Új hozzászólás Aktív témák
-
nyisziati
veterán
Kétfaktoros hitelesítés. Ennyi.
-
-Skylake-
addikt
Ezt szurted le? Izlelgesd ezt a mondatot kerlek : a facebook biztonsagi es adatvedelmi vezetoje szerint nem jelent kockazatot az, hogy a facebook munkatarsai !teljes hozzaferessel! rendelkeztek nehany szaz millio profilhoz.
Meg maga a plain text is lenyegtelen a lenyeget tekintve, mert a lenyeg az, hogy megis mi a picsaert tud belepni egy fb alkalmazott egy random profilba ? Nemhogy plainben nem kellene tudniuk egyetlen jelszot sem, hanem osszesegeben nem tudhatnanak egyetlen jelszot sem. Semmilyen formaban.
[ Szerkesztve ]
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
VágniValó
addikt
Szoktam mondani, hogy FB kapcsán már nem tudnak semmilyen hírrel meglepni, de ez most nagyon fájt. Felesleges azzal védekezni, hogy "na de biztonságos belső hálózaton volt", már az rég fejvesztést jelentő probléma, hogy volt!! Ja és csak laza 20 ezer ember fért hozzá
"Fuck the Kingsguard, fuck the city....Fuck the king!"
-
Metalfan
senior tag
Gondolj bele, ha mindez a Twitterrel történik, és kiderül, hogy mondjuk Donald Trump Twitter-fiókjának jelszavához is hozzáférhetett éveken keresztül párezer (vagy tízezer) Twitternél dolgozó emberke egy sima plain text fájlban... Jelen helyzetben ha nagyvezírek jelszavai esetleg nem is (bár erre nem vennék mérget), de véleményformáló emberek, kisebb-nagyobb kaliberű politikusok, üzletemberek, hatóságok vezetőinek jelszavai tuti benne voltak egy ekkora, százmilliós nagyságrendű merítésben. Az pedig már simán lehet nemzetbiztonsági kockázat is - bármelyik országban.
[ Szerkesztve ]
-
nyisziati
veterán
Igen, EZT szürtem le. Mivel, mint fentebb is írtam, NINCS ráhatásom a Facebook belső adatkezelésére, ezért a LEGTÖBB , amit tehetek, hogy bekapcsolom a kétfaktoros hitelesítést (ami már évek óta megvan), hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele. Ennyi.
A többi felesleges szájtépés, amit pár ittlévő fórumtárson kívül a kutya nem olvas. -
veterán
Hát, azért ez már bőven az a kategória, ami bűntetendőnek KELL, hogy legyen. És nem, nem elég CSAK százmilliókra bűntetni őket, személyi felelősöket kell keresni és találni az ügyben, és nem Rajesh-re gondoltam a recepcióról.
[ Szerkesztve ]
-
VágniValó
addikt
Én értelek, csak mégse gondolom azonos súlycsoportnak a kettőt. Twitter eleve a funkcióját tekintve publikus postok, tartalmak megosztására van. Nem üzengetnek egymásnak privát szuper-szenzitív infót, vagy ha mégis az ritka, mert nem erre találták ki.
FB-n az ember kapcsolatokat tart fenn, személyes élményt/contentet oszt meg a bizalmasaival, vagy olyannal akivel bizalmas viszonyba akarna kerülni. Egy twitter jelszó megszerzése csak akkor nettó profit, ha a fiók tulajdonosa olyan barom, hogy más accountjához is azt az egy jelszót használja többlépcsős autentikáció nélkül.
"Fuck the Kingsguard, fuck the city....Fuck the king!"
-
Metalfan
senior tag
válasz VágniValó #10 üzenetére
A twittert csak gondolatkísérletként hoztam fel, hogy ott az előbb felvázolt esetben biztosan fejek hullanának (talán szó szerint is), mert Trump a twitteren randalírozik.
Viszont sokan használják hivatalos megnyilvánulási formára is a Facebook-ot, vagy legalábbis a köznép annak tekinti. Hogy mást ne mondjak, ott van Lázár János bécsi videója, de hosszan lehetne folytatni a sort. Ilyen szempontból tartom veszélyesnek ezt az incidenst. A kétlépcsős bejelentkezés meg akkor ér valamit, ha
a Facebook nem írja ki a telefonszámod az összes ismerősödnek és/vagy azok ismerőseineka kedves politikus jobban foglalkozik a biztonsággal, mint egyes katonai bázisok állítólag ilyen téren is képzett személyzete.[ Szerkesztve ]
-
senior tag
"hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele" --> Ha valamelyik alkalmazott odáig jut, hogy eladja a jelszavad, lehet a 2 faktoros auth-ot is kikapcsolhatja a FB-odban egy időre, de lehet az egész FB oldaladat is összecsomagolja és elküldi valakinek...
Nem értem hogy nem perelték még sz@rrá a FB-ot az ilyenek miatt
-
BlackPriest
őstag
és a biztonságos belső hálón biztos nem megy a print screen, akár analóg módon is...
Bogár nélkül lehet élni, de minek?!_______________________________________________ Elnézést, hogy nem illik bele a véleményem a világképedbe.
-
Tigerclaw
nagyúr
Arról nem beszélve hogy nagyon sokan ugyanazt vagy hasonló jelszavakat használnak a neten a különböző oldalakon, ergo ha valakinek tudod a FB jelszavát és mondjuk nevet vagy e-mail címet, akkor könnyen vissza lehet élni vele. Egy adathalásznak, social engineering oldalról ez terülj terülj asztalka. Ha jól olvastam, azt is kiderítették, hogy rengeteg lekérdezés történt a 20000 felhasználó részéről ezen az adatbázison. Elég ha csak pár százaléka volt ezeknek a felhasználóknak rosszindulatú.
Az külön ijesztő, hogy állítólag csak véletlenűl botlottak a dologba. Ezek szerint az FB története során még soha sem volt átfogó ellenőrzés arra, hogy miként vannak tárolva az ilyen érzékeny adatok...illetve hogy ezek szerint szabályozva sem volt sehogy az FB IT részéről. Sőt ezek szerint a regisztrációs, jelszókezelő, beléptető kód is úgy lett megírva, hogy sima textbe mentsen és onnan olvasson. Ergo holnapután, vagy 2 év múlva megint találhatnak valami hasonlót.
Már nem használok FB-t, de kapják be. Remélem, hogy megtalálja őket az EU GDPR oldalról és kapnak pár milliárd dolláros büntetést.
Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.
-
zol2
tag
Eleve... miért tárolnak jelszavakat, miért nem csak hash-t? Oké, nem vagyok naiv, csak ez úgy kikéredzkedett belőlem...
-
BerserkGuts
őstag
Erre a sok információra írnak egy szoftvert 99% feltörik bárkinek a fiókját.
Végül is kinek nncs manapság facebookja? Még nagyinak is van baszki és erre egy algoritmust írni garantált fióktörés.Valaki biztos sok pénzt keresett vele és már nem is kell a facebooknak robotolnia csak copy paste eladni
12600KF/ROG Strix 4070ti/ROG Strix B660/Noctua NH-D15S/ROG Strix AuraEdition 850W/SamsungOdysseyG7 32" 1440p/ThermaltakeTower900/RazerViper8K/F4-3200C14D-16GFX(FlareX)/Kingston A2000
-
BerserkGuts
őstag
-
atike
nagyúr
"az érzékeny adatok csakis a belső hálózaton voltak elérhetőek, és nincs arra utaló jel, hogy visszaéltek volna velük"
Most komolyan, ez h*lye, vagy annak próbál nézni mindenkit?
-
Penge_4
veterán
Valahogy ezeket a dolgokat én annyira érzem és sejtem... Csak ha leírom, akkor paranoid idiótának voltam nézve mindig. Erre tessék.
Egy ilyen kaliberű oldalnál (amit egy ennyire gerinctelen ember alkotott) az lett volna a durván meglepő, ha egy ekkora ziccert nem használnak ki.
Hiszen még a 2000-es években bőven plain textben tárolták a jelszavakat, gyakran még GET-ben is küldtek érzékeny infókat POST helyett. Vagy sütiknél kliensoldalon módosítottál valamit, aztán másik ember user accountjában voltál és hasonlók. Vagy rosszul beállított htaccessnél hozzáférés a teljes FTP tartalmához.
És ezek csak azok, amiket én, mint laikus, max power user csak néztem, hogy WTF?
Akkor csak belegondolok abba, hogy az igazán nagy koponyák (akár itt is a PH-n) akik több programnyelvet vágnak expert szinten, hálózati téren mesterek, esetleg a kriptográfiában zsenik, ők mit tudhatnak meg mi mindenhez férhetnek hozzá (már ha akarnak)...
-
ksanc
őstag
Részemről ez a egész csak egy újabb "véletlenül kiderült" cirkusz a hülye tömegeknek, legyen min csámcsogniuk, addig sem foglalkoznak még véletlenül sem a valódi problémákkal.
Megint überkirálynak érezheti magát az egyszerű véglény, hogy ő mekkorát lázad és különben is soha nem is használt faszbukot, "különben is ő megmondta", meg lehet megint szidni valakit, addig sem kell tenni semmit. Ésatöbbi, ésatöbbi...
Akinek nem inge... -
zseko
veterán
-
veterán
Értem, mire akarsz ezzel utalni, és van is benne igazság. Az azonban téves meglátás szvsz, hogy ez ne lenne valódi probléma. Az idei év eddigi legnagyobb biztonsági incidense egy olyan szolgáltatással kapcsolatban, amit lassan a földi civilizáció többsége napi szinten használ. Hatalmas a FB felelőssége, és az nem kérdés, hogy ilyen helyzetben NEM elfogadható, hogy ekkora hibákat kövessenek el.
Egyébként ha tippelnem kellene, ez a fájl is úgy maradt a rendszerben, ahogyan nagyon sok minden szokott : troubleshoot közben "lerakom ide átmenetileg, f@szom" helyzet lépett fel, aztan a probléma megoldódott, a fájl pedig maradt a helyén.
[ Szerkesztve ]
-
Csaber
senior tag
Ízlelgettem a mondatot úgy 4 óra alvás után részben igaza volt .Nem hazudott az a "pár fészbuk " alkalmazott minimális kockázatot jelentett , azokkal lehet gond akinek eladták és odaadták pendrive-on .Szerintem amúgy hiába büntetnék őket akármennyi pénzel kiröhgnék csak ...ellenben teszem azt becsukni egy hétre a fészbukot meg a messengert azt észrevennék...
-
svgyula
addikt
válasz Tigerclaw #18 üzenetére
Azért tárolták így mert az amerikai kormányhivatalnak könnyebb dolga van a hozzáféréshez. Ez egy előkészített állomány amit időközönként elküldtek nekik. Mert ugye a "nemzetbiztonság" az fontosabb mint az egyéni adatvédelem.
Én csak sajnálom azokat akik mindenáron eröltetik ezt az oldalt, hiszen önként és dalolva adják oda az adatokat ez egy jellemzően 1bit-es hozzáállás........Ha minden porcikád átsejlik ruhádon, akkor nincs jogod méltatlankodni ha bámulják a melleidet! RMX3301
-
B.i.L
senior tag
Egyszer,régebben amikor már töröltem fbokot,valamit meg szerettem volna nézni : gyorsqn csináltam accot(nagyon fals adatokkal).megnéztem majd 3 hét után feltévedtem ismét képet tett fel valaki,csetelt rajta,stb...mondom köszi FB. Azóta valahogy másként nézek a világra.
Más - autóhirdetéseket néztem,persze közben ment a G+ ,na akivel beszéltem rajta,másnap már neki dobta fel a hírdetéseket...ez az elmélet úgy megáll,mint 100.-as szög falban.Horgászni mentem...B.i.L
-
Chea
csendes tag
Úgy látom hogy már a fb függő technokratáknak is kihabzott a szája (neked legalább is).
Viszont már megbocsáss, de a jó édes felmenőd retkesebbik vége a véglény csak azért, mert adatbiztonsággal foglalkozóként nem vagyok hajlandó fb-ot használni. Jobb ha tudod, hogy azt a hatalmas adattömeget már rég eladták, most csak a szerecsent mosdatják. Az is lehet, hogy ezzel te tökéletesen tisztában vagy csak az IT hadviselésben a "lövészárok" túloldalán vagy és ez a fizetett munkaköri feladatod. Így már kezd érthetővé válni a "felháborodásod" is.This ain't no technological breakdown, oh no, this is the road to hell...
-
somogyib
őstag
"értesítik az érintett felhasználókat (Facebook, Facebook Lite, Instagram), hogy ha kívánják, változtassanak jelszót."
És mi értelme lesz? Majd azt is leteszik text-be.
[ Szerkesztve ]
-
ksanc
őstag
Úgy látom, töketlen, hogy sikeresen magadra vetted az inget. Innentől a témával kapcsolatosan mindent elmondtam, meg rólad is.
Amiért reagálok, az a személyeskedés. Abban én is le tudnék csúszni a szintendre, csak nem fogok.
Mindenesetre ha hozzád hasonlóak foglalkoznak az adatbiztonsággal, akkor érthető a helyzet....
Adj' isten! -
osztraksajt
őstag
Azért az eredeti kommentben elég félreérthetően fogalmaztál, fusd át mégegyszer, van egy olyan olvasata ami szerint mindenki véglény aki nem használ facebookot.
A nem inge dolog meg már évtizedek óta illetlen mosakodás, pl ha azt mondom hogy minden informatikus szőrös, büdös, és túrja az orrát, persze akinek nem inge, akkor azzal az eredeti állítást nem cáfoltam.
-
L3zl13
nagyúr
Szóval úgy gondolod, hogy a cég által nyújtott kétfaktoros authentikáció megvédi az adataidat a cég dolgozóitól miközben szándékosan olyan funkciók vannak beépítve a beléptető rendszerbe amelyek eltárolják a jelszavadat clear textben és céges policy azt elérhetővé teszi többezer dolgozónak?
És a legtöbb amit tehetsz az nem csak annyi, hogy bekapcsolod a two factort. A legtöbb amit tehetsz az az, hogy nem használod azt a sz@ros oldalt!Aki hülye, haljon meg!
-
-
ityam
senior tag
A cég dolgozóitól nem véd meg. a Nagyobb veszély ha valaki a 20K alkalmazottból továbbadja jó pénzért a jelszavakat és az a valaki már nagyobb probléma.
FB alkalmazottakban ha bizunk picit hogy személyesen ők nem akarnak galibát okozni max pénzt csinálni belől akkor kis védelmet ad a 2 faktor. Azt ha leszedi a FB alkalmazott az nagyon feltűnő jelenség lenne. nem kockáztatnak ekkorát.
Ettől függetlenül hiába a FBn a 2 faktor ha valaki máshova nem 2 faktorral használja ugyanazt a jelszót... -
ksanc
őstag
válasz osztraksajt #37 üzenetére
Nos, valóban többféleképpen lehet értelmezni.
Részemről két módon:
1. nem rólam szól, nem foglalkozom vele
2. "Há' ez megsértett engemet bazze, kinyírlakgöci!" - ez legyen az illető problémája.
Manapság már nem divat gondolkodni, de ezt nem kívánom a saját problémámmá tenni.Az akinek nem inge... igazad lehet, azonban én sehol nem írtam, hogy mindenki. Ergo kizárólag a kedves olvasótól függ, mennyire értelmezi magára.
-
-Skylake-
addikt
"Manapság már nem divat gondolkodni, de ezt nem kívánom a saját problémámmá tenni."
Az elozo par kommented alapjan nyugodtan tekintheted a sajat problemadnak szerintem.
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
jonnyjoker01
veterán
Oh, teljesen elégséges az az információ, amit ebben a komment szekcióban prezentáltál
Én továbbra sem nevezném birkának, aki az adatait rendjén szeretné kezelni, nem szeretné, hogy harmadik fél hozzáférjen. Mi úgy látjuk pont az nem képes gondolkodni, aki letojja, hogy mit csinálnak az adataival, hova kerül a jelszó, kinek van hozzáférése az adataihoz. Ez nem egy piti ügy amivel a figyelmünket próbálják elvonni a valós problémákról. Ez egy valós probléma sajnos.
Üdv. Johnny
-
veterán
Azt nem értem, miért lovagol itt bárki a kétfaktoros authon. Nem az a lényeg, hogy John Doe FB alkalmazott be tud-e lépni a fiókodba, vagy sem. Házon belül gondolom, amúgy sem a webes felületről tenné, hanem direktben valami adatbáziskezelőn vagy egyéb szoftveren keresztül, direktben.
A gond sokkal inkább az, hogy sokan használnak ugyanolyan, vagy nagyon hasonló jelszavakat különféle szolgáltatásokhoz, amit már nem véd 2FA. No, ezt tudja mindenki, ezeréves alapvetés, ezért egy ilyen user/pass listának ordenáré értéke van a feketepiacon. 20k munkatársból szerintetek nem próbálta meg eladni ezt senki sem? És ha igen, 1-nek sem sikerült? Dehogynem. DLP megoldások ide vagy oda, aki akar, az minden megold, márpedig egy ilyen lista szerintem dollár milliókat érhet megfelelő vevő számára, úgyhogy motivációból nem lehetett hiány.
[ Szerkesztve ]
-
ksanc
őstag
válasz jonnyjoker01 #45 üzenetére
Ó, igen, az "ennyi elégséges" miatt vagyunk a 10millió focihozzáértő, adószakértő, pénzügyi szakértő és, hogy témánál maradjunk, biztonsági szakértő és még sorolhatnám országa
A mondanivalód második részével abszolút egyetértek, csak azt nem tudom, hol állítottam én azt, hogy birka, aki foglalkozik vele? Azt viszont állítom, hogy még az is jobb, ha egyáltalán nem foglalkozik vele - talán mert nincs mivel - annál, mint amikor valaki azt HISZI, hogy rendjén kezeli az adatait. És a cél az, hogy azt HIDD.
De mint írtam, a valódi probléma nem ott van, hogy ki, mit hisz és kiről, aztán mehet a lelkes sárdobálás. Persze le lehet ragadni itt is, pont ez a célja egyeseknek, amit - ahogy ez a topik is bizonyítja - fényesen sikerül is.
Az is szomorú "gondolkodás", hogy leírtam valamit általánosan, veletek ellentétben senkinek sem címezve, erre egy rakás "gondolkodó" magára veszi, de ami rosszabb, hogy azonosít is ezzel. Mondjuk engem nem zavar, mindenki azt HISZ, amit akar, ugye.[ Szerkesztve ]
-
Fred23
nagyúr
Mondjuk ilyen esetekkor olyan kellemes érzés, hogy nincs fb-om!
-
azbest
félisten
Azért, mert a legtöbb embernek fogalma sincsen arról, hogyan működik egy informatikai rendszer, ellenben vevők a szenzációra.
Nagyobb rendszerekben szokás, hogy megfelelő jogkörrel rendelkező fiókok akár meg is tudják személyesítni mások fiókját, pont azért, mert nem a felhasználó jelszavával lépeketnek be debuggolni.
Egyébként a hír bulvár tartalmát kb senki sem veszi észre: az eredeti blogpostban nem az szerepel, hogy felhasználó és név párosok listája található abban a külön adatbázisban, hanem csak a jelszavak. Talán éppen ezért nem kell senkinek jelszót cserélnie.
Hogy mire kellett nekik, azt nem tudom, de ötlet szinten, például elemezni, hogy mennyire idióta jelszavakat választanak a felhasználók... esetleg bonyolultság visszajelzőt tanítani.Jobban elolvasva, valamilyen belső loggolásba került bele a jelszó.De szerintem essen pánikba mindenki, akinek 4 jegyű pinkódja van a bankkártyájához, mert az összes pinkód kiszivárgott [link]
Egyébként Pali is beszopta, mert "bejelentkezési adatai" -ról beszél, miközben az eredeti postban ez nem szerepelt. Viszont érezhetően olyan annak a megfogalmazása, hogy félreérthető legyen.
[ Szerkesztve ]
-
veterán
A negatív hír is hír, nyilván. Mindenesetre, ha az emberek nem kényelmesek lennének, hanem tudatosak, már régen leléptek volna a platformról, amire az utóbbi hónapok masszív incidensei értelmezhető okot is adtak. Viszont, mindenki maradt, Cukorhegy örül, holnapra mindenki elfelejti, problem solved.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Honor Magic5 Pro - kamerák bűvöletében
- Nincs több főgombos iPad, van helyette nagyobb Air és Pro M4 chippel
- Milyen okostelefont vegyek?
- A fociról könnyedén, egy baráti társaságban
- HiFi műszaki szemmel - sztereó hangrendszerek
- Telekom mobilszolgáltatások
- DIGI Mobil
- Motoros topic
- Megérkezett a Google Pixel 7 és 7 Pro
- Motorola Edge 50 Pro - több Moto-erő kéne bele
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest