Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Partra vetett halak

2011.01.31. 17:32 | buherator | 5 komment

 Chriss Russo, aki annak idején a Priate Bay biztonsági hibájának felfedezésével vált ismertté most azzal irányította magára a figyelmet, hogy egy hibaüzenet-alapú SQL injection hibát talált a világ legnagyobb társkereső oldala, a PlentyOfFish rendszerében. A hiba kihasználásával a közel 30 millió regisztrált felhasználó összes személyes adatához, nyílt szövegként tárolt jelszavához valamint PayPal illetve bankkártya információihoz is hozzá lehetett jutni.

A történetnek itt azonban nincs vége. Russo ugyanis felvette a kapcsolatot az oldal alapítójával és ügyvezetőjével, Markus Frinddel, hogy tájékoztassa a hibáról. Hogy ez után mi történt, az kétséges, ugyanis a két fél, valamint a sztoriba útközben bekapcsolódott, IT-biztonságra szakosodott újságíró, Brian Krebs, gyökeresen eltérően értékelték az eseményeket.

Frind egy, a POF blogján megjelent, de személyesnek szánt bejegyzésében kelt ki Russo ellen, aki szerinte azzal hívta fel a feleségét (akinek a számát az oldal adatbázisából szerezte meg), hogy feltörte a társkereső oldalt, aminek letöltötte az adatbázisát, de "az oroszok" az ő gépét is feltörték, és éppen töltik le az adatokat. Frind szerint Russo ez után több üzenetet hagyott neki, melyben találkozót kért tőle, és az életéért aggódott. Amikor viszont másodszorra beszéltek, Russo és partnere "üzletet" ajánlottak neki, melynek értelmében az adatbázisért, az oldal forráskódjaiért, valamint egy hosszútávú együttműködési megállapodásért cserébe garantálják, hogy nem fordul elő többé hasonló eset, és törlik az oroszok másolatát. Frind természetesen nem hagyja magát, perrel fenyegette meg Russot, valamint (Vigyázat, magas LOL-faktor!) küldött egy e-mailt is a hacker édesanyjának.

Jómagam - bár nyilvánvalóan elfogult vagyok a kérdésben - több hitelt adok Russo és Krebs beszámolójának. Azt ugyanis Frind is elismeri, hogy Russo a saját nevére regisztrált fiókkal hajtotta végre a támadást, személyazonosságát soha sem titkolta, ami nem jelent túlzottan előnyös pozíciót, ha az ember zsarolásra készül. 

 Russo leírása alapján tényleg kapcsolatba lépett Frind feleségével, aki hálás volt az információért, és a társaság mérnökeihez irányította őt. A hibát ezután javították, majd a POF felkérte Russo-t, hogy tegyen ajánlatot a társaság rendszereinek felülvizsgálatára. Az ajánlat elkészülte után Frind egy e-mailt küldött Russonak egy freelancers.com-on található hírdetés linkjével, melyben POF felhasználók személyes adatait kínálják eladásra. Frind a közzétett levél tanúsága szerint azt gondolja, hogy a hírdetés mögött Russo-ék állnak, az e-mail további részében pedig perrel, valamint azzal fenyegetőzik, hogy megírja az oldal összes felhasználójának, hogy Russo törte fel a fiókjukat. Russo állítása szerint ezután több telefonhívást kapott a társaság vezetőjétől, aki arra figyelmeztette, hogy az oldal mögött ott áll a szervezett bűnözés is. 

Jelenleg itt tartunk, de tuti lesz még folytatás! És mielőtt még valaki fellélegezne, hogy a PlentyPOfFish-sel kapcsolatos botrányok minket nem érintenek, elárulom, hogy a hazai társkereső oldalak sincsenek sokkal jobban bevédve :(  

A hosszú poszt végére jöjjön az utóbbi idők egyik legjobb videóklippje, többek között a PlentyOfFish reklámjával (4:26-4:37), amiről máig azt hittem, hogy csak egy vicc, mert ilyen névvel társkereső oldalt senki nem csinál:

Címkék: plentyoffish incidens chris russo

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_2501 2011.02.01. 11:55:07

Elolvastam mind a három postot. Megpróbálom a véleményemet formába önteni. Alapvetően nem szokásom reportolni az adminoknak ha hibát találok, pont azért mert nem akarok balhét egy ilyen Frind féle gyökér miatt, de respect azoknak az arcoknak akik megteszik és vállalják a kockázatot. A gyerek jól beleszaladt a f*szba ezzel a reporttal... :/
Sajnálom.
De attól még hülye volt mert ahogy a vérhörgős b*zi írta: "he didn’t even try to hide behind a proxy"

Frind hozzáállása abszolút elfogadhatatlan, ráadásul nekem erősen bűzlik amit, és ahogy ír.
Szvsz. felb*szta magát azon hogy egy másik kiskakas kapirgált az Ő szemétdombján, és most véres bosszút akar állni a szemét hackeren, ezért elferdíti a tényeket.
Hazudik. Gyökér. Tűzre vele. Ez a hozzáállás nem tolerálható, és biztos hogy nem csak én rántottam fel magam rajta. Ezek után nem fogok meglepődni ha lenullázzák a szájtot. Kíváncsian várom a további híreket...

_2501 2011.02.01. 12:22:25

Na ez az ami ténylegesen kib*szta a biztosítékot:

"If this data goes public I am going to email every single effected user on Plentyoffish your phone number, email address and picture. And tell them you hacked into their accounts.

Then i'm going to sue you In Canada, US and UK and argintina. I am going to completely destroy your life, no one is ever going to hire
you for anything again, this isn't piratebay and we definately aren't fooling around."

Ez az ember nem való egy ilyen méretű cég élére. Milyen hozzáállás ez? no comment... -_-

synapse · http://www.synsecblog.com 2011.02.01. 17:22:12

Nincs ennyi idom, hogy ennyi szart elolvassak. _2501 velemenyeben bizom: rmcapat neki!

nyos 2011.02.02. 18:30:33

Ez a fish in the sea kifejezes egyertelmuen a partnerre utal. Pl. ha valaki szakit a parjaval, akkor a haverok vigasztalhatjak "there are more fish in the sea" - kb. nem o az egyetlen no a vilagon. Szerintem otletes nev egy tarskeresonek, egyebkent itthon is ismert.

A fickorol meg: azt hittem alap, hogy elsore nev nelkul kuld egy szakmabeli konkret oldal biztonsagi hibajat tartamazo bug reportot. Max. valami csak erre a celra regisztralt noname afrikai szolgaltato mailcimevel, amin keresztul kerdezhetnek, ha valami nem vilagos - es ha nagyon halalkodni akarnak, es megfelelo a hangnem, csak akkor kiadni a valos adatokat. Sajnos sokan meg mindig nem tudjak kezelni a dolgot. Ja, es erdemes a technikailag kepzett szemelyzetnek kuldeni a hibat, nem a CEOnak, mert o ugysem ert hozza az esetek tobbsegeben.

buherator · http://buhera.blog.hu 2011.02.02. 20:51:03

@nyos: Értem én, csak némi szexista felhangot véltem felfedezni a hasonlatban, de ez lehet hogy az én problémám.

A jelentéssel kapcsolatban alapvetően egyetértek, de szem előtt kell tartani, hogy a) ha saját névvel jelentesz, kisebb eséllyel törlik az üzeneted/hívják a rendőrt a 0. pillanatban b) vannak akik nem szívesen ismerik be hogy hibáztak, ezért általában célszerű felsőbb szintekre is eljuttatni az infót.