ישיבה על קברו, בלי סיסמא?

upsilon01

באתר של נדרים פלוס
אפשר להיכנס לפרויקט של "ישיבה על קברו"
אבל... אין סיסמה למשתמש, כל אחד יכול להיכנס לכל חשבון
באמצעות מספר זהות בלבד.

מה אתם חושבים על זה?

באתר ניתן לראות את הפרטים הבאים:
ת.ז.
שם מלא,
כתובת,
מספר טלפון

clickone

@upsilon01
ממש ממש מוזר
@חוקר ....

MusiCode

שלחתי לו מייל.

תיכף זה מגיע לרן בר-זיק...
או למערך הסייבר.

MusiCode

חסם.

upsilon01

@musicode

חוקר

@clickone אמר בישיבה על קברו, בלי סיסמא?:

ממש ממש מוזר

באמת מוזר, ולמען האמת לצערנו זה לא מוזר, שיש מישהו שזה יעזור לו לשאוב ממני את המידע.
אני שם כעת את כל המאמצים לפתרון.
ובכל מקרה דבר ראשון הוצרכתי להוריד את הAPI.
זה שמנסה כעת לשאוב את המידע אשם בכך שיש נבחנים שלא יוכלו להשתתף כעת במבחן...

dovid

@חוקר לא הבנתי את תגובתך.
אתה מתכוון לומר שאם אף אחד לא היה עולה על הפרצה אז הכל היה טוב? אתה מודע לאחריות של זה?
ולמה אין אפשרות הכי טובה שמלכתחילא לא היה את הפרצה של גישה למידע דרך תז?

חוקר

@dovid
ראשית אתה צודק! הבנתי והפנמתי!
שנית כשהקמתי את המערכת אני סברתי ג"כ שיש לאבטח את המידע עם סיסמא, אבל הם לא רצו להכביד על הגישה.
אז לכל הפחות עשיתי הגבלת גישה ברמת רפרר, אך כמובן שזה עקיף.
אבל אמרתי נעקוב, ובמידת הצורך נגביל.
ולמען האמת למיטב ידיעתי עד היום לא שאב אף אחד מידע (כמובן שייתכן ואני רק רוצה שזה היה כך..)
מה שכאן תמהתי הינו פשוט, שלא מדובר כאן בפורום סייבר שמנסים לשאוב מידע ולהזיק לאחרים, ס"ה פורום חרדי שעוזרים אחד לשני, והראיה שכאשר מישהו העלה פוסט כזה, הרי שהיו כאן כמה חברים יקרים שמיד הפנו את תשומת לבי לזה (חלקם במייל האישי, מה שבטוח שכך ראיתי את זה, כי באמת לא ראיתי את זה לפני זה, ואני מודה להם).
אז מי שבא לעזור, בשמחה, אנו כאן לעזרה אחד לשני, שלח מייל לאישי (לא סוד המייל שלי, הוא מופיע כאן מספר פעמים למיטב זכרוני) ודווח על בעיית אבטחה (שהייתה ידוע לי, אבל לא הגעתי לכך עדיין שהיא ידועה לאחרים..), אבל לפתוח פוסט ציבורי, שמכח זה אין לי מושג מי, ואני מעדיף לא לחשוב מי, הריץ לולאה שתשאב את המידע, שהייתי חייב לכן לעצור ולטפל ולחסום.
על כך אני תמה, יש לי כאן עוד תמיהות על הפוסט, אבל אכמ"ל.

חוקר

@חוקר אמר בישיבה על קברו, בלי סיסמא?:

הרי שהיו כאן כמה חברים יקרים שמיד הפנו את תשומת לבי לזה

אני ראיתי פעם 2 חברות בציבור החרדי שהאחד מהם מצא פרצת אבטחה גרועה יותר, כמו שרן בר זיק כתב, שכשאתה מכניס מספר זהות אתה מקבל הכל על מגש של כסף כולל הסיסמא (האימות היה בצד לקוח), ושם מדובר היה בפרטים רגישים של אשראי שמור ועוד.
מפני כבודם לא אציין במה מדובר.
אחד מהם מצא זאת אצל השני, והוא אמר לי שהוא יכול להריץ לולאה ולשאוב מידע יקר מאוד עבורו..
אך הוא העדיף להדיע מיידית למתחרה ישירות שידע ויורה למתכנתים לטפל..
וכן עשה.

dovid

@חוקר
המשפטים שלך, כל מילה, הם הכותרת של כל הפריצות וכל הבעיות אבטחה בארץ.
פה בארץ כל הכשלים הם אנושיים: "סברתי" "לא רצו להכביד" "עד היום לא שאבו"...
סליחה על הביטוי אבל בא לי לצעוק: גנבים!! זה לא מידע שלכם!! אנשים נותנים בכם אמון ואתם מתנהגים כמו... ישראלים...
גם אם לא הייתה לולאה אני ממש חושב שמוסרית היית חייב להפסיק את כל הקמפיין - אנשים בוטחים במערכת שלך, ואתה שומר על הפרטים שלהם.

אני תמה על @upsilon01 שפירסם פה (בהתחלה חשבתי שהוא פרסם באקסקלוסיבי), אבל אני לא אתפלא אם אין לו ניסיון בכהאי גוונא והוא פעל בלי לחשוב מחוסר מחשבה - אכן ראויה פה התנצלות.

אני אבל חוזר לחדד לך, שאולי נעשתה לך טובה. מזה שנשמע מדבריך שאם לא היה פרסום ולא היית מזהה לולאה אז היית נותן לזה להמשיך, מה גם שלו היה רק שולחים לך במייל היית מודה ונזהר טיפה אבל לא ממש "נכווה", וגם כעת אחרי הכויה עדיין יש לך בלב יותר על הפרסום מאשר על הלקח ששווה הון - שבחיים לא יצליחו לעשות לך את זה שוב!

מעניין אותי, מה יהיה פעם הבאה למען הפשטות? איך משלבים קלות לאנשים עם בטחון בשמירת הפרטים שלהם? זה הדבר שחייב להיות לך תשובה.

yossiz

@dovid גם אני התפלאתי שזה לא פורסם באקסקלוסיבי. שוב שמתי לב ש-@upsilon01 לא חבר פה. (לא שזה תירוץ)

clickone

@חוקר באמת חבל שלא שלחתי גם אליך מייל או התקשרתי אפילו
הייתי בטוח שאתה נמצא כאן ביותר תדירות.

שים לב שנראה שזה עדיין פתוח. (אולי תגביל בינתיים שלא יוכלו לגשת מנדרים פלוס ותשאיר רק את הטלפוני?)

ובאמת חבל שיש מי שמנצל כאלה דברים כדי לשאוב הכל. (לפחות שלא יעביר את החומר הלאה אם הוא כאן וקורא את מה שאני כותב)

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

שים לב שנראה שזה עדיין פתוח. (אולי תגביל בינתיים שלא יוכלו לגשת מנדרים פלוס ותשאיר רק את הטלפוני?)

@חוקר ???!!!!!

clickone

@dovid אני מצליח לשים תז (אמנם אני בודק עם 42 וייתכן שהוא החריג את זה) ולקבל נתונים
(עריכה: התשובה הייתה כשחשבתי שאתה שואל אותי)

clickone

מה שכן, אחרי כמה נסיונות יש חסימה של 5 דקות.
לפחות זה....

{
    "status": "זוהה כניסות מרובות מכתובת זו, אנא המתן 5 דקות ללא כניסה עד לשחרור החסימה"
}

dovid

@clickone גרוע מאוד. @חוקר, אתה חייב לעבוד נכון לגמרי. אל תוותר על אבטחה, תמיד יש פתרונות.
זה בעיה אצל כמה משתמשים פה (ודוקא @חוקר פחות בקטע הזה), שהם חיים במירוץ מטורף עם פרויקטים חיים,
והם לא "מעיזים" להחליט שתכנות נכון דוחה בשעתיים את ההפעלה של הפרוייקט.
וכשהם רואים את על הדרשות שלי פה על תכנות נכון הם שואבים אמונה וביטחון מהפרוייקטים העצומים שהם מנהלים (שאפו!) והם "מתגברים" על ה"נכון" למען ה"תכלס". אני מבין את זה על יום יומיים, אבל כשזה לתמיד ככה זה מפריע לי.

clickone

@dovid אני מסתכל על הפיתרון שלו כפיתרון זמני עד שיעשה את מה שצריך לעשות.
ואם ככה זה טוב. רק שלא יהיה "אין יותר קבוע מזמני....."

לגבי המירוץ המטורף בפרוייקטים החיים, אני חושב שברוב המוחלט של הדברים כן נותנים לאבטחה המון משקל. רק מפספסים בדברים אחרים (כולל [ואולי בעיקר] אני), ובזה אתה צודק.

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

@dovid אני מסתכל על הפיתרון שלו כפיתרון זמני עד שיעשה את מה שצריך לעשות.

זה אשליה זמנית.
הפרצה קיימת. אפשר לשאוב נתון בודד, ואפשר אפילו לשאוב הכל בלולאה איטית (ואפשר גם מהר עם פרוקסי או עם תוכנת רוגלה/וירוס).
רק מה? עשינו רושם של רציניים?

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

לגבי המירוץ המטורף בפרוייקטים החיים, אני חושב שברוב המוחלט של הדברים כן נותנים לאבטחה המון משקל. רק מפספסים בדברים אחרים (כולל [ואולי בעיקר] אני), ובזה אתה צודק.

לא בעיקר ולא בכלל... אולי יש לך מרוץ ולכן אתה חושב שאני מתכוון איליך.
מרוץ זה דבר טוב, הבעיה היא כשיש מרוץ ולא מנסים לעבוד נכון.
כולם נותנים משקל לאבטחה, אבל זה כבר "דיעבד".

clickone

@dovid לא
זה סגירה ממש ממש זמנית
אני מניח שיום יומיים הוא יסגור את הפינות ( @חוקר אל תאכזב! )