11:32
16/7/2016
16/7/2016
Przez SQL injection ktoś wyciągnął loginy i adresy e-mail oraz adresy IP 2 milionów użytkowników forum Ubuntu. Haseł nie udało się pozyskać, ponieważ w tabeli “users”, którą skopiował atakujący były tylko losowe ciągi znaków z racji tego, że Ubuntu korzysta z mechanizmu Single Sign On.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
nie pamietam jakiego tam mialem maila, ale w tak “waznych” miejscach jak fora korzystam z hasla typu password123, wiec jak chca to moge im je podac ;-)
Podejście godne profesjonalisty
@vucalur
A co w tym złego? ja na forach rejestruje sie z mailem z niepodam.pl i hasłem dupa.8 wlasnie dlatego, ze nei mam zaufania do bezpieczenstwa danych, a tak moga sobie te dane krasc, na zdrowie mnie QQ nie zrobią.
Hmmm… ale którego forum?
Jakiego forum? Oficjalnego, polskiego, angielskiego?
I jeśli miało się tam kiedyś konto to jak teraz żyć? Nie bardzo rozumiem działanie Single Sign On i jak to się przekłada na zagrożenia związane z takim wyciekiem?
2 miliony adresów e-mail to też spora kasa. :)
BTW… I jak tu ufać najbezpieczniejszemu-ewer-systemowi jeśli jego “support” daje się hackować w taki sposób? ;)
2 mln emaili to powiedzmy sobie nie duzo i nie malo. Gdyby to bylo 2mln adresow z portali randkowych czy ‘rozowych stron’ to sprzedawcy ‘prawie jak viagry’ ozlocili by takiego dostawce. 2mln emaili ludzi ktory unixuja w wersji light? Co im mozna sprzedac? Windows 10? ROTFL!
“zaplac mi 0.2 bitcoina, albo powiem wszystkim twoim znajomym ze uzywasz ubuntu i bedziesz mial obciach”
unixują w wersji light? WTF
Wstyd jak cholera, ale człowiek zawsze popełni błąd wcześniej czy pozniej. A tu czego są pewni a w co wierzą :D
http://betanews.com/2016/07/15/ubuntu-linux-forums-hacked/
Jak to dobrze, że używam openSuSE a nie ubuntu… Ubuntu ma praktycznie taki sam poziom bezpieczeństwa jak Windows. Trochę większy, z racji tego, że to Linux, ale nadal tragiczny w porównaniu z innymi dystrybucjami.
chyba żartujesz…na wielu konferencjach / zlotach w łamaniu systemów ubuntu zajmowało pierwsze miejsca. A może o czymś nie wiem? W takim razie proszę o linki gdzie piszą o tym tragicznym poziomie bezpieczeństwa.
A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota, co powoduje że byle pani Kasia z księgowości może zainstalować linuksowego rootkita dającego dostęp do całego systemu i potencjalnie firmowej sieci. W openSuSE jak nie znasz hasła roota to se niczego nie zainstalujesz (=nie napsujesz), tylko uruchomisz to co już w systemie masz.
@SuperTux (A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota):
raczej nie aktualnie zalogowanego, tylko 1. użytkownika (to standardowo ten, który instalował system); normalnego użytkownika to trzeba dopiero dopisać do grupy sudo (co może zrobić tylko ów 1. użytkownik). Tak przynajmniej jest w Lx Mint, który jest klonem Ubuntu.
Zatem “byle pani Kasia z księgowości” musiałaby najpierw sobie tego Ubuntu samodzielnie zainstalować.
Nb. takie uprzywilejowanie użytkownika instalującego system stosowane jest też w innych dystrybucjach (Arch np.) a inne (np. OpenSUSE) umożliwiają standardowo przy instalacji zakładanie konta automatycznie (bez passwordu) logującego do systemu.
A to mnie już nie obchodzi czy pierwszy czy ostatni czy dwudziesty piąty. Jest specjalny użytkownik od nieskrępowanego dostępu do bebechów systemu. Imię jej Root. A $HOME to /root. Standardy są po to aby ich przestrzegać, co do joty. Jak standard określa, że niesubordynowani pracownicy mają być zrzucani z mostu, to niesubordynowani pracownicy mają być zrzucani z mostu. Jak standard określa, że menu z opcjami kopiuj/wytnij/wklej ma się nazywać Eydtuj, to ma się nazywać Eydtuj. To nic że to literówka, ma się nazywać Eydtuj, bo tak mówi standard.
Root jako totalny admin systemów uniksowych i uniksopodobnych jest standardem. Nie zmieniasz standardu, robisz wszystko pod linijkę zgodnie ze standardem. Chcesz zmienić standard? Musisz mieć komitet złożony z co najmniej 50 osób z całego przemysłu który używa tego standardu.
A tak na serio, to Ubuntu głupio robi. Sytuacja podobna jak gdy Microsoft nie chcąc dobrego i sprawdzonego (na tamte czasy) NPAPI od Netscape wymyślił swoje głupie dziurawe ActiveX. Albo gdy zamiast wsparcia ODF w Office wymyślili swój debilny OOXML. To jest błąd tego kalibru, który zmniejsza bezpieczeństwo Ubuntu, bo nie musisz znać hasła roota żeby shackować szefa, wystarczy znać hasło szefa (Uh-oh, chyba to samo jest w Windowsie, a Linuksa się używa jak nie chce się używać dziurawych okien, nie?)
#SuperTux
Przez lata, zanim przeszedlem na Kali, bylem uzytkownikiem Ubuntu i nigdy nie mialem problemu by niepowolany uzyszkodnik dostal sie do root. Zapewniam cie iz kazda dystrybucja ma swoje plusy i minusy, ale to nie prawda iz Ubuntu ma taki sam poziom bezpieczenstwa jak windows (moze jeszcze windows Me)…
Wszyscy _niezaintersowani_ od razu wielki _fuj_ na linuxa, że jakie zabezpieczenie forum takie zabezpieczenia systemu, że to że tamto ale prawda jest taka że na SQL Injection był podatny vBulletin a nie Ubuntu.
Szkoda że tej informacji zabrakło w treści artykułu, wtedy komentarze byłyby zupełnie inne :)
#Dante
Kompletna zgoda
To już wiem skąd nagle tyle napalonych kobiet w mojej okolicy bombarduje mojego maila
Trzeba bylo golych d*p nie oglasdac po nocach tylko przytulic zone. Troche roboty i 500+ w reku ;)
#Dante
Kompletna zgoda