HACK.pl wykryło krytyczną lukę serwerów home.pl

[zdzana]

Wszystko OK, jedynie nie rozumiem dlaczego przedstawia się tutaj kwestię "prywatnej korespondencji" jak relikwi oczyszczającej z grzechów i źródła zła w całej sprawie. I co z tego ze był to list między dwoma osobami? Jeśli ktoś do mnie napisze, że ma moje dziecko i chce 1 mln okupu, to ja nie mam prawa tego upublicznić bo wyjdzie, że to ja jestem niekulturalna kanalia? Pamiętajmy, że ta korespondencja się "nie wydostała", to właściciel firmy ja z premedytacją upublicznił. Temat podobny, podniosłem jedynie skalę znaczenia.

[Kwadrat]

Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej sprawie do home.pl :] Oficjalnie wysłałem pismo na [email protected] bo sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się sprawdza, bo aż nie mogłem uwierzyć :]

Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył konto/katalog i nie zawracał im gitary

[eMCe]

ok więc tak:

zdzana - lubisz jak inni czytają twoją pocztę - twoja sprawa..
poza tym tu nie chodzi o dziecko a jak już chcesz porównywać do dziecka (swoją droga studiujesz dziennikarstwo) to:
sytuacja jest taka ze ktoś znalazł twoje dziecko... (nie porwał) i powie ci o tym gdzie ono jest jak mu dasz $$, (co prawda to nadal wygląda jak wina taj osoby bo jak to?! gość bez serca.. skazać takiego nio nie... - to czytaj dalej..) tak sie wydaje tylko dlatego ze w ogóle nie trafne jest to porównanie - chyba że jesteś za tym żeby "na dziecku zarabiać" - bo tak to wygląda (cała polityka mediów - manipulacja umysłem...(nie twierdze ze jesteś z faktu czy czego kolwiek takiego - po prostu masz podobne cechy w swych wypowiedziach..)

i tak sobie jeszcze pocytuje....

Jest to propozycja dotycząca udzielenia informacji HOMEPL na temat znalezionych luk. Ta wypowiedź wyraża nasze zainteresowanie
współpracą z HACKPL (i otwartość na propozycje HOMEPL).
Nie ma tu mowy o sytuacji: albo-albo; korespondencja
nie zawiera takowych sformułowań.

Szanowni forumowicze.

Jeszcze ja się do tego dopiszę. Wszystkie Wasze wątpliwości wywołał hacking.pl nazywając całe zajście skandalem, kłamiąc i częściowo nadinterpretując treść listu kilka razy za bardzo.

Jakie informacje są nieprawdziwe:

1. Nieprawdziwy jest tytuł oraz teza zawarta w pierwszym zdaniu newsa.

Nie było przedmiotem naszej propozycji przedstawionej home.pl zaniechanie publikacji o wykrytej luce, ale przekazanie home.pl informacji o tej luce, możliwych sposobach jej wykorzystania oraz wspópracą w zakresie jej usunięcia.
(...)
3. Luka umożliwia przeglądanie logów serwera a nie "statów" - czyli wykresików ile osób wczoraj / dzisiaj odwiedziło serwis, jak sugeruje hacking.pl.

I jeszcze jedno:
Czy bierzecie pod uwagę że z tego co napisał Michał Semeniuk w Sprostowaniu wynika że można było poznać strukturę plików na serwerze... - dla mnie to jest o dużo za dużo...

[W17chM4n]

LOL ? Szantazysci ?
http://wiadomosci.gazeta.pl/wiadomos....html?skad=rss

Swoja droga, moim skromnym zdaniem 200tys zl za pomoc w usunieciu powaznej luki w systemie to raczej rozsadna cena... jezeli ktos mysli inaczej to niech poszuka cennikow firm zajmojacych sie wykrywaniem luk w systemach...

[zdzana]

zdzana - lubisz jak inni czytają twoją pocztę - twoja sprawa..

Nie lubię, ale też nie staram się uchodzić za białego rycerza internetu pracującego dla dobra ogółu a po cichu robić co innego. Widzę, że strasznie boli jak się odsłoni pokątne zamiary piszącego. Chcesz zrobić po cichu interes? Licz się z tym, że ktoś to ujawni! To nie jest list w którym zwierzasz się z prywatnych problemów i małego pisiorka, tylko konkretna, niezbyt ładna propozycja. Wyznajesz pogląd, że w życiu można knuć po cichu ile wlezie i a kto to ujawni ten kanalia? Trochę coś mi to przypomina, budynek na wiejskiej, jakieś taśmy, coś w ten deseń...

sytuacja jest taka ze ktoś znalazł twoje dziecko... (nie porwał) i powie ci o tym gdzie ono jest jak mu dasz $$, (co prawda to nadal wygląda jak wina taj osoby bo jak to?! gość bez serca.. skazać takiego nio nie... - to czytaj dalej..) tak sie wydaje tylko dlatego ze w ogóle nie trafne jest to porównanie - chyba że jesteś za tym żeby "na dziecku zarabiać" - bo tak to wygląda (cała polityka mediów - manipulacja umysłem...(nie twierdze ze jesteś z faktu czy czego kolwiek takiego - po prostu masz podobne cechy w swych wypowiedziach..)

Poza wytknięciem celowego zresztą przekoloryzowania skali dramatyczności nie widzę sensu wypowiedzi. Lekki epitecik w moją stronę, tylko jak to ma się do tematu? Gdyby ktoś znalazł cokolwiek mojego i chciał za to górę pieniędzy to chyba jednak jest coś nie tak! Czy może uważasz, że każdą okazję trzeba wykorzystać do zarobku?

Czy bierzecie pod uwagę że z tego co napisał Michał Semeniuk w Sprostowaniu wynika że można było poznać strukturę plików na serwerze... - dla mnie to jest o dużo za dużo...

Jego słowa święte?! Osobiście uważam, że postąpił nie fair a teraz się wybiela. Takie bułkę przez bibułkę.

edit by eMCe:
sorki przez przypadek zamiast napisać nowego wyedytowałem twój post.. (pomyłka przy klikaniu cytuj kliknąłem na edytuj...
udało mi się odzyskać post - nic w niem nie zmieniłem...
jeszcze raz sorki...

[MałaMi]

Podziękujmy hack.pl, że dołożyli się do tego iż społeczeństwo jeszcze gorzej będzie myślało o hackerach, teraz to już nie włamywacze, ale szantażyści i wyłudzacze.

A ja myślałem, że portal HACK.pl będzie chciał poprawić zdanie społeczeństwa na temat hakerów i w sumie poprawił na jeszcze gorsze ;/

Podziękuj lepiej tym, którzy zrobili z tego tak wielkie zamieszanie, czyli home.pl, który broni się atakiem i publikuje prywatną korespondencję oraz kompetentnym "dziennikarzom", którzy piszą do społeczeństwa, w którym większość prostych ludzi nie ma tak naprawdę pojęcia co to jest hacking i dlatego swoją opinię wyrabia sobie na artykułach, które przeczyta w gazecie.

[Michal2000]

Chłopcze, zanim się wypowiesz mógłbyś trochę pomyśleć i przeczytać wszystkie posty i info jakie są na stronie hack.pl. Ale mnie wkurza zawiść ludzka ! Po pierwsze nikt od nikogo nie wyłudzał pieniędzy, trzeba czytać ze zrozumieniem. A po drugie chyba ludzie zajmujący się bezpieczeństwem w home.pl zarabiają sporą kasę, prawda? I proszę jak narazili nasze bezpieczeństwo..

http://itbiznes.pl/art25806-1.html <- wiec biedzie problem

MałaMi, nie wiem, jak te zdanie można inaczej interpretować jak próbę wyłudzenia pieniędzy. To tak jak byś zostawiła otwarty samochód a ktoś by powiedział, że jak zapłacisz mu 1tyś zło to on nie powie kuplą gdzie ten samochód jest. Ten listy nie był propozycją (albo był tak nieudolnie napisany, że tak nie wyglądał), tylko był ofertą, albo, albo. Albo płacisz, albo my mówimy i psujemy wasza opinię.

[MałaMi]

http://itbiznes.pl/art25806-1.html <- wiec biedzie problem

MałaMi, nie wiem, jak te zdanie można inaczej interpretować jak próbę wyłudzenia pieniędzy. To tak jak byś zostawiła otwarty samochód a ktoś by powiedział, że jak zapłacisz mu 1tyś zło to on nie powie kuplą gdzie ten samochód jest. Ten listy nie był propozycją (albo był tak nieudolnie napisany, że tak nie wyglądał), tylko był ofertą, albo, albo. Albo płacisz, albo my mówimy i psujemy wasza opinię.

A nie zauważyłeś w liście takiego zdania :" Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym (...)" Nigdzie tam nie jest napisane albo,albo, tylko hacking pisząc swoje oświadczenie pt."Hack.pl: za 200.000 zł nie napiszemy o Waszej luce w systemie" zrobił ludziom wodę z mózgu. Zawsze można interpretować różnie tekst, i każdy interpretuje go na swoją korzyść, a że home.pl nie potrafi przyznać się do błędu to rozdmuchał sprawę na swoją korzyść- atakuje.

[zdzana]

Kurde, co się ludzie uczepili tej prywatnej korespondecji!? Pisali o problemach w małżeństwie czy co? Żadna prywatna korespondecja a oferta i to śmierdząca.

Z listu:

Znaleźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny. Jesteśmy przekonani, że może być wykorzystana na wiele sposobów przez ew. napastników.

Czyli mamy na was haka i to mocnego!

Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem.

Troszkę się wybielamy, chcemy byc delikatni, bułkę w bibułkę...

Wstępnie myśleliśmy tylko o napisaniu o błędzie na łamach HACK.pl, a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu.

Sugerujemy, że możemy narobić smordu, a nawet chodziło nam to po głowie, co prawda nie podamy co i jak, ale podważymy waszą opinię...

Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Nadal sugerujemy, że możemy narobić smrodu, ale rozumiemy że wy go niechcecie i może się jakoś dogadamy...

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena - oczywiście - podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.

Za nie robienie smrodu chcemy 200 tys.

Jesteśmy otwarci na propozycje, oferujemy audyt bezpieczeństwa. Mamy nadzieję, że wspólnie uda nam się wyeliminować ten i podobne niedociągnięcia.

Nadal jestemy delikatni, lepiej się z nami dogadać, bo może coś jeszcze znajdziemy...

[ble34]

Pozwolicie że ja sie ustosunkuje poraz ostatni do całei tei sparwy
i powiem tak .Jakby kljent zanlazł w moim serwerze taka luke
i powiedział 200 tysiaków za pomoc w usunieciu
to powiedziłbym krótko
zahkuj mój serwer ja wezme dlasiebie te 200 tysiaków ciebie zamkną
my zlikwidujemy problem
puścimy do medjów
bajeczke o łych nieodpowiedzailnych hakerach którzy naprózdzili n a naszym serwerze
przeprosimy urzytkowników wcsikając bajeczke
i założe się że dużo natym niestracimy Bo przecież
nawet giganci tacy jak yahoo
mieli problem z hakerami
a jakoś od tego nieumarli
no nie?
więc nieprzesadzajmy z cenami zn dziurami i robieniem szumu do okoła niczego
szacunek
bo czy ta luka warta jest 200 k? nawet przyjmójąc ze cena podlega negocjacjom