1200 oldal adatbázisa a neten. LinkedIn, Dropbox, Adobe, Asus, Plex.

Sziasztok,

Mivel nincs konkretan ilyen topic, es szerintem lenne helye, ezert csinaltam egyet gyorsan… majd talaljuk ki mi legyen a neve, ennel jobb nem jutott az eszembe hirtelen.

Szoval van baj rendesen, valaki kirakta direktbe a netre (szabadon letoltheto, barki szamara) jopar nagyobb oldal adatbazisat. Igazan komoly nevek szerepelnek a listaban, erdemes mindenkinek atgondolni, hogy erdemes lenne-e, a belepesi jelszavakat frissiteni. Engem szemely szerint erint a dolog, ott van a plex db-ben az irodai ip cimem es a jelszo hash.

Itt van hozza a twitter is:

Basszus.

Ui: A szívbajt hoztad rám…

Sorry… Ezert irtam, hogy keressunk neki valami nevet. :)
Most neztem meg, az investbank.ae 7,5Gb sql, tele mindenfele finomsaggal…

Már csak az a kérdés, hogy bűncselekményt követsz-e el azzal, ha letöltöd a fileokat. De ha nem töltöd le, hogy ellenőrzöd, hogy benne vagy-e.

Szerintem az se biztos, hogy jó, hogy mi itt linkeljük a cuccot.

Van lista melyik oldalak erintettek?

Van pl egy linkedin_all nevu file. Nem merem letolteni.

Szerintem nem, bar ez most itt a legkisebb problema, ugyanis ezaltal meg nagyobb hibakat tudnak/fognak talalni az oldalakban. Ez felelmetes, hogy mi adat kerult most ki a netre igy… azert ilyenkor elgondolkozik az ember, hogy a fenebe tortenhet meg olyan, hogy ilyen hatalmas cegeknek a db-je csak igy kikerul a netre. Hogyan mennek at a kotelezo audit vizsgalatokon, milyen minosegu code review van, es a tobbi. A linkedin db tomoritve 4,5Gb 7zip-ben, meg se tudom becsulni mekkora lehet az kitomoritve.

Ne haragudj, kiszedtem a linket. A Twitter postot bent hagyom.

10giga, napok ota nezegetem a db-t. Ha lenne opcio arra, hogy kuldjon el minden adatot a megadott emailcimre, amiben a megadott emailcim erintett sokkal konyebb lenne.

Oke.

@solareclipse: A https://haveibeenpwned.com lesz vele dolga rendesen, mire ezt felnyaljak.

1 Like

Egy reszet mar tuti benyaltak, mert amire az az oldal erintettseget mond, azokhoz ezekben az adatokban mar meg is talaltam a konkret informaciot.

2 Likes

Amikor a beszmacet felnyomták, beszélgettem egy kicsit a hackerrel. Természetesen nem mondta el, hogy mit csinált, de körülírta. Kb. a kötőszavakat értettem, pedig láttam már kódot. Ez egy külön szakma, a code review kb annyira elég, hogy minden fel legyen kommentelve, meg escape-eld ki, amit kiiratsz. Ezzel már le is fedtük a lehetséges támadási felületek egy százalékát. :(

Remélhetőleg ekkora cégeknél csak akad már secops. Mondjuk kérdéses, hogy mit csinálnak, ha ennyire elég a munkájuk.

Ilyenkor kezdek el félni, hogy van egy SAP adatbázisunk kivezetve a netre, sok-sok ügyfél adatával. :-| Ezeket az ősi intranetre tervezett vállalatirányítási rendszereket jobb lenne a nyílt nettől távol tartani. Nem ilyen szemlélettel lettek fejlesztve.

Gondolom, a bevezetés költségébe belefért egy biztonsági audit.

A vilag osszes penzen ulnek ezek a cegek, de ettol fuggetlenul folyamatosan azt nezik, hol lehet meg sporolni. Azt nem akarom elhinni, hogy ezek a cegek nem tudnanak megfizetni, olyan IT Sec-el foglalkozo cegeket, akik ezt meg tudtak volna akadalyozni, meg a kod kikerulese elott. De nem tanulnak a sajat hulyesegukbol. Aztan ott a masik oldal is, a tarsadalmunk meg egyaltalan nem keszult fel a digitalis vilagra, es keptelen felfogni annak a veszelyeit… a 90% tudasa kimerul ott, hogy az internet a facebook, es tud cicas videot postolni.

De a 90%-nak nincs is tobbre szuksege.

1 Like

Ez a 90% az, amelyik bedől egy phising emailnek, és simán megpróbál belépni egy kamu otp-oldalon.

1 Like

Sohasem hittem ezeknek a biztonságosságában / titkosságában. Ha valamit létre lehet hozni, el is lehet tüntetni.

Igen es? Gondolom nem vagy mosogepszerelo, egy szerelo pedig teged tudd atvagni ahogy csak akar. De ezt barmire at lehet helyetesiteni. Ez ilyen. Most ne jojjon senki azzal de, hogy neten mindened ott van? Amikor a szerelo bejon akkor is mindened ott van es potencialisan barki atvaghat barmivel. Esznel kell ez van, regen a medvetol feltunk most a masik embertol.

Egy nap hány emailt kap egy átlagember, és naponta hány mosógépszerelő jön be a lakásba?