вторник, июля 22, 2008

Про 9c951267 и bestpersons.

Тоже попал в компанию со всеми жертвами "странных цифр 9c951267". Судя по всему через bestpersons.ru кучу народа хакнули, и чтобы это доказать, в блогах людей, у кого увели пароли поместили эти цифры.

А bestpersons стал отпираться, что это всё ерунда, "затронуто небольшое число людей, всё уже пофиксили, пароли к другим сайтам не пострадали, всем пострадавшим был выслан емейл". И тут вся эта ерунда с загадочными цифрами началась в ЖЖ, blogspot'е, habrahabr'e и т.д.

Мне, кстати, никаких емайлов от них не пришло. Пришлось пароли везде менять. Ну и профиль удалил на bestpersons, ну их нафиг с такими сервисами.

Подробнее про эту историю на хабрахабре написано:
Сервис хранения паролей и раздачи их всем желающим.
Хабр снова в опасносте!

P.S.
Из первых рук про 9c951267 - Это самое интересное, рассказ самого автора хака:
Итак, по порядку:
1. Я нахожу то, что описано в первом топике и пробую это использовать.
2. Поскольку я не особо скрываюсь, некоторые пользователи, пароль которых я получил, заметили, что у них в настройках сменился email и сообщили об этом программистам сайта.
3. Сайт был отключен, когда я успел получить всего около 400 паролей.
4. Я написал пост на хабр, поскольку считал, что раз владельцы сайта узнали о уязвимостях, они их закроют.
5. Сайт включили.
6. Я увидел, что уязвимости никто не правил и написал об этом комментарий.
7. Сайт выключили, меня попросили сказать, где же именно ошибки на сайте о_О
8. Я сказал: в таких-то полях у вас не фильтруется html, кроме того у вас совершенно не фильтруются GET-запросы и через них можно делать что угодно. Поблагодарили, сказали что исправят.
9. Сайт включили, написали обнадеживающие новости - юзерам ничего не угрожает О_о. //То, что у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства) им, пользователям, знать не нужно.
10. Вечером перед сном решил еще раз зайти на сайт - посмотреть как там с уязвимостями. Обнаружил, что ничего в лучшую сторону не изменилось - поправили XSS в некоторых (не всех) полях, но через GET-запросы все еще можно делать все что угодно. В частности, удалять сообщения других пользователей и постить в их блоги на других сайтах.
11. Написал простенький скриптик, постящий во все блоги, пароли к которым были оставлены пользователями на bestpersons. Запустил его.
12. Посреди работы сервера bestpersons повисли (у них подвисали некоторые скрипты). Их перезагрузили и скриптик спокойно продолжил работу о_О
13. По всему рунету появились сообщения, содержание которых вы знаете. К настоящему времени большая часть из них уже удалена (уж точно на всех блогах, хозяева которых о них еще помнят).
14. Владельцы bestpersons добавили в новость о уязвимости еще одну строчку "От лица наших пользователей были отправлены странные сообщения, ничего страшного".


Ребята, с таким отношением к данным пользователей рунет никогда не станет похож на западный интернет :)

А тут дальнейший разбор полётов, обсуждают как должен был поступить хакер, который обнаружил уязвимость, надо ли было брать деньги или нет:
http://habrahabr.ru/blog/i_am_clever/47354.html
http://habrahabr.ru/blog/i_am_clever/47517.html

Комментариев нет: