Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Nyilvánosház

2009.12.22. 16:50 | buherator | 9 komment

Jó ideje tervezem kiposztolni qgeh levelét, ami egy hihetetlenül csúnya problémára hívja fel a figyelmet egy "felnőtt tartalmakat" szolgáltató weboldallal kapcsolatban. Mivel jóval több mint egy hete felvettem a kapcsolatot az érintettekkel, úgy érzem, hogy most már eljött az ideje a nyilvánosságrahozatalnak. Mindazonáltal a veszélyben lévő adatok annyira érzékenyek, hogy az oldal teljes nevét nem merem elárulni, remélem az illetékesek magukra ismernek:

csatolok ket shot-ot az "index of" sex[CENSORED].hu szerverrol. Ami azert erdekes, mert regisztraciohoz - mar aki eloadast is szeretne csinalni - annak szemelyigazolvany masolatot kell bekuldeni... es igen, amit latsz azok a userek altal feltoltott szem.ig kepek illetve sql dump jelszavakkal, telszamokkal, lakcimmel...:

Tehát arról van szó, hogy az erotikus műsorokban szereplő hölgyek és urak minden fontosabb személyes adata elérhető egy megfelelő képességekkel rendelkező támadó számára. Azon túl, hogy az érintettek közül nyilván sokan nem örülnének annak, ha valamelyik közeli hozzátartozójuk megtudná, hogy mivel is keresik a mellékest, az oldalra ellátogatva attól ijedtem meg a legjobban, hogy mi van, ha valamelyik elborult vendég megtudja, hogy hol lehet élőben is találkozni tinicica18-cal...

Az eset egyrészt újabb jó példája annak, hogy miért nem célszerű érzékeny információkat online kiadni bármilyen szolgáltatónak, másrészt felmerül a kérdés, hogy mégis mi alapján lehet eldönteni, hogy kiben bízzunk meg nem csak adatvédelmi, hanem adatbiztonsági szempontból is?

Címkék: durva az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

tomato 2009.12.22. 17:28:59

Elég durva, valóban! Arra lennék kíváncsi, hogy az ilyen adatokat (pl. a személyi másolata) miért nem offline tárolják, és miért egy szerveren? Azt egyszer feltöltik és utána már csak a szolgáltatás tulajdonosának kell gondolom hozzáférnie, hogy lecsekkolja, hogy valóba elmúlt e 18...stb. Vagy ez nem ennyire egyszerű?

_2501 2009.12.22. 21:21:07

ja, és amúgy: uhh..

Depth 2009.12.24. 19:28:39

Miert nem lepodok meg, hogy nem bibliakor....

itschykhatschy · http://www.itschykhatschy.com/ 2009.12.28. 11:48:32

Mint GYuFa... Elk*rták. De miért tárolnak személyi másolatokat, meg adatokat ottan? Baráti. Viszont, ha maca kell, csak belenézel a dumpba, ránézel a személyiben a képre, és máris mehet az etyepetye. Gumival 5, gumi nélkül 10.

RtT · http://h4ck3r.blog.hu/ 2010.01.02. 18:30:53

Szerintem a fifikásak így is rátalálnak. A képről lehet következtetni(karakterek száma, 7db betűre is ráismerni).

Nymus 2010.01.03. 03:06:32

Nagyon kivancsi ez a qgeh! :)

RtT · http://h4ck3r.blog.hu/ 2010.01.03. 10:19:33

@Nymus:csak egy megállapítás volt.
képzeld ide az anyázást... :D