
Skráði sig: Sun 12. Sep 2004 16:02
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af capteinninn »

Gúrú skrifaði:
Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
Ég hélt að þetta kallaðist frí white hat hacker þjónusta þegar menn finna galla á vefsíðum og láta vita af því til að loka fyrir öryggislekann.
Skjámynd

rapport
Kóngur
Póstar: 5917
Skráði sig: Mán 27. Apr 2009 13:07
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rapport »

Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?

Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.

Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.

Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.

p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

Gúrú skrifaði:
Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
langar að heyra báðar hliðar málsins. :)

ASUSit
Fiktari
Póstar: 81
Skráði sig: Sun 15. Jún 2014 02:26
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af ASUSit »

Þrátt fyrir að deila afar sjaldan skoðunum með Gúrú, að þá verð ég fyrir mitt leyti einfaldlega að taka hattinn ofan fyrir þér í þetta skiptið.
Viðhengi
2014-12-08-01-24-26-1295642538.jpeg
2014-12-08-01-24-26-1295642538.jpeg (3.9 KiB) Skoðað 2653 sinnum
Last edited by ASUSit on Mán 08. Des 2014 02:15, edited 1 time in total.
Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Gúrú »

rapport skrifaði:Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.
Ég vil koma því á framfæri að þegar að ég taldi upp allar þessar upplýsingar var ég að nefna það sem er auðveldlega hægt að fá út frá flestum símanúmerum og/eða Facebook auðkennum. Þ.m.t. mínu.
Þessar upplýsingar sjálfar (fullt nafn, kennitala, heimilisfang) eru ekki hluti af GSM skráningarferlinu sem þó fer fram án notendaskilmála.

Það sem þú nefnir um að skaðinn sé skeður og viðvarandi er eitthvað sem að maðurinn sem svaraði mér í símanum afskrifaði algjörlega og missti ég þar með alla von um ásættanlega úrlausn.
Modus ponens
Skjámynd

Sallarólegur
Internetsérfræðingur
Póstar: 6350
Skráði sig: Mán 04. Apr 2005 11:01
Staðsetning: https://viktor.ms
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Sallarólegur »

Daniel123 skrifaði: Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Ég trúi ekki að þú sért í forsvari fyrir fyritæki. Ef svo er - áttarðu þig ekki á því - að fyrirtæki, víðsvegar um heim BORGA fólki fyrir að hacka sig inn og láta þau vita af því?

Flestir hackarar sem hafa setið í fangelsi eru svo ráðnir til risastórra fyrirætkja á ofurlaunum.

Vá hvað sumir skilja ekki tækniheiminn.

Heimild:
Google Offers $3.14159 Million In Total Rewards For Chrome OS Hacking Contest
http://www.forbes.com/sites/andygreenbe ... g-contest/" onclick="window.open(this.href);return false;
Thinkpad P1 • i7-10875H • NVIDIA Quadro T1000 • Samsung 32GB 3200Mhz • Toshiba 1TB SSD

G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless

Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz

EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller

ASUSit
Fiktari
Póstar: 81
Skráði sig: Sun 15. Jún 2014 02:26
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af ASUSit »

Sallarólegur skrifaði:
Daniel123 skrifaði: Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!
Skjámynd

Dagur
Geek
Póstar: 801
Skráði sig: Fös 19. Sep 2003 14:00
Staðsetning: Reykjavík
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Dagur »

Veit einhver hjá eldsmiðjunni af þessu? þau eru auðvitað að borga fyrir þetta.
Skjámynd

CendenZ
Stjórnandi
Póstar: 2569
Skráði sig: Fös 04. Apr 2003 08:54
Staðsetning: Á þessu spjalli
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af CendenZ »

*fliss*
Er verið að afsaka þetta fokkopp
;)
Skjámynd

Pandemic
Stjórnandi
Póstar: 3737
Skráði sig: Fim 31. Júl 2003 15:25
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Pandemic »

Þetta með dulkóðunina hljómar eins og klór í bakkann. Það er enginn að segja mér að að forritari sem veit varla hvað hashing algorithmi er hafi implementað dulkóðun á þessi gögn þar sem það er svona 10x auðveldara að nota eitthvað hashing algrím.

suxxass
Fiktari
Póstar: 89
Skráði sig: Fös 11. Apr 2014 00:32
Staðsetning: Garðabær
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af suxxass »

Mjög sloppy vinnubrögð...
Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rango »

ASUSit skrifaði:
Sallarólegur skrifaði:
Daniel123 skrifaði: Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

AHAHA! Er þetta hótun?

Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!
Mér grunar sterklega hér að hann sé að tala um mig, Enda var það ég sem gróf upp þennan SQL möguleika.
Það er óþarfi að fara í vörn hérna, Ábyrgðin liggur hjá ykkur.

Veit eldsmiðjan af þessu, Er búið að láta þá vita?

Ég n.b. komst ekki yfir nein gögn,
Enn ég efast samt ekki um að einstaklingur sem vill raunverulega komast yfir slík gögn nái því meðað við ykkar hæfni til forritunar.
Skjámynd

Stutturdreki
Vaktin er ávanabindandi
Póstar: 1629
Skráði sig: Þri 27. Apr 2004 14:03
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Stutturdreki »

Daníel, ef einhver bendir þér á eitthvað sem þú hefur einfaldlega gert á rangan hátt þá segir maður takk og lagar það. Ekki vera fáviti.
Last edited by Stutturdreki on Mán 08. Des 2014 14:46, edited 1 time in total.
Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rango »

Varst það þú daniel sem forritaðir þennan vef?

Ég skal svosem kíkja á þetta hjá þér ef þú ert í vafa með þetta.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

Bíð eftir svörum frá Daníel.
Skjámynd

Danni V8
Of mikill frítími
Póstar: 1726
Skráði sig: Mán 23. Apr 2007 06:36
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Danni V8 »

Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Mynd
Asus ROG Strix Z390-F Gaming | Intel Core i5 9600K @ 4,7GHz | Crosshair H100i | Corsair Vengance 16GB | Asus ROG Strix RTX2060 | Corsair RM 650x
Skjámynd

MatroX
Besserwisser
Póstar: 3496
Skráði sig: Mið 17. Feb 2010 12:58
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af MatroX »

Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
hvernig væri að þú byrjaðir að svara þeim hahaha :D
Intel i7 8700k | Corsair H100i | ASROCK z370 PRO4m | Ripjaws 4x8gb 3200mhz | Palit RTX 3080 GAME ROCK | Corsair 350d | 1x 1tb CARDEA ZERO | 2tb SSD| Antec HCP 1200w | 1x 27" PHILIPS 274E5QHS | 1x ASUS 27" 4k ultrawide | Corsair M95 Mús | Corsair K95 RGB MX Red Lyklaborð |

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Afhverju er það? :roll:
Skjámynd

Hargo
</Snillingur>
Póstar: 1065
Skráði sig: Mið 13. Ágú 2008 02:18
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Hargo »

krat skrifaði:
Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Afhverju er það? :roll:
Því hann heitir sennilega líka Daníel, hence the nickname ](*,)
Skjámynd

intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Staðsetning: /dev/null
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af intenz »

Guð minn almáttugur. Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein, þar sem þessi maður veit ekkert og ætti ekki að vera í þessum geira. Og að fara í vörn og "hóta" lögsóknum er bara barnalegt. :thumbsd
i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64
Skjámynd

gRIMwORLD
Tölvutryllir
Póstar: 645
Skráði sig: Fös 19. Des 2008 21:19
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af gRIMwORLD »

ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)
SAMSUNG GALAXY S8+ | Stock
Lenovo P50 | Xeon E3-1505M | 32GB DDR4 2133MHz | OS - 256GB NVMe | 2 x 24" HP E241i
Antec P190 | Gigabyte Z87X-UD5H | i7 4770K 3.5GHz | GTX 1070 8GB | CM 212 EVO | 32GB 2400Mhz | 120G Kingston SSD | ~8,7TB Storage
Skjámynd

Klemmi
Stjórnandi
Póstar: 3981
Skráði sig: Fim 10. Apr 2003 12:16
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Klemmi »

intenz skrifaði:Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein
Tölvunarfræðingur er lögbundið starf, hins vegar getur enginn bannað þér að selja þig út sem forritara án formlegrar menntunar, enda þætti mér það mjög óeðlilegt. Hitt er svo annað mál hvort það mætti ekki setja slíkar reglur þegar forritaðir eru gagnagrunnar sem halda utan um persónuupplýsingar.

http://europass.is/wp-content/uploads/2 ... 005-36.pdf" onclick="window.open(this.href);return false;
www.laptop.is
www.ferdaleit.is
Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Gúrú »

gRIMwORLD skrifaði:Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?
Þetta er svo fáránleg spurning sem á engan rétt á sér.

Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.

Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.

Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.
Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.
Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.
Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.
Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?

Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.
Modus ponens
Svara