Vefstjori.is geymir lykilorð


krat
Vélbúnaðarníðingur
Póstar: 397
Skráði sig: Lau 01. Okt 2011 21:14
Reputation: 4
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf krat » Mán 08. Des 2014 00:22

hverju var deletað :o og hvernig fór samtalið :O



Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Reputation: 1
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Gúrú » Mán 08. Des 2014 00:26

Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel


Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.


Modus ponens


capteinninn
Of mikill frítími
Póstar: 1725
Skráði sig: Sun 12. Sep 2004 16:02
Reputation: 20
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf capteinninn » Mán 08. Des 2014 01:06

Gúrú skrifaði:
Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel


Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.


Ég hélt að þetta kallaðist frí white hat hacker þjónusta þegar menn finna galla á vefsíðum og láta vita af því til að loka fyrir öryggislekann.



Skjámynd

rapport
Kóngur
Póstar: 7585
Skráði sig: Mán 27. Apr 2009 13:07
Reputation: 1193
Staða: Tengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf rapport » Mán 08. Des 2014 01:17

Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?

Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.

Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.

Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.

p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.




krat
Vélbúnaðarníðingur
Póstar: 397
Skráði sig: Lau 01. Okt 2011 21:14
Reputation: 4
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf krat » Mán 08. Des 2014 01:19

Gúrú skrifaði:
Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel


Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.

Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.

Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.

Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.

SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.

Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.


langar að heyra báðar hliðar málsins. :)




ASUSit
Fiktari
Póstar: 81
Skráði sig: Sun 15. Jún 2014 02:26
Reputation: 1
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf ASUSit » Mán 08. Des 2014 01:26

Þrátt fyrir að deila afar sjaldan skoðunum með Gúrú, að þá verð ég fyrir mitt leyti einfaldlega að taka hattinn ofan fyrir þér í þetta skiptið.
Viðhengi
2014-12-08-01-24-26-1295642538.jpeg
2014-12-08-01-24-26-1295642538.jpeg (3.9 KiB) Skoðað 3847 sinnum
Síðast breytt af ASUSit á Mán 08. Des 2014 02:15, breytt samtals 1 sinni.



Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Reputation: 1
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Gúrú » Mán 08. Des 2014 01:41

rapport skrifaði:Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.


Ég vil koma því á framfæri að þegar að ég taldi upp allar þessar upplýsingar var ég að nefna það sem er auðveldlega hægt að fá út frá flestum símanúmerum og/eða Facebook auðkennum. Þ.m.t. mínu.
Þessar upplýsingar sjálfar (fullt nafn, kennitala, heimilisfang) eru ekki hluti af GSM skráningarferlinu sem þó fer fram án notendaskilmála.

Það sem þú nefnir um að skaðinn sé skeður og viðvarandi er eitthvað sem að maðurinn sem svaraði mér í símanum afskrifaði algjörlega og missti ég þar með alla von um ásættanlega úrlausn.


Modus ponens

Skjámynd

Viktor
Internetsérfræðingur
Póstar: 6799
Skráði sig: Mán 04. Apr 2005 11:01
Reputation: 940
Staðsetning: https://notendur.hi.is/vjh2/
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Viktor » Mán 08. Des 2014 04:24

Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.



AHAHA! Er þetta hótun?

Ég trúi ekki að þú sért í forsvari fyrir fyritæki. Ef svo er - áttarðu þig ekki á því - að fyrirtæki, víðsvegar um heim BORGA fólki fyrir að hacka sig inn og láta þau vita af því?

Flestir hackarar sem hafa setið í fangelsi eru svo ráðnir til risastórra fyrirætkja á ofurlaunum.

Vá hvað sumir skilja ekki tækniheiminn.

Heimild:
Google Offers $3.14159 Million In Total Rewards For Chrome OS Hacking Contest

http://www.forbes.com/sites/andygreenbe ... g-contest/


I wish I was cool enough to not care how much I care about pretending not to care about things


Macbook Pro 13" M2 16GB 512GB

Ryzen 3600X 2070S 16GB


ASUSit
Fiktari
Póstar: 81
Skráði sig: Sun 15. Jún 2014 02:26
Reputation: 1
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf ASUSit » Mán 08. Des 2014 04:51

Sallarólegur skrifaði:
Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.



AHAHA! Er þetta hótun?



Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!



Skjámynd

Dagur
Geek
Póstar: 802
Skráði sig: Fös 19. Sep 2003 14:00
Reputation: 65
Staðsetning: Reykjavík
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Dagur » Mán 08. Des 2014 08:15

Veit einhver hjá eldsmiðjunni af þessu? þau eru auðvitað að borga fyrir þetta.



Skjámynd

CendenZ
Stjórnandi
Póstar: 2859
Skráði sig: Fös 04. Apr 2003 08:54
Reputation: 217
Staðsetning: Á þessu spjalli
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf CendenZ » Mán 08. Des 2014 08:37

*fliss*
Er verið að afsaka þetta fokkopp
;)



Skjámynd

Pandemic
Stjórnandi
Póstar: 3760
Skráði sig: Fim 31. Júl 2003 15:25
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Pandemic » Mán 08. Des 2014 09:54

Þetta með dulkóðunina hljómar eins og klór í bakkann. Það er enginn að segja mér að að forritari sem veit varla hvað hashing algorithmi er hafi implementað dulkóðun á þessi gögn þar sem það er svona 10x auðveldara að nota eitthvað hashing algrím.




suxxass
Fiktari
Póstar: 89
Skráði sig: Fös 11. Apr 2014 00:32
Reputation: 6
Staðsetning: Garðabær
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf suxxass » Mán 08. Des 2014 10:30

Mjög sloppy vinnubrögð...



Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Reputation: 3
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf rango » Mán 08. Des 2014 11:54

ASUSit skrifaði:
Sallarólegur skrifaði:
Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.



AHAHA! Er þetta hótun?



Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.

Góður Daníel!


Mér grunar sterklega hér að hann sé að tala um mig, Enda var það ég sem gróf upp þennan SQL möguleika.
Það er óþarfi að fara í vörn hérna, Ábyrgðin liggur hjá ykkur.

Veit eldsmiðjan af þessu, Er búið að láta þá vita?

Ég n.b. komst ekki yfir nein gögn,
Enn ég efast samt ekki um að einstaklingur sem vill raunverulega komast yfir slík gögn nái því meðað við ykkar hæfni til forritunar.



Skjámynd

Stutturdreki
Of mikill frítími
Póstar: 1702
Skráði sig: Þri 27. Apr 2004 14:03
Reputation: 38
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Stutturdreki » Mán 08. Des 2014 12:35

Daníel, ef einhver bendir þér á eitthvað sem þú hefur einfaldlega gert á rangan hátt þá segir maður takk og lagar það. Ekki vera fáviti.
Síðast breytt af Stutturdreki á Mán 08. Des 2014 14:46, breytt samtals 1 sinni.



Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Reputation: 3
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf rango » Mán 08. Des 2014 14:24

Varst það þú daniel sem forritaðir þennan vef?

Ég skal svosem kíkja á þetta hjá þér ef þú ert í vafa með þetta.




krat
Vélbúnaðarníðingur
Póstar: 397
Skráði sig: Lau 01. Okt 2011 21:14
Reputation: 4
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf krat » Mán 08. Des 2014 15:54

Bíð eftir svörum frá Daníel.



Skjámynd

Danni V8
Of mikill frítími
Póstar: 1797
Skráði sig: Mán 23. Apr 2007 06:36
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Danni V8 » Mán 08. Des 2014 17:42

Djöfull finnst mér óþæginlegt að lesa þennan þráð.


Asus ROG Strix Z390-F Gaming | Intel Core i5 9600K @ 4,7GHz | Crosshair H100i | Corsair Vengance 16GB | Asus ROG Strix RTX2060 | Corsair RM 650x

Skjámynd

MatroX
Bannaður
Póstar: 3540
Skráði sig: Mið 17. Feb 2010 12:58
Reputation: 49
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf MatroX » Mán 08. Des 2014 17:44

Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.

hvernig væri að þú byrjaðir að svara þeim hahaha :D


Intel i7 13700k | Artic Freezer II 240 | Gigabyte ud4 | Ripjaws 4x8gb 3200mhz | Palit RTX 3080 GAME ROCK | Corsair 350d | 1x 1tb CARDEA ZERO | 2tb SSD| Antec HCP 1200w | 1x 27" PHILIPS 274E5QHS | 1x ASUS 27" 4k ultrawide | Corsair M95 Mús | Corsair K95 RGB MX Red Lyklaborð |


krat
Vélbúnaðarníðingur
Póstar: 397
Skráði sig: Lau 01. Okt 2011 21:14
Reputation: 4
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf krat » Mán 08. Des 2014 17:48

Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.

Afhverju er það? :roll:



Skjámynd

Hargo
</Snillingur>
Póstar: 1069
Skráði sig: Mið 13. Ágú 2008 02:18
Reputation: 12
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Hargo » Mán 08. Des 2014 19:39

krat skrifaði:
Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.

Afhverju er það? :roll:


Því hann heitir sennilega líka Daníel, hence the nickname ](*,)



Skjámynd

intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Reputation: 35
Staðsetning: /dev/null
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf intenz » Mán 08. Des 2014 23:01

Guð minn almáttugur. Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein, þar sem þessi maður veit ekkert og ætti ekki að vera í þessum geira. Og að fara í vörn og "hóta" lögsóknum er bara barnalegt. :thumbsd


i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64

Skjámynd

gRIMwORLD
FanBoy
Póstar: 726
Skráði sig: Fös 19. Des 2008 21:19
Reputation: 43
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf gRIMwORLD » Mán 08. Des 2014 23:12

ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)


IBM PS/2 8086


Klemmi
Stjórnandi
Póstar: 4196
Skráði sig: Fim 10. Apr 2003 12:16
Reputation: 1342
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Klemmi » Mán 08. Des 2014 23:36

intenz skrifaði:Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein


Tölvunarfræðingur er lögbundið starf, hins vegar getur enginn bannað þér að selja þig út sem forritara án formlegrar menntunar, enda þætti mér það mjög óeðlilegt. Hitt er svo annað mál hvort það mætti ekki setja slíkar reglur þegar forritaðir eru gagnagrunnar sem halda utan um persónuupplýsingar.

http://europass.is/wp-content/uploads/2 ... 005-36.pdf



Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Reputation: 1
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Pósturaf Gúrú » Þri 09. Des 2014 04:18

gRIMwORLD skrifaði:Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?


Þetta er svo fáránleg spurning sem á engan rétt á sér.

Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.

Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.

Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.

Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.


Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.

Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.


Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?

Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.


Modus ponens