Gondolom a jelenlegi weboldalt szomszéd pistikével csináltatták és jóformán senki sem üzemeltette a rendszert. Örültek mert megúszták néhány tízezerből...vagy pár pizzából... Nem értem miért lepődnek meg? Abba bele sem megyek, hogy adutiáltatták-e egyáltalán? Mert szerintem azt sem tudják mi az.

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Valami suttyok ehesek voltak de nem volt "pinz" az ilyeneket ki kene nyomozni es jo buntetest rajuk verni hogy tobbe ne legyen kedvuk ilyen dolgokat csinalni

Az adutiálról én sem tudom mi is lenne, mellesleg biztosan ugy tortenhetett, ahogy te elkepzelted.
En is rengeteg helyen hasznalok univerzalis felhasznalonevet es jelszot, amit nem sajnalok ha barmi folytan odalesz.
A 'regisztralj facebookoddal' oldakra persze sokan igy lepnek be az egyszerusege vegett...

Új S23 / S24 / S24+ / S24 Ultra rendelhető! /// People with passion can change the world for the better |||

Az eredeti weboldal kódjából van:

<meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />

Sajnos ez tényleg elég régi volt, már nagyon régen nem támogatott az 1.5-ös Joomla. De akkor sem feltétlenül kellene ilyen szinten pálcát törni egy kis cég felett, ahogy a #1-ben leírja a kolléga. Lehet, hogy ők rendesen fizettek érte valakinek, csak az a valaki végzett hanyag munkát.

Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin

Vagy régen gyártották az oldalt és eszükbe sem jutott frissíteni "minek, ha működik alapon".
Van bőven "powered by joomla 1.5" találat.

[ Szerkesztve ]

Things that try to look like things often do look more like things than things

Azt elírtam. Auditálást akartam írni... Időként tesztelni kell a meglévő rendszereket, mert az IT világ igen nagy sebességgel halad körülöttünk és ha megállunk akkor nagyon csúnya vége lehet a dolognak...

(#4) CactuS : A pálcatörés oka, hogy ismerem az ilyen "kis" cégek hozzáállását. Fontosabb a főnöknek, hogy X6 legyen M packetel, mint az, hogy rendben legyen a cég... Árajánlatnál kiakadnak mi kerül valami annyiba amennyibe. Utána keresnek valakit aki megoldja okosba töredék pénzből. De utólag ennek is megvan az ára... Ráadásul az a tudat van bennük, hogy egyszer megcsináltatják és azt hiszik, hogy az utána perpetum mobile és nem kell csinálni semmit. De ez sem másabb mint bármely használati eszköz. Időnként szervizelni kell.

Egyébként a google tárolt változatában az oldal forrásában még most is megtalálható a hacker által beírt szöveg, amiben ott a neve és az linkek ahonnan elérhetők az adatok. Szerencsére már nincs a linkeken semmi...

[ Szerkesztve ]

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

pizzas oldalt hackelni, lol

a magyar helyzetet ismerve sok értelme nincs az auditálásnak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

+1

https://www.coreinfinity.tech

Az utolsó ember a Földön a szobájában ült. És akkor kopogtak az ajtón…

Nem olyan rég a pizzadicasa.hu volt trójaival fertőzve. Legalább egy hónapba telt nekik míg javították az oldalt és nem kapcsolták le közben!

Nekem az Eset azonnal jelzett és tiltotta az oldalt. Mivel kb. 2 hét elteltével is vírusos volt az oldaluk, Facebook-on rájuk írtam és azt mondták, hogy tudnak a dologról és dolgoznak rajta!
De le nem kapcsolták volna az oldalt, had fertőződjön a kedves vendég, ha nincs megfelelő védelme!

[ Szerkesztve ]

sáríála

Micsoda hír. Megéheztem.

Arra gondolsz, hogy nincs megfelelő biztonsági szakértő csapat aki el tudná végezni, vagy másra gondolsz?

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Közvetlenül nem. De a visszajelzések érintették a munkám...

Mondja, Mr. Babbage, ha rossz adatokat ad meg a gépnek, akkor is jó válasz fog kijönni belőle?" Képtelen vagyok felfogni azt az értelmi zavart, ami valakit egy ilyen kérdés feltevésére késztethet. - by Charles Babbage

Szerintem arra gondol hogy aki jó szakember már nincs itthon. Na meg az emberek sajnálják költeni a pénzt olyan dologra amit nem tudnak kézzel megfogni.

Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)

"Az internet sok gyerek számára az önmegvalósítás eszköze. Lehetővé teszi, hogy felfedezzék, kik is ők, és mivé akarnak válni, ez azonban csak akkor működik, ha megmarad magánjellegűnek és névtelennek, ahol lehet úgy hibázni, hogy közben senki sem figyel meg. Attól tartok, az én generációm volt az utolsó, amely élvezhette ezt a szabadságot." - Edward Snowden

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

pizza hackerek - komoly.

Aminek kerekei, vagy mellei vannak, azzal előbb-utóbb gond lesz.

Auditálás ?

A valóságban kapnak egy 80-100k-s árajánlatot, ha felveted nekik, hogy havi 1k a frissítés már mást keresnek mert lehúzod őket, de a másol oldal se szent dolgoztam olyan rendszeren amit egy 2 éves is feltörne, mert egy elsőéves egyetemista írta aki azt se tudta mi az az sql injection, persze ilyenkor lehet mondani, hogy miért nem írod újra, a válasz az, hogy a főnök szerint működik, te tedd bele az új feature-t és kuss.

Nagyobbacska auditálással foglakozó nemzetközi cégek meg kiküldik az embert aki meg tudja futtatni "A Scriptet". Majd minden évben megajánlanak róla egy tételt javításra. "A Script" persze változatlan.

Things that try to look like things often do look more like things than things

Na, ez engem is érint. Mondjuk ott a jelszavam 11111111 volt, szóval...

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Na hát brutális teljesítmény volt "feltörni" egy pizzázó ezer éves elavult weblapját.
Feltételezem tizenéves gyerek csinálta poénból hogy henceghessen az iskolában. Csak annyi esze nincs hogy ha elkapják ilyen baromságért akkor azt életre megemlegeti meg a környezete is.

Vintage Story PH szervere újra fut!

Nos, ha már adatról van szó, akkor nézzük:
- Volt-e a pizzéria weboldalát üzemeltető személynek vagy cégnek engedélye az adattárolásra? Egyáltalán be volt-e jelentve az Adatkezelő hivatalnál hogy adatot kezelnek? Nem? Akkor a pizzéria is bajba kerül, nem csak a hacker,feltéve ha megtalálják, bár kétlem, ha csak nem hagyott hátra D.F.-et...ha nem, akkor soha nem lesz meg, mivel f*hungary@to*** mail címet adta meg, így vagy
T.A.N.-on kersztül csinálhatta vagy
szerintem inkább intraneten(belső hálózatról,pl nyílt wifin) keresztü. Kisebb a kockázat,tehát a gép IP-je D.F. hiányában nem lesz meg...bár ha kezdő, a célpontból ítélve talán az, biztos hogy hagyott hátra valamit...

Én pl nem kínlódtam volna WAN-on keresztül. Sajnos a felmérés valós lehet, minden 3.dik router sebezhető beállítási hiányosságok miatt. Alapértelmezett jelszó használata,nincs wifi elszigetelés(bár ezt kevés router tudja)...

Nagyon sanszos hogy a szerver és a wifi egyazon routerről ment...szerintem...

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Mivel a pizzéria webáruháznak minősül így köteles a NIAH felé bejelentést tenni mint adatkezelő és feldolgozó... De eleve az infotörvényt is megszegte, mert maga az adatkezelés módja nem felelt meg a biztonságos adatkezelésnek, a hacker állítása szerint nem voltak titkosítva a jelszavak sem, meg az egyéb személyes adatok sem...ha már személyes adatokat tárol(név,cím,telefonszám,email,jelszó,születési dátum,stb) egy cég vagy természetes személy, jelen esetben a pizzéria, már bejelentési kötelezettsége van, mert személyes adattal vissza is lehet élni. Jelen helyzetben a pizzéria is nagy bajban van, az is bejelentés köteles, ha hírlevelet küld egy oldal!

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Amúgy ha de a DonPepe, se a PizzaCasa pizzéria nem mentesült az adatvédelem/adatkezelési bejelentési kötelezettség alól, akkor miért pont a Cézár mentesülne?
Aki adatot tárol és feldolgoz valamilyen formában, arra vonatkozik az infotörvény és a hatóságnak nyilvántartásba kell venni! Csak egy pici pizzéria ezen akart spótolni.de a spórolás megbosszulta magát...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Mondjuk a konkurencia oldalán meg PHP-s deprecated üzenet jelenik meg már legalább fél éve... remélem azért kicsit ránéznek most ők is, mielőtt baj lesz.

Valami script kiddie letöltött valamit a hackforumsról és most vagánykodik.

Tény hogy itt az 1.5 joomla a ludas mert annyi az exploit mint égen a csillag, na meg nem szép dolog a mai világban plain textben bármit tárolni nemhogy jelszavakat.

Példát kéne statuálni egy jó kis büntivel (amit még kibírnak mondjuk bevétel % alapon) súlyosbító körülménnyel hogy bár tudtak a dologról nem szóltak róla.

Talán akkor más cégek elkezdenének odafigyelni hogy ne büntessék meg. Én kapásból a saltolást is kötelezővé tenném. Na meg az ssl-t ha már itt tartunk. Ma már olyan könnyű a Man in the middle vagy session hijack hogy egy telefon is elég hozzá nem kéne szopatni az usert.

[ Szerkesztve ]

Premium Mining Rigek és Gamer/Workstation gépek: tőlem, nektek :)

az ssl mennyiben nehezíti a mitm támadást?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A TLS 1.2 azért nem rossz...

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Szerintem valamelyik egyetemista hülyegyerek próbált bosszút állni.

Saltolás alap, meg kell egy normális hash függvény, pl SHA256. A MITM csak a régi TLS-eknél használható, amihez a támadottnak régi, gagyi kliensel kell rendelkeznie.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Tudom, hogy koltoi kerdes, de: Annyiban, hogy felhasznaloi beavatkozas kell hozza. A bongeszo szol, hogy nem megbizhato a tamado certje. Ha a user hozzaadja a kivetelekhez, akkor ugyanugy mukodik.

Nos akkor mégegyszer....
NAIH GYIK 11.pontja
11. Be kell-e jelenteni a nyilvántartási rendszerbe
a) az olyan adatkezelést, amely az adatkezelővel ügyfélkapcsolatban lévő
személyek adataira vonatkozik?
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi
nyilvántartásba bejelenteni, ha:
az adatokat közvetlenül az érintettektől veszik fel,
- az adatkezelés célja az érintett számára ismert,
- a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre
meghatározott,
- az adatokat csak az előre meghatározott céllal összefüggésben
használják fel,
- az adatok nem kerülnek ki az adatkezelő kezeléséből (ide nem értve az
adatfeldolgozónak történő adatátadást),
- az érintetteket minderről megfelelően tájékoztatják.

Talán ha még sem volt neki kötelező bejelenteni, akkor is megszegte az infotörvényt,mivel a személyes adatokat nem tárolta megfelelő módon, tehát így is,úgy is bajban van a pizzéria...

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Persze olvasom de látom nem érted mire akarok kilyukadni ugye... Mindenki a hackert szidja! Valahol jogos, amit tett az etikátlan,ha egyszer meglesz vaskos büntetést fog kapni amiért nyilvánosságra hozta. Másrészről hibás a weboldal üzegeltetője is(tök mind1 ki), mivel az infotörvényben meghatározott feltételeknek nem felelt meg, ha egyáltalán lehet hinni annak amit a Hacker kiírt, hogy titkosítatlanul voltak tárolva a személyes adatok(mint pl. Jelszó, de miért is személyes adat a jelszó, mert természetes személyhez köthető közvetlen vagy közvetett úton)... Most már érted? Ebben az országban mindenen spórolnak a cégek, csak azon nem amin igazán kéne... Sokan nem fogják fel egy ilyen incidens valódi károkozását... Azt hogy,hogy csinálta már tök lényegtelen,mert már csak találgatás. Ez akkor lett volna érdekes ha lebukik akció közben... Remélem lesz majd friss hír az esetről, már ha tettek bejelentést a rendőrségen...mert a cikk erre sem tért ki hogy a hatóságok indítottak-e eljárást az ügyben vagy nem...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Amúgy a pizzájuk nem volt rossz.

Ez oldal 8 éve is ugyanígy nézett ki. Akkor jó volt a Joomla 1.5. Csak azóta nem költöttek rá.

[ Szerkesztve ]

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Mint írtam... Ha kivételek közé is tartozik akkor is hibázott...
Infotörvény 6pont-7...nos, nem tartotta be eleve a biztonsági követelményeket,így a btk 219.1/b pontja értelmében az adatkezelö/feldolgozó vétség miatt minimum 1év szabadságvesztésre számíthat....

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Így visszakeresve elvileg már az 1.5 is is "sózza" a jelszavakat: "Joomla! 1.5 uses md5 to hash the passwords. When the passwords are created, they are hashed with a 32 character salt that is appended to the end of the password string. The password is stored as {TOTAL HASH}:{ORIGINAL SALT}."

Elvben a virtuemart is a joomlára támaszkodik a jelszó tárolásban, így végképp nem értem, hogy hogyan került plain text-be a jelszó.

st3v3np3t3r: senki - legalábbis én - biztosan nem állítottam, hogy nincs felelőssége a pizzériának abban, hogy sebezhető weboldalt használt, webarchive szerint sok-sok éve már. Itt még mindig arról van szó, hogy egy webshop üzemeltetése nem feltétlenül naih bejelentés köteles. A gyakorlati büntetésre kíváncsi vagyok, nekünk egy nagyon érintőlegesen hasonló - minimális adatvesztéssel - járó ügyünk van, azt a "nyomozást" nem bírták lezárni ~ 3 éve már...

[ Szerkesztve ]

Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin

Én nagyon ellene vagyok az összes ilyen weboldalnak meg időben se tudom ezért az 1.5 J. - t hova rakni de gondolom az eleje nagyon. Viszont valaki mondja már meg ekkor (vagy esetleg még most se) még legalább egy alap PASSWORD() függvény sem volt használva a jelszavakhoz? Mert értem én, hogy az se védelem de ! = plain txt - el. De azért akik az alapot csinálták \ ják azért nem azok a "web fejlesztők" akik utána felhasználják én azt gondoltam, hogy ez a része legalább a kornak megfelelően "web fejlesztő" biztos.

Én amúgy se értettem sose, hogy mi szükség lehet egy jelszóra amiért az szerver oldalon így van letárolva miért nem elég ha megváltoztatható ha kell...

Mire megírtam választ is kaptam. Így viszont furcsa.

[ Szerkesztve ]

Alapból sózva van, ahogy írtam, viszont van ennél durvább esetet is. Plesk Panel-es buli rémlik valakinek?

Joomla 1.5 2012 szeptemberig volt támogatva, az utolsó javítás 2012 márciusában jött hozzá.

[ Szerkesztve ]

Have you ever noticed that anybody driving slower than you is an idiot, and anyone going faster than you is a maniac? George Carlin