Pull to refresh

Comments 57

Вчера случилась беда,
комп подсказал, что кабель порвал сатана.
Скорее спешите исправить фигню,
Пришлите кабелящика в нашу избу.
Сами не можем исправить мы сетку,
без ЭГо повесим себя мы на ветку
Творчество сумасшедших из «Понедельник начинается в субботу»?
Вот это еще неплохо:

Здравствуйте, как я понял, вы заблокировали http. Видимо вам прислали запрос. В общем SQL инъекции я сделал в образовательных целях. И никакие linux серверы взламывать не собирался, какой смысл лезть дальше под вашим IP. А тем кому написал нехорошие url запросы, ничего деструктивного не случилось, так как запросы были безобидные типа: «проверка на уязвимость апострофом», «количество полей в базе», «имя юзера», «имя базы данных», и «индекс в базе текущей страницы». А загружать шелл на их сервер я бы не рискнул.

В общем, делать это не буду больше. Я занимаюсь лишь созданием (написание драйверов на Linux, чистый Win32, DirectX, и вот недавно всё сменилось на Веб: Flex+Java+JavaScript), а так как на веб перешёл вот и получилось так, что веб привёл в эту сторону и любопытство одолело на миг, попался как первоклассник.

Я не хакер. И это видно так как был замечен, а так как был замечен, угрозы не может исходить. Опытный бы не допустил такого.
Вы хотели похвастаться?
Нашел дырку — сообщи кому надо. А разглашая сведения о дырке Вы привносите, возможно, еще больший вред конкретным людям(!!!), нежели этот чудо провайдер.
Не понимаю я когда вот так вот делают…
Кому надо сообщено уже часов 5 как.
Данные лежат в гугле, собственно, где и нагуглились.
… выстрелы прозвучали почти одновременно.
>База обращенйи пользователей «Новотелеком» в поддержку на публике: t.co/PoETdW4U Читать t.co/DJJKUk0Q (15 минут назад)

Надеюсь ты сгоришь в аду.
Должен вас расстроить, но в аду не сгорают, это было бы слишком легко
И это говорит человек с таким ником и аватаркой.)
Самая большая уловка дьявола — заставить поверить, что его нет.
Есть, но только для верующих.
Eskimo: «If I did not know about God and sin, would I go to hell?»
Priest: «No, not if you did not know.»
Eskimo: «Then why did you tell me?»
© Annie Dillard
Вы хотели продемонстрировать неумение читать? Великолепно получилось, я считаю. Я оповестил их по телефону. Описал проблему. Мой товарищ создал тикет. А вот через несколько часов мы решили предать огласке этот неприятный момент в их работе. Потому что данные уже по сети растеклись. Причём дырку нашёл в Гугле вообще человек с Сахалина. И лавину породил он, я лишь работаю на предотвращение.
Что примечательно, кеш в гугле до сих пор не почистили.
>В течение нескольких часов после оповещения проблема всё ещё не решена

Выложу пожалуй ее на хабру, помогу людям. Ну за ппц простите.
Конечно. Вы абсолютно правы.
Да бросьте, потенциальные злоумышленники, которых заинтересуют эти данные, вряд ли узнают об этом из хабра.
Вы точно уверены, что на хабре все белые и пушистые? Не будем думать о совсем плохом, но в пару спам-рассылок люди вполне могут угодить
Вы точно уверены, что это был не сарказм?
я уже угодил. разослали спам от моего имени вконтакте. страницу заблокировали. слава Богу, смог разблокировать. кстати, спам рассылали в 6:40-6:45 по Москве. а в какое время логи выложили?
Ну конечно, лучше же на хабре написать, чем админам сайта.
Зайдите на сайт росреестра и нажмите ссылку «Реестр кадастровых инженеров» и поймите, что это не уязвимость, это так и задумывалось создателями этого сайта.
Не уверен что те кто указан в данном реестре в курсе, что их паспортные данные лежат в открытом доступе.
Я уведомил сотрудников росреестра о том, что на сайте есть раздел в котором содержатся персональные данные, но с 99% они в курсе :)
сами инженеры поднимали вопрос. Есть отписка РосРеестра на эту тему
Спасибо, вы молодец!
В 221 ФЗ (О кадастре), 30 статья:
9. Государственный реестр кадастровых инженеров подлежит размещению на официальном сайте органа кадастрового учета в сети «Интернет».
30 статья Пункт 2 говорит о том, какие сведения относятся к реестру, именно они и публикуются. Туда входят и ФИО и паспортные данные и тд.

Ну а в 152 ФЗ (о перс. Данных ) сказано:
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
По теме
grep "email: " tickets.log |awk -F# '{printf $3 "\n"}'|sort|uniq|wc -l



7125 — уникальных рабочих email. неплохо.
Там и пароли попадаются.
Пользы от этих логов нет вообще… Злоумышленики просто поржут над ними. Кому нужно просто протроянит пользователей подсети.
Да никто и не спорит, что толку нет :)
А лог смешной. Местами пользователи жгут напалмом.
Думаю, что 7125 уникальных рабочих email, с географической и тематической привязкой — это не плохой вклад в копилку спамера.
спамер
Есть места где такие мыла продают от 100к. Так что от 7к мыл опять же толку мало(
Ага… таким же макаром можно выдрать номера телефонов и совершить обзвон.
Эта тематическая привязка имеет очень хороший порог вхождения.

«Здравствуйте, мы компания Мегпапупер-телеком, мы узнали что Ваш провайдер потерял ваши персональные данные, сделал их доступными для всех пользователей Интернет. Мы предлагаем Вам подключиться к нашим услугам. В нашей компании безопасность пользователя и его данных на первом месте.»
или
«Мы юридическая компания Новосибирска. Нам стало известно что Новотелеком открыл доступ к Вашим персональным данным. Мы готовы помочь Вам с подачей иска в суд и получении возмещения ущерба.»
Согласен. В этом контексте, данная информация стоит хороших денег.
Wendor, спасибо за развернутое разъяснение моей мысли, так будет точнее и понятнее.
В рунете последним писком моды стало искать утечки личных данных и громогласно о них сообщать. Смешно :)
[sarcasm]

Первый шаг к Security Through Obscurity.

[/sarcasm]
Да ладно. У нашего провайдера вобще в открытом доступе на ftp я нашел всю инфу по предоставляемому виртуальному хостингу со всеми файлами (php, html и др) с возможностью чтения содержимого. От туда соответственно можно было узнать логины и пароли на почту, админку сайта и ко многим другим интересным местам.
Аналогично же были найдены файлы с именами подключений к этому провайдеру, именами абонентов и их адресами.

И все это через чертов гугл ((%
> Новосибирские абоненты с восторгом обнаруживают в логах свои фамилии, е-мейлы и телефоны.

Учитывая сколько народа зарегистрированно в различных соц сетях и что они указывают о себе кучу правдивой личной инфы, то пусть новосибирские абоненты с восторгом обнаружат, что эта утечка для них не самое страшное.
Присоединюсь. По сути — нарыв инфу в соц. сетях различных. Можно, так сказать, инициировать утечку. Ну т.е. сделать «вид», что она была.
Делаем файлик из 50, к примеру, человек. Выкладываем. И говорим, что «они были стащены с сайта ололо.ххх». Всё. Потом, конечно, выяснится, что никто ничего не ломал, но репутация запятнается.
Кстати. В заголовке мало желтизны! Надо было написать: «Сенсация! Данные жителей Новосибирска выложены в сеть!».

p.s. Мде…
Всё проспал. Если у кого остались сохранённая копия — обезличьте и выложите в публичный доступ, пожалуйста. Поскольку, как мне кажется, провайдер не будет публично заявлять о том, что подобный инцидент был и, что самое главное, абоненты не получат информации о том, какие их данные могут находится в посторонних руках.
если Вам очень хочется — гуглокэш в помощь
Если у гугля спросить «cache:tv2.cn.ru/ftp/ticket/tickets.log» (без кавычек) то всё вполне на месте
А он изначально был таким маленьким или это гугл его так?
У меня получилось 401 (искал по знаку @).
Для подсчёта мною был использовал тот же способ, что и в комментарии по ссылке.
Ааа. А я открыл cache:tv2.cn.ru/ftp/ticket/tickets.log и там искал.
2007 год. Ну ниче так, столько лет файлик лежал и стрельнул только сейчас.
Sign up to leave a comment.

Articles