Új hozzászólás Aktív témák
-
demagóg
aktív tag
...Abban is komolyan hiszek, hogy ebbe a kutatási közös projektbe a kürt nagyjából csak pénzt adott, esetleg ígéretet, hogy aki onnan jön, megnézik emberfelvételnél.
Akkor pontosítanék, ha lehet. A különböző szintek között a legmagasabbtól a legalacsonyabbig nagyon szoros, személyes kapcsolatok vannak. Nem csak ez az egy közös projekt van. A projektek célja összességében a közép-hosszútávon realizálódó profit. Pénzt viszi és majd hozza is. A legalacsonyabb, a közkatonák szintjén a kapcsolat havi, heti sőt napi rendszerességű. Olyannyira, hogy egyetemi hallgató gyakorlatilag napi rendszerességgel a tanulmányai mellett napi sok órában dolgozik a cégnél, profi környezetben, megfelelő díjazásért. Tehát a legjobbak már az egyetemi évek alatt kiválogatódnak. Minden elismerésem az övék, kemény melót végeznek. Mégis valahogy alulértékelődött a rendszergazdai munka fontossága, felelőssége. De ahogy itt olvasom, ez néha máshol is előfordul.
-
Male
nagyúr
Van virtuális számla benne, onnan lehet csak fizetni pl IV-díjat, stb. Tehát ezen többnyire van pénz. Innen visszautalással lehetett volna ellopni a pénzt, azonban ezt a lehetőséget letiltották szerencsére. ( a mikort nem tudom sajnos... állítólag senkitől nem vettek le pénzt így...remélem nem is fognak )
Demagóg: "Azért segíteni lehetne. " Persze, csak épp itt volt a hiba: Valaki besorolta ezt is az apró feladatok közé, és innentől már miért is segítettek volna be? Szóval itt annak a döntéshozónak van felelőssége, aki ilyen kategóriájúnak fogadta el ezt a programot.
"biztonságtechnikával kapcsolatos közös projektjeik is vannak." Ééééés??? Ez nem az volt. Látom nem sikerül megérteni, hogy a közös projektek, stb-től még nem fognak mindent együtt csinálni.
bambano: Nem, nem csak ennyi. Pl lehet hozzájuk menni gyakorlatra, diplomázni, stb.
-
bambano
titán
A kürtben a falon a "legkisebb" referencia munka az, hogy amerikai nagykövet köszönetet mond, amiért lementették a wtcc alagsorából kiásott szerverek diszkjeit.
Abban is komolyan hiszek, hogy ebbe a kutatási közös projektbe a kürt nagyjából csak pénzt adott, esetleg ígéretet, hogy aki onnan jön, megnézik emberfelvételnél.
-
demagóg
aktív tag
Na még egyszer nekifutok. A tudás átadásáról nyekeregtem, nem a személyes kivitelezésről. Abban a tudás nem adódik át. Azért segíteni lehetne.
Hiszen biztonságtechnikával kapcsolatos közös projektjeik is vannak. 
....Ha nem csak egy kis részt ragadsz ki, akkor láthatod, hogy pont ezt mondtam...
Na, akkor megint kifejtem. Pont azért, hogy ne lehessen félreérteni (bár ha valaki csak azért is akarja, az ellen nem véd) van a zárójeles rész, hogy idézem: "(a döntéshozókra gondolok)". Akkor most még egyszer, ha nem világos amit mondani akarok: A DÖNTÉSHOZÓKRA GONDOLOK.Viszont a fentebb linkelt blogon már magyarázzák, hogy így utólag mit kellene csinálni, ha már ez a szomorú eset megtörtént.
-
azbest
félisten
naív vagy
Név, anyja neve, szemig szám, lakcím, bankszámlaszám... azért ezek nem olyan ártatlan adatok.
Neptunp belülről nem ismerem, egyik hallgató írta, hogy belső számla is van és arról kell "továbbutalni" a rendszerben pl a kolidíjat is. Nem tudom, hogy külön védené-e még valami.A szándék magában nem elég a károkozáshoz, ha ezüst tálcán nyújtják az adatokat, akkor viszont van aki kap utána, az hogy kitették felelőtlenül a netre ezeket pont ilyen.
A minimum kellemetlenség az, hogy 1700 vagy 6000 élő email címet megszereztek a spammerek.Más kellemetlenség pl: megrendelhetnek a nevében szokgáltatásokat, termékeket. (még ha ki is fizetik a számlát a megrendelők, de jogilag azt rángatják akinek a nevén fut - pl domainregisztráció)
A pontos adatok birtokában akár hamis iratokat is gyárthatnak, amivel már a bankban is bármit megtehetnek. (persze, pont veled nem fog megtörténni... fő az optimizmus)
-
kingi
tag
az előbbihez, szerintem, nem kell feltörni egy rendszert, elég felütni a telefonkönyvet, bár nem tudom a személyes okmányok nélkül, hogy lehet céget alapítani pl... egy jelszóval vagy névvel, címmel??? A másikhoz meg nem elég betröni a egy NEM banki rendszerbe, pl. a neptunba, mivel az utaláshoz külön jelszó kell, amit jó esetben nincs ott/együtt, nem lehet ott. Különben az egészet megette a fene. Harmadrészt, ami a legfotosabb szerintem a kár okozási SZÁNDÉKOT és a ROSSZINDULATOT NEM LEHET INFORMATIKAI eszközökkel kivédeni (csupán) ... Viszont, ha nem ez volt a szándék, nincs gond, megoldanak ma is egy hibát és KÉSZ PONT. A többi bohóckodás, habverés, ahogy én látom
Ha meg ez volt a szándék, így vagy úgy elkerülhetetlen a botrány, szerintem... -
azbest
félisten
válasz
dajkopali
#102
üzenetére
(Különösen, hogy az érintett rendszergazda, aki személy szerint elkövette a hibát, a forrásnak számító blogban a következőket írta: "Ezt elkúrtam. Nem kicsit. Nagyon.")
Légy figyelmesebb, ez egy idióta játszadozása volt, aki több névvel is felregisztrált és saját magával elbeszélgetett. Amolyan homáros értelmiség. A kommentek tartalmából eléggé látszik, hogy melyik az ami csak idióta vicc.
Egyébként tényleg nagyon sokat elárul az érintettek és az egyetem hozzáállása is a dologról. Sokan nem is sejtik, hogy milyen visszaéléseket lehet véghezvinni néhány adattal. Tv ügyvédes riportban volt szó a közelmúltban olyan esetekről, amikor más nevében indítottak kamu cégeket. Egyébként, ahogy írták a blog kommentben, a neptunos rendszerben is van valami virtuális bank rész, ahonnan a fenn lévő pénzt simán ki tudják utaltatni, ha hozzáférnek... a számlanyitáshoz még adatokat sem kell keresgélni, csak kiválasztanak egy embert a listáról.
-
Male
nagyúr
Cseréljen bankszámlaszámot, személyi igazolványt... ezek ugyebár nem mennek ingyen. Ilyen esetben vajon ennek költségeit meg lehet fizettetni az egyetemmel?
Cseréljen Neptun kódot: tudtommal ilyet viszont nem lehet.
A normális jelszót pedig meg kéne követelni, nem csak ajánlgatni.
-
Male
nagyúr
Nyilván... de attól, hogy van ez a kapcsolat, nem ők fognak mindent csinálni
Khm, már megint a szándékos félreértés... Ha nem csak egy kis részt ragadsz ki, akkor láthatod, hogy pont ezt mondtam... nem lett volna szabad ezt is a kis feladatok közé sorolni az adatok jellege miatt.
-
demagóg
aktív tag
...Szerintem a Kürtnek nincs szüksége arra, hogy egy ilyen koli-jelentkezési rendszerrel mutassa be a tudását...
De nem is fogják bekeretezve kitenni a falra a többi, a patronált egyetemmel kapcsolatos hír közé. Amúgy referencia munkából sosem elég. Ráadásul hallgatókon keresztül is igen szoros a kapcsolatuk különféle pályázatokon és belső munkákkal kapcsolatban is. Mégis tévedtek a rendszer kialakításakor, a tudás mégsem adódott át. A kolinak talán mégis jó lenne, még mindig nem késő.
....Kisebb feladatokat szokás így diákokra bízni....
Azért mert csak koli jelentkezők adatai kerültek ki neptun kóddal? Nem nevezném kisebb feladatnak mint ahogy így utólag látszik. Egy kategória attól függetlenül, hogy mekkora cégnél dolgozik a rendszergazda. Én nem bagatellizálnám el (a döntéshozókra gondolok). És nem hagynám a maszatolást mint ahogy a történetből kiderült. -
Male
nagyúr
Szerintem a Kürtnek nincs szüksége arra, hogy egy ilyen koli-jelentkezési rendszerrel mutassa be a tudását
Kisebb feladatokat szokás így diákokra bízni. Nekik nem kell fizetni (max elfogadják valami tárgynak), és nekik aztán tényleg jól jön ez referenciának.
Ahol hibáztak, hogy nem vették figyelembe a kezelt adatok jellegét és az ebben rejlő kockázatokat... ezért kellett volna profi (profibb) embereket megbízni vele.#108: Természetesen nem tesz jót...
-
demagóg
aktív tag
Szerintem meg egy informatikában csúcson lévő szervezet (egyetem) hírének nem tesz jót egy ilyen hír. Ehhez nem kell összeesküvés. Csak továbbgondolkodásra késztet. Ami még szomorú, hogy az egyik említett cég belső és külső védelme annyira erős, hogy nem véletlenül nem szerepeltek még az ilyen hírekben. Nem is fognak, pedig külső próbálkozók vannak. Az egyik pártfogoltjuknál viszont belső malőr történt. Belső baki és nem külső rosszindulatú támadás.
-
RedAnt
aktív tag
Lehetséges. Mindenesetre annak a száz pechesnek, akik kinn ragadtak a cache-ben, a személyes adatait még így is elég drága árnak tartom ezért. De ha tényleg történnek felelősségrevonások és javul a biztosnsági helyzet, akkor végeredményben lehet hogy én is azt fogom gondolni, hogy megérte a botrány.
Az is igaz hogy azt a részét visszacsinálni már úgysem lehet, ami kiszivárgott, az kiszivárgott, úgyhogy most koncentrálhatunk arra, hogy ne legyen elkenve az ügy. -
demagóg
aktív tag
Akkor kifejtem, mert nem érted a mondandómat. Ez egy ideális terep lenne egy mutogatható rendszer kiépítésére. Leendő kuncsaft megy vendégségbe, és egyből lehet dicsekedni (ezt a lehető legjobb értelemben mondom) a házon belüli rendszerrel, amelynek minden eleme a biztonságot szolgálja. Tökéletes demo. Ezzel szemben mostanában nem ez jut először a látogató eszébe. Hanem az, hogy a rendszer kezelői, üzemeltetői a leggyengébb láncszemek. De nem ők a felelősek a kialakult helyzetért, hanem az egyetemi IT biztonsági rendszer (ha van egyáltalán ilyen). Vagy rosszul gondolom?
-
shtml
őstag
Annyira nem tudom elítélni a bloggert. Ui. ha csép csendben elintéződött volna a dolog, nem lett volna semmi hatása. Na de így, hogy ekkora botrány pattant ki belőle, nagyon valószínű, hogy máshol is utánanéznek a hasonló trehányságoknak. A botrány nettó eredménye ezért szerintem nagyon is pozitív.
-
Male
nagyúr
-
dajkopali
addikt
Csak idézni tudlak: az agyam eldobom. Hát soha senki nem képes vállalni a felelősséget a tetteiért???
Igan, súlyos biztonsági hibáról van szó, de hát ez megtörténhet, meg is történik. A világnak nincs vége, vannak ennek következményei, oszt jónapot. De hogy betörtek a rendszerbe???? Jézus...
Mi a magunk részéről lezártnak tekintettük az ügyet (Különösen, hogy az érintett rendszergazda, aki személy szerint elkövette a hibát, a forrásnak számító blogban a következőket írta: "Ezt elkúrtam. Nem kicsit. Nagyon.")
Ám az egyetem elképesztően gyáva és gyenge jellemű vezetői úgy viselkednek, hogy ezt azért már nem lehet szó nélkül hagyni.
Pont olyan ez az egész, mint a parlamenti képviselőink, akik ha ittasan vezetnek, akkor vagy nekiesnek a rendőröknek vagy az ufókra kenik az egészet. A p*ba, látszik, hogy sosem dolgoztak olyan helyen, ahol a súlyos hibákért tényleges retorziók járnak: hogy mondjak egy egyszerű példát: voltam benzinkutas, és egyszer tévedésből benzint nyomtam egy dízel autóba: fizettem, mint a katonatiszt, üzemanyag (kétszer). plusz a javítási költség. És még örültem, hogy nem rúgtak ki, eszembe nem jutott azt mondani, hogy egy terrorista tankolt a kocsiba helyettem. Áhhhh.... -
RedAnt
aktív tag
válasz
csabika25
#98
üzenetére
Az origon is ezt írják...
Az agyam eldobom. Azt hiszik csak úgy el lehet kenni az ilyesmit, pedig a neten mindennek nyoma van, logolódik, kesselődik, mint ahogy ez a directory listing is, amit a google október 18-án(!) mentett le. Szóval gyorsan lereagálták a "támadást"
remélem ezt az oldalt nem szedi le a google, ha igen, kiteszem valahova, ez nem tartalmaz személyes adatokat, nem úgy mint a konkrét fájl, ami szerencsére már kikerült a kessből.
-
csabika25
aktív tag
Anyáááááám, mekkora kamu. Most hallgattam a Kossuth Rádió Krónikájában a VE illetékesének a nyilatkozatát. Valami olyasmit mondott, hogy az egyetemet folyamatosan érik támadások, és egy ilyen támadás során került (?) ideiglenesen (?) a mentett állomány a könyvtárba. Próbáltam szó szerint idézni. Abszurdisztán megnyilvánul... Egyszerűen nem vállalják be, hogy beismerjék: igenis béna embert alkalmaztunk, hibáztunk. Ehelyett próbálják elkenni a dolgokat. Kedves veszprémi egyetemista, akinek kint voltak az adatai! Vidd a bíróság, de minimum az adatvédelmi ombudsman elé a dolgokat! Minden segítséget megadok ehhez!
-
demagóg
aktív tag
Nem számíthatunk jobbra máshol sem, hogyha helyileg pont itt működik az a központ, ahol a magyarországi adatmentés és adatbiztonság "fellegvárával" közösen dolgoznak az adatbiztonság tökéletesítésén. Itt a példa, hogy informatikai biztonsági tanácsadás terén mekkora a különbség elmélet és gyakorlat között. Lyukas a suszter cipője. Nem jó ajánlólevél. Vagy csak nevével van benne a projektben/cégben az egyetem?
-
-
Gyakori programozói trehányság, hogy nem az MD5 hash-t, hanem a kódolatlan szavakat helyezik el az adatbázisban.
Kéremszépen, itt van a kutya elásva. Meglepődnénk, hogy hány ilyen nagy magyarországi portál van. Kérjetek csak jelszó emlékeztetőt 1-2 nagyobb oldalról, ha az eredeti jelszavatok érkezik meg, ott nincs titkosítás. Az MD5 pedig kb. fél sornyi lenne, de ennyit sem tesznek meg.
Az meg különösen gáz, hogy a Neptun sem titkosít, bár mit is vár az ember egy ekkora szemétdombtól...:S
Mod:
Fter: azért MD5 nem igazán fejthető vissza (eltekintve a szivárványtáblától), mivel az nem kódolt, hanem egy ellenőrző összeg. -
FTeR
addikt
Ebben akkor lehetünk igazán biztosak, ha a regisztráció után a szolgáltató e-mailben visszaküldi a jelszavunkat
ilyet ne irkáljunk már, mert csak fölösleges bizalmatlanságot eredményez. a regisztráció alatt generált levélkor még megvan az eredeti jelszó, hiszen abból készül az MD5 változat (feltéve,h LAMP-ra korlátozzuk a példánkat, nem mintha ott nem lenne más kódolást használni) így anélkül bekerülhet a visszaigazoló levélbe, hogy a jelszót az eredeti farmjában tárolnánk el.
az mérlegelés kérdése, h az e-mail mennyire találjuk veszélyesnek...az már neccesebb, ha elfelejtett jelszó modulnál küldik ki az eredeti (és nem frissen generált) jelszót. de még ez sem feltétlen jelenti azt, h nincs kódolva a jelszó, csak azt hogy ha kódolva is van, az a megfelel kulcs birtokban visszafejthető.
ugyan apache alatt nem divat használni, de IIS alatt az a default, hogy csak a külön megadott kiterjesztésekhez enged hozzáférést, minden mást blokkol. így még véletlen sem fordulhat elő, h egy .sql kiterjesztésű fájlt bárki letölthet.
-
csabika25
aktív tag
Nem a kártérítésen van a lényeg. "polgári eljárásban lehetőség van személyiségi jogainak érvényesítésére", azaz ha olyan a hozzáállása az egyetemnek, hogy nem történt semmi, nincs semmi baj, akkor bíróság előtt lehet beszámoltatni az adatkezelési gyakorlatáról, tekintettel arra, hogy ilyen súlyos hibát vétett. Lehet, hogy van még ott hiba, ahonnan ez jött. Mondom, a nagy kérdés, hogy vajon a hallgatók HOZZÁJÁRULTAK-e ahhoz, hogy ennyi személyes adatuk átmenjen a kollégiumi rendszerbe. Írtatok alá ilyen papírt?
-
#06658560
törölt tag
Hmm. Nézzük csak. Ha igaz, akkor M.G nevezett emberszármazék még halgató, és most járt ilyen témájú tárgyat hallgatni. Vagyis valamilyen siznten értenie is kellett volna hozzá. Ha meg ne, akkor egyrészt elvállalnia nem lett volna szabad, másrészt neki odaadni nem lett volna szabad. Azaz a büntetőjogi értelemben itt most M.G. és még minimum egy "felnőtt" döntési pozícióban levő embert lehetne most nyílvánosan keresztre feszíteni. És az, hogy jó szándékból tette, amit tett az egy dolog, atól még súlyos kárt okozott-okozhatott sok embernek. Ezen adatokkal bármikor megkereshetik akár a hallgatók egy részét APEHtól, hogy ő vett egy bt-t, amiben beltag lett, tessék valamit akkor fizetni az adótartozásból, de izibe. És még lehet sorolni a dolgot.
Más intézményeknek valóban az okuláson és megelőzésen van innentől a hangsúly, a Puninak meg azo, hogy nagyon gyorsan megnézze kik ülnek és hol, ahol talán nekik pont nem kéne. És hogy esetleg az adott diák alkalmas-e ezek után bárhmilyen papír megszerzésére náluk, hisz szakterületén követett el "végzetes" hibát. S esetleg innentől akár a képzést is lehetne reformálni, más dolgokat hangsúlyosabbá tenni, hogy álmukból felkeltve is tudják az évről évre csökkenő iq-val megáldott ifjak mit nem szabad egy képzett infósnak elkövetnie.
S hogy szemléletes legyek: ha most munka közben valami olyathoznék össze, ami súlyos vészhelyzetet idézhetne elő, s az egyetem tudomására jutna, akkor valszeg belőlem nem lenne soha mérnök, arról gondoskodnának- teljes joggal. Az esetet itt étsd úgy, hogy neadjisten valami számításom okán, hibás tervezésből életveszélyes ülést kezdene a cég szállítani minimum egy autógyárnak, modnjuk egy csak pl Golf mértékben tömegmodellbe.
S a dolog komolyságát figyelembevéve, ilyenekért normális jogállamban bizony már vonultak börtönbe mérnökök. mo-n nem tudom, de németeknél ha valami olyan, akkor irány a börtön pár évre gondolkodni. -
csabika25
aktív tag
De te azt kérdezted, hogy "Ezzel az információval hogyan tudnak élni a felhasználók? Mert az információval csak a felhasználók tudnának élni". Én pedig megmondtam a módját.
Egyébként a Pokolba vezető út is jószándékkal van kikövezve, mint tudjuk.
A lényeg, hogy ez egy tipikus állatorvosi ló, ahogy írtam. Angliában, Németországban havonta 2-3 ilyen eset kerül napvilágra. Magyarországon sem lehet sokkal jobb az arány, csak sokkal kevesebbet hallunk róla. Pedig látványosan sérül az adataink védelméhez fűződő alkotmányos jogunk. -
bright
csendes tag
-
#06658560
törölt tag
válasz
csabika25
#76
üzenetére
Csak nem arra gondolsz, valami M.G nevű egyetemista a buli hevében véletlenül kiesett a koliszobából, kezétlábátnyakátröte?
Esetleg zh-ról hazafelementében beesett egy arra járó úthenger alá, pillanatnyi szédülés fogta el, és hetvenszer fejjel nekiment a tűzfalnak, vagy alulról nézte meg a viadukt csodás szerkezetét? -
csabika25
aktív tag
Először is:
JogérvényesítésA személyes adatokat jogellenesen kezelőkkel szemben polgári eljárásban lehetőség van személyiségi jogainak érvényesítésére, az adatkezelővel szemben bírósághoz lehet fordulni. A perben követelhető az esetlegesen felmerült - vagyoni és nem vagyoni - kár megtérítése is. Ez utóbbi valamely személyiségi jog megsértése következtében az emberi személyiség testi vagy lelki életminőségének hátrányos megváltozása esetén követelhető. A perre az a bíróság illetékes, amelynek területén az adatkezelő székhelye van. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a perben az adatkezelő köteles bizonyítani, tehát ebben az esetben nem érvényesül a bizonyítási kötelezettség általános szabálya, amely szerint a felperesnek kell a keresetében foglaltakat (tehát azon állítását, hogy az adatkezelő jogellenesen kezelte személyes adatát) megfelelően alátámasztani. E jogérvényesítési mód mellett rendelkezésére áll az adatvédelmi biztos segítségének igénybe vétele is.
A törvény kimondja, hogy
10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.
Így az érintetteknek joga van perelni a kollégiumot. Persze senki nem fogja megtenni, Veszprémben nincs jogászképzés... De olyan se nagyon, aki tudatában lenne állampolgári jogainak...
-
bright
csendes tag
válasz
csabika25
#74
üzenetére
Csak még egy kérdést hadd tegyek fel.
Ezzel az információval hogyan tudnak élni a felhasználók? Mert az információval csak a felhasználók tudnának élni (de ők nem tudnak, hiszen kész rendszert kapnak, ami nélkül létezni sem lehet az egyetemen) viszont sztem a rendszergazdáknak nem ebből a cikkből kellene tud(om)ást szerezni. -
csabika25
aktív tag
válasz
csabika25
#74
üzenetére
Ja, és még egy fontos dolog. JOGUNK van tudni, hogy milyen módon használják fel a személyes adatainkat. Remélem, hogy valaki, akinek így nyilvánosságra került a személyes adata, megteszi a megtehető lépéseket, és kellően nagy balhét csinál. Szükség van erre ahhoz, hogy komolyan vegyék az adatvédelmet.
-
raver
aktív tag
A média számonkérésében rád gondoltam. Bár ilyenkor már lehet hogy rosszúl tagolom a szöveget.
Szerintem mérlegelték a következményeket. Sőt szerintem vállalni is fogják ha kell.
A bajt nem a média tetézi, hanem maga az egyetem. azzal, hogy a neptun pass-okat születési dátumra cserélték. A kérdés inkább az, hogy az egyetem felől ki fogja vállalni a felelősséget...
-
csabika25
aktív tag
Mint a "házi szakértő" elmondom, hogy miért szerepel ott a keresőszó. Sajnos a (köz)média az informatikai támadásokat egyfajta misztikus dologként kezeli, hajlamos a Kardhalból meg a Mátrixból kiindulni. Ez a példa, és még számtalan más, amit jó szándékkal ír le az ember, segít megértetni a tömegekkel, hogy a "hackerkedés" egyáltalán nem igényel zseniális módszereket, sokszor egy egyszerű Google keresőszó is segít. Lehet, hogy egypár hülyegyerek most megismerte a Google Hacking alapjait, amivel vissza fog élni. De reményeim szerint még többen figyeltek fel arra, hogy igenis vigyázni kell a Google-lal, és érdemes leellenőrizni, hogy a saját site-jukról milyen adatok szivárognak ki. Egy információval lehet élni és visszaélni. Hiszem azt, hogy többen fognak élni vele.
-
bright
csendes tag
Ha rám gondoltál volna
akkor csak h tiszta legyen, nem számonkértem a médián, hanem jó lenne, ha azok a felelős emberek, akik jóváhagyják a cikkek megjelenését, mérlegelnék az esetleges következményeket.
Lehet, h pár *ülyegyereknek elég az ötlet egyetlen halvány szikrája is. Éppen elég ilyesmivel foglalkozó fórum, blog stb. van már így is. Nem kellene tetézni a bajt. -
raver
aktív tag
mintha egy időtartam is meg lenne említve a hírekben. Ha jól emlékszem 6 hónap. Pontosan ennyi ideje érhető el az adatbázis, gyakorlatilag mindenki számára...
Komolyan gondolja valaki, hogy a hírek előtt erről senki sem tudott?? Ugyan már... Most nem a média számonkérésének jött el az ideje. Inkább a jelszavak és az egyéb adatok megváltoztatásán kéne ügyeskedni.
-
hemaka
nagyúr
Azért nem kell megijedni, nem olyan egyszerű ez a dolog. Ha úgy lenne, akkor naponta kerülnének ki ilyen adatok amilyen trehányak az emberek.
De a legnagyobb gond még mindig nem ez, hanem hogy az emberek nagytöbbsége még mindig ugyanazt használja jelszónak is, mint username-nek.
-
-
raver
aktív tag
-
Cathfaern
nagyúr
A végső poén:
[link] (dodó = aki a kollégiumi rendszerért felelős)Male:
Egy hallgató csinálta a rendszert.hemaka:
Ezt a levlistát dolgot nem végem miért annyira gond Ezek csak simán a szakok diákjainak szóló levlisták, semmi olyan információ nem hangzik el, ami ne lenne publikus, feliratkozni is bárki feliratkozhat. -
raver
aktív tag
Értem. Jogos. Viszont ebben a helyzetben ez olyan mintha egy égő házra 2x spriccelnénk vizipuskával.
Amúgy azt nem értem, hogy senkinek nem tűnt fel, hogy a hallgatók jelszavai, adatai titkositatlanúl kerülnek rögzítésre? De ami még idegesítőbb, 6000 ember személyes adataival ennyire szabadon lehet tevékenykedni?
És mindezt egy olyan intézmény keretein belül ahol "elvileg" pont az ilyen "hibák" kivédésére, elkerülésére tanítják a nebulókat...
-
RedAnt
aktív tag
úgy látom most már tényleg nem elérhető a google cache sem.
már csak a lokális másolatokat kell törölni, mint azt az egyik géniusz javasolta a hallgatói levlistán. Bár publikus, nem linkelem be... inkább csak idézek, mert nagyon fáj:
Szerintem ésszerűbb lenne megnézni, ha meglehet, hogy kinek az adatait
töltötték le, vagy írták ki vágólapra akár, ha meglehet. Mert akkor nem
kéne mindenkinek megváltoztatni a személyes adatait, hanem csak annak
akiéhez hozzáfértek. Pl egy filmnél is meglehet nézni, hogy hányan
töltötték le. Igazából lehet, hogy fél évig kint volt, és nem nyúlt
hozzájuk senki.
Informatikai felsőoktatás, az agyam eldobom. -
RaszP.
csendes tag
sziasztok, itt az említett blog egyik szerzője.
a boon.hu féle marhaságtól plafonon vagyunk, javaslom a cikkhez érkezett hozzászólások elolvasását. a sztori sokkal érdekesebb hackerrekkel, géppisztollyal meg neoval.
a cikk akkor lett publikálva, amikor már titkosítva volt az oldal. írni akartam a srácnak, de valszeg pont most jutott eszébe titkosítani, nem tudom. lényegen nem változtat, de úgy éreztem el kell mondanom :]
-
rennes6
tag
válasz
Cathfaern
#41
üzenetére
Khm
Én ezt nagyon jól tudom.
Azért írtam, hogy érdekes fordulatot vett a történet.
Vagy kinek szólt ez? A Borsodnak?A hirado.hu is ugyanezt hozta le természetesen.
Ugyanakkor komment érkezett a blog szerzőjétől:[I]Idézném azt a levelet, amit a független hírügynökség is kapott:
"Sziasztok!Tömören: a veszprémi egyetem rendszergazdája egy publikus könyvtárba töltötte fel a neptun 6000 hallgatójának személyes adatait. Innen több hónapon keresztül bárki letölthette. Link: [nempublik]
Ez egy szept. 29-i mentése a guglinak, az én mentésem tegnapról sokkal részletesebb. Mail címek mellett minden adat: anyja neve, lakcím, jelszó(!).
Több infó itt:
http://jezusszive.crpl.hu/a-fantasztikus-neptun-es-uzemeltetoi/Ekkora adatvesztés Magyarországon évek óta nem volt. A cikkek végén megköszönnénk egy forrásmegjelölést. (pl.: "A farkashibát a JSZP vette észre" link a cikkre)
Kérésre elküldöm az elmentett adatbázisfájlt vagy részletét.
Üdv,
[nevem] (RaszP.)"a levél egyes részletei már nem jók, de a blogunkon folyamatosan frissítettük a tudnivalókat. érdekes módon az itcafé és más oldalak kibírták a hülyeség nélkül.[/I]
-
-
Protezis
őstag
Annyit tennék hozzá, hogy az md5 hash tárolás se kielégítő, ugyanis az interneten elég nagy számban találni óriási adatbázisokat, ahol a gyakoribb stringek hash kódja "visszafejthető". Használjunk valamilyen tetszőleges, lehetőleg random, és hosszú salt stringet, amit a jelszóval konkatenálunk, és ebből készítünk md5-öt.
-
rennes6
tag
Érdekes fordulatot kezd venni a történet:
Borsod Online:
Az adatlopást a "Jézus Szíve partizánbrigád" vállalta magára, a Független Hírügynökség levelezőrendszerébe is egy ilyen nevű email-címről érkezett levél. A küldő egy internetes honlap linkjét mellékelte, ahol többek között a következő olvasható: "A kollégiumi jelentkezéssel foglalkozó adatbázist "kaptuk el".Az adatlopásról a Veszprém Megyei Rendőr-főkapitányság sajtóügyeletén nem tudtak, úgy tudni, egyelőre még nem indult vizsgálat az ügyben.
-
tildy
nagyúr
Igazándiból ja ... Azért ebből is szép spamlista gyűlne össze, durva.
Hog ylehet megoldani, hogy eltűnjön?Ha midnen igaz, neki sem lesz egyhamar melója.... Oké feltételezés, csak elvileg ebben a könyvtárban volt.
[ Módosította: Foglalt név ]
-
#06658560
törölt tag
Csinaljatok meg, tegyetek fel valamit valami nagyon eldugott reszere a PH-nak, es guglival beszeljetek meg, hogy szedje le a kereseserol, meg kessbol. Persze azert egy egyeztetest is megerne, hogy lehessen kovetni mi tortenik. PL ugy, hogy tobb ilyet elkovetni, egy az elsot egy oran belul jelezni, a kovetkezot haorm oran belul, , fel napon belul, egy napon belul. Lehetne egy Hello Vilag felirat is, csak a teszt kedveert nezve. Kivancsi lennek az eredmenyre. Lehet tudna mutatni olyat is ezt, hogy egy adott cucc, ami csak kinn van a neten mennyire hozzaferheto igy? Mennyire veszik eszre? Ha az elso guglis megtalalast is figyelni lehetne, akkor kb annak a legendanak is utana lehetne jarni, hogy egy netre tett gep fel oraig marad erintetlen, vagy sem. Legalabbis nem latom, hogy e teren lenne kulonbseg egy gep vagy egy file kozott.
A tortenethez hozzaszolva, nem lepodok meg, hogy ez pont azon az egyetemen tortenik, amelyiknek egy idoben puni volt a levelezo domene.
-
RedAnt
aktív tag
Úgy tűnik, arrafelé a levlisták archívuma is publikus.
[ Módosította: Foglalt név ]
-
raver
aktív tag
válasz
dajkopali
#20
üzenetére
Szerintem lósz@ar sem lesz!
A 'kóter levlistájára eddig még senki nem küldött hivatalos közleményt. Legalábbis ha jól vagyok informálva.
Mindössze egy érintett küldött szét egy "köszönő" levelet...Az én véleményem az, hogy ilyen véletlenül nem fordulhat elő. De tényleg nem.
mod: ezek szerint a mondandóm egy része már nem aktuális
-
dajkopali
addikt
és a nagy kérdés: most mi lesz??
nem tudom, hogy ez mekkora nyilvánosságot kap, de most akkor tényleg rohan mindenki adatokat változtatni (kétlem, bár ez lenne a természetes...), avagy semmi se történik, sőt, a bad guys most gyorsan rázúmolnak, hátha lehet aratni vmit
ez mondjuk most már a kollégium sara is, gyorsan-gyorsan lépni kell vmit, mert az enyhén szólva nem lenne tisztességes, hogy a hiba felfedőire verik rá az egészet.. -
rennes6
tag
Azért ahhoz a kedves emberhez is lenne pár szép szavam, aki belinkeli a cache-t.
Én elhiszem neki, hogy nagyon keni-vágja az SQL-t, 6 éves korában már Access-ben biztos adatbázist csinált AutoQuery nélkül.
Most legalább már az is el tudja olvasni a komplett oldalt, aki nem ért hozzá. Nice. -
#18
Male
nagyúr
WonderCSabo
#16
Male
nagyúr
válasz
WonderCSabo
#16
üzenetére
Bankszámlaszámok vannak benne elvileg (annyira nem néztem meg), illetve a Neptunban Virtuális számla is van... szóval elég durva ami kikerült... Szerencsére a visszautalást már letiltották. Anélkül szép pénzhez juthatott volna valaki...
-
RedAnt
aktív tag
válasz
dajkopali
#15
üzenetére
Igen, pont ezt az értesítést hiányolom, persze lehet hogy csak a srác leírásából maradt ki hogy mennyit zörgetett hiába az egyetemen... így viszont inkább tűnik úgy, hogy gondolkodás nélkül publikálta a dolgot, körbe-emailezte az IT újságokat, és próbált minnél nagyobb botrányt dagasztani az ügyből.
Tételezzük fel, hogy nem a hírnév és látogatottság vezérelte az illetőt, hanem csak jót akart, hogy a jövőben javuljon ez a siralmas biztonsági helyzet az intézményeinkben... de 200+ hallgató adata, akiknek a személyi igazolvány számától, az anyja nevén, bankszámlaszámán át a (ki tudja hogy hány helyen használt) jelszaváig kikerült, szerintem túl nagy ár ezért.
Emlékeztet a dolog erre az esetre.Amúgy ha nem is meglepő, így szembesülve azért elég rémisztő, hogy mennyire gyenge jelszavakat használ az emberek 90%-a.
-
#16
WonderCSabo
félisten
WonderCSabo
félisten
Már csak egy bankszámlaszám és pin-kód kell...
-
dajkopali
addikt
egyrészt teljesen igazad van: a hacker-etika, alapból így szól: hibát megtalálom, erről nagyon hangosan beszélek, hiszen ezért csináltam, de a kódot nem adom ki a nyilvánosságnak, a felelősöket értesítem, hogy foltozni tudjanak...
másrészt: sok hasonló, adatvédelmi szempontból aggályos történet lezajlott már, egy ilyen esetben elég egy e-mail a Google-nak, és a cache is eltűnik, pár órán belül..., sőt néha hamarabb -
Konflikt
addikt
Hat igen, a cache meg mindig elerheto...
Amibol is tobbek kozott kiderul, hogy az alabbi kollegium lakoinak
INSERT INTO `koli` (`id`, `nev`, `ar`, `aktiv`) VALUES
(1, 'Fenyves Kollégium', '8500', '1'),
(2, 'Hotel Magister (2 ágyas)', '14000', '1'),
(3, 'Hotel Magister (2*2 ágyas)', '12000', '1'),
(4, 'Hotel Veszprém', '8500', '1'),
(5, 'Jedlik Ányos Szakkollégium', '8500', '1'),
(8, 'Fenyves Kollégium', '8500', '0'),
(6, 'Központi Kollégium', '8500', '0'),
(7, 'Nereus Kollégium (Balatonalmádi)', '8500', '1'),
(9, 'Teleki Kollégium', '8500', '1'),
(10, 'Várfok Kollégium', '8500', '1'),
(11, 'Stromfeld Kollégium', '8500', '1');-neve,
-neptunkodja,
-jelszava,
-szemelyigazolvanyszama,
-posta cime,
-email cime,
-bankszamlaszama kerult kiremelhetoleg a felelos(ok) intezkednek vmit, koremail, neptun uzenet, akarmi, csak minnel elobb tudjanak rola a lakok, tudjanak legalabb pass-t cserelni.
-
RedAnt
aktív tag
Ez kőkemény...
És hogy felhozzak egy másik szempontot: hiányoltam a blogger leírását arról, hogy mennyit próbált kopogtatni a rendszergazdáknál, hogy vegyék le a dolgot, de nem hallgattak rá - mert ha csak úgy kinyomatta ezt a blogjába, akkor őt is felelősnek érzem, ha valakinek ebből kára keletkezik. Eddig tudta ő a dolgot, most neki köszönhetően ki tudja hányan, milyen szándékkal férnek hozzá
Találkoztam már hasonló résekkel több helyen, köztük hasonló egyetemi szerveren, mégsem tártam egyből nyilvánosságra mindent, pedig biztos nagy hír lehetett volna belőle... viszont miután szóltam, akkor mindig kezdtek valamit a problémával, megköszönték hogy jeleztem. Szerintem így korrekt.
-
CSorBA
őstag
Ezt a trehányságot istenem...
A googleel még most is megtalálható a cachelt változat.Jah és félelmetes, h. az emberek az emailfiókjukhoz és pl iwiwre (meg kitudja még hova) is ugyanazt a jelszót használják, amit akár a neptunon is. Nah most ezt szépen kirakták..
szerk.: Sőt lakcím meg minden személyes adat, milyen csúnya vége lehetne ennek...
Hiszen biztonságtechnikával kapcsolatos közös projektjeik is vannak. 
Ha meg ez volt a szándék, így vagy úgy elkerülhetetlen a botrány, szerintem...
Kár volt bedőlni a bulvárnak 
Új hozzászólás Aktív témák
Hirdetés
- AKCIÓ! GAMER PC: Új RYZEN 5 5600X +RTX 3080 +32-64GB DDR4 +1-4TB NVME SSD! GAR/SZÁMLA! 50 FÉLE HÁZ!
- XPS 15 9520 15.6" FHD+ IPS i7-12700H RTX 3050Ti 32GB 512GB NVMe ujjlolv IR kam gar
- Lenovo Legion Pro 5 16IRX8 - prémium garanciával!
- Csere-Beszámítás! Akciós Gamer PC! R5 5500 / GTX 1070Ti Rog Strix / 32GB D4 / 500GB SSD
- ThinkPad L13 Gen5 13.3" FHD+ IPS Ultra 5 125U 16GB 512GB NVMe ujjlolv IR kam gar
- BESZÁMÍTÁS! Samsung Odyssey G5 32 144Hz WQHD 1ms monitor garanciával hibátlan működéssel
- Prémium PC házak akár 20-40% kedvezménnyel eladók garanciával, számlával!
- Apple iPhone 14 Pro Max / 256 GB / 88% akkumulátor / 1év Garanciával / Gyári Független
- Telefon felvásárlás!! Apple iPhone SE (2016), Apple iPhone SE2 (2020), Apple iPhone SE3 (2022)
- MSI CreatorPro Z16P - i7-12700H, RTX A5500, értintőkijelző
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Promenade Publishing House Kft.
Város: Budapest