Új hozzászólás Aktív témák
-
azbest
félisten
Nem olvastad az eredeti blogot, se a facebook reakcióját
Nem a felhaszánlói adatokat tárolták plain textben, csak valamilyen más folyamatkövetési rendszerben szerepelt. Azt pedig pont a követési adatokból tudják, hogy valaki megpróbálta-e összekapcsolni felhaszánlói fiókkal vagy sem. -
Most őszintén, egy olyan cégnél, ahol textként tárolnak le bármi!lyen szenzitív infót is 2019-ben, szerinted a hozzáféréseket rendesen naplózzák? És ha igen, ki fognak állni azzal a nyilvánosság elé, hogy ez és ez ennek és annak a fiókját nézte meg? Nyilván nem. Az egész szerintem csak azért került egyáltalán napvilágra, mert megzsarolta őket valaki azzal, hogy megszellőzteti a sajtónak, így kényszerből inkább maguk rukkoltak elő a saját (fél)igazságukkal.
-
csakhogy amikor az FB alkalmazott az adataid és tartalmaid megnézi a SAJÁT userével, akár a db-ben, annak nyoma van, ami visszavezethető rá
az is, ha megszemélyesít másik usert és azzal néz át téged
más esetben meg TE nézted át a saját cuccaid.... semminek sehol semmi nyoma, minden a szokásos
-
Nem kizárt, de azért kevés az esély rá. Összesen úgy 10 ember szokta tudni az elsődleges mobilszámom, azok pedig nem a rendes, teljes nevemen mentenek el, és a neten sem szerepelek sehol azzal. Egy-két webshop lehet, aki tudja a valós nevem, de azok meg sok mást nem tudnak; és persze időnként lehet változtatni az adatainkon is. Mehetsz időnként más bankhoz, mobilszolgáltatóhoz, csináltathatsz akár minden évben -és már ingyen- személyit, oda jelented be magad lakni, ahová tudod és jólesik, stb.
-
_cHAos_
aktív tag
1. Ahol jelszavakat olvasható textben tárolják az nem adatbázis, hanem egy fostenger.
2. A majdnemhogy közkézen forgó listában hiába nem voltak login névhez kapcsolva a jelszavak DE ez egy lépés a katasztrófa felé, amit "illik" elkerülni.
3. "Hogy mire kellett nekik, azt nem tudom, de ötlet szinten, például elemezni, hogy mennyire idióta jelszavakat választanak a felhasználók... esetleg bonyolultság visszajelzőt tanítani." - és mindezt aktuláis adatbázison tennék?
Nekem az jön le, hogy a FB-nál úgy érzik, hogy "GOD módban" vannak és megtesznek bármit.
-
A negatív hír is hír, nyilván. Mindenesetre, ha az emberek nem kényelmesek lennének, hanem tudatosak, már régen leléptek volna a platformról, amire az utóbbi hónapok masszív incidensei értelmezhető okot is adtak. Viszont, mindenki maradt, Cukorhegy örül, holnapra mindenki elfelejti, problem solved.
-
azbest
félisten
Azért, mert a legtöbb embernek fogalma sincsen arról, hogyan működik egy informatikai rendszer, ellenben vevők a szenzációra.
Nagyobb rendszerekben szokás, hogy megfelelő jogkörrel rendelkező fiókok akár meg is tudják személyesítni mások fiókját, pont azért, mert nem a felhasználó jelszavával lépeketnek be debuggolni.
Egyébként a hír bulvár tartalmát kb senki sem veszi észre: az eredeti blogpostban nem az szerepel, hogy felhasználó és név párosok listája található abban a külön adatbázisban, hanem csak a jelszavak. Talán éppen ezért nem kell senkinek jelszót cserélnie.
Hogy mire kellett nekik, azt nem tudom, de ötlet szinten, például elemezni, hogy mennyire idióta jelszavakat választanak a felhasználók... esetleg bonyolultság visszajelzőt tanítani.Jobban elolvasva, valamilyen belső loggolásba került bele a jelszó.De szerintem essen pánikba mindenki, akinek 4 jegyű pinkódja van a bankkártyájához, mert az összes pinkód kiszivárgott [link]
![;]](//cdn.rios.hu/dl/s/v1.gif)
Egyébként Pali is beszopta, mert "bejelentkezési adatai" -ról beszél, miközben az eredeti postban ez nem szerepelt. Viszont érezhetően olyan annak a megfogalmazása, hogy félreérthető legyen.
-
#47
ksanc
őstag
jonnyjoker01
#45
ksanc
őstag
válasz
jonnyjoker01
#45
üzenetére
Ó, igen, az "ennyi elégséges" miatt vagyunk a 10millió focihozzáértő, adószakértő, pénzügyi szakértő és, hogy témánál maradjunk, biztonsági szakértő és még sorolhatnám országa
A mondanivalód második részével abszolút egyetértek, csak azt nem tudom, hol állítottam én azt, hogy birka, aki foglalkozik vele? Azt viszont állítom, hogy még az is jobb, ha egyáltalán nem foglalkozik vele - talán mert nincs mivel - annál, mint amikor valaki azt HISZI, hogy rendjén kezeli az adatait. És a cél az, hogy azt HIDD.
De mint írtam, a valódi probléma nem ott van, hogy ki, mit hisz és kiről, aztán mehet a lelkes sárdobálás. Persze le lehet ragadni itt is, pont ez a célja egyeseknek, amit - ahogy ez a topik is bizonyítja - fényesen sikerül is.
Az is szomorú "gondolkodás", hogy leírtam valamit általánosan, veletek ellentétben senkinek sem címezve, erre egy rakás "gondolkodó" magára veszi, de ami rosszabb, hogy azonosít is ezzel. Mondjuk engem nem zavar, mindenki azt HISZ, amit akar, ugye. -
Azt nem értem, miért lovagol itt bárki a kétfaktoros authon. Nem az a lényeg, hogy John Doe FB alkalmazott be tud-e lépni a fiókodba, vagy sem. Házon belül gondolom, amúgy sem a webes felületről tenné, hanem direktben valami adatbáziskezelőn vagy egyéb szoftveren keresztül, direktben.
A gond sokkal inkább az, hogy sokan használnak ugyanolyan, vagy nagyon hasonló jelszavakat különféle szolgáltatásokhoz, amit már nem véd 2FA. No, ezt tudja mindenki, ezeréves alapvetés, ezért egy ilyen user/pass listának ordenáré értéke van a feketepiacon. 20k munkatársból szerintetek nem próbálta meg eladni ezt senki sem? És ha igen, 1-nek sem sikerült? Dehogynem. DLP megoldások ide vagy oda, aki akar, az minden megold, márpedig egy ilyen lista szerintem dollár milliókat érhet megfelelő vevő számára, úgyhogy motivációból nem lehetett hiány.
-
#45
jonnyjoker01
veterán
ksanc
#44
jonnyjoker01
veterán
Oh, teljesen elégséges az az információ, amit ebben a komment szekcióban prezentáltál
Én továbbra sem nevezném birkának, aki az adatait rendjén szeretné kezelni, nem szeretné, hogy harmadik fél hozzáférjen. Mi úgy látjuk pont az nem képes gondolkodni, aki letojja, hogy mit csinálnak az adataival, hova kerül a jelszó, kinek van hozzáférése az adataihoz. Ez nem egy piti ügy amivel a figyelmünket próbálják elvonni a valós problémákról. Ez egy valós probléma sajnos.
-
#41
ksanc
őstag
osztraksajt
#37
ksanc
őstag
válasz
osztraksajt
#37
üzenetére
Nos, valóban többféleképpen lehet értelmezni.
Részemről két módon:
1. nem rólam szól, nem foglalkozom vele
2. "Há' ez megsértett engemet bazze, kinyírlakgöci!" - ez legyen az illető problémája.
Manapság már nem divat gondolkodni, de ezt nem kívánom a saját problémámmá tenni.Az akinek nem inge... igazad lehet, azonban én sehol nem írtam, hogy mindenki. Ergo kizárólag a kedves olvasótól függ, mennyire értelmezi magára.
-
ityam
őstag
A cég dolgozóitól nem véd meg. a Nagyobb veszély ha valaki a 20K alkalmazottból továbbadja jó pénzért a jelszavakat és az a valaki már nagyobb probléma.
FB alkalmazottakban ha bizunk picit hogy személyesen ők nem akarnak galibát okozni max pénzt csinálni belől akkor kis védelmet ad a 2 faktor. Azt ha leszedi a FB alkalmazott az nagyon feltűnő jelenség lenne. nem kockáztatnak ekkorát.
Ettől függetlenül hiába a FBn a 2 faktor ha valaki máshova nem 2 faktorral használja ugyanazt a jelszót... -
-
L3zl13
nagyúr
Szóval úgy gondolod, hogy a cég által nyújtott kétfaktoros authentikáció megvédi az adataidat a cég dolgozóitól miközben szándékosan olyan funkciók vannak beépítve a beléptető rendszerbe amelyek eltárolják a jelszavadat clear textben és céges policy azt elérhetővé teszi többezer dolgozónak?
És a legtöbb amit tehetsz az nem csak annyi, hogy bekapcsolod a two factort. A legtöbb amit tehetsz az az, hogy nem használod azt a sz@ros oldalt! -
#37
osztraksajt
őstag
ksanc
#36
osztraksajt
őstag
Azért az eredeti kommentben elég félreérthetően fogalmaztál, fusd át mégegyszer, van egy olyan olvasata ami szerint mindenki véglény aki nem használ facebookot.
A nem inge dolog meg már évtizedek óta illetlen mosakodás, pl ha azt mondom hogy minden informatikus szőrös, büdös, és túrja az orrát, persze akinek nem inge, akkor azzal az eredeti állítást nem cáfoltam.
-
ksanc
őstag
Úgy látom, töketlen, hogy sikeresen magadra vetted az inget. Innentől a témával kapcsolatosan mindent elmondtam, meg rólad is.
Amiért reagálok, az a személyeskedés. Abban én is le tudnék csúszni a szintendre, csak nem fogok.
Mindenesetre ha hozzád hasonlóak foglalkoznak az adatbiztonsággal, akkor érthető a helyzet....
Adj' isten! -
Chea
csendes tag
Úgy látom hogy már a fb függő technokratáknak is kihabzott a szája (neked legalább is).
Viszont már megbocsáss, de a jó édes felmenőd retkesebbik vége a véglény csak azért, mert adatbiztonsággal foglalkozóként nem vagyok hajlandó fb-ot használni. Jobb ha tudod, hogy azt a hatalmas adattömeget már rég eladták, most csak a szerecsent mosdatják. Az is lehet, hogy ezzel te tökéletesen tisztában vagy csak az IT hadviselésben a "lövészárok" túloldalán vagy és ez a fizetett munkaköri feladatod. Így már kezd érthetővé válni a "felháborodásod" is. -
B.i.L
senior tag
Egyszer,régebben amikor már töröltem fbokot,valamit meg szerettem volna nézni : gyorsqn csináltam accot(nagyon fals adatokkal).megnéztem majd 3 hét után feltévedtem ismét
képet tett fel valaki,csetelt rajta,stb...mondom köszi FB. Azóta valahogy másként nézek a világra.
Más - autóhirdetéseket néztem,persze közben ment a G+ ,na akivel beszéltem rajta,másnap már neki dobta fel a hírdetéseket...ez az elmélet úgy megáll,mint 100.-as szög falban. -
svgyula
addikt
válasz
Tigerclaw
#18
üzenetére
Azért tárolták így mert az amerikai kormányhivatalnak könnyebb dolga van a hozzáféréshez. Ez egy előkészített állomány amit időközönként elküldtek nekik. Mert ugye a "nemzetbiztonság" az fontosabb mint az egyéni adatvédelem.
Én csak sajnálom azokat akik mindenáron eröltetik ezt az oldalt, hiszen önként és dalolva adják oda az adatokat ez egy jellemzően 1bit-es hozzáállás........
-
Csaber
senior tag
Ízlelgettem a mondatot úgy 4 óra alvás után részben igaza volt .Nem hazudott az a "pár fészbuk " alkalmazott minimális kockázatot jelentett , azokkal lehet gond akinek eladták és odaadták pendrive-on .Szerintem amúgy hiába büntetnék őket akármennyi pénzel kiröhgnék csak ...ellenben teszem azt becsukni egy hétre a fészbukot meg a messengert azt észrevennék...
-
Értem, mire akarsz ezzel utalni, és van is benne igazság. Az azonban téves meglátás szvsz, hogy ez ne lenne valódi probléma. Az idei év eddigi legnagyobb biztonsági incidense egy olyan szolgáltatással kapcsolatban, amit lassan a földi civilizáció többsége napi szinten használ. Hatalmas a FB felelőssége, és az nem kérdés, hogy ilyen helyzetben NEM elfogadható, hogy ekkora hibákat kövessenek el.
Egyébként ha tippelnem kellene, ez a fájl is úgy maradt a rendszerben, ahogyan nagyon sok minden szokott : troubleshoot közben "lerakom ide átmenetileg, f@szom" helyzet lépett fel, aztan a probléma megoldódott, a fájl pedig maradt a helyén.
-
#27
zseko
veterán
BerserkGuts
#21
zseko
veterán
válasz
BerserkGuts
#21
üzenetére
Megvan az már nekik...
Ahogy az enyém is
-
ksanc
őstag
Részemről ez a egész csak egy újabb "véletlenül kiderült" cirkusz a hülye tömegeknek, legyen min csámcsogniuk, addig sem foglalkoznak még véletlenül sem a valódi problémákkal.
Megint überkirálynak érezheti magát az egyszerű véglény, hogy ő mekkorát lázad és különben is soha nem is használt faszbukot, "különben is ő megmondta", meg lehet megint szidni valakit, addig sem kell tenni semmit. Ésatöbbi, ésatöbbi...
Akinek nem inge... -
Penge_4
veterán
Valahogy ezeket a dolgokat én annyira érzem és sejtem... Csak ha leírom, akkor paranoid idiótának voltam nézve mindig. Erre tessék.
Egy ilyen kaliberű oldalnál (amit egy ennyire gerinctelen ember alkotott) az lett volna a durván meglepő, ha egy ekkora ziccert nem használnak ki.
Hiszen még a 2000-es években bőven plain textben tárolták a jelszavakat, gyakran még GET-ben is küldtek érzékeny infókat POST helyett. Vagy sütiknél kliensoldalon módosítottál valamit, aztán másik ember user accountjában voltál és hasonlók. Vagy rosszul beállított htaccessnél hozzáférés a teljes FTP tartalmához.
És ezek csak azok, amiket én, mint laikus, max power user csak néztem, hogy WTF?
Akkor csak belegondolok abba, hogy az igazán nagy koponyák (akár itt is a PH-n) akik több programnyelvet vágnak expert szinten, hálózati téren mesterek, esetleg a kriptográfiában zsenik, ők mit tudhatnak meg mi mindenhez férhetnek hozzá (már ha akarnak)...
-
#21
BerserkGuts
addikt
prabhu
#16
-
#20
BerserkGuts
addikt
Erre a sok információra írnak egy szoftvert 99% feltörik bárkinek a fiókját.
Végül is kinek nncs manapság facebookja? Még nagyinak is van baszki és erre egy algoritmust írni garantált fióktörés.Valaki biztos sok pénzt keresett vele és már nem is kell a facebooknak robotolnia csak copy paste eladni
-
Tigerclaw
nagyúr
Arról nem beszélve hogy nagyon sokan ugyanazt vagy hasonló jelszavakat használnak a neten a különböző oldalakon, ergo ha valakinek tudod a FB jelszavát és mondjuk nevet vagy e-mail címet, akkor könnyen vissza lehet élni vele. Egy adathalásznak, social engineering oldalról ez terülj terülj asztalka. Ha jól olvastam, azt is kiderítették, hogy rengeteg lekérdezés történt a 20000 felhasználó részéről ezen az adatbázison. Elég ha csak pár százaléka volt ezeknek a felhasználóknak rosszindulatú.
Az külön ijesztő, hogy állítólag csak véletlenűl botlottak a dologba. Ezek szerint az FB története során még soha sem volt átfogó ellenőrzés arra, hogy miként vannak tárolva az ilyen érzékeny adatok...illetve hogy ezek szerint szabályozva sem volt sehogy az FB IT részéről. Sőt ezek szerint a regisztrációs, jelszókezelő, beléptető kód is úgy lett megírva, hogy sima textbe mentsen és onnan olvasson. Ergo holnapután, vagy 2 év múlva megint találhatnak valami hasonlót.
Már nem használok FB-t, de kapják be. Remélem, hogy megtalálja őket az EU GDPR oldalról és kapnak pár milliárd dolláros büntetést.
-
-
#14
BlackPriest
őstag
BlackPriest
őstag
és a biztonságos belső hálón biztos nem megy a print screen, akár analóg módon is...
-
"hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele" --> Ha valamelyik alkalmazott odáig jut, hogy eladja a jelszavad, lehet a 2 faktoros auth-ot is kikapcsolhatja a FB-odban egy időre, de lehet az egész FB oldaladat is összecsomagolja és elküldi valakinek...
Nem értem hogy nem perelték még sz@rrá a FB-ot az ilyenek miatt
-
Metalfan
senior tag
válasz
VágniValó
#10
üzenetére
A twittert csak gondolatkísérletként hoztam fel, hogy ott az előbb felvázolt esetben biztosan fejek hullanának (talán szó szerint is), mert Trump a twitteren randalírozik.
Viszont sokan használják hivatalos megnyilvánulási formára is a Facebook-ot, vagy legalábbis a köznép annak tekinti. Hogy mást ne mondjak, ott van Lázár János bécsi videója, de hosszan lehetne folytatni a sort. Ilyen szempontból tartom veszélyesnek ezt az incidenst. A kétlépcsős bejelentkezés meg akkor ér valamit, ha
a Facebook nem írja ki a telefonszámod az összes ismerősödnek és/vagy azok ismerőseineka kedves politikus jobban foglalkozik a biztonsággal, mint egyes katonai bázisok állítólag ilyen téren is képzett személyzete. -
Én értelek, csak mégse gondolom azonos súlycsoportnak a kettőt. Twitter eleve a funkcióját tekintve publikus postok, tartalmak megosztására van. Nem üzengetnek egymásnak privát szuper-szenzitív infót, vagy ha mégis az ritka, mert nem erre találták ki.
FB-n az ember kapcsolatokat tart fenn, személyes élményt/contentet oszt meg a bizalmasaival, vagy olyannal akivel bizalmas viszonyba akarna kerülni. Egy twitter jelszó megszerzése csak akkor nettó profit, ha a fiók tulajdonosa olyan barom, hogy más accountjához is azt az egy jelszót használja többlépcsős autentikáció nélkül.
-
nyisziati
veterán
Igen, EZT szürtem le. Mivel, mint fentebb is írtam, NINCS ráhatásom a Facebook belső adatkezelésére, ezért a LEGTÖBB , amit tehetek, hogy bekapcsolom a kétfaktoros hitelesítést (ami már évek óta megvan), hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele. Ennyi.
A többi felesleges szájtépés, amit pár ittlévő fórumtárson kívül a kutya nem olvas. -
Metalfan
senior tag
Gondolj bele, ha mindez a Twitterrel történik, és kiderül, hogy mondjuk Donald Trump Twitter-fiókjának jelszavához is hozzáférhetett éveken keresztül párezer (vagy tízezer) Twitternél dolgozó emberke egy sima plain text fájlban...
Jelen helyzetben ha nagyvezírek jelszavai esetleg nem is (bár erre nem vennék mérget), de véleményformáló emberek, kisebb-nagyobb kaliberű politikusok, üzletemberek, hatóságok vezetőinek jelszavai tuti benne voltak egy ekkora, százmilliós nagyságrendű merítésben. Az pedig már simán lehet nemzetbiztonsági kockázat is - bármelyik országban. -
Szoktam mondani, hogy FB kapcsán már nem tudnak semmilyen hírrel meglepni, de ez most nagyon fájt. Felesleges azzal védekezni, hogy "na de biztonságos belső hálózaton volt", már az rég fejvesztést jelentő probléma, hogy volt!! Ja és csak laza 20 ezer ember fért hozzá
-
-Skylake-
addikt
Ezt szurted le? Izlelgesd ezt a mondatot kerlek : a facebook biztonsagi es adatvedelmi vezetoje szerint nem jelent kockazatot az, hogy a facebook munkatarsai !teljes hozzaferessel! rendelkeztek nehany szaz millio profilhoz.
Meg maga a plain text is lenyegtelen a lenyeget tekintve, mert a lenyeg az, hogy megis mi a picsaert tud belepni egy fb alkalmazott egy random profilba ? Nemhogy plainben nem kellene tudniuk egyetlen jelszot sem, hanem osszesegeben nem tudhatnanak egyetlen jelszot sem. Semmilyen formaban.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
képet tett fel valaki,csetelt rajta,stb...mondom köszi FB. Azóta valahogy másként nézek a világra.
Új hozzászólás Aktív témák
- Nvidia Quadro M2000/ P2000/ P4000/ RTX 4000/ RTX 5000/ RTX A2000
- Samsung Galaxy S23 Ultra 256GB, Kártyafüggetlen, 1 Év Garanciával
- HIBÁTLAN iPhone 15 Pro Max 256GB Black Titanium -1 ÉV GARANCIA - Kártyafüggetlen, MS3004
- Samsung Odyssey G5 S27CG554EU 27 QHD 165Hz Ívelt Gaming Monitor 6 hó garancia Házhozszállítás
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7700X 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest