Bezpieczeństwo-kolejna wpadka, tym razem dużo większa.
Kolejny raz bezpieczeństwo Waszych danych osobowych stoi pod wielkim znakiem zapytania. Jak doniósł Adam Kuśmierz (www.kusmierz.be) na stronie nadchodzi4.com znajduje się błąd umożliwiający zalogowanie się na dowolne konto użytkownika z portalu. Z wiadomych względów nie mogę ujawnić szczegółów. Problem został zgłoszony p4. Więcej na screenach niżej:
edit:// Godzina ~20.46 możliwość logowania na stronę została zablokowana, pojawia się błąd 503 informujący o braku dostępu do danej strony.
edit2:// W okolicach godziny 0:49 p4 rozesłało wszystkim zarejestrowanym na portalu nadchodzi4.com maile z treścią:
"Witaj,
ze względu na bezpieczeństwo Twojego konta na www.nadchodzi4.com
w następnym e-mailu otrzymasz nowe hasło. Poprzednie jest już nieaktywne.
Login pozostaje bez zmiany - to Twój adres e-mail.
Pozdrawiamy,
Nadchodzi4"
edit3:// Godzina ~13:28. Użytkownicy otrzymują smsy z numeru 6670 o treści:
"Witaj, nastapila zmiana hasla. Sprawdz e-mail. Pozdrawiamy Nadchodzi4."
edit4:// Godzina 14:09. O problemie pisze portal hack.pl >> link
obrazki nie dzialaja.
dobrze ze do obslugi online jest potrzebny kod wysylany smsem na komorke…
juz dziala obrazki, sorki za blad
ma ktos jakies ciekawe gierki lub programy na tego samsunga w formacie .jar? te co mozna u nich kupic sa kiepskie
wormsy takie biedne troche ale dzialaja wystarczy wpisac w przegladarke w telefonie linka i samo sie sciagnie http://www.halowka.ovh.org/Worms.jar
prosze o nie rozmywanie tematu, piszemy tylko o tym co sie tyczy notka, bo potem w kazdej jest napisane pytanie kiedy dostane maila albo cos 🙂
Dlatego ja raczej nie umieszczę swoich danych osobistych i swoich fotek na tym portalu 😉
Najprawdopodobniej coś już próbowali z tym robić, bo przez pewien czas strona logowania była nieaktywna. Jeśli jest ktoś w stanie sprawdzić czy już to poprawili, to niech się wypowie!!!
Nie, nie poprawili.
dzięki na info,
teraz ponownie nie chodzi u mnie strona logowania, czy ten komunikat poniżej może oznaczać, że coś działają, czy poprostu serwer się zapchał?
==================
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
——————————————————————————–
Apache/2.0.52 (Red Hat) Server at aplikacje.nadchodzi4.com Port 443
wylaczyli mozliwosc logowania, pewnie naprawiaja blad
Wg mnie to za duzo rzeczy na raz chcieli odpalic:) Strona jest bardzo chaotyczna, malo czytelna i brakuje bardzo duzo funkcji na niej 🙂 No ale mysle ze jeszcze nie jeden blad bedzie tego typu.
jeszcze jedn blad tego typu ?? oni nie powinni sobie pozwolic na ten ktory jest a co dopiero na nastepny. Wez pod uwage, ze majac profil na nadchodzi4.com ktos moze sobie przeczytac wsszystkie Twoje dane, zmienic je, podzszyc sie pod Ciebie. Wg. mnie te bledy stawiaja ich w bardzo zlym swietle.
Przeciez to tylko testy i takich sytuacji mozna bylo sie spodziewac.
ddluk, niestety odkrywanie takich bledow przez ludzi ktorzy potrafia je odkrywac swiadczy o tym ze przy serwisie niestety nie przylozono sie od strony bezpieczenstwa danych. Niestety, ale wsystkie znaki na to wskazuja. Wiem, ze takich bledow nie powinno byc wogole, ale sami widzimy ze sie zdarzaja. Dlatego, wg mnie takich dziur w serwisie moze byc duzo wiecej, powolujac sie nawet na niedawno odkryta dziure w allegro. Tez byla mozliwosc podszywania sie pod kazdego uzytkownika, a mysle ze allegro ma duzow wiecej uzytkownikow i stopien szkodliwosci po straceniu konta jest duuuuuzo duuuuuzo wiekszy niz w serwisie nadchodzi4.com. Mbank tez ostatnio latal powazna dziure. A mysle ze w allegro jak i w mbanku pracuja doswiadczeni administratorzy, a mimo tego nie przewidzieli wszystkiego. Tak tez niestety bedzie z portalem nadchodzi4, ktory jak wszyscy wiemy jest w fazie testow.
dodatkowo dla przykladu problemy konkurencji :pomaranczka:
http://tinyurl.com/2ssvf8 . Jak widac nawet doswiadczonemu operatorowi zdarza nie niedopatrzenia.
Faktycznie, poprawiają.
Teddy303 masz racje, duzo jest teraz zamieszania z bledami na wielu portalach. Jednak przed oddaniem nadchodzi4.com p4 powinno solidnie przetestowac to wszystko i przeprowadzic jakis audyt bezpieczenstwa. I to, ze inni maja wpadki nie znaczy, ze oni tez musza takowe miec
Zgadzam sie z Toba w 100%. Moje przyklady dotyczace wpadek innych nie mialy za zadanie udowodnienia ze skoro inni maja to i my mozemy miec :D. Owszem. dajac taki portal do testow powinien on byc przetestowany w kazdy mozliwy sposob. Ale domyslam sie ze bylo wszystko robione na lapu-capu. Pewnie mieli jakies audyty bezpieczenstwa, no ale jak widac nie wychwycily one wszystkiego. MAm takie pytanie. Czy dzieki tej luce mozna byez sprawdzic historie np polaczen ? Albo innych rzeczy, ktore wymagaly podania hasla jedorazowego przesylanego na komorke? Wg. mnie wlasnie glownym zadaniem tych testow bylo znalezienie 20 tys osob ktore im ten portal przetestuja w kazda strone 🙂 i wyjdzie to taniej prowadzenie audytow itp. I w tym momencie po 2 miesiacach testow powinni miec dopracowany portal, bo kazdy (bynajmniej jest takie zalozenie) poprostu bledy i niedociagniecia sprawdza.
hahaha
przeciez podpisaliscie w umowie udostepnianie swoich danych
wiec w czym problem?
czy oni komus je udostepnia czy ktos sam sobie je wezmie nie wazne
ZGODZILISCIE sie na to 😉
wiec nie rozumiem w czym problem
maly udostepnianie danych a ochrona danych osobowych to 2 różne rzeczy
Niezla wtopa. Dobrze, ze to dopiero testy 😉 Z drugiej strony nie rozumiem wielu firm. Wolalbym znalezc 10 “specjalistów”, ktorzy znaja sie na bezpieczenstwie, kazdemu dac po 5 tys na reke tysiac za wykryty powazny blad, niz narazac sie na tego typu sytaucje. Nie wiem dlaczego powazne firmy tak nie robia.. byc moze jest to zwiazane z jakims zapisami w umowie – jesli ffcreation robi serwis to nikt inny nie moze przykladac do tego reki.. Tak sobie tlko teoretyzuje.. 🙂
godzina 00:49, mail od nadchodzi4.com:
“Witaj,
ze względu na bezpieczeństwo Twojego konta na http://www.nadchodzi4.com
w następnym e-mailu otrzymasz nowe hasło. Poprzednie jest już nieaktywne.
Login pozostaje bez zmiany – to Twój adres e-mail.
Pozdrawiamy,
Nadchodzi4″
Dobre i to. Widzę nieźle im namieszałem, skoro aż tak się przejeli, żeby w niedzielę o 1 robić. A hasła nie mogli poprawić (nie działa ‘przypominanie’ – po wybraniu opcji, hasło zostaje zrestartowane – bez informacji o nowym), bo “weekend”.
ddluk, błąd 503 (Service Temporarily Unavailable). Błąd 403 jest dodatkowo, bo Apache miał problemy z accessem do pliku z customizowaną stroną błędów (Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.)
Ciekawe, na ilu serwerach to stoi:
Apache/2.0.52
Tomcat/?
Jetty/?
Technologie:
asp (nie dam glowy, widzialem tylko jeden plik asp)
php (chociazby http://admin.nadchodzi4.com/admin/panel)
jsp (część)
kusmierz@*:~$ host nadchodzi4.com
nadchodzi4.com has address 89.108.195.34
nadchodzi4.com mail is handled by 10 mail.nadchodzi4.com.
kusmierz@*:~$ host aplikacje.nadchodzi4.com
aplikacje.nadchodzi4.com has address 89.108.195.33
kusmierz@*:~$ host ludzie.nadchodzi4.com
ludzie.nadchodzi4.com has address 89.108.195.34
kusmierz@*:~$ host static.ludzie.nadchodzi4.com
static.ludzie.nadchodzi4.com is an alias for ludzie.nadchodzi4.com.
ludzie.nadchodzi4.com has address 89.108.195.34
kusmierz@*:~$ host multimedia.nadchodzi4.com
multimedia.nadchodzi4.com has address 217.153.56.196
kusmierz@*:~$ host admin.nadchodzi4.com
admin.nadchodzi4.com has address 193.221.122.81
kusmierz@*:~$ host rekrutacja.nadchodzi4.com
rekrutacja.nadchodzi4.com has address 193.221.122.81
a ja sobie tak czytam to wszystko i myślę sobie tak …
p4 na swoich spotkaniach informuje wprost użytkowników, że wiele rzeczy może nie działać, że może działać wadliwie itp.. …
mi się wydaję, że po to właśnie są te całe testy … przez niektórych mylnie interpretowane lub też zapominane ….
w logo nadchodzi4 mamy również info, że to wersja beta …
i tak na prawdę, to wszyscy testujący powinniśmy mieć to na uwadzę ..
idąc w to wszystko głębiej dowiadujemy się, że P4 chcę docelowo zrobić coś na prawdę fajnego, z pomocą użytkowników, którzy są przecież targetem.
to jest ogromny plus, że ktoś w końcu podejmuje się maksymalnego customizowania usług w Polsce. wcześniej pierwszy krok zrobiła tylko Era ze swoim “takie rzeczy to tylko w erze”…
szczerze – od początku spodziewałem się, że portal nie będzie super wyczesany w kosmos – P4 uczciwie, na każdym kroku to nam wszystkim jasno komunikuje.
i jakkolwiek nie bywa to dla mnie denerwujące, to mocno wierze w to, że P4 stworzy dobrą ofertę,dopracowaną i maxymalnie zcustomizowaną (dzięki takiej wlasnie akcji) ofertę docelową.
i nie ma co psioczyć.
poza tym, za tym dużym dość projektem, z tego co widać, stoi wiele firm – od technologii, po marketing, eventy itd.
pozdrawiam
🙂 Kliknalem na ten link gdzie jest admin/panel 😀 i mi wyskoczyl teskt: Nie jestes zalogowany, to jest proba ataku na system, zostalo to zalogowane 🙂 fiu fiu.
http://ludzie.nadchodzi4.com/blog/902/Nierealny blog.html#menuTabs
To ja 🙂
http://ludzie.nadchodzi4.com/blog/902/Nierealny blog.html#menuTabs
Przepraszam za zły link. Teraz dobry:
http://ludzie.nadchodzi4.com/NIEREALNY
Dostałem SMS z [i] 6670[/i]
o treści:
[quote]
Witaj, nastapila zmiana hasla. Sprawdz e-mail. Pozdrawiamy Nadchodzi4.
[/quote]
Ktoś dostał nowe hasło?
ja dostałem nowe hasło 🙂 ale zamieszanie… ciekawe czy ktos ma czas nas rozliczac juz : kto ile wyslal smsow, mmsow, zmsow itp… (mowie o tych obowiazkowych)
sprawdz maila, do mnie przyszlo
Uwaga! teraz nowe hasła juz mają po 20 cyfr i liter 😮
hasło 20 znakowe trzeba zmienic przy pierwszym zalogowaniu na 8 cyfrowe ktore posiada przynajmniej 2 cyfry
Ja wciaz nie dostalem. Moze juz mnie nie lubia, za to “wlamanie”? 🙂 Dzwonilem i powiedzieli, zeby czekac… Przypominanie hasla dalej nie dziala.
ddluk: błąd 503 (p. wyżej!), oraz o 13.28 (1.28PM), nie 1.28…
a dokladnie 11.54.
Wersja Apache Tomcat/5.5.17
Apache Coyote/1.1
E tam te wpadki to nic w porownaniu z tym jakie zdarzaja sie regularnie Microsoftowi. Jak widac niezalenie od nakladow finansowych moze sie cos posypac :p Wybaczacie? Wybaczamy :]
jakie to życie było by nudne gdyby żadnych problemów nie było,
a że to testy są to mogę na to oko przymknąć,
najważniejsze, że już się poprawili i będą teraz grzeczni ;]
po to chyba całe to testowanie, żeby wyłapać wpadki.
ja się od początku spodziewałam że nie wszystko będzie idealnie
zdarza się nawet najlepszym:)
Wiadomo ze to jest nie pierwsza i ostatnia strona ktora ma luki ogolnie stronka mi sie podoba i powoli zaczyna sie rozkrecac na dobre i jest ciekawy w tym tygodniu temat SEX :)))
Witam.
Strasznie mnie zdziwiliscie tym marudzeniem.
Po 1 podpisujac umowe bylo napisane ze beda udostepnione wasze wszystkie dane oprocz danych medycznych.
Po 2 to sa TESTY po to dostalismy telefony za darmo i mamy sie udzielac na stronie zeby wylapac bledy i testowac siec!!
Po 3 jesli komus nie odpowiada telefon i rozmowy za darmo to po co sie pchal w TESTOWANIE??
Napisze jeszcze raz tym co nie rozumieja ze to sa TESTY i trzeba sie liczyc z bledami!!!!
Pozdrawiam wszystkich jasno myslacych ktorzy z glowa podeszli do TESTOWANIA!!
Zuzia, nie denerwuj sie. Mimo, ze to sa testy, nie wszyscy chca, zeby ich dane wpadly w niepowolane lapki, prawda?
oczywiscie ze masz racje , ale ta siec wlasnie sie przed tym zabezpieczyla dajac nam wszystkim umowy o przetwarzaniu danych osobowych.
Przepraszam moze za bardzo sie unioslam ale czytajac wypowiedzi mam wrazenie ze wiek wypowiadajacych sie jest ponizej 18 roku zycia :/
Co jak co ale zgodzę, się z Zuzą! Testujemy się? Testujemy, każdy był tego świadomy! Ja osobiście nie jestem zła na P4, że pojawił się taki błąd. Wydaje mi się, że każdy z Was jakoś zadbał o swoje dane i oprócz nicka, daty urodzenia i numer telefonu w P4, nie podał innych danych. Dodatkowom jak ktoś już tu wcześniej wspomniał, na szkoleniu prowadzący podkreślali to, że testujemy nową sieć i mogą wydarzyć sie różne rzeczy. Jesteśmy po części twórcami tej telfonii komórkowej, więc to nasze “dziecko:, może zrobić nam psikusa.
A tak z drugiej beczki, bardzo podoba mi sie ten portal!Kolorowo przejżyście i nowocześnie! Pogratulować twórcom tek akcji reklamowej, bo z tego co wiem, wiele osób o tym rozmawia, dyskutuje. Moi znajomi są w szoku, że dostałam telefon i mogę sobie rozmawiać ile chce! Dla mnie to super sprawa bo mam telefon na kartę i nie muszę się ograniczać.
Wiem jedno, jeśli P4 przedstawi fajną ofertę, na pewno z niej skorzystam! A właśnie znalazłam fajny flimik, nagrany Samsungiem o P4 zobaczcie sami!
Pozdrawiam
http://www.youtube.com/watch?v=tDQyizgelLk
Jak widać do testowania zakwalifikowało się wiele osób:
– jedni testują powiedzmy “możliwości sieci” – osoby, które cieszą się, że dali im słuchawkę i “150zł” za free i to im wystarczy
– drudzy, którzy na czymś konkretnym się znają i potrafią ciekawe rzeczy wychwycić (np. taki Raistlin :] – respekcik)
A tak poza tym, to pewnie nie spodziewli się, że ktoś będzie testował ich portal :), a bardziej chodziło im o przetestowanie, czy dadzą radę ogarnąć możliwości funkcjonowania sieci. A tu taka miła niespodzianka na weekend 😀
pozdr.
Raistlin powinni Cię szczególnie lubić i w jakiś sposób wynagrodzić.
ps. tylko nie odbierz tego jako głos ironii, tylko serio tak myślę.