Chriss Russo, aki annak idején a Priate Bay biztonsági hibájának felfedezésével vált ismertté most azzal irányította magára a figyelmet, hogy egy hibaüzenet-alapú SQL injection hibát talált a világ legnagyobb társkereső oldala, a PlentyOfFish rendszerében. A hiba kihasználásával a közel 30 millió regisztrált felhasználó összes személyes adatához, nyílt szövegként tárolt jelszavához valamint PayPal illetve bankkártya információihoz is hozzá lehetett jutni.
A történetnek itt azonban nincs vége. Russo ugyanis felvette a kapcsolatot az oldal alapítójával és ügyvezetőjével, Markus Frinddel, hogy tájékoztassa a hibáról. Hogy ez után mi történt, az kétséges, ugyanis a két fél, valamint a sztoriba útközben bekapcsolódott, IT-biztonságra szakosodott újságíró, Brian Krebs, gyökeresen eltérően értékelték az eseményeket.
Frind egy, a POF blogján megjelent, de személyesnek szánt bejegyzésében kelt ki Russo ellen, aki szerinte azzal hívta fel a feleségét (akinek a számát az oldal adatbázisából szerezte meg), hogy feltörte a társkereső oldalt, aminek letöltötte az adatbázisát, de "az oroszok" az ő gépét is feltörték, és éppen töltik le az adatokat. Frind szerint Russo ez után több üzenetet hagyott neki, melyben találkozót kért tőle, és az életéért aggódott. Amikor viszont másodszorra beszéltek, Russo és partnere "üzletet" ajánlottak neki, melynek értelmében az adatbázisért, az oldal forráskódjaiért, valamint egy hosszútávú együttműködési megállapodásért cserébe garantálják, hogy nem fordul elő többé hasonló eset, és törlik az oroszok másolatát. Frind természetesen nem hagyja magát, perrel fenyegette meg Russot, valamint (Vigyázat, magas LOL-faktor!) küldött egy e-mailt is a hacker édesanyjának.
Jómagam - bár nyilvánvalóan elfogult vagyok a kérdésben - több hitelt adok Russo és Krebs beszámolójának. Azt ugyanis Frind is elismeri, hogy Russo a saját nevére regisztrált fiókkal hajtotta végre a támadást, személyazonosságát soha sem titkolta, ami nem jelent túlzottan előnyös pozíciót, ha az ember zsarolásra készül.
Russo leírása alapján tényleg kapcsolatba lépett Frind feleségével, aki hálás volt az információért, és a társaság mérnökeihez irányította őt. A hibát ezután javították, majd a POF felkérte Russo-t, hogy tegyen ajánlatot a társaság rendszereinek felülvizsgálatára. Az ajánlat elkészülte után Frind egy e-mailt küldött Russonak egy freelancers.com-on található hírdetés linkjével, melyben POF felhasználók személyes adatait kínálják eladásra. Frind a közzétett levél tanúsága szerint azt gondolja, hogy a hírdetés mögött Russo-ék állnak, az e-mail további részében pedig perrel, valamint azzal fenyegetőzik, hogy megírja az oldal összes felhasználójának, hogy Russo törte fel a fiókjukat. Russo állítása szerint ezután több telefonhívást kapott a társaság vezetőjétől, aki arra figyelmeztette, hogy az oldal mögött ott áll a szervezett bűnözés is.
Jelenleg itt tartunk, de tuti lesz még folytatás! És mielőtt még valaki fellélegezne, hogy a PlentyPOfFish-sel kapcsolatos botrányok minket nem érintenek, elárulom, hogy a hazai társkereső oldalak sincsenek sokkal jobban bevédve :(
A hosszú poszt végére jöjjön az utóbbi idők egyik legjobb videóklippje, többek között a PlentyOfFish reklámjával (4:26-4:37), amiről máig azt hittem, hogy csak egy vicc, mert ilyen névvel társkereső oldalt senki nem csinál:
_2501 2011.02.01. 11:55:07
Sajnálom.
De attól még hülye volt mert ahogy a vérhörgős b*zi írta: "he didn’t even try to hide behind a proxy"
Frind hozzáállása abszolút elfogadhatatlan, ráadásul nekem erősen bűzlik amit, és ahogy ír.
Szvsz. felb*szta magát azon hogy egy másik kiskakas kapirgált az Ő szemétdombján, és most véres bosszút akar állni a szemét hackeren, ezért elferdíti a tényeket.
Hazudik. Gyökér. Tűzre vele. Ez a hozzáállás nem tolerálható, és biztos hogy nem csak én rántottam fel magam rajta. Ezek után nem fogok meglepődni ha lenullázzák a szájtot. Kíváncsian várom a további híreket...
_2501 2011.02.01. 12:22:25
"If this data goes public I am going to email every single effected user on Plentyoffish your phone number, email address and picture. And tell them you hacked into their accounts.
Then i'm going to sue you In Canada, US and UK and argintina. I am going to completely destroy your life, no one is ever going to hire
you for anything again, this isn't piratebay and we definately aren't fooling around."
Ez az ember nem való egy ilyen méretű cég élére. Milyen hozzáállás ez? no comment... -_-
synapse · http://www.synsecblog.com 2011.02.01. 17:22:12
nyos 2011.02.02. 18:30:33
A fickorol meg: azt hittem alap, hogy elsore nev nelkul kuld egy szakmabeli konkret oldal biztonsagi hibajat tartamazo bug reportot. Max. valami csak erre a celra regisztralt noname afrikai szolgaltato mailcimevel, amin keresztul kerdezhetnek, ha valami nem vilagos - es ha nagyon halalkodni akarnak, es megfelelo a hangnem, csak akkor kiadni a valos adatokat. Sajnos sokan meg mindig nem tudjak kezelni a dolgot. Ja, es erdemes a technikailag kepzett szemelyzetnek kuldeni a hibat, nem a CEOnak, mert o ugysem ert hozza az esetek tobbsegeben.
buherator · http://buhera.blog.hu 2011.02.02. 20:51:03
A jelentéssel kapcsolatban alapvetően egyetértek, de szem előtt kell tartani, hogy a) ha saját névvel jelentesz, kisebb eséllyel törlik az üzeneted/hívják a rendőrt a 0. pillanatban b) vannak akik nem szívesen ismerik be hogy hibáztak, ezért általában célszerű felsőbb szintekre is eljuttatni az infót.