HACK.pl wykryło krytyczną lukę serwerów home.pl

[eMCe]

Poza wytknięciem celowego zresztą przekoloryzowania skali dramatyczności nie widzę sensu wypowiedzi. Lekki epitecik w moją stronę, tylko jak to ma się do tematu? Gdyby ktoś znalazł cokolwiek mojego i chciał za to górę pieniędzy to chyba jednak jest coś nie tak! Czy może uważasz, że każdą okazję trzeba wykorzystać do zarobku?

Ja tam sens widzę... szkoda ze ty nie widzisz tego co chcę przez ten kawałek tekstu powiedzieć...
Admini z home.pl dostają kasę za to żeby zabezpieczyć - tymczasem się z tego nie wywiązują - Michałowie proponują pomoc - ale oczywiście nie za darmo - zdobycie wiedzy też kosztuje - czas i książki... - czy to nie uczciwe?!? (pomijam już totalnie nie trafioną cenę...)

co do tego czy wierzę w słowa Michała.. hymm... wierze że nie chciało by mu się wymyślać logu na pokaz - więc podejrzewam ze ten wstawiony na stronę jest prawdziwy... tyle mi wystarczy...

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena - oczywiście - podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.

Za nie robienie smrodu chcemy 200 tys.

200K nie jest za niezrobienie hałasu a za wskazanie gdzie jest luka...

a że home.pl nie potrafi przyznać się do błędu to rozdmuchał sprawę na swoją korzyść- atakuje.

dokładnie MałaMi - popieram Cię... - obawaim sie ze home na tym nie ucierpi - klientów tez nie straci bo już sprzedaje bajeczkę ze luka dotyczyła tylko 6 kont...

//fajnie sie dyskutuje ale obowiązki wzywają - wrócę za jakąś godzinkę

[ble34]

właśnie oto chodzi zapłac 200 k to pokaże gdzie jest luka zekomo "krytyczna"
pewnie koleś by się zdziwił gdyby zapłacił i okazało by się ze chodzi o luke tego typu
sory ludzie ale zejdzmy na ziemie
taki chjas to się bierze za włamania do sieci bankowych albo przeforsowanie ustwy w sejmie
to sa 2 miljardy w starym przeliczniku
informacja kosztuje
jasne
ale cena musi być adekwatna
do jakości informacji
wybacz
ale jeśłi ktoś sugeruje ttaka cene za tego typu luki
to znaczy że jest cynicznym cwaniaczkiem
,albo ma manie wielkości
abo jest pijany
żeby niebyło jakiś nieporozumieni krytyczna luka
przynajmniei w moim mniemamniu to przejęcie kontroli nad protalem
serwerem
mózgiem admina areszta to nieznaczne błedy które przy odrobinie szczęścia mogą być wykorzystane
koniec kropka nieróbmy z gówna czekolady

[zdzana]

200K nie jest za niezrobienie hałasu a za wskazanie gdzie jest luka...

Zdanie z listu:

Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Tłumaczenie: chcemy o tym napisać, ale rozumiemy że wy tego niechcecie...

Następne zdanie to, że informacja "co i gdzie" kosztuje 200tys. Informacja... na wyłączność dla home.pl, bo przecież Panowie rozumieją, że home.pl niechce o tym pisać. Zamysł jest jasny i prosty. Skoro miała to być jedynie opłata za informację, to po cholere to pisanie "że myślimy o publikacji, ale rozumiemy was....". Prościej się nie da: myślimy żeby o tym napisać, ale możemy się dogadać.

[MałaMi]

Zdzana, 200 tys. to cena za dalszą pomoc tak jak napisał eMCe, i jest to wstępna cena. M&M wyraźnie piszą, że cena podlega negocjacji. A co do publikowania informacji o błędzie na hack.pl to myślę, że nie chodziło o to że albo dacie kasę, albo opublikujemy, tylko "rozumiemy, że na razie na czas współpracy i naprawiania błędu nie chcielibyście abyśmy o tym pisali". Ale skoro home.pl zupełnie osrał to info i napisał :"[..] Za pożno - luka jest już usunięta od 15 minut... Analizując Państwa poczynania w logach doszliśmy do tego jakąś godzine temu....[..]". cokolwiek miałoby to znaczyć, (a ja rozumiem to tak : odwalcie się, nie możemy sobie pozwolić na przyznanie się do błędu.. I teraz wmawiają opinii publicznej jakieś bzdury o tym, że błąd wcale nie był błędem.. ) i przypisał sobie znalezienie luki to nie było powodu żeby nie napisać o tym na hack.pl

Ble34 proponowałabym najpierw zbadać u źródeł jaka była luka, a nie kpić z niej jak gówno, za przeproszeniem, o tym wiesz.


"Pamiętajmy o tym, że nawet profesionalistom zdarzają się poważne wpadki " jak to napisał M.s. ale home.pl po prostu nie potrafi się do tego przyznać i dlatego obrócił sprawę w taki sposób, żeby ludzie nie skupiali się na luce a na "szantażu", wymuszenie 200tys zł to przecież super temat dla mediów.

[ble34]

no przepraszam ja z nikogo niesmiem tutaj kpić
ale dla mnie to niejest krytyczna luka sory
ale jakieona daje możliwości wykorzystania
jaki % portali może przez nią ucierpieć
badzm szczerzy ja bym ja bym ją zklasyfikował na poziomie luk xss
gdzie bardziei liczy się łud szcęścia niż sam błąd
przykład krytycznej luki znalezionei ostatnio
PHP-FUSION Arcade Module podatna na sql
to jest krytyczna luka
ja bym zanią niezapłacił zresztą za żadną bym niezapłacił
jeśli popełniłem bład i umiesz go wykorzystać
to rób co dociebbie należy i jak już pokażesz zagrozenia płynace z wykorzystania błedu to składaj oferte
a nie szukash naiwniaka i wciskasz kity w stylu
jestem gotów do wspól pracy za jedyne 2000000 zł
bo jak jie to ........... nowłaśnie co
?
nic jakiś sk wałamie się gdzieś tam kożystając z pomocy logów
bez sensu
cała ta akcja jest wyolbrzymiona
i niesądze żeby przynisła korzyści komu kolwiek
wiesz ja jestem na etapie kiedy zgłaszm błedy niestawiając warunków
albo niezgłaszam ich wcale
i myśle że trzeba sie zastanowić 89 razy zanim się podejmie jakieś działania które mozna podciągna c pod szantaż
tym badziei że nikt nieokazał chęci wspól pracy ze mną
i niewyraził chęci płacenia za informacje tego typu
bo wiesz znajdiwanie luk
i żądanie pieniędzy za to to podchodzi pod cracking
i balansuje na krwędzi prawa

[rgasiore]

Widzieliście tego 'CMS'a MEN? To jakaś masakra - a pewnie dostali za to niezłą kaske. Moim zdaniem głównym winowajca jest twórca tego pseudo CMSa - pewnie zalozyl ze każdy wchodzac do amina będzie wchodził przez index.* - i już nie sprawdzał sesji (jeśli w ogóle widział co to sesja) w reszcie systemu. Nie wspomnę o js error.

Powinni coś zrobić z twórca tego CMSa (szkoda ze stopka się nie uchowala) - na pewno w umowie na wykonanie tego 'dzieła' było coś o bezpieczeństwie - niech teraz płacą kary gwarancyjne.

[ble34]

no dobra wchodzisz do panelu
ale pytanie zasadnicze co pożesz wnim zdziałać
sprawdziłeś bo ja nie
może być tak że wjdziesz ale ni cniemożesz zrobić
bo kazda edycja wymaga ustanowionej sesji
a w ytakim wypadku możesz tylko zobaczyć njak on wygląda
no nie?

[killrathi]

cały czas staralem sie byc obiektywny w tej dyskusji, ale jak czytam to mnie ku#%#$%wica bierze....
Ludze!!! 200,000 to rizsadna cena? za niezamowiona usluge? wy sie chyba na leb powalili.... no sorry, ale jak ktos mi pisze ze 200k to rozsadna cena to chyb nie zdaje on sobie sprawy ile to tak na prawde jest...
Poza tym za co za "krytyczna luke"... sorry, ale tez moge pokazac jakas bzdure typu:

Kod:

HTTP/1.1 200 OK Server: IdeaWebServer/v0.50 Date: Fri, 06 Apr 2007 15:50:19 GMT X-Powered-By: PHP/4.4.6 Set-Cookie: bblastvisit=1155920618; expires=Sat, 05 Apr 2008 15:50:20 GMT; path=/ Set-Cookie: bblastactivity=0; expires=Sat, 05 Apr 2008 15:50:20 GMT; path=/ Set-Cookie: bbsessionhash=dec7acce22602cb3b0f730529488b05c; path=/; HttpOnly Expires: 0 Cache-Control: private, post-check=0, pre-check=0, max-age=0 Pragma: no-cache Content-Encoding: gzip Content-Type: text/html; charset=ISO-8859-2 Content-Length: 2720 Connection: Keep-Alive �

i narobic z tego takieeeego szumu ze dzieki temu smieciowi mozna uzyskac nieautoryzowany dostep do bazy danych hack.pl i blablabla....
Wezcie wreszczcie sie zastanowcie - mi to zaczyna wygladac na kolejnego Goriona i probe budowania piaru... - z ciekawoscia bede sledzil informacje o rzekomym pozwie do prokuratury... - moze byc wesolo...

i na koniec:
nic mi nie wiadomo o wysokiej klasie panow Michal i Michal - a podane w tym watku linki do ich publikacji mnie nie przekonuja o ich klasie... ja tez mam publikacje na koncie i byc moze czesc starej wiary jeszcze mnie pamieta, ale za takie cos - to wybaczcie - popieram stanowisko home.pl

[eMCe]

i myśle że trzeba sie zastanowić 89 razy zanim się podejmie jakieś działania które mozna podciągna c pod szantaż

szczera prawda!

co do sumy 200 000 zł - też uważam że to totalna pomyłka - za znalezienie takiej luki....

luki tez nie nazwał bym krytyczną...
ale jak już pisałem poznanie struktury plików (według opisu jest to możliwe) to też istotna sprawa! (oczywiście w dzisiejszych czasach może jest to mniej istotne bo wszystko trzyma sie w bazach...) ale home ma tyle klientów ze na bank ktoś sobie mógł trzymać np. w notatniku zapisaną książkę telefoniczną - pod specjalnie zrobioną dziwną nazwą typu

Kod:

jahsdjhadhasbdasusay67fasfasbf87oas67.txt

i właśnie przez takie niedociągnięcia są potem problemy!
jak widać (sugeruję się mailem z home.pl) polepszenie zabezpieczeń nie zajęło dużo czasu - czy nie można było tego zrobić wcześniej...?!?

niemniej jednak nadal nie widzę ewidentnej próby szantażu !!

tak jak napisał/napisała (niepotrzebne skreślić) MałaMi:

A co do publikowania informacji o błędzie na hack.pl to myślę, że nie chodziło o to że albo dacie kasę, albo opublikujemy, tylko "rozumiemy, że na razie na czas współpracy i naprawiania błędu nie chcielibyście abyśmy o tym pisali"

Tłumaczenie: chcemy o tym napisać, ale rozumiemy że wy tego niechcecie...

dla mnie w mailu nie ma sytuacji albo-albo fakt faktem nie jest to jasno zaznaczone i można interpretować na dwa sposoby - ale sokoro Ty(mówię o zdzana) home.pl itp... może to rozumieć jako szantaż to tak samo ja, MałaMi, i sami zainteresowani (oraz inni ) mogą uważać ze szantażu nie było!! Nie jest to jednoznacznie napisane - wystarczył jeden mail ze strony home.pl z pytaniem jak sie dokładnie przedstawia sytuacja (bo w końcu to oni nie wiedzieli jak zinterpretować maila!!...

takie jest moje stanowisko w całej sprawie -i nie próbuję tu nikogo bronić - Michałów nie znam praktycznie(tyle co z postów na forum)... a nawet powiedział bym ze stosunki są między nami chłodne (wpływy na to miały moje początkowe błędy jako modelatora tego forum oraz dysleksja... - więc nie mam najmniejszych powodów dobycia po stronie Michałów a praktycznie można by powiedzieć ze mam powody ku temu by ich potępić) jednak ja po prostu to tak opisuję jak widzę całą sprawę...

na koniec na rozluźnienie może atmosfery przytoczę treść dowcipu który według mnie pasuje do tego wątku bo sytuacja właśnie w tak zaczyna zmierzać:

mąż: Kochanie obawiam sie ze nie masz racji...
żona: Uważasz że nie mam racji?!
żona: twierdzisz ze kłamę?!
żona: że łże jak pies!
żona: MAMO ON NAZWAŁ MNIE SUKĄ!!

the end...

[Login]

Widze, ze co niektorzy nie wiedza co to jest szantaz. Przeciez to sie niczym nie rozni od tekstu dresika skierowanego do wlasciciela jakiegos lokalu:
"Wie Pan, rozne nieszczecia chodza po ludziach. Za xxx tys. zl. oferujemy ochrone i swiety spokoj"
Za to sie idzie do paki.

Niech sie Ci "elektroniczni szantazysci" (jak to nazwal Onet.pl ) ciesza, ze wyszlo jak wyszlo. Jeszcze moga miec przesrane, ale mieliby jeszcze gorzej gdyby home.pl olal sprawa. Wtedy jakikolwiek (i kogokolwiek) atak na home.pl powiazany zostalby z tym mailem i chyba nie musze opiswac jakie bylby tego konsekwencje.

Trzeba czasem myslec.

Pozdrawiam