Új hozzászólás Aktív témák
-
Syl
nagyúr
És a tek mikor rúgja rá az ajtót az index újságírójára? Elvégre igen komoly tenorcselekményt követett el...
Never let your sense of morals prevent you from doing what's right.
-
KEndre
HÁZIGAZDA
Incidenskezelés? GDPR gyakorlat.
Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
önkéntes kiberjogászok? lol. jogászok ezek is...
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
apatyas
Korrektor
kac-kac-kac
pezo77 #5 2017.12.14. 13:29 Hmm. És ez az e-hajó akkor hol is tud kikötni? Az e-bay -ben? ;)
-
Fred23
nagyúr
"Önkéntes Kiberjogászok Szervezete"
Ezek kik? A lincselés szó jut eszembe valamiért.
-
xmaas
őstag
Nevetséges ami itt folyik ha felhozod a figyelmet sebezhetőségre meg mulasztásra még téged visznek el a fekete csuklyások sőt meg akkor is ha neked valaki csak elmondta hogy valami hiba van a rendszerben és te csak felhívtad az illetékesek figyelmét rá.
Szeretlek Magyarország ......
-
Jinxb1rd
addikt
Már nem azért, de ez a feljelentés szerintem már teljesen jogos. Aztán itt fújogathattok ahogy akartok.
Az oké, hogy ír az indexnek, hogy talált egy rést és nem foltozták be, írjanak már róla cikket, hátha akkor. De hogy teljes egészében tájékoztat egy portált, hogy ezt hogyan lehet megcsinálni? Az meg kipróbálja, meg is mutatja, hogy működik, tudatosítja mindenkivel, hogy a folyamat leírása ott lapul a szerkesztőség gépein is, olyanokon, ahol az admin vagy e-mail fiók jelszója lehet, hogy 'jelszo123'???
Ki tudja, hány emberhez eljuttatva ezt az infót, ergo ez az okostojás felhasználó okozza most a legeslegnagyobb veszélyt. Illetve most már az indexes munkatársak és ismeretségi köre és így tovább.
Jelentsék is fel őket, ez teljesen korrekt most és remélem meg is kapják a magukét. Nem így kell egy kritikus hibát kezelni.
[ Szerkesztve ]
We are only Stardust...
-
ahhoz, hogy az index foglalkozzon vele, le kellett írnia a komplett folyamatot, különben nem lesz belőle cikk.
nem, a legnagyobb veszélyt azok a balfék programozók okozzák, akik a hibákat belerakják a rendszerbe, és azok a minőségbiztosítók, akik ezeket a hibákat nem kapják el élesítés előtt.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Jinxb1rd
addikt
Ha lenne egy gomb a sivatag közepén, ami felrobbantja a földet, mikor lenne nagyobb veszély: ha egy ember tudná, hogy ott van, de nem foglalkozik vele, vagy ha az egész föld tudna róla és foglalkozna vele?
Igen, hibás a posta, de ezek az emberek meg gyökerek és nagyobb kárt okoznak.
[ Szerkesztve ]
We are only Stardust...
-
CHAOS AD 76
csendes tag
"Jelentsék is fel őket, ez teljesen korrekt most és remélem meg is kapják a magukét."- így van, jelentsen fel mindenki mindenki. Létre is kéne hozni egy szervezetet, ami a belső ellenségek felkutatásán/letartóztatásán stb ügyködik!
Legyen a neve Államvédelmi Hatóság, vagy valami hasonló. Oh, wait... -
KEndre
HÁZIGAZDA
-
Pötyi
őstag
A fokozatosság elve sem ment át? A bejelentő tök szabályosan járt el, amikor három hete még nem verte nagydobra, hanem a megfelelő embert értesítette. Joggal várható el, hogy egy ilyen érzékeny adatokkal dolgozó rendszert villámgyorsan kijavítsanak. HÁROM HETE SZART ERRE A POSTA! Ezek után jön a következő lépcső, a nyilvánosság. Hadd tudják meg az emberek, hogy mennyire nincsenek biztonságban az adataik. Hátha a blama közhirré tétele gyorsabb munkára serkenti azt a programozót, aki a postánál a hiba kijavításán dolgozik.
QNX is cool!
-
Dj Faustus
csendes tag
Mondjuk azért eléggé érdekes, hogy a "normál használat közben" talál egy felhasználó egy "biztonsági rést" és - bár "elvileg" némi időkéséssel (mi igazolja ezt?), de - egyből az Indexhez fordul. Pedig el is akarja kerülni "a kellemetlen feljelentgetéssel párosult BKK-féle “hekkelésnek” még csak a gyanúját is", de mégis sorba áll pofonért. Fordulhatott volna valamilyen szakmai szervezethez is: http://www.cert-hungary.hu/sites/default/files/news/hacker_3.png
Ráadásul az Index ezt fel is fújja, ezzel potenciális szkript kiddie-k tömegeit rászabadítva a Posta oldalára (ne legyen igazam!).
[ Szerkesztve ]
-
Jinxb1rd
addikt
Még mindig az a probléma, hogy jelenleg már nem két ember tudja, hogyan lehet fontos adatokat lopni, hanem már több tucatnyian. És ez nem a Posta hibája, hanem az okostojásé, most meg már az indexé is.
Egyébként rohadtul nem értem, mit kell ezen magyarázni.
De segítek, itt egy példa:
Van egy szobatársad, aki tudja a bankkártya adataidat, illetve szól, hogy rájött, mi a bankkártyád pin kódja. Te nem változtatod meg 3 hétig. Ő ezt látja, szól a baráti társaságának, odaadja az adatokat, pin kódot, hogy 'nézzétek már, ez még mindig nem változtatta meg'.
1 nappal később értesülsz erről és reménykedsz, hogy nem szivattyúzták le a kártyádat...
Kérdem én tőled, SZERINTED EZ TELJESEN OKÉS VISELKEDÉS A BARÁTOD RÉSZÉRŐL?
[ Szerkesztve ]
We are only Stardust...
-
Pötyi
őstag
válasz Dj Faustus #15 üzenetére
Érdekes dolgot vetettél fel, de ne felejtsd el azt a tényt, hogy a nyilvánosságnak is nagy ereje van. Ugyanúgy munkára készteti a lusta programozót, mintha a CERT-ből szólnának át a postának.
Felejtsd el azt a sémát, ami a múlt rendszerben volt, hogy mindennek volt egy hivatala. Egy illetékes elvtársa. (Akik majd a fű alatt intézkednek. Vagy nem. De eltussolni eltussolnak mindent és kuss van. Ha nincs hír, akkor az meg se történt.)
Az istenadta népnek ugyanúgy joga van megtudni, hogy rohadtul nincsenek biztonságban az adatai.
QNX is cool!
-
Pötyi
őstag
Nem _okés_ viselkedés, de egyre jobban rákényszerít, hogy minél gyorsabban megváltoztassam.
Kiegészítés:
ELVEKRŐL vitatkozunk. A célunk közös: minél előbb be legyen foltozva az a nyomorult biztonsági rés. A módszer, amivel elérjük ezt, az eltérő.
Ti a szőnyeg alá söpörnétek midnent, mert azzal jöttök, hogy "mi van akkor, ha közhirré teszik és jön egy script kiddie aki kihasználja?"
Mi meg úgy gondoljuk, hogy mindenkinek joga van tudni, hogy az érzékeny személyes adatai egy hibás rendszerben vannak tárolva. Nekünk az is jó érv, hogy három hete szarnak a hibára - még azután is, hogy nyilvánosságra került. Majd meggondolom ezután, hogy egy ilyen cégre bármit is bízzak. Nemhogy az adataimat, hanem még egy levelet se! Aztán majd remélhetőleg csődbe megy. Sorry, ezek a kapitalizmus farkastörvényei. Állítólag '89. óta az van.
[ Szerkesztve ]
QNX is cool!
-
Jinxb1rd
addikt
-
#06658560
törölt tag
mivel a csodás állami trágyadomb értesült az esetről, volt ideje cselekedni, mégis baxott rá, teljesen jogosan van most világgá kürtölve a dilettantizmusuk! Isten igazából a teljes vezetést kéne azonnal az adatkezelési jogszabályok megsértése miatt azonnal helyben kibaxni az országból, de ezt nem lehet, mert a sok mocskos csókos és bólogató jános ezt akarja, szar munkát drágán, állami pénzek magán pénzzé lopásával. Ha valaki ezeket helyesli, és a nyilvánosságot hibáztatja érte, az pedig kérem, hogy forduljon tovább valami házmesterországba, mondjuk Kínába, Észak-koreába, ahol ez az evlárt viselkedési mód!
-
"Még mindig az a probléma": az a probléma, hogy nem tudod, hogy ki tudja.
tehát tudják azok, akik az indextől értesültek, meg tudják azok, akik korábban már feltörték saját szakállukra a rendszert, és hosszú ideig lopták az adatokat. ez utóbbiakhoz képest az, hogy az indexben is tudja pár ember a feltörés módját, apróság.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
"Egyébként rohadtul nem értem, mit kell ezen magyarázni.": azt a hibát követed el, hogy azt hiszed, nem értjük, amit mondani akarsz. a valóság ezzel szemben az, hogy értjük, hogy mit akarsz mondani, csak nem értünk vele egyet.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Alexios
veterán
De nem jó a példa, mert nem a posta mondta el önkéntesen a "pinkódot". Akkor már inkább jobb az, hogy a szobatárs észreveszi hogy a másik kiragasztotta az ajtóra a pin kódját, és szól neki, hogy ezt nem kéne, majd utána 3 hétig nem veszi azt le onnan. Ezután szól csak a baráti társaságnak, hogy ez a hülye nem vette le a pin kódot, szóljanak már ők neki, hátha rájuk jobban hallgat, és elmondja hova van ragasztva, hogy bebizonyítsa nem kitalálta.
Nem 1 nappal később értesülsz, mivel egyrészt 3 hete tudsz róla, másrészt a cikk írása előtt megkerestek, ráadásul a sebezhetőséget sem ismertették a meglétén kívül. De akkor komolyan, szerinted mi lenne a korrekt megoldás a hasonló helyzetekben? Törődjenek bele, hogy visszaélhetnek az adataiddal, és kész?
[ Szerkesztve ]
-
Pötyi
őstag
Mert éltünk az államszocializmusban! Van róla emlékünk és tudjuk, hogy nem igazán jó. A hibák eltussolása is annak a rendszernek volt az egyik jellemzője. Például az, hogy napokig nem értesítjük a közvéleményt a csernobili robbanásról. Mert az blama lenne! Amiről az emberek nem tudnak, az nincs is! Igazán kár, hogy a radioaktív felhő nem tudta, hogy ő nincs és napokon keresztül terjedt, fertőzve az embereket.
Szerencse, hogy ma már nem az a rendszer, hogy bármit is eltussolnak.
Oh, wait!
Szerinted miért mondják a kritikus hangok, hogy Ovi is cuclizmust épít?
[ Szerkesztve ]
QNX is cool!
-
Waikiki
tag
1. Nem kellett volna leírnia, elég lett volna maszkolt screenshotokat küldenie.
2. Az Index.hu-nak miért kellett a hibát kihasználva illetéktelenül behatolnia a Posta rendszerébe?Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
-
Jinxb1rd
addikt
Nem. Ez így teljesen okés lett volna, ahogy van, ha nem ossza meg azt is, hogyan kell a feltörést megcsinálni. Lehetett volna képernyőtervekkel egy tesztet csinálni: indexnél feladni egy csomagot, ő meg lecsekkolja, küld egy képet, hogy itt vannak az adatai.
[ Szerkesztve ]
We are only Stardust...
-
Alexios
veterán
Én nem tudom a sebezhetőség mivoltát pontosan, szóval nem tudom ez mennyire lett volna egy járható bizonyítási út, azt tudjuk, hogy a mostani biztosan az volt. Innentől kezdve lehet a felelősségeket tologatni, de talán valahol mégis inkább a postánál van ahol 3 hete tudnak róla, és mégsem csináltak semmit.
Illetve az indexnél nyilvánosságra hozták ezt, ezzel kényszerítve a postát a hiba javítására, nem megtartva maguknak, hogy visszaéljenek vele. Egyáltalán nem biztos az, hogy mások már eleve nem teszik ezt, eleve hibás feltételezés, hogy mivel megosztotta az újságírokkal fognak visszaélni, mert sehol nem következik hogy az eltelt 3 hétben mások nem fedezték szintén fel csak nem voltak jófiúk
[ Szerkesztve ]
-
kispx
addikt
Látom nem tudod megkülönböztetni a hamis biztonságot (biztonság érzet) a biztonságtól.
Van egy defekt. Szobatársad rájött a PIN kódra. => Biztosan csak ő jött rá? Más nem? Biztos vagy abban, hogy valaki _már_ nem csapolja a bankkártyádat? Első hiba. Te itt már nem vagy biztonságban (vagy sosem voltál). Csak abban a tévhitben élsz, mintha valamiféle biztonságban lennél. Pl.: Sosem tudhatod, hogy a szobatársadat mikor él vissza vele vagy mikor itatják le úgy, hogy elkotyogja.
Szobatársad szólt neked. => De te lusta vagy kideríteni hogy, hogyan következheted be az első hiba (második hiba), tenni valamit, hogy a jövőben ne következhessen be (harmadik hiba), likvidálni azt a lehetőséged, hogy a szobatársad kihasználhassa a defektet. (negyedik hiba)
Hibát hibára halmoztál. Akkor miért nem te vagy a hibás (Az más kérdés hogy ő is hibás)
De ne is használjuk hasonlatokat. Térjünk vissza az eredeti problémára:
Tudnád biztosítani azt, hogy az indexes cikk előtt nem éltek vissza ezzel a hibával? Megtudnád mondani, hogy kik használták ki ezt a sebezhetőséget az indexes cikk megjelenése előtt? Tudnál valami biztosítékot adni, hogy javították volna ezt a hibát?Az indexes cikk megjelenítése egy kényszerítő erő. Kényszeríti a postát, hogy az _eredeti problémát_ foltozza. A lehető leghamarabb. Nehogy azt hidd, hogy indexes cikk nélkül nem jelentek volna meg a black hat/script kiddie-k a posta honlapján.
[ Szerkesztve ]
-
Jinxb1rd
addikt
Persze, meg akasszuk fel az összes feltalálót, aki olyat talál fel, amit fegyverhez is lehet alkalmazni, nem?
(#32) kispx
(Az más kérdés hogy ő is hibás) Nem más kérdés, mert ez a hír most erről szól, nem arról, hogy a céget hogyan kellene büntetni ezért. Hogy a feljelentés pont az ő hibájáról szól.[ Szerkesztve ]
We are only Stardust...
-
-Skylake-
addikt
Spider-Man, Spider-Man,
Does whatever a spider can
Spins a web, any size,
Catches thieves just like flies
Look Out!
Here comes the Spider-Man.Magyar Nemzeti Szupercsapat. Ez a nev akkora lol meg igy az egesz, hogy el sem hiszem hogy olyanok vannak mogotte, akik vegig tudtak csinalni egy jogi kepzest, barmennyire is egyszeru amugy az.
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
QuarK
senior tag
Rossz analógia.
A szobatársad szól, hogy hülye vagy, mert a bankkártyád a bejárati szőnyeg alatt tartod, a hátuljára filccel felírva a PIN kódod.
Te meg azt mondod, hogy majd dolgozol rajta.
Aztán 3 hét múlva is ott van a szőnyeg alatt. És a szobatársad ekkor kürtöli széjjel, hogy mekkora bolond vagy.
Sőt, még ez se pontos. Ugyanis jelen esetben a Posta mások személyes adatait kezeli.
Szóval valahogy úgy hangzana az analógia, hogy még az internetbank belépési adatok is fel vannak postitelve a kártyára, és bárki nézheti, hogy pl. neked utald pornóújság előfizetéshez.
-
Lenry
félisten
teljesen fölösleges analógiákat keresni, anélkül is egyértelmű, csak a kolléga nem fogadja el, hogy
- nem értünk vele egyet
- nincs feltétlenül igaza
- nagységrendekkel kisebb probléma, hogy még 2-3 ember ismeri a sebezhetőség módját, mint az, hogy a sebezhetőség egyáltalán létezik (és nyilvánvalóan ez a tudás használhatatlanná válik, amint befoltozzák a rést)[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
scyllarus
veterán
Rettenetesen fordítva látod a dolgokat, a példád meg nélkülöz mindenféle párhuzamot.
Itt nem a Posta számláját csapolhatják meg, hanem az ügyfelek szívhatják meg, akik jogosan várják el, hogy az érzékeny adataik ne legyenek hozzáférhetőek bárki számára."Nem biztos, hogy mindig tisztán látjuk, de Istennek terve van velünk. - Igen, tudom. De miért hiszi mindenki, hogy ez a terv jó?" Lucifer - A Priest Walks Into a Bar
-
Jinxb1rd
addikt
Egyébként meg mi van ha durva hibáról van szó? Mi van ha bonyolultabb kijavítani, átállni rá fennakadás nélkül? Vagy most karácsony előtt senki ne tudjon csomagot küldeni, álljon a rendszer egy hónapig, mert lehet egy hülyegyerek nem tudja tartani a száját? Emberünk rákérdezett bármire így 3 hét után, hogy mi a helyzet vagy egyből Index?
[ Szerkesztve ]
We are only Stardust...
-
kispx
addikt
> "Nem vágod, hogy most erről van szó, ugye? Hogy a feljelentés pont az ő hibájáról szól, amiket ő csinál most."
De vágom. First world problem. Megtudnád mondani, hogy azt a "szervezet" miért nem a postát jelentették fel? Ő volt a legnagyobb hibás. Megtudnád mondani, hogy miért egy jelentéktelen mozzanatot emelsz ki az egész eseménysorozatból ahelyett, hogy a lényegre koncentrálnál? Az index leellenőrizte az ember állításait. Ezzel most miféle bűnt követett el? (Ok, tudom hogy mit akarsz mondani, de...) Milyen kára származik a postának vagy az embereknek? Az, hogy _végre_ a posta megemeli a fenekét és befoltozza a hibát? Ez szerintem inkább előny mintsem hátrány. -
Pötyi
őstag
A feltalálós példával nagyon átesel a ló túloldalára.
Én, kisember Béla sehogy nem tudom a postát rákényszeríteni a hiba minél hamarabb történő befoltozására. Ha bemegyek a posta vezérigazgatójához és elkezdem verni az asztalt, hogy három hete hozzáférhetőek az érzékeny adataim, akkor először megértően bólogat, aztán az anyagiak hiányára hivatkozik, hozzájuk ennyiért csak ilyen gyenge képességű programozó ment dolgozni, majd ha megunja a társaságom, végül kidobat.
A nyilvánosság igenis nagy fegyver. Amikor hatszázezer ember (aki mind érintett, mert nyilvánosságra kerültek a személyes adatai) követeli, akkor talán megmozdul a posta gépezete.
QNX is cool!
-
Lenry
félisten
ha így van, akkor a Posta most előállhat egy ezt tartalmazó nyilatkozattal, és kész.
tekintve, hogy a kívülállók közül még mindig csak a hülyegyerek, meg az újságíró tudja a sebezhetőség pontos mibenlétét, így pont ugyanannyira vannak biztonságban az adataink, mint eddig voltakGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
-
Dj Faustus
csendes tag
1. Mi bizonyítja azt, hogy az Index igazat írt?
Mi bizonyítja azt, hogy a "hatalmas" sérülékenység felfedezője - teszem azt - nem tegnap előtt találta a sebezhetőséget?2. Ha feltételezzük hogy valóban igazat írt, akkor a "HÁROM HETE SZART ERRE A POSTA!" kijelentésed nem állja meg a helyét. A legutolsó levélváltás a sérülékenység felfedezője és a posta között 27-én volt.
3. "de ne felejtsd el azt a tényt, hogy a nyilvánosságnak is nagy ereje van." - Afrikában meg éheznek. A villamos sárga és csilingel. Amelyik politikus beszél, az hazudik. Hasonló argumentum ad populum-frázisokat lehet puffogtatni.
Lehet hogy nagy ereje van, de elsődlegesen nem rájuk (akik között ott vannak a felfedett hibát ténylegesen kihasználó pernahajderek is) tartozik. Ráadásul nem ilyen szenzációhajhász interpretálásban.
-
nihill
őstag
Ez a szerecsen mosdatásod ott bukik meg, hogy a bankkártyás példádban a tulaj SAJÁT pénzét lopják el.
Itt meg 3. személyek, akár a te adataidat is ellophatják a postától.
Nagyon nem egy kategória.
Nem arra hívták fel a posta figyelmét hogy a saját adatait védje, hanem hogy MÁSOK NÁLA TÁROLT adatait ne lophassák már el tőle. Miután 3 hétig sz@art bele, feljebb eszkalálódott a dolog, nem a posta szivatása miatt, hanem mert továbbra is veszélyben van x ezer ügyfél adata, a saját tudtuk nélkül. Vajon meddig kellett volna még várni ha a posra nem tesz semmit? 1 hónapig? 1 évig? Most legalább már rá van kényszerítve, amit enélkül nem nagyon sietett volna megoldani, mint látjuk. -
válasz Dj Faustus #48 üzenetére
Erto olvasas segit:
"...A rést felfedező a kritikus biztonsági hibáról november 20-án a posta.hu-n található hibabejelentőn tájékoztatta a Magyar Postát..."
Ennek nyoma van, legalabb 2 mailszerveren keresztulment a level, ergo kamuzni rola nehez.
https://www.coreinfinity.tech
Új hozzászólás Aktív témák
- Anime filmek és sorozatok
- Vicces képek
- Samsung Galaxy S23 Ultra - non plus ultra
- Videó stream letöltése
- Azonnali informatikai kérdések órája
- Vezeték nélküli fülhallgatók
- Motorola Edge 40 - jó bőr
- Kerékpársportok
- Canon MILC: EOS R és M topik
- A fociról könnyedén, egy baráti társaságban
- További aktív témák...
- XBOX ONE/PS4/PS5/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!
- XBOX SERIES/PS4/PS5/XBOX ONE/NINTENDO SWITCH konzolt vásárolnék!
- PS5/PS4/XBOX ONE/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!
- Új Dobozos Lenovo Ideapad Flex 5 x360 Érintős Ultrabook Óriás Tab 16" -40% Ryzen 5 5500U 16/512 QHD
- PS4/PS5/XBOX ONE/XBOX SERIES/NINTENDO SWITCH konzolt vásárolnék!