Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Hackertámadas ért egy...

2017. február 20. - A feleség hackere

pizza-1344720_640.jpgReggeli KV közben általában olvasgatok ezt-azt, jön értesítő az új hírekről, amik engem érdekelhetnek. Jött ma is egy: Hackertamadas ert egy veszpremi pizzeriat. (https://itcafe.hu/hir/hack_veszprem_pizzeria.html) Na ez érdekes, megnézem!

Természetesen a dolog egyáltalan nincs megfelelően kezelve, de most inkább arról szeretnek írni, hogy mi az, amit ezzel kapcsolatban meg kell érteni.

Az ITcafe szerint a hacker el akarja adni az adatbázist: baromság.

Ha feltörök egy oldalt, kidumpolom* az adatbázist, és el akarom adni az adatokat, akkor vajon szólok, hogy ott jártam? Segítek, hogy megváltoztassák az adatokat, és értéktelenné tegyék, amit épp el akarok adni?

A helyzet az, hogy nagyon sok ilyen törtenik naponta amiről NEM TUDUNK, hiszen ez a lényeg. A te jelszavaidat is, és az enyémeket is már régen, több helyről is megszerezték, ahol vásároltunk, regisztráltunk, stb. Vagy elfogadod, vagy nem, de ez tény. Ezért nem használom sehol ugyanazt a jelszót. A random generált jelszavamat meg ellophatják, máshol nem tudják használni, úgyhogy az én facebookomba (nincs is...), meg gmailembe nem így fognak belépni.

pizza.png 

A weboldal üzemeltetője szerint 1:

"Megtettük a megfelelő intézkedéseket!"
NEM tettétek meg. Ugyanis nem értesítettétek a usereket, hogy ugyan cseréljenek már mindenhol jelszót, ahol ugyanazt használták, mint nálatok. Ezen kívül nem is tudom, mire gondolhatnak. Feljelentés, vagy mi? Ez eleve nevetséges. Ki fogja kinyomozni?

A weboldal üzemeltetője szerint 2:

"Sajnos le kellet zárnunk azonnal az oldalt, így nem tudtunk mindenkit külön-külön értesíteni!"
De igen tudtok. Csak akarni kell. Az adatbazis nálatok van, az e-maileket ismeritek, csak akarni kellene...

A weboldal üzemeltetője szerint 3:

"...mi sajnos nem tudtunk ellene semmit tenni!"
De igen! Pont ez a lényeg! Például nem kóklerekkel dolgoztattok, és nem akartok egy több-százezer forintos fejlesztést 30ezerből megúszni. Egyébként ekkora mennyiségű adat ennyire hanyagul kezelése (titkosítatlan jelszótárolás...) már önmagában minimum szabálysértés. Szóval nem csak hogy tudtok tenni ellene, de kötelességetek is lenne.
És mondhatjátok, hogy ti csak pizzát süttök, nem értetek hozzá, de ha ez így van, akkor süssetek pizzát, és ne üzemeltessetek weboldalt. És akkor nincs gond.
Ha viszont weboldalt üzemeltettek, akkor azt a tőletek elvárható gondossággal tegyétek. Például szánjatok rá 300E forintot és vizsgáltassátok meg egy etikus hackerrel az oldalt. Vagy maradjatok a telefonos / e-mailes rendelésnél,  a weboldal meg legyen egyszerű, mint egy névjegykártya és kész. Vagy regisztráljatok valamelyik online kajaszállítós weboldalhoz, vagy béreljetek webshopot, ami vélhetően biztonságosabb - mindenesetre akkor nem nektek kell gondoskodni erről.


És akkor most nézzétek meg, hogy az a cég, aki ennek a pizzériának a weboldalát csinálta, hány weboldalt csinalt még, és megtudhatod, mennyi weboldalból dumpolták* még ki az összes jelszót. Mert hogy mind ugyanilyen szar, az teljesen biztos. Szeritnem a hacker erre akarta felhívni a figyelmet, bár azt nem láttam, hogy milyen üzenetet hagyott a weboldalon.

Kvíz:

  • Szerinted a weboldal üzemeltetője vajon megnézte, milyen sérülékenységet kihasználva sikerült ez a támadónak?
  • Szerinted a weboldal készítője megnézte, hogy a többi, általa készített oldal sérülékeny-e?
  • Szerinted kijavította?
  • Szerinted értesítette a többi weboldal üzemeltetőjét, hogy sérülékeny a weboldaluk?
  • Szerinted értesitették a többi weboldalon regisztrált felhasználokat, hogy az adataik esetleg kiszivároghattak, változtassanak mindenhol jelszót?

De ami a lényeg, hogy te, kedves olvasó, szintén tudsz védekezni ez ellen! Ne mástól várd!

  • NE használd ugyanazt a jelszót több helyen! Mindenhova egyedi jelszó kell.
  • Használj jelszó safe-et (pl Lastpass, Keeper, Keepass stb), 

és akkor az ilyen gagyi weboldalak miatt nem fogják "feltörni" a facebook fiókod, meg mindened.

Nem bonyolult ugye? Csak tudatosan!

 

(* kidumpolni: Egy adatbázist mindenestől lementeni, nem csak benne található adatokat, hanem a struktúráját is. Ez gyakorlatilag egy mentés. Az így kiexportált adatbázis bármikor tökéletesen helyreállítható máshol.)

 

UPDATE: A történet itt folytatódik: Exklzív interjú a hackerrel 

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr4512274505

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.