salasanat??? =)

Back to yleinen keskustelu O

<A HREF="http://www.gigantti.fi" TARGET=_blank>tässä </A>
tai sit laittaa vielä /admin/ =)))

Originally posted by pulssi:
<A HREF="http://www.gigantti.fi" TARGET=_blank>tässä </A>
tai sit laittaa vielä /admin/ =)))

.

[ 21 May 2002: Message edited by: yana ]

Tietomurto. My ass


20.5.2002 noin klo 16:30 murtauduttiin Gigantti Oy:n internetsivuille. Murtautuja pääsi sisälle hallinnointiliittymään ja lisäsi sivuillemme perättömiä uutisia. Murtautumisen jälkeen on levitetty Gigantin hallinnointiliittymän sisäänpääsy keskustelukanavien kautta, jonka johdosta gigantti.fi sivusto tukkeutui täysin


Kiinnostaa oikeasti, onko kyseessä jonkun haksoroima sivu eli iis:in tai apachen passusuojaus saatiin rikki, vai onko ylläpito kädettänyt OIKEASTI noin pahasti että jätti admin-hakemiston ilman salasanasuojausta

uskon ja toivon että kyseessä oli ensimmäinen vaihtoehto..

Jos kyseessä on jälkimmäinen vaihtoehto, dreamsite tietenkin uskottelee gigantille että "tietomurto" suoritettiin pentagonin kokoisilla koneilla ja suojausta kräkättiin 100 tuntia

http://www.digitoday.fi/digi98fi.nsf/pub/dd20020521090908_jvi_66517280
http://www.digitoday.fi/digi98fi.nsf/pub/dd20020521125927_jvi_35490043
http://www.tietoviikko.fi/uutiset/44927.shtml

"Sivujen muokkaukseen ei tarvittu sen suurempia murtautumistoimenpiteitä. Riitti kun osasi syöttää selaimeensa nettisivujen yleismuotoisen ylläpito-osoitteen, joka vei surffaajat Gigantin sivujen ylläpitoliittymään."

=D

Originally posted by khatt:
onko ylläpito kädettänyt OIKEASTI noin pahasti että jätti admin-hakemiston ilman salasanasuojausta :001:


Täytyy sanoa että varsin mielenkiintoinen kämmi. Ilmeisesti web-sivujen muuton yhteydessä autentikointia säätelevä .htaccess -tiedosto on unohdettu siirtää mukana. Tämä on kyllä ylläpitäjältä totaalinen mokaus ;)

Hauskana yksityiskohtana Nettikalan logo ja yleisesti saatavilla olevista käyttöjärjestelmistä tietoturvallisimmaksi tituleeratun OpenBSD:n logo muistuttavat jonkin verran toisiaan:





Molemmat kuitenkin häviävät Plan 9 -käyttiksen ihastuttavalle logolle:



[ 22 May 2002: Message edited by: Zzompp ]

bisnes.fi-verkkolehdessä tuo uutinen oli tietoviikon mukaan ensimmäisenä, ja innosti käyttäjät leikkimään admin-sivustolla. Täten gigantin "murtautuja"-retoriikka kuulostaa edelleen varsin säälittävältä

Lähetin itse kyselyn gigantin sivuston takana olevalle Dreamsitelle, josta tuli vastaus että tottakai sivu on ollut salasanasuojattu. Olihan se ollut joskus...

Tässä vielä bisnes.fi:n uutinen:
http://www.bisnesfi.fi/pages/search_main.asp?id=123


GIGANTTI WEBKÄSI

Päästäkseen tekemään tuhoja internetissä ei tarvitse aina olla ihan A1-luokan krakkeri.

Viime viikolla Gigantin weppisaitin ylläpitoon päästäkseen riitti kun osasi surffata niinkin mielikuvitukselliseen osoitteeseen kuin http://www.gigantti.fi/admin/.

Gigantin onneksi firma ei ole vielä siirtynyt e-kaupan aikakauteen.

O