18:17
20/2/2012

Glenn Steven Mangham uzyskał dostęp do serwisu Facebook przez zhackowane konto jednego z pracowników Facebooka. Facebook wydał 200 000 dolarów na “obsługę incydentu”. Glenn został skazany na 8 miesięcy więzienia. A mógł zgłosić błąd do bug bounty.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. Frajer, ale został* :P

  2. Glenn Steven Mangham też była kobietą? (“zastała skazany”)

  3. “uzyskał dostęp serwisu Facebook” czy tam ktos “do” nie zjadl? I i ta “zmiana plci”… :D

    Piles? Nie postuj :D. Nie piles? Wypij :D!

    Lubie wasze drobne omskniecia ;).

    Pozdrawiam.

  4. Skazaniec będzie musiał oddać te 200 000$ ?

    • Stary numer z zawyżaniem wyceny szkody. Myślałem że kto, jak kto, ale Zuckerberg tak nie będzie pogrywał ;)

    • Skąd przekonanie, że zawyżył? Obsługa incydentu może spokojnie tyle kosztować (i widziałem firmy, gdzie kosztowała 5xtyle).

    • Bo tych wycen nie dokonuje zewnętrzna firma, tylko właśnie ta zaatakowana. Kevin Mittnick pisał o wielu takich przypadkach – Włam nie miał żadnego wpływu na działanie firmy, załatanie dziury było kwestią zmiany jednej linijki w skrypcie, ale firma poczuła się dotknięta na grube miliony.

    • Nie rozróżniasz dwóch spraw – strat poniesionych przez firmę w wyniku włamania ( o tym zdaje się pisał KM) i kosztów obsługi incydentu. A poza tym – kto twierdził, że włam nie miał wpływu na działanie firmy – firma zewnętrzna, czy człowiek który się włamał (a więc druga strona, której zależy na wybieleniu siebie przed ewentualną sprawą w sądzie)?

      Osobiście brałem udział w projekcie sprzątania po incydencie i wiem ile to kosztuje i ile działań jest wymaganych – bo to nie jest nigdy tylko poprawienie jednego skryptu. To jest przeprowadzenie testów, czy ta zmiana nie wpływa na system (pod względem logiki biznesowej, wydajności, etc.), to jest sprawdzenie pod kątem włamania innych maszyn w firmie (bo skąd możesz mieć pewność, gdzie się atak skończył), to jest często przeinstalowanie całego środowiska (bo skąd masz pewność, że koleś nie zostawił backdoorów). To wszystko kosztuje, bo albo płacisz pracownikom za nadgodziny (a inne projekty w tym czasie stoją) albo musisz wynająć ekipę z zewnątrz. Koszty analizy i sprzątania po małym włamie mogą spokojnie dobić do 200k $.

      Mam doświadczenie w tym sprawach z pierwszej ręki – a ty jakie masz w tym doświadczenie poza przeczytaniem książki Mitnicka?

    • Nie twierdzę że naprawy po każdym włamie tyle kosztują, ale nie sądzę że w tym przypadku koszty były tak duże. Nie zauważyłem dużych zmian w działaniu serwisu – nie było przerwy w pracy czy zmian zabezpieczeń zauważalnych dla użytkowników. Znam też sposób pracy ludzi w FB i nie jest to tak, że przy włamie muszą wszystko rzucać i lecieć naprawiać system (delikatnie mówiąc).
      Nie podano też żadnych szczegółów poza “Facebook spent $200,000 (£126,400) dealing with Mangham’s crime, which triggered a “concerted, time-consuming and costly investigation” by the FBI and British law enforcement”.
      Może się mylę, ale po prostu zbyt wiele razy zetknąłem się z sytuacją, w której dzieciakowi szperającemu po sieci firmy zasądzono grube tysiące kary.

  5. Czy tylko ja przeczytałem 8 tysięcy? hahaha :D

  6. Znam sposób pracy ludzi w FB i nie jest tak, że w przypadku ataku wszyscy pracownicy rzucają to, co robią i zajmują się analizą. Odkryli dziurę podczas rutynowej kontroli, i nie podali żadnych szczegółów dot. ataku (a skoro już naprawili błąd, to czemu?), zaserwowali jedynie “Facebook spent $200,000 (£126,400) dealing with Mangham’s crime, which triggered a “concerted, time-consuming and costly investigation” by the FBI and British law enforcement”.
    Nie twierdzę że każdy atak jest tani do naprawienia, ale zetknąłem się ze zbyt wieloma przypadkami gdy kazano płacić miliony dzieciakowi myszkującemu po sieci firmy żeby uwierzyć w te koszty.

    • “Znam sposób pracy ludzi w FB i nie jest tak, że w przypadku ataku wszyscy pracownicy rzucają to, co robią i zajmują się analizą.”

      A gdzie ja mówiłem, że wszyscy rzucają się do obsługi incydentu? Tak to chyba działa u ISP w Myciskach Niżnych. Wiadomo, że zawsze się tym zajmuje wewnętrzna grupa oraz zewnętrzni konsultanci – a to kosztuje. Tak – czasami dużo.

      “Odkryli dziurę podczas rutynowej kontroli, i nie podali żadnych szczegółów dot. ataku (a skoro już naprawili błąd, to czemu?) zaserwowali jedynie “Facebook spent $200,000 (£126,400) dealing with Mangham’s crime, which triggered a “concerted, time-consuming and costly investigation” by the FBI and British law enforcement”.”
      I co z tego, że podczas rutynowej kontroli? To jakoś zmniejsza koszty późniejszych działań? A czemu niby mieli podawać szczegóły ataku? Coś ich do tego obliguje?
      Na jakiej podstawie uważasz, że akurat tyle nie wydali?

      “Nie twierdzę że każdy atak jest tani do naprawienia, ale zetknąłem się ze zbyt wieloma przypadkami gdy kazano płacić miliony dzieciakowi myszkującemu po sieci firmy żeby uwierzyć w te koszty.”
      Tak? Gdzie się zetknąłeś? Oraz co to ma do sprawy? Kwestie twojej wiary są tutaj nieważne – nikt mu nie każe pokrywać tych 200k $. Po prostu koleś dostał 8 miesięcy.
      Może to nauczy innych, że nikt ich nie zaprasza do myszkowania po sieciach i systemach różnych firm.

      Reasumując – nie masz pojęcia o obsłudze incydentów, brniesz w jakieś idiotyczne konstrukcje myślowe i rzucasz bezsensownymi argumentami o zmuszaniu jakiś dzieci do płacenia milionów.

    • @c
      “Osobiście brałem udział w projekcie sprzątania po incydencie i wiem ile to kosztuje i ile działań jest wymaganych (…)”
      Ja osobiście stałem koło Ciebie i klepałem Cię po ramieniu.

      Mówię, że FB nie wydał 200k na obsługę incydentu. Udowodnij, że wydał, w każdym innym wypadku ja mam rację.

      “Mam doświadczenie w tym sprawach z pierwszej ręki” Prove IT, w innym wypadku książka Mitnicka jest bardziej wiarygodna.

  7. Drodzy są ci amerykański eksperci i FBI.

Odpowiadasz na komentarz ...

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: