Новости за 21.07.2008, другие новости

Произошла атака на сервис Bestpersons.ru.
XSS атаке была подвержена небольшая часть аккаунтов.
Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
Мы приносим свои извинения пользователям, которых затронул данный инцидент.

Комментарии (78)

Как узнать, чьи профили были подвержены атаке?
avatar
думаю что если тебе на мыло пришел новый пороль, то ты относишься к их числу.
avatar
именно так, если вам пришел новый пароль, то ваш профиль был атакован.
У меня не было письма, но с моего аккауната были отосланы сообщения.
кому пришло пустое сообщение от пользователя denisov и кто прошел его посмотреть )
avatar
я ничего не смотрела... но тоже "попала под раздачу" - похоже, где-то (как бы не здесь) уже заражённые комменты или что-то в этом духе...
avatar
Самое главное, что все оперативно решили! Спасибо.
Значит теперь система еще более надежная, это здорово.

Обидно что всегда находятся, недоброжелатели.
avatar
Недоброжелатели использовали бы ваш пароль в недоброжелательных целях. А человек, нашедший уязвимость на BP, лишь указал разрабочикам на слабые места, о которых они сами не позаботились. Так что, я бы скорее назвал его доброжелателем.
avatar
А зачем это делать с такой помпой? Почему нельзя было просто сообщить разработчикам?
avatar
чтобы разработчики быстрее шевелились :))
avatar
1. Сколько времени прошло между взломом и постом на Хабре?
2. Что, romanser сообщил разработчикам о дырах, а разработчики ответили romanserу, что они не будут торопиться с закрытием дыр?
Ещё раз повторю свое мнение - чел захотел популярности даже ценой неблаговидного поступка. Ну, что же он ее получил. Только вот мой жизненный опыт подсказывает, что эта популярность ему может выйти боком.
avatar
Гражданин Печкин, кстати Вы не в курсе, как удалить свой аккаунт на этом сервере :-)?

По Вашим ↑ 2-ум пунктам, практически согласен ;-)
avatar
Гражданин searge, как у далить свой аккаунт на этом сервере, я знаю. но вам не скажу!
Хоть пытайте!
(Печкин напевает "Орленок, орленок взлети выше неба...") ;)
Не надо паники, уважаемый! Тем более сомневаюсь что на ваших ресурсах есть сведения составляющие хоть какой-то интерес для хакеров. ;)
avatar
Можно, просто, Серёжа ;;)
То, что Вы знаете, но не хотите сказать, я уже пробовал, раза три-четыре, не помогает :(
avatar
Сергей, ну вы же знаете, что от мафии не так просто уйти! ;))))
А если серьезно, то с чем связано такое упорное стремление покинуть этот ресурс?
avatar
Тут цензура появилась? Тогда повторю комментарий.
Больше о произошедшем можно узнать здесь: habrahabr.ru/blog/startup/47052.html
avatar
Цензуры нет. Был небольшой сбой.
avatar
То что произошло неприятно конечно. Но ещё более неприятно, что находятся такие люди как romanser. Сдается мне что чел хотел красануться на Хабре. Почему нельзя было просто написать авторам ресурса о найденных дырах.
avatar
Вот это +1, кто то там стебеться над "злоумышленник", а так и есть еслиб человек желал добро лучшеб помог. но будем надеяться на его честность и что он действительно удалит все пороли.

Уверен автор сайта, корпят для того чтоб нам было лучше, не ошибается только тот кто ничего не делает! Мы с вами ребята все будет хорошо!
Никогда не понимал этой логики. Сайт дырявый насквозь, пароли людей воруются, а люди повторяют "Создатели сайта заботятся о нас". Из вас получился бы хороший коммунист :)
з.ы. пароли я не юзал и не собираюсь, но советую не пользоваться подобными сайтами. если сразу не понято почему - поймете позже
avatar
чувствуется радикальная позиция, с чего бы это?
явно вы не ангел на крыльях которые хочет всем посеять добрую весть.
avatar
А какими сайтами посоветуете пользоваться? Помнится, что и на Хабре вы упоминали про незакрытые дыры.
Кстати, почему точкой приложения своих сил вы выбрали этот ресурс, а не тот же Хабр? На Хабре за такие дела и по рукам могли бы надавать?
avatar
А так понятнее?
"Мои родители не богаты, я не ем красную икру каждый день, но я их люблю"

Есть разны позиции.

1- Жаление навредить.
2- Стремление улучшить.

Если человек стремиться улучшать и делать сервис полезнее это всегда большой плюс.

И Надо быть взрослым человеком и уметь различать эти два понятия!
Есть также другое понятие - спортивный интерес. У хаверов, которые по такому принципу действуют логика такая:
1. Найти дыру
2. Извлечь максимально всё, что можно из неё
3. Найти ещё и повторить пункт 2 если дыры не однотипны
4. тут уже зависит от совести, или хакер-сопляк будет красоваться этим направо и налево и юзать пароли, или же скажет об этом администраторам и в силу честности те его отблагодарят и о факте будет умолчено.
Собственно по последнему принципу действую я. Ибо в противном случае это уже ст. 271,272 УК РФ. Сам проходил по ним и знаю что к чему.

PS: Хацкер, юзать XSS и показывать всему тырнету это все равно что ковыряться в носу на красной площади. У вас нет гордости.
avatar
А можно спросить, зачем вы это сделали? Мне просто интересно. У меня лично сложилось впечатление, что чтобы на храбре показать, что вы крутой профи, ну и карму набрать. Я ошибаюсь?
По поводу дырявости... Когда ребенок делает первые шаги, то он падает. Родители ему всегда помогают. Что касается вас, то вместо того чтобы подсказать родителям "Ваш ребенок может упасть! Осторожнее!", вы ставите ему подножку, а потом же еще и кричите "Смотрите какие плохие родители!"
avatar
Согласен полностью!
avatar
именно. А ещё заметно упал уровень хабрапублики вообще - ибо большинство гыгыкает и улюлюкает ему в унисон :( Сама была администратором одного весьма бажного (и написанного как назло, не мной) портальчика - и так и хотелось подобным кулхацкерам, самоутверждающимся за счёт честных кодеров, в лицо плюнуть. Ты за них и за каждый баг (опять же не факт, что этот баг именно ТЫ допустил) люлей получаешь и перед начальством краснеешь, а они ещё и всякими нехорошими словами тебя обзывают. Если это - "IT-сообщество", то я английская королева...
avatar
Хм... ни статус поставить, ни страницу новую добавить, ни личное сообщение человеку написать!
У меня всегда выскакивает окошко с ошибкой!
Неужели только у меня так!?
Что делать, как решить?
avatar
тока у тебя видимо, у меня все работает. обратись вот сюда http://www.bestpersons.ru/about/ внизу мона сообщение админам написать
avatar
сделано!
извиняюсь за повтор! ;)
avatar
ну, вот опять:
жму кнопку "отправить" - выскакивает окошечко с сообщением типа "bestpersons.ru сообщает error" и ничего не происходит... закрываешь окошко с ошибкой, а сообщение якобы не отправлено, хотя уже, как стало ясно чуть позже, всё отправлено!
avatar
Причём одно и то же во всех трёх обозревателях - опера, лиса, сафари
Мне вот интересно, почему "злоумышленникам" удалось запостить своё "9c951267" на те сервисы, на которые даже у меня, как у их владельца, не получалось посты дублировать ..
avatar
Пожалуйста, опишите вашу ситуацию мне в личку.
Феноменально. Вы считаете, что простых извинений достаточно? С трех часов, когда этот товарищ кулхацкер сообщил об уязвимости, у вас было вполне достаточно времени, чтобы что-то предпринять.

Воистину, пока гром не грянет...
avatar
Я был первым пораженным, сразу сообщил админам, в туже минуты она начали исправлять.

Вот это у меня вызвало уважение!
У меня бы вызвало уважение, если бы они на "Хабрахабре" не только нахваливали себя, но и внимательно следили за теми замечениями, которые их делают.

Повторю, между сообщением о наличии уязвимости и взломом прошло достаточно времени. Например, можно было хотя бы чтобы закрыть сайт "на профилактику". А что они сделали?
С опаской буду пробовать новые сервисы. Сначала была мысль вообще удалить аккаунт.
Дыр и на старых хватает. В конце концов это всего лишь интернет, а не ваше здоровье.
Охуеть. Только что еще раз посмотрел - пароль так и передается в открытом виде. Стираю акк.
avatar
Тоже думал удалить акк. Но пока поменял пароли на всех сайтах.
avatar
По запросу в гугле "9c951267" первым выдается сайта 9c951267.ru
Считаю очевидной связь "хакера" и владельца этого домена.
Предлагаю предпринять какие-то меры по идентификации "хакера", связавшись с регистратором 9c951267.ru (r01).
вот паникёры - "хакер" и не шифруется особо - уже известно кто это и он сам этого не скрывает. Просто грамотно провёл за нос администрацию бестперсонс.
avatar
ну и кто это?
по ссылке в этом http://www.bestpersons.ru/about/news/news44/#com3465 комменте можно многое узнать ;)
avatar
И в чем же это грамотность выразилась? В том что юноше захотелось покрасоваться? Интересно а он создал хоть что-то подобное этому ресурсу? Ломать - не строить, особого ума не надо.
Не хочу ещё и здесь демагогию разводить. На хабре можно почитать комментарии сотен людей, поддерживающих как одну, так и другую точку зрения, при этом каждый по-своему прав.
avatar
Демагогия - это когда беспредметный разговор идет. А здесь предмет разговора вполне конкретный. Я бы его обозначил так "Этика в интернете".
Если интересно - на хабре появился ряд фоллоу-апов:
http://habrahabr.ru/blog/i_am_clever/47517.html
http://habrahabr.ru/blog/i_am_clever/47354.html
http://romanser.habrahabr.ru/blog/47343.html

Везде идет горячее обсуждение. Лично я больше склоняюсь к тому, что нужно было предупредить о проблеме (не давая много технических подробностей), дать какое-от время на исправления, а потом - либо деньги, либо массовое освещение.
avatar
Деньги-то за что вы хотели бы получить? За работу которую вам никто не поручал?
получается, что так :)
Девять, си, девять, пять, один, два, шесть, семь
народу то уже сколько ушло. лоханулись ребят, лоханулись)
avatar
да просто пороль поменять мона и все в порядке. ужеж пофиксили.
avatar
Ушли позёры. Из той же серии что и romanser.
Ах, я стираю аккаунт! (и обязательно это надо прокричать по-громче на том же хабре, типа крутые чуваки)
Да, у меня своровали и, что интересно, пассы на блогах не поменяли. Значит, и вправду ломанули только bp.=(
У меня в блоге опубликовано это занимательное сообщение, но пароль мне никто не поменял и на mail новый не выслали!
avatar
Сообщение было отправлено через уязвимость в бп. Пароли на блоги никто не узнал. Уязвимость устранена.
Так что вам не стоит беспокоится.
спасибо
мне никто уведомление не высылал!

только что в дневнике пост обнаружил!
avatar
Раз уведомления не было, то значит ваш пароль никто не узнал.
Пост в дневник был написан в момент эксплуатации хакером уязвимости на bestpersons.
Уязвимость устранена. Таким образом в вашем дневнике больше не могут появятся подобные записи.
avatar
если выяснится что у кого то есть мой пароль , не бойтесь на адрес Вашего ООО придет повестка в суд , ибо надо понимать что Вы делаете господа и какие дыры имеете


avatar
ВЫ нагло врете своим клиентам - пароли были "стырены" хакерами, о чем он красиво написал на habrahabr.ru =// ......
avatar
Была украдена только небольшая часть паролей к аккаунтам Bestpersons.ru. Пароли к сторонним сервисам не пострадали.

Пользователи, чьи аккаунты могли пострадать от данной атаки получили уведомление с рекомендацией изменить пароли на других сервисах в случае, если они совпадали с аккаунтом на Bestpersons.ru.
avatar
будем надеятся =//
avatar
Вот только не говорите что у вас пароли одинаковые) Это уже по детски, есть грань, общеупотребительных паролей и специальных.
Уважаемый Chemist!

Искренне желаю администрации Bestpersons.ru разобраться с ситуацией с минимальными потерями и не допускать подобного в будущем.

Свой аккаунт я удалять не стану, хотя, признаюсь, было очень сильное желание.
avatar
зато весело было))
avatar
По-любому!
При всём уважении к любому сайту (этому в том числе) и его 3-хэтажной защите я свои пароли от сторонних ресурсов НЕ ДОВЕРЮ!
Это как пин код от пластиковой карты - его знаешь ты и только ты! Даже банк его не знает!!
avatar
тут что удобно хочешь юзаещь постинг хочешь нет.
пороли тока для этого нужны
avatar
ну все равно спереть не проблема),
avatar
А я самое интересное пропустил
avatar
Саня выйди на связь 481196693
avatar
Прорвемся!
avatar
похоже, импорт провис.. или мне кажется?
вернуться к странице