Zatknutie za nahlásenie bugu v systéme verejnej dopravy v Budapešti
18-ročný mladík, ktorý našiel neuveriteľne zahanbujúci bug v systéme verejnej dopravy v Budapešti, bol zatknutý za to, že chybu okamžite nahlásil zodpovedným. Chyba spočívala v tom, že ako kupujúci si mohol upraviť cenu lístka obyčajnou zmenou údajov, ktoré sa posielajú v rámci objednávkového formulára na server. Systém bol vyvinutý firmou T-Systems Hungary a obsahoval ďalšie amatérske chyby. Podrobnejšie je to rozpísane na tomto blogu.
No kdyz tam vidim veci jako nijak nesifrovana hesla uzivatelu, zadny permission handling nebo admin heslo "adminadmin", tak to musel byt tunel jak prase. Takhle pitomej si muze dovolit byt jen student na SS.
a to by ses divil. Běžně je to tak, že se beta překlápí do ostra, a v zájmu stability a funkčnosti se na to "už nešahá."
Kolikrat to ten student SS udela mnohem lip :) Ale samo je to ostuda, kdyby to nebyl tunel, tak bych si mozna i myslel, ze to je tunel :D
Ja mozem potvrdit, ze ani tzv eticky hacking sa nevyplaca.
Z cias mojich studii som objavoval caro snifovania a mim utokov na intraku a da sa povedat, ze som "hackol" kazdy pc na sieti.
Ked som na slabiny nezabezpecnych protokolov upozornil dotycnych prvy krat ocakaval som nieco ako vdaku...ze diky kamo, ze si nam ukazal, ze nase hesla nie su v bezpeci, ze si nam ukazal co si mame vsimat (napriklad zmenu fingerpirntu, ktoru mi odklikol kazdy vtedy;o)) a coho sa vyvarovat...namiesto toho som si zlizol nadavky a staznosti u admina siete, ktory sa naopak ukazal ako jediny chapavy a dostal som moznost spoluriadit intrakovy linuxovy server.
Nechapal som to a dodnes nie velmi chapem, hesla som samozrejme nikdy nezneuzil, ludom som odporucil ich zmenu a navyse pointa bola v tom, ze ked som to dokazal ja moze to dokazat aj niekto iny a ten nemusi byt taky "eticky" ako ja, ze sa prizna a pokusi sa sirit osvetu.
Každý dobrý skutek musí být potrestán...