Hirdetés

üzenetek

hozzászólások


Syl
(PH! nagyúr)

És a tek mikor rúgja rá az ajtót az index újságírójára? Elvégre igen komoly tenorcselekményt követett el...


KEndre
(HÁZIGAZDA)
Blog

Incidenskezelés? GDPR gyakorlat.


bambano
(Jómunkásember)
Blog

önkéntes kiberjogászok? lol. jogászok ezek is...

[ Szerkesztve ]


apatyas
(Korrektor)
Blog

kac-kac-kac


Fred23
(PH! kedvence)

"Önkéntes Kiberjogászok Szervezete"

Ezek kik? A lincselés szó jut eszembe valamiért. :D :)


xmaas
(őstag)

Nevetséges ami itt folyik ha felhozod a figyelmet sebezhetőségre meg mulasztásra még téged visznek el a fekete csuklyások sőt meg akkor is ha neked valaki csak elmondta hogy valami hiba van a rendszerben és te csak felhívtad az illetékesek figyelmét rá.

Szeretlek Magyarország ......


Jinxb1rd
(őstag)

Már nem azért, de ez a feljelentés szerintem már teljesen jogos. :D Aztán itt fújogathattok ahogy akartok.

Az oké, hogy ír az indexnek, hogy talált egy rést és nem foltozták be, írjanak már róla cikket, hátha akkor. De hogy teljes egészében tájékoztat egy portált, hogy ezt hogyan lehet megcsinálni? Az meg kipróbálja, meg is mutatja, hogy működik, tudatosítja mindenkivel, hogy a folyamat leírása ott lapul a szerkesztőség gépein is, olyanokon, ahol az admin vagy e-mail fiók jelszója lehet, hogy 'jelszo123'???

Ki tudja, hány emberhez eljuttatva ezt az infót, ergo ez az okostojás felhasználó okozza most a legeslegnagyobb veszélyt. Illetve most már az indexes munkatársak és ismeretségi köre és így tovább.

Jelentsék is fel őket, ez teljesen korrekt most és remélem meg is kapják a magukét. Nem így kell egy kritikus hibát kezelni.

[ Szerkesztve ]


bambano
(Jómunkásember)
Blog

ahhoz, hogy az index foglalkozzon vele, le kellett írnia a komplett folyamatot, különben nem lesz belőle cikk.

nem, a legnagyobb veszélyt azok a balfék programozók okozzák, akik a hibákat belerakják a rendszerbe, és azok a minőségbiztosítók, akik ezeket a hibákat nem kapják el élesítés előtt.


hcl
(PH! félisten)
Blog

A Posta ugye nem is hibás, hogy szarik az egészre.
A Posta kinek adhatta ki a megkeresést?
A Posta miért nem javította a hibát 3 hét alatt?
A média felé meg valahogyan bizonyítani kell, hogy van rés.

[ Szerkesztve ]


Jinxb1rd
(őstag)

Ha lenne egy gomb a sivatag közepén, ami felrobbantja a földet, mikor lenne nagyobb veszély: ha egy ember tudná, hogy ott van, de nem foglalkozik vele, vagy ha az egész föld tudna róla és foglalkozna vele?

Igen, hibás a posta, de ezek az emberek meg gyökerek és nagyobb kárt okoznak.

[ Szerkesztve ]


CHAOS AD 76
(újonc)

"Jelentsék is fel őket, ez teljesen korrekt most és remélem meg is kapják a magukét."- így van, jelentsen fel mindenki mindenki. Létre is kéne hozni egy szervezetet, ami a belső ellenségek felkutatásán/letartóztatásán stb ügyködik!
Legyen a neve Államvédelmi Hatóság, vagy valami hasonló. Oh, wait...


KEndre
(HÁZIGAZDA)
Blog

Sztem kapnak az üzemeltetők 24 órát, ha addig nem tudják kijavítani a rendszert, akkor kikapcs...

Vicc. A bejelentéstől már eltelt több mint két hét. :(


Pötyi
(senior tag)

A fokozatosság elve sem ment át? A bejelentő tök szabályosan járt el, amikor három hete még nem verte nagydobra, hanem a megfelelő embert értesítette. Joggal várható el, hogy egy ilyen érzékeny adatokkal dolgozó rendszert villámgyorsan kijavítsanak. HÁROM HETE SZART ERRE A POSTA! Ezek után jön a következő lépcső, a nyilvánosság. Hadd tudják meg az emberek, hogy mennyire nincsenek biztonságban az adataik. Hátha a blama közhirré tétele gyorsabb munkára serkenti azt a programozót, aki a postánál a hiba kijavításán dolgozik.


kispx
(PH! kedvence)

Aztán majd egy kóbor Mariska porszívózás közben megnyomja a sivatag közepén található a Földet felrobbantó gombot. Viszont ha több embernek van tudomása róla akkor igyekeznek befoltozni a security hole-t.


Dj Faustus
(újonc)

Mondjuk azért eléggé érdekes, hogy a "normál használat közben" talál egy felhasználó egy "biztonsági rést" és - bár "elvileg" némi időkéséssel (mi igazolja ezt?), de - egyből az Indexhez fordul. Pedig el is akarja kerülni "a kellemetlen feljelentgetéssel párosult BKK-féle “hekkelésnek” még csak a gyanúját is", de mégis sorba áll pofonért. Fordulhatott volna valamilyen szakmai szervezethez is: http://www.cert-hungary.hu/sites/default/files/news/hacker_3.png

Ráadásul az Index ezt fel is fújja, ezzel potenciális szkript kiddie-k tömegeit rászabadítva a Posta oldalára (ne legyen igazam!).

[ Szerkesztve ]


Jinxb1rd
(őstag)

Még mindig az a probléma, hogy jelenleg már nem két ember tudja, hogyan lehet fontos adatokat lopni, hanem már több tucatnyian. És ez nem a Posta hibája, hanem az okostojásé, most meg már az indexé is.

Egyébként rohadtul nem értem, mit kell ezen magyarázni. :U

De segítek, itt egy példa:

Van egy szobatársad, aki tudja a bankkártya adataidat, illetve szól, hogy rájött, mi a bankkártyád pin kódja. Te nem változtatod meg 3 hétig. Ő ezt látja, szól a baráti társaságának, odaadja az adatokat, pin kódot, hogy 'nézzétek már, ez még mindig nem változtatta meg'.

1 nappal később értesülsz erről és reménykedsz, hogy nem szivattyúzták le a kártyádat...

Kérdem én tőled, SZERINTED EZ TELJESEN OKÉS VISELKEDÉS A BARÁTOD RÉSZÉRŐL? :U

[ Szerkesztve ]


Pötyi
(senior tag)

Érdekes dolgot vetettél fel, de ne felejtsd el azt a tényt, hogy a nyilvánosságnak is nagy ereje van. Ugyanúgy munkára készteti a lusta programozót, mintha a CERT-ből szólnának át a postának.

Felejtsd el azt a sémát, ami a múlt rendszerben volt, hogy mindennek volt egy hivatala. Egy illetékes elvtársa. (Akik majd a fű alatt intézkednek. Vagy nem. De eltussolni eltussolnak mindent és kuss van. Ha nincs hír, akkor az meg se történt.)

Az istenadta népnek ugyanúgy joga van megtudni, hogy rohadtul nincsenek biztonságban az adatai.


Pötyi
(senior tag)

Nem _okés_ viselkedés, de egyre jobban rákényszerít, hogy minél gyorsabban megváltoztassam.

Kiegészítés:

ELVEKRŐL vitatkozunk. A célunk közös: minél előbb be legyen foltozva az a nyomorult biztonsági rés. A módszer, amivel elérjük ezt, az eltérő.

Ti a szőnyeg alá söpörnétek midnent, mert azzal jöttök, hogy "mi van akkor, ha közhirré teszik és jön egy script kiddie aki kihasználja?"

Mi meg úgy gondoljuk, hogy mindenkinek joga van tudni, hogy az érzékeny személyes adatai egy hibás rendszerben vannak tárolva. Nekünk az is jó érv, hogy három hete szarnak a hibára - még azután is, hogy nyilvánosságra került. Majd meggondolom ezután, hogy egy ilyen cégre bármit is bízzak. Nemhogy az adataimat, hanem még egy levelet se! Aztán majd remélhetőleg csődbe megy. Sorry, ezek a kapitalizmus farkastörvényei. Állítólag '89. óta az van.

[ Szerkesztve ]


Jinxb1rd
(őstag)

És ha lecuppantottak róla fél milkót, akkor te leszel a hibás, ugye? Nem a barátod meg az ő baráti köre, akik loptak, hanem te. Mert nem változtattad meg a pin kódot. De majd megveregeted a vállát, 'ügyes voltál pajtikám'. :DDD

[ Szerkesztve ]


Kopi31415
(PH! félisten)
Blog

mivel a csodás állami trágyadomb értesült az esetről, volt ideje cselekedni, mégis baxott rá, teljesen jogosan van most világgá kürtölve a dilettantizmusuk! Isten igazából a teljes vezetést kéne azonnal az adatkezelési jogszabályok megsértése miatt azonnal helyben kibaxni az országból, de ezt nem lehet, mert a sok mocskos csókos és bólogató jános ezt akarja, szar munkát drágán, állami pénzek magán pénzzé lopásával. Ha valaki ezeket helyesli, és a nyilvánosságot hibáztatja érte, az pedig kérem, hogy forduljon tovább valami házmesterországba, mondjuk Kínába, Észak-koreába, ahol ez az evlárt viselkedési mód!


bambano
(Jómunkásember)
Blog

"Még mindig az a probléma": az a probléma, hogy nem tudod, hogy ki tudja.
tehát tudják azok, akik az indextől értesültek, meg tudják azok, akik korábban már feltörték saját szakállukra a rendszert, és hosszú ideig lopták az adatokat. ez utóbbiakhoz képest az, hogy az indexben is tudja pár ember a feltörés módját, apróság.


bambano
(Jómunkásember)
Blog

"Egyébként rohadtul nem értem, mit kell ezen magyarázni.": azt a hibát követed el, hogy azt hiszed, nem értjük, amit mondani akarsz. a valóság ezzel szemben az, hogy értjük, hogy mit akarsz mondani, csak nem értünk vele egyet.


Jinxb1rd
(őstag)

Jól van, látom itt egyesek nem használják a józan eszüket, csak fújják a magukét, állami dolgok fikázása forevör. :DDD

(#22) bambano
Nem, mert ez egy remek alkalom, hogy állami rendszerbe kössön bele az ember.

[ Szerkesztve ]


Alexios
(PH! kedvence)
Blog

De nem jó a példa, mert nem a posta mondta el önkéntesen a "pinkódot". Akkor már inkább jobb az, hogy a szobatárs észreveszi hogy a másik kiragasztotta az ajtóra a pin kódját, és szól neki, hogy ezt nem kéne, majd utána 3 hétig nem veszi azt le onnan. Ezután szól csak a baráti társaságnak, hogy ez a hülye nem vette le a pin kódot, szóljanak már ők neki, hátha rájuk jobban hallgat, és elmondja hova van ragasztva, hogy bebizonyítsa nem kitalálta.

Nem 1 nappal később értesülsz, mivel egyrészt 3 hete tudsz róla, másrészt a cikk írása előtt megkerestek, ráadásul a sebezhetőséget sem ismertették a meglétén kívül. De akkor komolyan, szerinted mi lenne a korrekt megoldás a hasonló helyzetekben? Törődjenek bele, hogy visszaélhetnek az adataiddal, és kész?

[ Szerkesztve ]


Pötyi
(senior tag)

Mert éltünk az államszocializmusban! Van róla emlékünk és tudjuk, hogy nem igazán jó. A hibák eltussolása is annak a rendszernek volt az egyik jellemzője. Például az, hogy napokig nem értesítjük a közvéleményt a csernobili robbanásról. Mert az blama lenne! Amiről az emberek nem tudnak, az nincs is! Igazán kár, hogy a radioaktív felhő nem tudta, hogy ő nincs és napokon keresztül terjedt, fertőzve az embereket.

Szerencse, hogy ma már nem az a rendszer, hogy bármit is eltussolnak.

Oh, wait!

Szerinted miért mondják a kritikus hangok, hogy Ovi is cuclizmust épít?

:DDD

[ Szerkesztve ]


Waikiki
(tag)

1. Nem kellett volna leírnia, elég lett volna maszkolt screenshotokat küldenie.
2. Az Index.hu-nak miért kellett a hibát kihasználva illetéktelenül behatolnia a Posta rendszerébe?


sh4d0w
(PH! nagyúr)
Blog

Kibaszottul forditva ulsz a lovon. A Posta hibaja, hogy a rendszer meg biztonsagi lyukasan online, nem az okostojase, vagy az Indexe.


Alexios
(PH! kedvence)
Blog

Azért mert ha nem teszik meg, hogy ellenőrzik az állításokat, és kiderül, hogy hamis, pont amiért hurcolnák meg az indexet, hogy jajaj fake news

[ Szerkesztve ]


Jinxb1rd
(őstag)

Nem. Ez így teljesen okés lett volna, ahogy van, ha nem ossza meg azt is, hogyan kell a feltörést megcsinálni. Lehetett volna képernyőtervekkel egy tesztet csinálni: indexnél feladni egy csomagot, ő meg lecsekkolja, küld egy képet, hogy itt vannak az adatai.

[ Szerkesztve ]


Pötyi
(senior tag)

Mert mondjuk néha nem árt leellenőrizni a híreket? Ne írjanak hülyeséget? Hm?

:DDD


Alexios
(PH! kedvence)
Blog

Én nem tudom a sebezhetőség mivoltát pontosan, szóval nem tudom ez mennyire lett volna egy járható bizonyítási út, azt tudjuk, hogy a mostani biztosan az volt. Innentől kezdve lehet a felelősségeket tologatni, de talán valahol mégis inkább a postánál van ahol 3 hete tudnak róla, és mégsem csináltak semmit.

Illetve az indexnél nyilvánosságra hozták ezt, ezzel kényszerítve a postát a hiba javítására, nem megtartva maguknak, hogy visszaéljenek vele. Egyáltalán nem biztos az, hogy mások már eleve nem teszik ezt, eleve hibás feltételezés, hogy mivel megosztotta az újságírokkal fognak visszaélni, mert sehol nem következik hogy az eltelt 3 hétben mások nem fedezték szintén fel csak nem voltak jófiúk

[ Szerkesztve ]


kispx
(PH! kedvence)

Látom nem tudod megkülönböztetni a hamis biztonságot (biztonság érzet) a biztonságtól.

Van egy defekt. Szobatársad rájött a PIN kódra. => Biztosan csak ő jött rá? Más nem? Biztos vagy abban, hogy valaki _már_ nem csapolja a bankkártyádat? Első hiba. Te itt már nem vagy biztonságban (vagy sosem voltál). Csak abban a tévhitben élsz, mintha valamiféle biztonságban lennél. Pl.: Sosem tudhatod, hogy a szobatársadat mikor él vissza vele vagy mikor itatják le úgy, hogy elkotyogja.

Szobatársad szólt neked. => De te lusta vagy kideríteni hogy, hogyan következheted be az első hiba (második hiba), tenni valamit, hogy a jövőben ne következhessen be (harmadik hiba), likvidálni azt a lehetőséged, hogy a szobatársad kihasználhassa a defektet. (negyedik hiba)

Hibát hibára halmoztál. Akkor miért nem te vagy a hibás (Az más kérdés hogy ő is hibás)

De ne is használjuk hasonlatokat. Térjünk vissza az eredeti problémára:
Tudnád biztosítani azt, hogy az indexes cikk előtt nem éltek vissza ezzel a hibával? Megtudnád mondani, hogy kik használták ki ezt a sebezhetőséget az indexes cikk megjelenése előtt? Tudnál valami biztosítékot adni, hogy javították volna ezt a hibát?

Az indexes cikk megjelenítése egy kényszerítő erő. Kényszeríti a postát, hogy az _eredeti problémát_ foltozza. A lehető leghamarabb. Nehogy azt hidd, hogy indexes cikk nélkül nem jelentek volna meg a black hat/script kiddie-k a posta honlapján.

[ Szerkesztve ]


Jinxb1rd
(őstag)

Persze, meg akasszuk fel az összes feltalálót, aki olyat talál fel, amit fegyverhez is lehet alkalmazni, nem? :)

(#32) kispx
(Az más kérdés hogy ő is hibás) Nem más kérdés, mert ez a hír most erről szól, nem arról, hogy a céget hogyan kellene büntetni ezért. Hogy a feljelentés pont az ő hibájáról szól.

[ Szerkesztve ]


-Skylake-
(őstag)

Spider-Man, Spider-Man, 
Does whatever a spider can 
Spins a web, any size, 
Catches thieves just like flies 
Look Out! 
Here comes the Spider-Man.

Magyar Nemzeti Szupercsapat. Ez a nev akkora lol meg igy az egesz, hogy el sem hiszem hogy olyanok vannak mogotte, akik vegig tudtak csinalni egy jogi kepzest, barmennyire is egyszeru amugy az.


Alexios
(PH! kedvence)
Blog

Most ez hogy jön ide? A posta lenne a feltaláló ez esetben, vagy kicsoda? :F

[ Szerkesztve ]


Lenry
(PH! félisten)
Blog

a Postánál vagy programozó, ugye?


Jinxb1rd
(őstag)

Arról, hogy nem a posta lopja el az adataidat, hanem azok, akik megtudják, hogyan lehet ellopni.


QuarK
(senior tag)

Rossz analógia.

A szobatársad szól, hogy hülye vagy, mert a bankkártyád a bejárati szőnyeg alatt tartod, a hátuljára filccel felírva a PIN kódod.

Te meg azt mondod, hogy majd dolgozol rajta.

Aztán 3 hét múlva is ott van a szőnyeg alatt. És a szobatársad ekkor kürtöli széjjel, hogy mekkora bolond vagy.

Sőt, még ez se pontos. Ugyanis jelen esetben a Posta mások személyes adatait kezeli.

Szóval valahogy úgy hangzana az analógia, hogy még az internetbank belépési adatok is fel vannak postitelve a kártyára, és bárki nézheti, hogy pl. neked utald pornóújság előfizetéshez.


Alexios
(PH! kedvence)
Blog

Tehát akkor ne is javítsunk semmit, mert nem a sebezhetőség megléte a gond, illetve hogy miután felhívták rá a figyelmüket és nem csináltak semmit, hanem hogy megtudták mások a sebezhetőséget?

[ Szerkesztve ]


Lenry
(PH! félisten)
Blog

teljesen fölösleges analógiákat keresni, anélkül is egyértelmű, csak a kolléga nem fogadja el, hogy
- nem értünk vele egyet
- nincs feltétlenül igaza
- nagységrendekkel kisebb probléma, hogy még 2-3 ember ismeri a sebezhetőség módját, mint az, hogy a sebezhetőség egyáltalán létezik (és nyilvánvalóan ez a tudás használhatatlanná válik, amint befoltozzák a rést)

[ Szerkesztve ]


scyllarus
(PH! addikt)

Rettenetesen fordítva látod a dolgokat, a példád meg nélkülöz mindenféle párhuzamot.
Itt nem a Posta számláját csapolhatják meg, hanem az ügyfelek szívhatják meg, akik jogosan várják el, hogy az érzékeny adataik ne legyenek hozzáférhetőek bárki számára.


Jinxb1rd
(őstag)

Egyébként meg mi van ha durva hibáról van szó? Mi van ha bonyolultabb kijavítani, átállni rá fennakadás nélkül? Vagy most karácsony előtt senki ne tudjon csomagot küldeni, álljon a rendszer egy hónapig, mert lehet egy hülyegyerek nem tudja tartani a száját? Emberünk rákérdezett bármire így 3 hét után, hogy mi a helyzet vagy egyből Index?

[ Szerkesztve ]


Alexios
(PH! kedvence)
Blog

Az a baj ezzel a feltételezéssel, hogy azt gondolod, hogy csak a "hülyegyerek" vette észre, és már nem használja akár más már eleve rosszindulatú célra. 3 hét azért elég sok idő kijavítani bonyolultabb problémákat is.

[ Szerkesztve ]


kispx
(PH! kedvence)

> "Nem vágod, hogy most erről van szó, ugye? Hogy a feljelentés pont az ő hibájáról szól, amiket ő csinál most."
De vágom. First world problem. Megtudnád mondani, hogy azt a "szervezet" miért nem a postát jelentették fel? Ő volt a legnagyobb hibás. Megtudnád mondani, hogy miért egy jelentéktelen mozzanatot emelsz ki az egész eseménysorozatból ahelyett, hogy a lényegre koncentrálnál? Az index leellenőrizte az ember állításait. Ezzel most miféle bűnt követett el? (Ok, tudom hogy mit akarsz mondani, de...) Milyen kára származik a postának vagy az embereknek? Az, hogy _végre_ a posta megemeli a fenekét és befoltozza a hibát? Ez szerintem inkább előny mintsem hátrány.


Pötyi
(senior tag)

A feltalálós példával nagyon átesel a ló túloldalára.

Én, kisember Béla sehogy nem tudom a postát rákényszeríteni a hiba minél hamarabb történő befoltozására. Ha bemegyek a posta vezérigazgatójához és elkezdem verni az asztalt, hogy három hete hozzáférhetőek az érzékeny adataim, akkor először megértően bólogat, aztán az anyagiak hiányára hivatkozik, hozzájuk ennyiért csak ilyen gyenge képességű programozó ment dolgozni, majd ha megunja a társaságom, végül kidobat.

A nyilvánosság igenis nagy fegyver. Amikor hatszázezer ember (aki mind érintett, mert nyilvánosságra kerültek a személyes adatai) követeli, akkor talán megmozdul a posta gépezete.


Lenry
(PH! félisten)
Blog

ha így van, akkor a Posta most előállhat egy ezt tartalmazó nyilatkozattal, és kész.
tekintve, hogy a kívülállók közül még mindig csak a hülyegyerek, meg az újságíró tudja a sebezhetőség pontos mibenlétét, így pont ugyanannyira vannak biztonságban az adataink, mint eddig voltak


sh4d0w
(PH! nagyúr)
Blog

Sose nyomd fullba a kretent...


Dj Faustus
(újonc)

1. Mi bizonyítja azt, hogy az Index igazat írt?
Mi bizonyítja azt, hogy a "hatalmas" sérülékenység felfedezője - teszem azt - nem tegnap előtt találta a sebezhetőséget?

2. Ha feltételezzük hogy valóban igazat írt, akkor a "HÁROM HETE SZART ERRE A POSTA!" kijelentésed nem állja meg a helyét. A legutolsó levélváltás a sérülékenység felfedezője és a posta között 27-én volt.

3. "de ne felejtsd el azt a tényt, hogy a nyilvánosságnak is nagy ereje van." - Afrikában meg éheznek. A villamos sárga és csilingel. Amelyik politikus beszél, az hazudik. Hasonló argumentum ad populum-frázisokat lehet puffogtatni.

Lehet hogy nagy ereje van, de elsődlegesen nem rájuk (akik között ott vannak a felfedett hibát ténylegesen kihasználó pernahajderek is) tartozik. Ráadásul nem ilyen szenzációhajhász interpretálásban.


nihill
(senior tag)

Ez a szerecsen mosdatásod ott bukik meg, hogy a bankkártyás példádban a tulaj SAJÁT pénzét lopják el.
Itt meg 3. személyek, akár a te adataidat is ellophatják a postától.
Nagyon nem egy kategória.
Nem arra hívták fel a posta figyelmét hogy a saját adatait védje, hanem hogy MÁSOK NÁLA TÁROLT adatait ne lophassák már el tőle. Miután 3 hétig sz@art bele, feljebb eszkalálódott a dolog, nem a posta szivatása miatt, hanem mert továbbra is veszélyben van x ezer ügyfél adata, a saját tudtuk nélkül. Vajon meddig kellett volna még várni ha a posra nem tesz semmit? 1 hónapig? 1 évig? Most legalább már rá van kényszerítve, amit enélkül nem nagyon sietett volna megoldani, mint látjuk.


sh4d0w
(PH! nagyúr)
Blog

Erto olvasas segit:

"...A rést felfedező a kritikus biztonsági hibáról november 20-án a posta.hu-n található hibabejelentőn tájékoztatta a Magyar Postát..."

Ennek nyoma van, legalabb 2 mailszerveren keresztulment a level, ergo kamuzni rola nehez.

üzenetek