Results 1 to 14 of 14

Thread: ASBIS smags IT drošības pārkāpums

  1. #1

    Angry ASBIS smags IT drošības pārkāpums

    Silti iesaku visiem, kam ir kāda saistība ar ASBIS, to pārtraukt.

    Vakar viņi man atsūtīja manis paša sen izdomātos piekļuves datus sistēmai, kā atgādinājumu, ka sen neesmu bijis viņu sistēmā. Tajā skaitā tur vēstules brīvā tekstā bija manis paša veidotā parole. Nu kā lai turpina būt par viņu klientu, ja tās paroles tiek glabātas oriģinālajā formā un brīvi pieejamas jebkuram klientu menedžerim?

    Aizsūtīju kļauzu atpakaļ menedžerim un CC pieliku CERT, lai papriecājās.

  2. #2
    Pieredzējis lietpratējs
    Join Date
    12-03-13
    Posts
    2,405
    Rep Power
    203

    Default

    Dievs žēlīgs.... Bet tas jau nav noslēpums kad jebkurā vietnē vai citā 3rd party softa paši developeri var kā šifrēt tā atšifrēt. Bet nu te vispār auzas... pasta serverī brīvā tekstā
    50kg unraid tower as osx, win, unix porn
    Asus Rampage 6 extreme, i9 7900x, 64Gb Corsair 3466mhz, 2x Asus 1080gtx, Corsair 1200i, Samsung 960 256MB + 1TB Raid0 2x Samsung 970 512GB, 6TB HDD, Ultimate 5 radiator, 32 wc fan loop. Acer x34A 34 inch G-sync monis.

  3. #3

    Default

    Quote Originally Posted by ingus16 View Post
    ... softa paši developeri var kā šifrēt tā atšifrēt...
    Un tieši šī iemesla pēc ir tik daudz uzlauztu klienta kontu. Normālā sistēmā paroli nohašo vienā virzienā un tiek saglabāts hash. Pats hash parasti neko nepasaka par paroli, toties pielietojot to pašu hash funkciju pie logina, var saglabāto hashu salīdzināt ar tikko ievadītās paroles hashu un balstoties uz to droši autentificēt. 1. kursa ITšņika tēma.

  4. #4
    Pieredzējis lietpratējs dzintarz's Avatar
    Join Date
    03-11-09
    Posts
    1,382
    Rep Power
    227

    Default

    Quote Originally Posted by ingus16 View Post
    jebkurā vietnē vai citā 3rd party softa paši developeri var kā šifrēt tā atšifrēt
    Nevienā normālā sistēmā atšifrēt paroli nav iespējams.

  5. #5

    Default

    Pilnīgi neko labu nevaru pateikt par ASBIS. Tāpēc labāk neko neteikšu.

  6. #6
    Pieredzējis lietpratējs BigFish's Avatar
    Join Date
    29-06-15
    Posts
    1,149
    Rep Power
    102

    Default

    Ja jau šādas elsmentāras lietas nedara, tad padomā cik viegli attiecīgajai iestāde būtu viņus drāzt par GDPR regulas pārkāpumiem..

  7. #7
    Pieredzējis lietpratējs
    Join Date
    12-03-13
    Posts
    2,405
    Rep Power
    203

    Default

    Quote Originally Posted by dzintarz View Post
    Nevienā normālā sistēmā atšifrēt paroli nav iespējams.
    Tik žēl ka nevienai kompānijai uz pieres nav rakstīts "100 % droši" , ne nu ir, bet cik ticami, ja vien kāda cita kompānija kam Tu uzticies neveic drošības pilnu auditu un atskaiti. Žēl ka tas LV ir optional un katrs newbie IT Vasja var uzpirst gaisā webu u.c platformu kur šie pieprasa kādu tavu info. Un redziet it kā bez viņu platformas nekas nevar tālāk notikt. Un tu nezini kā gan īsti šie apstrādā datus, ka vien ja labākajā gadījumā ir kaut kāds rindu teksts ar noteikumiem kur tu ieliec ķeksīti un tev spiestā kārtā jājūtas drošam kad kāds nenocirps tavus datus vai pat nenopirks bet reāli izrādās viss ir laika jautājums līdz kad nav kav kāds ČP
    50kg unraid tower as osx, win, unix porn
    Asus Rampage 6 extreme, i9 7900x, 64Gb Corsair 3466mhz, 2x Asus 1080gtx, Corsair 1200i, Samsung 960 256MB + 1TB Raid0 2x Samsung 970 512GB, 6TB HDD, Ultimate 5 radiator, 32 wc fan loop. Acer x34A 34 inch G-sync monis.

  8. #8
    Pieredzējis lietpratējs andrisri's Avatar
    Join Date
    14-03-11
    Posts
    4,558
    Rep Power
    427

    Default

    Tikai šis nav newbie IT Vasja gadījums, kantoris sens un kādreiz bija diezgan sakarīgs, tikai Kipras māte to novilka atkal līdz tam pašam Aļbarts SIA šaraškina kantora līmenim atpakaļ.
    Last edited by andrisri; 2 Weeks Ago at 19:06.

  9. #9
    Bannned Kuuminsh's Avatar
    Join Date
    09-01-06
    Posts
    11,936
    Blog Entries
    1
    Rep Power
    422

    Default

    Labs piemērs kurš kalpo kā laba ilustrācija tam, kāpēc nedrīkst visās malās likt vienādas paroles
    Man uz visāda šāda tipa lapelēm ir ģenerētas paroles un glabāju viņas iekš LastPass ( kas gan arī nav īsti labi. Gribētos jau lai paroles glabājās uz mana servera, nevis kaut kur )
    Только массовые расстрелы програмистоф спасут Родину!



  10. #10

    Default

    Un arī logina pastus var randomizēt un pēc tam iztrekot noplūdes. Vairums pasta serveru pieņems arī vēstuli, ja adresi papildināsi ar +kakas. Tjipa instigater+eoz@nekur.lv Būtu mana eoz.lv reģistrētā konta adrese.
    Vēl par parolēm, pat ja rejūzojat vienu paroli, tad meilam ir noteikti jābūt citai nekur neizmantotai. Citādi paņemot asbis.lv datus, pazaudēsi arī epastu, kas, savukārt, nozīmē nozagtu identitati praktiski visur, kur šī adrese ir izmantota.

  11. #11

    Default

    Njah, uz sitiena neatceros, bet arī mēreni afigel, kad viens kantoris atsūtīja plaintextā atpakaļ paroli, ko tikko biju izveidojis - it kā apstiprināšanai. Tur gan nevaru teikt kā pieglabāja tālāk ilgstošai turēšanai, bet tas bija spēriens pa riekstiem, lai tagad visur būtu randomizētas paroles (pieturos pie vecā labā KeePass, ērtajiem cloudiem neesmu vēl ieguvis ticību) ar izņēmumu kritiskajām lietām - epasts/banka, kur var tikt iekšā arī, ja keepass nav pa rokai. Un otrais faktors, kur iespējams.
    E-pasta dažādošanu neesmu mēģinājis ar +XX, bet doma patīk.
    Lai nu kā, tādam kantorim prasās uzrīdīt visu iespējamo, pakaļā viņus!

  12. #12
    filozofologofīlfobs mrlobber's Avatar
    Join Date
    16-01-06
    Posts
    6,728
    Rep Power
    243

    Default

    Quote Originally Posted by Instigater View Post
    Un arī logina pastus var randomizēt un pēc tam iztrekot noplūdes. Vairums pasta serveru pieņems arī vēstuli, ja adresi papildināsi ar +kakas.
    Tikko izmēģināju ar kādiem 3, neviens nepieņēma.

    50% kāju, 50% tehnikas.

  13. #13

    Default

    Lasu un brīnos!
    Kaut gan.
    Cik sistēmas ir nedroši uztaisītas...
    Piemēram internet veikals useru info, arī parole glabājas datu bāzē. Tas ka jāglabā hash nevis parole, tā kā būtu skaidrs. Bet! Uzlaužam web aplikāciju un nolasām useru tabulu. Tālāk jau var "apstrādāt" paroļu hašus un minēt paroles! Kas arī bieži notiek!
    Te ir elementārs risinājums - userim ar kuru web aplikācija slēdzas pie datu bāzes nav pieejas pie tabulas kur paroles glabājas!
    Tik jāuztaisa sql storētā procedūra CheckPassword(user,pass)
    Šai procedūrai ir pieeja pie paroļu tabulas, viņa pārbauda paroli un atgriež true/false - ir parole pareiza vai nav!
    Pa manam - viss elementāri.....

  14. #14

    Default

    Pirekš kam lauzt paroles, ja serveris ir uzlauzts?
    Jebkura normāla moderna sistēma izmanto auth-serverus, kuru var nobāzt kaut kur dziļi tīklā.
    gordo.lv - grāmatvedības pakalpojumi

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •