HACK.pl wykryło krytyczną lukę serwerów home.pl

[[S.e.M.e.N]]

Home.pl to największy w Polsce provider wirtualnych serwerów. Firma działa od 1997, co gwarantuje im bogate doświadczenie. Można łatwo się domyślić, że na serwerach home.pl znajdują się wszelakie serwisy internetowe - od stron ministerstw (np. MEN), po strony partii politycznych (PiS, Samoobrona), jaki i strony dużych portali i sklepów internetowych, czy też banków.

Home.pl jest swoistym kolosem i liderem w swojej dziedzinie. Wg rankingu top100.pl, home wyprzedza konkurencję będącą na drugim miejscu o 100% w liczbie zarejestrowanych domen.

Jak to w życiu bywa nawet najwięksi liderzy zaliczają wpadki. W tym przypadku jest to wpadka na najwyższym poziome, krytyczna luka w bezpieczeństwie serwerów dotycząca wszystkich kont wirtualnych na home.pl, włączając w to konto główne, czyli sam serwis home.pl, na którym klienci tejże firmy sprawdzają pocztę, czy też np. konfigurują bazy danych.

WIĘCEJ

Czekamy na Wasze opinie!

[LLLUUU]

http://hacking.pl/pl/news-6540-Hackp..._systemie.html

coś mi tu śmierdzi....

[killrathi]

mi tez ta sprawa smierdzi...
mam wrazenie ze list zaprezentowany w tym serwisie nie jest przedstawiony calosciowo - nie wiem komu wierzyc, jako ze o hacking.pl tez mam nienajlepsze zdanie, ale zawsze informacje prezentuja rzetelnie...
Jezeli te mityczne 200k jest prawda to Panowie z hack.pl stracili w moich oczach wszystko co mozliwe... mi tez zdarzalo sie informowac dane firmy o lukach/bledach - nigdy nie chcialem za to zadnych pieniedzy, nie mowiac juz o tak ogromnej (i chyba wyssanej z palca) sumie. W tej sytuacji nie dziwie sie serwisowi home.pl ze sprawe naglosnil - zadanie takiej kwoty jest zagraniem wielce nieetycznym...
pozdrawiam
Killrathi

[Malik]

Luka luką, niech szanowne home.pl powie ilu wrednych spamerow hostuje ;> Dla ciekawosci mozna zajrzec na pl.internet.mordplik.

[killrathi]

Luka luką, niech szanowne home.pl powie ilu wrednych spamerow hostuje ;> Dla ciekawosci mozna zajrzec na pl.internet.mordplik.

wydaje mi sie ze przy tym problemie ilosc spamerow jest nieistotna - kazdy hostuje kogo chce - rozmowa dotyczy czegos innego...

[TQM]

Ponizszy list przedstawia tylko i wylacznie moja prywatna opinie - prosze jej nie przypisywac nikomu innemu. Jesli Ci sie to nie podoba to nie czytaj!


Ja bym publikacje na hacking.pl ocenil jako wyjatkowo niezetelna... gdzie sa naglowki poczty, gdzie jest jakikolwiek timestamp, cokolwiek?! Po prostu material ktory przedstawiaja jest dla mnie niezbyt wiarygodny i tyle - to jednak tylko moje osobiste zdanie.

Skad kwota 200k?! Ktos tu klamie jak na moj gust... mozliwosci sa tylko 3:

1. Koledzy z HACK.pl
2. Koledzy z home.pl
3. Koledzy z hacking.pl

Dla jasnosci powiem, ze jestem w gronie redaktorow HACK.pl, ale...

Ad.1
Jesli rzeczywiscie w liscie wyslanym do home.pl bylo to co podaje hacking.pl to home.pl powinno sie nie zastanawiac i zglosic sprawe do prokuratury - jako probe szantazu/wymuszenia zgloszona ze strony osob podpisanych w mailu. Takimi rzeczami powinna zajac sie prokuratura... w tym wypadku obaj Panowie powinni zostac 'zawieszeni' i do czasu wyjasnienia sprawy zniknac z areny ze tak to powiem - szczegolnie HACK.pl, ktory nie moze odpowiadac za poczynania osob prywatnych, nawet jesli dostarczaja dla portalu informacji.

Czy taki byl email obu Michalow - nie wiem. Material przedstawiony na hacking.pl jest dla mnie po prostu bardzo malo przekonujacy... aczkolwiek chwytliwy i wywolujacy sensacje!

Ad.2
Jesli klamie ktos w home.pl to obaj Panowie (Michal & Michal) powinni pozwac do sadu home.pl conajmniej o znieslawienie... i mogliby wygrac calkiem spore odszkodowanie (hcking.pl bardzo ladnie to naglosnil a takie udezenie medialne moze zniszczyc kariere niejednej osoby, szczegolnie w srodowisku bezpieczenstwa IT - nawet jesli [cytat z jednej zaslyszanch opinii] 'kariera obu Panow jest watpliwa'... po takim zarzucie na pewno stoi pod znakiem zapytania)... Caly proces bedzie jednak kosztowny i czasochlonny.

Ad.3
... to samo co w przypadku 2 ale w kierunku hacking.pl.


Nie wiem jak bylo na prawde... ale wydaje mi sie ze zasady rynku i pewna kultura osobista wymaga wyjasnienia tej sprawy i publicznego PRZEPRASZAM ze strony tego kto zawinil - ktokolwiek to jest... czy to Michal & Michal, czy ktos z home.pl czy tez ktos z hacking.pl.

Apeluje wiec do czytajacych to - wezcie calosc na chlodno z dystansem. Stalo sie cos niedobrego co wymaga wyjasnienia. Poczekajmy wiec i wstrzymajmy sie na razie w osadach bo te moga byc bardzo krzywdzace, zwlaszcza ze nie wiemy jak bylo na prawde.


TQM - uzytkownik home.pl, czytelnik hacking.pl i redaktor hack.pl

[krystek]

Jestem klientem home.pl i przynam, że z pewnym oburzeniem śledzę tę dyskusję.
Chciałbym się dowiedzieć dlaczego nikt nie komentuje wielkości luki wykrytej w systemie największego dostawcy serwerów wirtualnych w Polsce, świadczącego usługi dla takich instytucji jak MEN? Przecież ta luka to absolutna porażka. Ciekawe do ilu serwisów utrzymywanych w home.pl włamano się w ten sposób?
Ponadto bezpieczeństwo w internecie to dziś normalny biznes i jak każdy biznes powinien przynosić zyski. Home.pl z pewnością zatrudnia zespól dobrze opłacanych specjalistów z dziedziny bezpieczeństwa w internecie, za których chłopaki z hack.pl wykonali potężny kawał pracy. O ile wiem taki system nazywania katalogów zawierającech statystyki istniał od conajmniej 2002 roku (od tego roku jestem klientem home.pl).
Kwota 200k jest może niebanalna, ale z pewnością za usługę polegającą w istocie na usunięciu krytycznej luki w bezpieczeństwie wszystkich serwisów obsługiwanych przez największego polskiego providera, który wydaje miliony na reklamę, solidne honorarium im sie należało.
Tymczasem home.pl zrobił sensację z 200k i tym samym z winnego poważnego zaniedbania stał się ofiarą "nigrzecznych hackerów".
Panowie więcej przenikliwości w ocenach...

[rgasiore]

Widzieliście tego 'CMS'a MEN? To jakaś masakra - a pewnie dostali za to niezłą kaske. Moim zdaniem głównym winowajca jest twórca tego pseudo CMSa - pewnie zalozyl ze każdy wchodzac do amina będzie wchodził przez index.* - i już nie sprawdzał sesji (jeśli w ogóle widział co to sesja) w reszcie systemu. Nie wspomnę o js error.

Powinni coś zrobić z twórca tego CMSa (szkoda ze stopka się nie uchowala) - na pewno w umowie na wykonanie tego 'dzieła' było coś o bezpieczeństwie - niech teraz płacą kary gwarancyjne.

[ble34]

no dobra wchodzisz do panelu
ale pytanie zasadnicze co pożesz wnim zdziałać
sprawdziłeś bo ja nie
może być tak że wjdziesz ale ni cniemożesz zrobić
bo kazda edycja wymaga ustanowionej sesji
a w ytakim wypadku możesz tylko zobaczyć njak on wygląda
no nie?

[killrathi]

cały czas staralem sie byc obiektywny w tej dyskusji, ale jak czytam to mnie ku#%#$%wica bierze....
Ludze!!! 200,000 to rizsadna cena? za niezamowiona usluge? wy sie chyba na leb powalili.... no sorry, ale jak ktos mi pisze ze 200k to rozsadna cena to chyb nie zdaje on sobie sprawy ile to tak na prawde jest...
Poza tym za co za "krytyczna luke"... sorry, ale tez moge pokazac jakas bzdure typu:

Kod:

HTTP/1.1 200 OK Server: IdeaWebServer/v0.50 Date: Fri, 06 Apr 2007 15:50:19 GMT X-Powered-By: PHP/4.4.6 Set-Cookie: bblastvisit=1155920618; expires=Sat, 05 Apr 2008 15:50:20 GMT; path=/ Set-Cookie: bblastactivity=0; expires=Sat, 05 Apr 2008 15:50:20 GMT; path=/ Set-Cookie: bbsessionhash=dec7acce22602cb3b0f730529488b05c; path=/; HttpOnly Expires: 0 Cache-Control: private, post-check=0, pre-check=0, max-age=0 Pragma: no-cache Content-Encoding: gzip Content-Type: text/html; charset=ISO-8859-2 Content-Length: 2720 Connection: Keep-Alive �

i narobic z tego takieeeego szumu ze dzieki temu smieciowi mozna uzyskac nieautoryzowany dostep do bazy danych hack.pl i blablabla....
Wezcie wreszczcie sie zastanowcie - mi to zaczyna wygladac na kolejnego Goriona i probe budowania piaru... - z ciekawoscia bede sledzil informacje o rzekomym pozwie do prokuratury... - moze byc wesolo...

i na koniec:
nic mi nie wiadomo o wysokiej klasie panow Michal i Michal - a podane w tym watku linki do ich publikacji mnie nie przekonuja o ich klasie... ja tez mam publikacje na koncie i byc moze czesc starej wiary jeszcze mnie pamieta, ale za takie cos - to wybaczcie - popieram stanowisko home.pl