[ Wykradziono hasła Gadu-Gadu ] - Strona 2

+++LeWaP+++ · 12.02.2003, 08:07

Dzięki Arturowi Poczekalewiczowi wiadomo już jak zostały wykradzione hasła
Gadu-Gadu, opublikowane na serwisie http://www.interceptor.g3.pl/gg/gg.htm -
Interceptor. Wraz z Marcinem Bukowskim odkryli oni dziurę w skryptach ASP na
serwerze firmy obsługującej GG. Elementarny błąd umożliwiał łatwe pobieranie z
bazy hasła oraz adresu email dowolnego użytkownika o znanym UID. Wybierając
kolejne lub losowe UID można było oglądać hasła przypadkowych użytkowników
Gadu-Gadu. Odkrywcy poinformowali o tym firmę, która jednak początkowo
zignorowała błąd, by bez słowa poprawić go po 10 dniach. W tym czasie błąd
został jednak odkryty przez innych, którzy zdobyte w ten sposób informacje
zaczęli wykorzystywać do podszywania się pod dowolnych użytkowników Gadu-Gadu.
Po fali nadużyć operator zalecił użytkownikom zmianę hasła ,,ze względów
bezpieczeństwa´´. Jak wyjaśnia Tomasz Słodkowicz, rozwiązanie to ma również
swoje wady, ponieważ GG nie doczekało się jeszcze żadnej ochrony poufności
przesyłanych danych podczas operacji na bazie (np. zmiana hasła), pomimo że samo
logowanie użytkownika nie naraża go już na podsłuchanie hasła. Próby tuszowania
własnych błędów oraz brak silnej ochrony poufności w protokole sugeruje, że
operator GG nie nauczył się niczego na błędach swoich poprzedników.

12.02.2003, 08:07	#1
+++LeWaP+++ Guru Data rejestracji: 17.04.2002 Lokalizacja: Kłodzko Posty: 2,534	[ Wykradziono hasła Gadu-Gadu ] Dzięki Arturowi Poczekalewiczowi wiadomo już jak zostały wykradzione hasła Gadu-Gadu, opublikowane na serwisie http://www.interceptor.g3.pl/gg/gg.htm - Interceptor. Wraz z Marcinem Bukowskim odkryli oni dziurę w skryptach ASP na serwerze firmy obsługującej GG. Elementarny błąd umożliwiał łatwe pobieranie z bazy hasła oraz adresu email dowolnego użytkownika o znanym UID. Wybierając kolejne lub losowe UID można było oglądać hasła przypadkowych użytkowników Gadu-Gadu. Odkrywcy poinformowali o tym firmę, która jednak początkowo zignorowała błąd, by bez słowa poprawić go po 10 dniach. W tym czasie błąd został jednak odkryty przez innych, którzy zdobyte w ten sposób informacje zaczęli wykorzystywać do podszywania się pod dowolnych użytkowników Gadu-Gadu. Po fali nadużyć operator zalecił użytkownikom zmianę hasła ,,ze względów bezpieczeństwa´´. Jak wyjaśnia Tomasz Słodkowicz, rozwiązanie to ma również swoje wady, ponieważ GG nie doczekało się jeszcze żadnej ochrony poufności przesyłanych danych podczas operacji na bazie (np. zmiana hasła), pomimo że samo logowanie użytkownika nie naraża go już na podsłuchanie hasła. Próby tuszowania własnych błędów oraz brak silnej ochrony poufności w protokole sugeruje, że operator GG nie nauczył się niczego na błędach swoich poprzedników. __________________ lewap3@tlen.pl


	Nagrywarki \| Pliki \| Dyski twarde \| Recenzje \| Księgarnia \| Biosy \| Artykuły \| Nagrywanie od A do Z \| Słownik \| FAQ

	#ads
CDRinfo.pl Reklamowiec Data rejestracji: 29.12.2008 Lokalizacja: Sieć globalna Wiek: 31 Posty: 1227