1/10/2010
Gazeta opisała wyciek danych osobowych 4 tys. marynarzy należących do Solidarności. Sam wyciek jest mało interesujący, a błąd z punktu widzenia bezpieczeństwa błahy. Natomiast wypowiedzi “informatyków” opiekujących się stroną i serwerem to perełka na miarę “głębokiego ukrycia” :-)
Szyfrowanie “dupą” w głębokim ukryciu
Poufne dane zrzeszonych w Solidarności marynarzy znalazły się w internecie. Były podczepione do stron kilku urzędów w katalogu o nazwie “dupa” — pisze Gazeta.
Plik został znaleziony na w domenie: www.eboi.pyrzyce.um.gov.pl i zawierał takie informacje jak: imię i nazwisko, data urodzenia, dokładny adres, telefon kontaktowy, stanowisko na statku, informacje o armatorze oraz informacje dot. opłacania składki.
Wysoko szyfrowane certyfikaty
Strona Pyrzyc leży na serwerze firmy alfatv.pl, która tłumaczy, że nie zarządza stronami, a jedynie udostępnia miejsce na serwerze i oprogramowanie, twierdząc dodatkowo, że — i teraz najlepsze:
dostęp do tej listy był zabezpieczony poprzez autoryzację wysoko szyfrowanymi certyfikatami
Prawda, że ta wypowiedź zasługuje na nagrodę niebezpiecznikowego zera? Sam nie wiem, czy nie jest lepsza od “głębokiego ukrycia” :-)
Rozwiązanie zagadki?
Wg wypowiedzi związkowców, kilku działaczy miało dostęp do tych danych poprzez uwierzytelnienie przy pomocy tokena (huh?). Hipoteza jest taka, że jeden z “uprawnionych” wrzucił plik z danymi na serwer do katalogu “dupa” aby móc go szybciej i bezproblemowo (beztokenowo?) udostępniać z pominięciem uwierzytelnienia. Ewidentnie “dał dupy”, umieszczając członków w tak pięknie nazwanym katalogu ;-)
Dzięki wszystkim, których nie sposób tu wymienić, a którzy od rana zalewają nam skrzynkę informacjami na temat tej wpadki :-)
P.S. Na uwagę zasługuje też nazwa Certification Authority certyfikatu SSL, którym podpisane są strony na wspomnianym serwerze, a które nosi nazwę “WTF Alfa” — nie jest to jednak kolejny wybryk “kulturalnego” informatyka, a jedynie skrót od Wytwórnia Telewizyjno Filmowa ;-)
Hahaha :>
W tym kontekscie “głębokie ukrycie” nabiera nowego znaczenia.
google poindexowało tą “dupe”, i jest dostępna z ze sporej ilości domen na serwerze alfy. Czy to aby normalne ;) ?
Ło matko z córkom… Popłakałem się na cytacie. :)
No i dupa:)
Bartosz: “członek w dupie” też nabiera nowego znaczenia :]
Ja kiedyś umieszczałem tabele dupa w bazie MYSQL pewnego serwisu
i szef mnie osłodził mówi :
“Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”
No ale że aż tak to uh i oh
Osz, swietni są :) Chętnie posłuchałbym większej ilości wypowiedzi tych ‘specjalistów’. Przyszło mi do głowy jeszcze przysłowie – “I specjalista dupa, gdy userów kupa”.
Zwykłe ukrycie:
example.com/tajnedane
Głębokie ukrycie:
example.com/tajnedane/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj
„Ała, no nie pchaj tak na chama, weź posmaruj tokenem.”
dane ukryte w “dupie”?
no to ze ktos im zrobil lewatywe xD
Szykuje się pogromca “Głębokiego Ukrycia” – Niebezpiecznik Awards 2010. ;]
Czy tak trudno było posługiwać się tokenem? Żenada. Pewnie to były tokeny OTP (kalkulatorki chronione pinem są droższe), więc to takie uciążliwe chyba nie było. Powinni odpowiadac za niedbalstwo i ujawnienie chronionych danych.
“Dał dupy umieszczając członków”
Niebiezpiecznik uczy i BAWI.
Niektóre komentarze mają nie mniejszą siłę rozbawiania, niż sam artykuł ;)
ciekawe czy GIODO wyciągnie z tego jakieś konsekwencje, dopiero może kogoś zaboleć d..pa
WTF Alfa – hahaha WTF?!
duzyrny szyfrant alfatv stawal na stolku, zeby dodac sobie powagi, stad ta “wysokosc”.
@igit
GIODO, ale pewnie również część tych marynarzy wytoczy proces. Dla admina wesołe to nie będzie.
@nivlheim
Zwykłe ukrycie, Głębokie ukrycie.
Jest jeszcze najważniejsze wysoko szyfrowalne, głębokie ukrycie w dupie:
example.com/tajnedane/odbyt/dupa/ciemnosc/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj/kal/jelito/WTF
A wiecie, że mi jedna bezzębna ruda z lisem w wydziale stosownego urzędu w Polsce odmówiła rejestracji firmy tylko dlatego, że jej się nazwa skrócona nie podobała? Heh… a miałem już przed oczami wizytówkę: nazwa skrócona firmy – właściciel.
A… zapomniałem dodać…. firma miała się nazywać: Dystrybucja Uniwersalnych Produktów Amway’a ;)
i szef mnie osłodził mówi :
“Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”
tiaaa…już ja widzę jak ktoś mówi “LOL” zamiast po prostu się zaśmiać. Chyba Tybijczyk, który pierwszy raz od miesiąca widzi dzienne światło. ha ha.
I się wydało kto ma speców od zabezpieczeń do dupy ;)
Wysoko szyfrowane certyfikaty
No jak sobie poszyfrowali certyfikaty, to nic dziwnego, że dane zostały na wierzchu :D
umieszczanie tylu członków w tak pięknie nazwanym katalogu ?
to albo jakieś małe członki albo duuży katalog