Voi n-aveti un beta tester? Si totusi … de cand era backup-ul ala? Ca pun pariu ca nu era de doua zile, mai cunoastem cazuri.

Daca nu intelegeti despre ce e vorba … stati sa vedeti ce mail am primit. E un nene in mailul asta care imi explica niste chestii pe care le-am vazut saptamana asta in trafic.ro 😉

Celebrul site www.trafic .ro a fost “spart”.

Un tanar informatician, in varsta de numai 14 ani , a demonstrat ca securitatea faimosului site trafic.ro este subreda,  gasind o gaura de securitate, prin intermediul careia o persoana rau voitoare ar fi putut provoca prejudicii majore imaginii acestui website.

In calitate de White Hat Hacker el a vrut sa atraga atentia webmaster-ului asupra acestei vulnerabilitati pentru a  nu fi folosita de altcineva.

Folosind o metoda de “atac” care va ramane confidentiala, va fi dezvaluita numai proprietarilor website-ului acesta a putut modifica informatii vitale, de pe un simplu cont de utilizator, fapt ce demonstreaza slaba securitate a site-ului.

Ca demonstratie el a modificat descrierea catorva site-uri celebre ca protv.ro, lx.ro, realitatea.net.

Marturia acestuia impreuna cu dovezile acestui fapt le gasiti pe website-ul comunitatii Giga-Software, la adresa http://giga-software.com/forum/viewthread.php?forum_id=13&thread_id=60  .

Dupa ce a reusit sa modifice acele informatii, tanarul programator a remediat fiecare modificare.

Ionut Budisteanu cu pseudonimul h33z0r declara: „Intentia mea nu a fost sa fac vreun rau acestui website, doar am banuit ca acest site este vulnerabil. Presupunerea mea a fost corecta, dar se pare ca nimeni nu a acordat atentie avertizarii mele, astfel am modificat cateva informatii, pe care ulterior le-am revizuit. De ce am facut asta ? Deoarece nu vreau ca o mana rau voitoare un Black Hat Hacker sa strice munca echipei de la trafic.ro , astfel, eu am facut munca grea de a gasi vulnerabilitatea. Acest lucru ii va ajuta pe cei din echipa trafic.ro sa remedieze eroarea.”

realitatea.net trafic

Si totusi … de ce nu e eroarea reparata ? cum zice el pe forumu lui?

21 Responses

  1. ionut tudor

    Hello,

    Problema a fost corectata in 5 minute, nu a fost cine stie ce: un utilizator logat in sistemul trafic.ro putea sa schimbe descrierea altui site. Nu putea face insa nimic mai mult.

    Prin urmare, n-a fost vorba de sql injection…sa fim seriosi. Greseala ne-o asumam, desigur, dar sa nu se creada ca a fost vorba de o problema de securitate majora. Pentru ca nu a fost.

    Felicitari tanarului pt ca a observat bug-ul.

    Reply
  2. E-nigma

    Respekt baiatului! Avertizare pt dictionarurban.ro: folositi Winsux si SQL Server config prost, care va expune pana si tabelele la un mesaj de eroare. N-am avut timp sa incropesc un inject, dar fiti pe faza ca e pacat de munca. Si-s destui cocalari cu pretentii de hecări pe-acolo.

    Reply
  3. Bughy

    @sin .. ai inteles fix un cur. Esti exact genul de cocalar haxor din povestea de mai sus. Daca tu intelegi sa strici un site si sa iti bati .. de munca unui programator doar pentru ca a avut o mica scapare, si asta doar ca sa iti creasca tie rankul, atunci, in calitate de programator cu pretentii mari, portofoliu dragalas si prost platit iti zic un sincer: I.P.

    Reply
  4. Andy

    @Bughy, este cal llama, daca citesti mai bine, baiatu ala e geniu si a gasit vulnerabilitatea, si NICI NU A STRICAT WEBSITEUL, doar a modificat 5 descrieri, asta inseamna ca si-a batut munca de acel programator? Mai ales ca acel programator de 5 ani nu a gasit acesta vulnerabilitate

    Cocalau haxor esti tu, nici macar nu stii ce inseamna White Hat Haker adica Ethical Hacker, tu crezi ca e un excroc de stie ce e ala phishing;

    Mai ales acel baiat, sa vezi ce aplicatii a facut, tu doar dai din gura si atata

    Bughy sti macar ce e ala un haxor? Unu de modifica anumite aplicatii(codurile ascii din aplicatii) si spune ca el a facut aplicatie respectiva. Deci Shut-The-Fuck

    Deci tot respectul din partea mea pentru acel baiat

    A.D.
    HackPedia.Info – Moderator

    Reply
  5. Andy

    @Bughy mai bine, facea un crawler care modifica toate descrierile, zi de zi, si cei de la trafic.ro nici nu se prindeau 😉 Desigur folosind niste proxyuri cu random… ca nu este foarte greu de scris intr-un IDE puternic precum Microsoft Visual C++. Mai bine facea asa…

    Reply
  6. Bughy

    @Andy .. ai vorbit ca sa nu taci, eu ziceam de sin, ala care a comentat, cat despre cel care a gasit vulnerabilitatea, respect, chiar ma BUCUR ca nu A STRICAT NIMIC! Pentru ca sunt programator si ma astept oricand sa se gaseasca cineva sa arate ca e mai jmecher si sa caute nod in papura sa isi demonstreze potenta.
    Ziceam de sin ala care sugera ca ar fi trebuit sa-i strice tot site-ul, ca nu-l intelege pe baiatul asta ca de ce, daca tot le-a gasit vulnerabilitatea, nu i-a distrus. 😐

    Reply
  7. Andy

    Deci atunci scuze, citisem… nu stiu ce sa intamplat… cu mine… scuze…. m-am gandit la altceva..

    M-am gandit la McCa”SIAN”, si m-am gandit ca poate ai uitat sa scrii penultima litera, adica “A”. Deci incaodata SCUZE!

    Iar “Esti exact genul de cocalar haxor din povestea de mai sus.” Atunci mai sus cocalarul este piticu sau pustiu? Acuma eu sunt mai sus :)))

    Reply
  8. Bughy

    “Si-s destui cocalari cu pretentii de hecări pe-acolo.” la asta ma refeream. Nu stiam ordinea in care o sa apara comentariul meu, credeam ca ultimul venit, ultimul afisat 🙂 deci, comentariul de mai jos 😀

    Reply
  9. petux

    Ok nu am nimic cu mintea unui copil de 14 ani i informatica
    ca povestile cu copii hackeri e ok i-mi place cunoaste 12 limbaje de programare si stie sa gandeasca in ele sparge tcp-uri programeaza in limbajul socket si lua poate fi as nu vedeti ce spuneti cred eu? Dar poate sunt mic la lucruri de astea nici nu stiu daca poate stii ce inseamna sniffer un copil de 14 ani
    Dar iar faceti ce face microsoft ne denumeste white-hat si black-hat microsoft a luat-o ptr. asta daca mai e cineva la rand mai avem virusi destui linistitiva nu exista hackeri white-hat si black-hat exista doar haxori crackeri si hackeri!
    salut distractie placuta!!!!!!

    Reply

Leave a Reply

Your email address will not be published.