שרת 000webhost זהירות !! מחדל אבטחה
-
בימים האחרונים נחשפתי למחדל פשוט מקומם של החברה
פתחתי אצלם חשבון חינמי ונתקלתי בקושי מסויים להכנס לשרת קבצים
חבר שמנוי אצלם בחשבון פרימיום פנה לחברה בשירות לקוחות וביקש
שיעבירו את כל התוכן מהשרת שלי לשרת שלו
וראה זה פלא החברה לא בקשה ממנו שום ראיה שהחשבון שלו לא סיסמה לא מייל פשוט בין רגע כל הקבצים שהיו אצלי עברו אליו
מבלי שנשאלתי על כך דבר
כמובן שחברי עשה זאת ברשות אך יוצא מזה שכל אחד שיש לו חשבון בחברה הזאת עם שרות לקוחות יכול לגנוב לעצמו את כל תוכן של מי שמאוחסן שם ע"י בקשה תמימה
ידע הציבור ויזהר -
אבקש את סליחתו של מנהל האתר, אם העיר כי ייתכן שאזהרה זו רק תיצור בעיות.
באתר הזה יכולים לקרוא גם אנשים לא ממש ישרים.
וכעין מה שכתוב בגמ' בסנהדרין קט. "דרש רבי יוסי בציפורי אחתרין ההיא ליליא תלת מאה מחתרתא בציפורי אתו וקא מצערי ליה אמרו ליה יהבית אורחיה לגנבי".
אני לא רואה תועלת מיוחדת בפרסום מידע כזה, כאשר ישנם כלים אחרים מועילים ומממוקדים לא פחות כגון: פניה לחברה הרלוונטית, או לרשות להגנת הצרכן (אחרי בירור אצל רב) או לכל גורם בעל השפעה אחר.
אם מטרתו של פותח האשכול היא למנוע הישנות מקרים שכזו, ניתן בוודאי למצוא מגוון דרכים לפתור זאת.
-
@פלורידה בחוקי הפורום יש התייחסות ברורוה למקרה כזה,
פותח הנושא לא עמד בחוקים האלה, אבל מדובר בחברה של גויים מחו"ל. ובזה מקרה אינני אוכף את החוק, בפרט שלנו יכולה להיות תועלת.
אם הסיפור נכון, אין פה אופציה לפנות לרשות להגנת הצרכן, וגם פניה לחברה בד"כ לא עוזרת מאומה, אין להם תקציב להגביר את האבטחה. אינני גם חושב על דרך להגן מפני הלקוחות.
ברור שחסר פה מידע, אין פה אפילו כלי ראשון, מאוד יכול להיות שבלי לדעת החבר הזה לחץ על לינק או פנה באופן שמבחינתם מבטיח בעלות, אבל יכול להיות שלא.
(אמנם יש לי ניסיון עם החברות כאלו (רצוני לומר אחסון אתרים במחירים זולים), והסיפור בהחלט יכול להיות נכון).
מבחינת הסיכון שיבואו וינצלו את האמור, אני חושב שיש פה איזון נכון.
הבמה פה מלאה בבוני אתרים למיניהם, והם בהחלט צריכים להיזהר. לגנבים יש הרבה שיטות, מהם חכמות בהרבה מהרעיון הזה.
זה לא כזה קל, בסיפור פה החבר לפחות מבחינתו לא היה גנב ולא בער לו הכובע. כמו כן לא יודעים בבירור על אתרים איפה הם מאוחסנים (אכן בד"כ קל לדעת אבל זה שלב נוסף). ובעיקר, אין פה איזה רעיון גאוני שיבואו גנבים וינצלו אותו.נ.ב. מי מכם שיעשה בדיקה על אתר של עצמו שמאחוסן שמה, ויעלה בחכתו שהסיפור חוזר על עצמו, או להיפך שלא כל הנציגים פורעי אתיקה, נשמח מאוד לאיזון/עדכון. מאוד חשוב לשים לב לכל פרט קטן, כי יכול להיות אימות בלתי מורגש (כמו שיחה בצאט דרך דפדפן מחובר לחשבון, כתובת אייפי זהה ועוד).
מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
-
@פלורידה כתב בשרת 000webhost זהירות !! מחדל אבטחה:
באתר הזה יכולים לקרוא גם אנשים לא ממש ישרים.
וכעין מה שכתוב בגמ' בסנהדרין קט. "דרש רבי יוסי בציפורי אחתרין ההיא ליליא תלת מאה מחתרתא בציפורי אתו וקא מצערי ליה אמרו ליה יהבית אורחיה לגנבי".
אני לא רואה תועלת מיוחדת בפרסום מידע כזה,לגבי פיקפוק ביושרה אני מבין שאין לך דרך להכיר אותי ולדעת שאני ישר בפרט שאני לא כתבתי פה כמעט פוסטים
אבל לא הבנתי איזה כוונת זדון יכולה להיות לי בפרסום כזה
המטרה היחידה שלי היא שיהיה תועלת לאנשים שידעו להזהר -
@ZUNDEL כתב בשרת 000webhost זהירות !! מחדל אבטחה:
הוא אכן נכנס מדפדפן שלי אבל דרך חשבון הגוגל שלו אם זה אכן מספיק בשביל אימות מצד החברה אז אני חוזר בי מדברי
טכנית קשה לקבוע בלי להתנסות בממשק שלהם ולעקוב אחרי הדפדפן והרשת.
אבל בהחלט זה מעמיד את הסיפור בספק, ועדיין אני חושב שההודעה שלך במקומה. בקיצוניות אומר: בגוגל זה בחיים לא יקרה. -
@ZUNDEL כתב בשרת 000webhost זהירות !! מחדל אבטחה:
@dovid כתב בשרת 000webhost זהירות !! מחדל אבטחה:
(כמו שיחה בצאט דרך דפדפדן מחובר לחשבון, כתובת אייפי זהה ועוד).
הוא אכן נכנס מדפדפן שלי אבל דרך חשבון הגוגל שלו אם זה אכן מספיק בשביל אימות מצד החברה אז אני חוזר בי מדברי
זה עדיין לא מספיק בשביל להכריע...
1.איך הוא התכתב איתם במייל?
2.מה היה תוכן הפנייה? -
-
ובכן שלום וברכה אני החבר המדובר שפנה לחברת הוסטינגר
אני לא נכנסתי מהדפדפן של @ZUNDEL הוא טעה ועדכנתי אותו על כך הוא חשב שנכנסתי דרך שם
אכן כך היה שאני נכנסתי מהדפדפן שלי ומהמחשב שלי לאזור האישי שלי בהוסטינגר פרימיום וכתבתי להם שיש לי בעיה באתר ושיעתיקו לי את כל תוכן השרת לאתר שלי
הם לא שאלו שום דבר ופשוט ביצעו את העברה
אבקש להוסיף שזה לא פעם ראשונה שזה קורה בעבר נחסם לי גם כן שרת חינמי שלהם ובקשתי שיפתחו לי אותו ויעבירו לי את התוכן ואכן הם ביצעו את כל הפעולות
אציין שהפעם היה זה לראשונה שביקשתי מהם לעשות זאת על שרת שאינו שלי מכיון שהיה לחבר שלי בעיית התחברות והופתעתי מהקלות בדברולאות הוכחה לולא הסיבות שהביאו פה לעיל הייתי מחפש פה בפורום מי העלה פעם קישור של השרת החינמי שלהם ומראה איך אני מקבל את כל התוכן שלו בלי בעיה כלל
אגב יצויין שלמשתמשי התוכנית החינמית כלל אין דרך לפנות למנהלי הוסטינגר
-
@כמה-טוב-השם אלו פרטים נתת להם על החשבון השני?
דומיין או מזהה פרטי יותר? -
@איש-נחמד כתב בשרת 000webhost זהירות !! מחדל אבטחה:
זה מוצר הדגל של hostinger, ולא נראה שחסר להם תקציב
לא ניהלתי חברה, אבל אני יודע שהחברות האיכותיות לוקחת מחירים של פי עשרה ויותר, יש לזה כנראה צידוק כלכלי.
בשביל להיות חברה שהאבטחה חשובה לה צריך הוצאות עצומות.
למיטב הבנתי hostinger, כמו כל/רוב החברות המוכרות לציבור באירוח אתרים, הינה חברה שמתמקדת במגזר הזול שצורך שירות הרבה פחות איכותי. -
@כמה-טוב-השם כתב בשרת 000webhost זהירות !! מחדל אבטחה:
אכן כך היה שאני נכנסתי מהדפדפן שלי ומהמחשב שלי לאזור האישי שלי בהוסטינגר פרימיום וכתבתי להם שיש לי בעיה באתר ושיעתיקו לי את כל תוכן השרת לאתר שלי
זה אכן הזוי ומסוכן.
-
@כמה-טוב-השם כתב בשרת 000webhost זהירות !! מחדל אבטחה:
ולאות הוכחה לולא הסיבות שהביאו פה לעיל הייתי מחפש פה בפורום מי העלה פעם קישור של השרת החינמי שלהם ומראה איך אני מקבל את כל התוכן שלו בלי בעיה כלל
אני מבין מדבריך שזה רק בשירות החינמי?
אולי זה מדיניות רשמית שבמסלול החינמי אין שום אחריות לפרטיות החומרים (ואולי גם מסכימים להם את זה בהסכם)? -
@איש-נחמד כתב בשרת 000webhost זהירות !! מחדל אבטחה:
@כמה-טוב-השם אלו פרטים נתת להם על החשבון השני?
דומיין או מזהה פרטי יותר?נתתי רק דומיין
-
@dovid כתב בשרת 000webhost זהירות !! מחדל אבטחה:
@כמה-טוב-השם כתב בשרת 000webhost זהירות !! מחדל אבטחה:
ולאות הוכחה לולא הסיבות שהביאו פה לעיל הייתי מחפש פה בפורום מי העלה פעם קישור של השרת החינמי שלהם ומראה איך אני מקבל את כל התוכן שלו בלי בעיה כלל
אני מבין מדבריך שזה רק בשירות החינמי?
אולי זה מדיניות רשמית שבמסלול החינמי אין שום אחריות לפרטיות החומרים (ואולי גם מסכימים להם את זה בהסכם)?אכן דיברתי רק על השירות החינמי
יותר נכון לא בדקתי ואני מאוד מאוד מקוה שזה לא קורה גם בשירות בתשלום
