Egy névtelenségbe burkolózó olvasónk hívta fel a figyelmünket arra, hogy súlyos biztonsági hiba van az oldalon. A hiba kihasználásával a teljes adatbázis hozzáférhető, nem csak a webmail.
A hiba nem az alap front-end kódban van, hanem az Independenc-en megtalálható felhasználók képfeltöltési rendszerében. Az sql injection-t kihasználva könnyűszerrel kiolvasható bármely tábla tartalma.
Egy biztonsági szakértővel megosztottuk az információt, ő is azt mondta, hogy ez igen kritikus hiba, a felhasználók jelszavaihoz is hozzá lehet férni. Bár a jelszavak titkosítva vannak (md5), az egyszerűbb jelszavak már elég könnyen és hatásoson törhetőek. Éppen ezért ajánlott a jelszó megváltoztatása, nem csak az Indepen, hanem más weboldalon is, ahol esetleg ezzel az emailcímmel és jelszóval szerepel.
Idézet Feree-től, az Indep tulajától.
” Az indep.eu adatbazisahoz (tehat ahol a userek vannak, torrent
fajlok, es egyeb szokasos tablak, azokhoz nem fertek hozza, tehat nagy
problema nem tortent, hamar javitottuk a hibat, csak a maillel tortent
egy kis gubanc, de mar semmi gaz”
Ez a kijelentés valószínűleg messze áll a valóságtól. A tegnapi RoundCube hiba is igen komoly, gyakorlatilag shell-t lehet vele szerezni a gépre. Nagy valószínűséggel sikeresen hozzáférhettek a tracker bármelyik részéhez, ideértve a teljes adatbázist. Az itt prezentált sebezhetőség pedig ismét igen komoly, szintén hozzáférhetővé teszi a teljes Independence adatbázist a támadóknak.
Demonstrációs képek:
(a tulajdonos által feltöltött képek)
(egy user emailcíme és a jelszó hash)
Az asva.info elhatárolódik bármilyen oldalfeltöréstől. A kódot nem hozzuk nyilvánosságra, ezt senki ne kérje. A cikk nem az Indepence lejáratása miatt készül, hanem azért, hogy a felhasználók tudjanak az esetről, és időben lépjenek.
A technikai tanácsadásért hatalmas köszönet Buherátor-nak.
január 4, 2009 at 15:03 du.
Te is olyan baromijól használtad a proxyt, írogattál fixip-vel mindenhova. Azóta is csak annak nincsenek meg a személyes adataid, aki nem kíváncsi rá.
Ez is tipikus gyerekes hozzáállás, csak a hozzád hasonlóak dicsekednek azzal, hogy hányszor vonultak ki hozzá a rendőrök. Igazán kár, hogy nem takarítottak el pár évre.
január 4, 2009 at 15:17 du.
Chamea kapcsold inkább ki a gépet mert sok lesz a számla. Nyiss egy meseblogot és ott gyártsd az összeesküvés elméleteidet inkább.
január 4, 2009 at 15:18 du.
Neee, még kitalálja, hogy emeltdíjas esemessel küld mesét…
január 4, 2009 at 15:20 du.
“Azóta is csak annak nincsenek meg a személyes adataid, aki nem kíváncsi rá.”
Hát kíváncsi vagyok ha te arra a címre elmennél és találkoznál akár egy emberrel is. Ja és próbáld meg felhívni a telefonszámot.
január 4, 2009 at 16:11 du.
na jó,itt már van elég comment, most kell 1 új cikk
január 4, 2009 at 16:17 du.
Na jah, most törjünk fel egy másik oldalt, hogy lássuk jön e még pár zsenitől hsz…. LOL
január 4, 2009 at 19:24 du.
k0cka: “ajwiw”-el meg “majvip”pel csak akkor lehet gondod ha annyi eszed van hogy a neten hasznalt nickedet adod meg becenevnek, meg ha kiirod adatlapra hogy toltesz fel mint egy bolond, meg reklamozod a cubemusicot..
Egyebkent meg hogy “ajwiw”en fent van “apech”, te is tudsz csinalni barmit, akar bsza-t vagy aszva-t is..
Ha megis van fent “apech” akkor mi van? mit tudnak csinalni? Tudok csinalni kepet arrol hogy ulok egy uj audi a8ba, es akkor mi kijonnek? azt radobbennek hogy csak trabi van otthon vagy mi? Ennyi hulyeseget osszehordani.
“hozzájut egy torrent acchoz valamilyen úton->maga a cég továbbítja a BSA felé->BSA továbbítja vizsgálat után a rendőrség felé”
Ezzel tudod mi a baj? hogy nezi meg az ip-ket? letolti a torrentet ugye? es akkor mit csinal tolt vissza is, lehet h csak 1 k-t, de azt feltolti ami meg buncselekmeny, es hat okse kovethetnek el buncselekmenyt. Egyebkent meg ha van eszed darabolt, csomagolt dolgokat szedsz le mert azt teljesen le kell tolteniuk ahhoz hogy eldontsek mi az adott torrent tartalma, olyankor meg okis seedelnek, szval ez is bukta. Ezek az osszeeskuves elmeletek telleg nagyon gazak, 1-2 zoldfulu talan elhiszi.
Annyi igaz ebbol hogy jogvedo feljelent egy ip-t de azok altalaba payftp-k meg smswebek.
sorry az offert!
január 4, 2009 at 21:10 du.
en ezt a proxyt sem ertem, hu de fasza, mert kimennek a proxyra, es nem talaljak meg az illetot, es akkor mi van? Azt fogjak mondani, hogy o toltotte le aki a proxy elott ul, vagy ulhet, es raverik emberre/cegre aki felel a gepert. Ja,hogy te proxyt hasznaltal? Ezt proxy nelkul is elmondhatod, ugyan annyit fog erni.
az “osztalytarsa” bsas 🙂 ezen en is jot rohogtem.
Nagyon eltersz a targytol, az “sql injection” illegalis, ezert ezzel nem szedhetnek bizonyitokokat, ez volt ez eredeti temahoz kapcsolodo. Mellesleg digitalisan keszitett cuccokat nem fogadnak el birosagon, pl log,weblap,weben megejleno informacio. Ezek alapjan indithatnak nyomozast, de valjuk be, rendorseg a hata kozepere kivanja ezt, nem fog utana menni. Lehet ezt elmeletben ragozni, de gyakorlat ugyis egy lesz, kulfoldon belfoldon egyarant, kimegy a rendoresg,lefoglalnak csinalnak tobb 100oldalni nyomozati anyagot, atadjak az ugyeszsegnek, ott meg felrerakjak, mert nem elegseges.
január 4, 2009 at 21:52 du.
Persze, csakhogy amit a BSA csinál, az teljesen legális, mert a jogtulajdonosok tesznek feljelentést a BSA-n keresztül a rendőrségre és nyílván engedélyezik a BSA-nak meg a rendőrségnek, hogy nyomozás céljából vizsgálódjanak. Itt a lényeg, hogy a jogtulajdonos mire ad engedélyt és nem az, hogy a feltöltés mindenáron törvénytelen.
január 4, 2009 at 23:38 du.
Koszi a cikket. Megprobaljuk kijavitani az osszes hibat az oldalon. (persze az osszeset eleg nehez, de azert az a lenyeg, hogy probalgatjuk). A kepfeltoltes reszt sikeresen kijavitottam (ha megse sikeres, akkor szoljatok:D)
Illetve egyeb hibakra is kivancsi vagyok, talan egy jobban hozzaerto megmondhatna, hogy hol lehet meg injectelni az oldalt. (3 helyen javitottam ki a cikk hatasara ezt a hibat – sajnos mikor irtam pl a userkepek.php-t nem gondoltam, hogy kell egy pl (int) a get reszhez :)). Most is okosabb lettem valamivel. 🙂
Viszont az mondjuk jobban esett volna, ha esetleg mailben megkerestek, hogy figy, van ez a hiba, kikene javitanod, nem rogton emberek szazainak kozolni. Igaz, meg mindig normalisabb igy kozolni, minthogy mondjuk drop-olni a users tablat… 🙂
január 5, 2009 at 0:39 de.
hat ha ennyire nem erted akkor inkabb ulj be iskolapadba(lehetoleg valami Informatikai jogokkal kapcsolatosba). Nekik is ugyanugy tiltott a feltoltes. Nah de mindegy nemvitazom ezen, mert amugy is off.
január 5, 2009 at 15:25 du.
asd, neked kellene beülni egy iskolapadba, ahelyett, hogy az elite defense-t olvasgatod. 2-en Chamea-val működtettünk e2dk szervert és ott megfizettük a jogot, törvényszerű volt. Akkor sérted a jogot, ha az előadók beleegyezése nélkül osztod meg a tartalmat, ha engedélyével, akkor már nem tiltott nekik a feltöltés. Ezt kellene tanítani, ahelyett, hogy azzal riogatni, hogy jönnek a jogvédők és… …inkább nem folytatom, nem akarok az elite hub operátoraival én is pereskedni.
január 5, 2009 at 17:23 du.
ugyes vagy, elj akkor ebben a tudatban, masik topicban is elegge beegte, “mr jogtiszta”. Ha halgattal volna okosabb maradtal volna 🙂
január 5, 2009 at 19:21 du.
kámea, nyugi, mingyá jönnek az ápolók, rádadják a sárga időmelegítőt és visszavisznek… és nagyon lebasszák azt. aki nyitva hagyta az ajtót.
január 5, 2009 at 21:05 du.
Hm hova tünt a spamjük…
január 5, 2009 at 22:55 du.
asuska neked csak annyit hogy menj máshova hirdetni a ne warezolj igét esetleg a hozzád legközelebb eső templomba hidd el mindenki jobban örülne neki és még hasznod is lenne
január 6, 2009 at 19:00 du.
Indep kicsit furcsa oldal.
Megváltoztattam jelszavamat, de nem akart se a régivel, sem az újjal belépni.
Aztán valahogy belépett, kiírta, hogy hibás jelszó, de belépett…ezt még párszor megcsinálta, egyszer csak megint megváltoztattam a jelszavam, és nem írta ki, hogy a jelenlegi jelszó hibás, az működött, csak hülye az oldal….
Aztán “elfelejtettem a jelszavamat”-ra kattintottam, jött egy email amiben igazolni kellet egy linkkel, hogy én kértem új jelszót, rákattintottam, és kiírta, hogy az új jelszót elküldik az emailemre.
Ezután újra megnéztem emailem, nem volt ott…gondoltam, biztos kicsit késik, de 3-4 napja volt már, hogy “megrendeltem” az új jelszavam, semmi email.
Mi van az oldallal?
Asuska, nem tudom miről irkálsz, nem olvastam el amit itt írtál, de más témából már tudom, hogy egy hülyegyerek vagy…menj máshova a “ne tölts le” szövegeddel, csak itt ezt a 3 szót de 3 regényben írod le…
január 6, 2009 at 20:13 du.
Что ж… и такое мнение возможно
január 6, 2009 at 20:56 du.
Паша, ha jól értem, tudnál tanácsot adni Feree-nek?
Megj.: Ha kérhetlek, próbálj meg légyszi magyarul írni, ha tudsz, angolul sem akadály, csak én nem csippentyűzöm annyira az oroszt.
január 6, 2009 at 21:08 du.
Паша,
нравиться использование венгерский/english выражаться
január 6, 2009 at 23:54 du.
Chamea: szerintem hanyagold az informatikat, mint szakteruletet/erdeklodesi kort. 😀
január 7, 2009 at 14:00 du.
Mindig is mondtam, hogy Feree egy pöcs 😛 Bocsánat.
január 9, 2009 at 11:39 de.
Nem kell bocsánatot kérned, Fleet, az igazságot írtad ide. Az bizti, hogy ott súlyos gáz van, ha a hackernek kell levelet küldenie egy portál üzemeltetőjének, hogy feltörték a rendszert. Azért az, mit leírtál, mert megspórolja a szakembereket. Nem tudsz normálisan felrakni az autóra te egy karosszériát, ha nem vagy karosszéria lakatos, ehhez, amit Feree csinál, kicsit több informatikai tudás kell, nem csak ennyi és ha ez nincs meg, akkor szakembert kell alkalmazni.
január 10, 2009 at 9:25 de.
Update failed!
Jelenlegi jelszót is írd be!.
Nem jó a jelszóváltoztató , nem lehet változtatni jelszavunkat !
január 11, 2009 at 11:13 de.
Hány éves ez a bizonyos feri? Régen fentvoltam és amilyen híreket írkálnak… Kb óvodásszintű “semmiértelmenincsen” féle. Ja és köszi a Spameket ami a ti “gyűjtsélpénzt nekünk és dobunk neked is egy kis csontot” akciótok miatt küldözgetnek a usereitek (vagy loosereitek?).
január 15, 2009 at 8:01 de.
az indep, egy köcsög pénz lehúzós oldal.
január 16, 2009 at 11:13 de.
Nem azert de feri baszik ra.
A chatet is beraktak azt szarta le hogy mekkora egy fos (azon kivul, hogy ronda is)
engedelyezve volt a HTML tag, mert nem mysql-es chat (hogy ne terhelje indepet) hanem sima text adatbazissal rendelkezo.
<table width=”10000000000000″… aztan mar nem lehet hasnzalni az oldalt mert a menu meg szetcsuszik 😀
szal errol ennyit, meg se lepodok. en jelszavam biztonsagba van 😀
január 16, 2009 at 11:13 de.
de mar ki lett javitva.. szoltam neki mert en rendes vagyok 😀