HACK.pl wykryło krytyczną lukę serwerów home.pl

[[S.e.M.e.N]]

Home.pl to największy w Polsce provider wirtualnych serwerów. Firma działa od 1997, co gwarantuje im bogate doświadczenie. Można łatwo się domyślić, że na serwerach home.pl znajdują się wszelakie serwisy internetowe - od stron ministerstw (np. MEN), po strony partii politycznych (PiS, Samoobrona), jaki i strony dużych portali i sklepów internetowych, czy też banków.

Home.pl jest swoistym kolosem i liderem w swojej dziedzinie. Wg rankingu top100.pl, home wyprzedza konkurencję będącą na drugim miejscu o 100% w liczbie zarejestrowanych domen.

Jak to w życiu bywa nawet najwięksi liderzy zaliczają wpadki. W tym przypadku jest to wpadka na najwyższym poziome, krytyczna luka w bezpieczeństwie serwerów dotycząca wszystkich kont wirtualnych na home.pl, włączając w to konto główne, czyli sam serwis home.pl, na którym klienci tejże firmy sprawdzają pocztę, czy też np. konfigurują bazy danych.

WIĘCEJ

Czekamy na Wasze opinie!

[LLLUUU]

http://hacking.pl/pl/news-6540-Hackp..._systemie.html

coś mi tu śmierdzi....

[killrathi]

mi tez ta sprawa smierdzi...
mam wrazenie ze list zaprezentowany w tym serwisie nie jest przedstawiony calosciowo - nie wiem komu wierzyc, jako ze o hacking.pl tez mam nienajlepsze zdanie, ale zawsze informacje prezentuja rzetelnie...
Jezeli te mityczne 200k jest prawda to Panowie z hack.pl stracili w moich oczach wszystko co mozliwe... mi tez zdarzalo sie informowac dane firmy o lukach/bledach - nigdy nie chcialem za to zadnych pieniedzy, nie mowiac juz o tak ogromnej (i chyba wyssanej z palca) sumie. W tej sytuacji nie dziwie sie serwisowi home.pl ze sprawe naglosnil - zadanie takiej kwoty jest zagraniem wielce nieetycznym...
pozdrawiam
Killrathi

[Malik]

Luka luką, niech szanowne home.pl powie ilu wrednych spamerow hostuje ;> Dla ciekawosci mozna zajrzec na pl.internet.mordplik.

[killrathi]

Luka luką, niech szanowne home.pl powie ilu wrednych spamerow hostuje ;> Dla ciekawosci mozna zajrzec na pl.internet.mordplik.

wydaje mi sie ze przy tym problemie ilosc spamerow jest nieistotna - kazdy hostuje kogo chce - rozmowa dotyczy czegos innego...

[TQM]

Ponizszy list przedstawia tylko i wylacznie moja prywatna opinie - prosze jej nie przypisywac nikomu innemu. Jesli Ci sie to nie podoba to nie czytaj!


Ja bym publikacje na hacking.pl ocenil jako wyjatkowo niezetelna... gdzie sa naglowki poczty, gdzie jest jakikolwiek timestamp, cokolwiek?! Po prostu material ktory przedstawiaja jest dla mnie niezbyt wiarygodny i tyle - to jednak tylko moje osobiste zdanie.

Skad kwota 200k?! Ktos tu klamie jak na moj gust... mozliwosci sa tylko 3:

1. Koledzy z HACK.pl
2. Koledzy z home.pl
3. Koledzy z hacking.pl

Dla jasnosci powiem, ze jestem w gronie redaktorow HACK.pl, ale...

Ad.1
Jesli rzeczywiscie w liscie wyslanym do home.pl bylo to co podaje hacking.pl to home.pl powinno sie nie zastanawiac i zglosic sprawe do prokuratury - jako probe szantazu/wymuszenia zgloszona ze strony osob podpisanych w mailu. Takimi rzeczami powinna zajac sie prokuratura... w tym wypadku obaj Panowie powinni zostac 'zawieszeni' i do czasu wyjasnienia sprawy zniknac z areny ze tak to powiem - szczegolnie HACK.pl, ktory nie moze odpowiadac za poczynania osob prywatnych, nawet jesli dostarczaja dla portalu informacji.

Czy taki byl email obu Michalow - nie wiem. Material przedstawiony na hacking.pl jest dla mnie po prostu bardzo malo przekonujacy... aczkolwiek chwytliwy i wywolujacy sensacje!

Ad.2
Jesli klamie ktos w home.pl to obaj Panowie (Michal & Michal) powinni pozwac do sadu home.pl conajmniej o znieslawienie... i mogliby wygrac calkiem spore odszkodowanie (hcking.pl bardzo ladnie to naglosnil a takie udezenie medialne moze zniszczyc kariere niejednej osoby, szczegolnie w srodowisku bezpieczenstwa IT - nawet jesli [cytat z jednej zaslyszanch opinii] 'kariera obu Panow jest watpliwa'... po takim zarzucie na pewno stoi pod znakiem zapytania)... Caly proces bedzie jednak kosztowny i czasochlonny.

Ad.3
... to samo co w przypadku 2 ale w kierunku hacking.pl.


Nie wiem jak bylo na prawde... ale wydaje mi sie ze zasady rynku i pewna kultura osobista wymaga wyjasnienia tej sprawy i publicznego PRZEPRASZAM ze strony tego kto zawinil - ktokolwiek to jest... czy to Michal & Michal, czy ktos z home.pl czy tez ktos z hacking.pl.

Apeluje wiec do czytajacych to - wezcie calosc na chlodno z dystansem. Stalo sie cos niedobrego co wymaga wyjasnienia. Poczekajmy wiec i wstrzymajmy sie na razie w osadach bo te moga byc bardzo krzywdzace, zwlaszcza ze nie wiemy jak bylo na prawde.


TQM - uzytkownik home.pl, czytelnik hacking.pl i redaktor hack.pl

[krystek]

Jestem klientem home.pl i przynam, że z pewnym oburzeniem śledzę tę dyskusję.
Chciałbym się dowiedzieć dlaczego nikt nie komentuje wielkości luki wykrytej w systemie największego dostawcy serwerów wirtualnych w Polsce, świadczącego usługi dla takich instytucji jak MEN? Przecież ta luka to absolutna porażka. Ciekawe do ilu serwisów utrzymywanych w home.pl włamano się w ten sposób?
Ponadto bezpieczeństwo w internecie to dziś normalny biznes i jak każdy biznes powinien przynosić zyski. Home.pl z pewnością zatrudnia zespól dobrze opłacanych specjalistów z dziedziny bezpieczeństwa w internecie, za których chłopaki z hack.pl wykonali potężny kawał pracy. O ile wiem taki system nazywania katalogów zawierającech statystyki istniał od conajmniej 2002 roku (od tego roku jestem klientem home.pl).
Kwota 200k jest może niebanalna, ale z pewnością za usługę polegającą w istocie na usunięciu krytycznej luki w bezpieczeństwie wszystkich serwisów obsługiwanych przez największego polskiego providera, który wydaje miliony na reklamę, solidne honorarium im sie należało.
Tymczasem home.pl zrobił sensację z 200k i tym samym z winnego poważnego zaniedbania stał się ofiarą "nigrzecznych hackerów".
Panowie więcej przenikliwości w ocenach...

[killrathi]

osobiscie staram sie podejsc do tego z ogromnym dystansem.
Nie bede staral sie dowodzic kto ma racje i kto mowi prawde, jednoczesnie chcialbym jednak uslyszec zdanie "glownych bohaterow" zamieszania - czyli M&M. Jezeli informacja podana za pomoca hacking.pl jest nieprawdziwa to faktycznie - cofam moje slowa i macie moje poparcie, jezeli jednak wersja hacking.pl sie potwierdzi to podtrzymuje moje zdanie.
Zaczynajac prace w tej branzy reputacja to podstawa - Panowie, sprostujcie sprawe, gdyz bedziecie spaleni na rynku ofert.

Jednoczesnie idac pewna logika, mam pewne opory przed mysla, ze home.pl w tak chamski sposob nagial fakty - za duzy to rekin, aby bawic sie w podchody z (przepraszam za sformuowanie) uklejka, jaka niewatpliwie jest hack.pl (nic osobistego - zwykle porownanie wielkosci). Celowo pomijam tu roznice zdan pomiedzy hack.pl a hacking.pl ktore sa oczywiste - wszak konkurencja.

Jak napisal moj szanowny przedmowca - sa 3 opcje, jednak zakladajac ze przedstawiona powyzej logika jest prawdziwa mysle ze mozna ograniczyc sie do 2 pkt:
1 - M&M przegieli z cena
2. hacking.pl klamie w celu nabrudzenia konkurencji

Mysle ze jedynie oficjalne stanowisko home.pl jak i spolki M&M jest w stanie wyjasnic te sprawe
pozdrawiam

----edit----
Krystek - ten watek nie dotyczy samych luk, ale afery zwiazanej z niebagatelna kwota... Wybacz, ale jak do mnie napisal czlowiek, ze znalazl luke w moim oprogramowaniu to grzecznie przedstail problem i zaoferowal jego usuniecie - bylem szybszy i blad usunelem w 10 minut po otrzymaniu wiadomosci. czy mu zaplacilem? nie, gdyz nie wykonal ZADNEJ zamowionej przeze mnie pracy (za niezamowione placil nie bede). Owszem wykonalem mu maly przelew grzecznosciowy (coby chociaz student na browara mial), ale ZADNYCH żądań o kase w jego liscie nie bylo...

[markossx]

nie chcę wierzyć i póki co nie wierze, że Michały (specjaliści z najwyższej półki) mogliby zapodać coś takiego...
zwłaszcza, że mogą zarabiać uczciwie i to potężną kasę...
...
LLLUUU - napisał posta żeby dalej kręcić prowokację - takie jest moje zdanie...
ale jak (prawie) zawsze tqm masz rację - sprawa powinna zostać wyjaśniona...
ale nie wiem czy w wypadku prowokacji przeprosiny będą wystarczające... bo sprawa idzie o szantaż i wyłudzenie!
dlaczego home.pl się nie wypowiada?
przecież to ich dotyczy?
może admini z home.pl w obliczu swojej bezradności posunęli się do takiego przedstawienia sprawy...
ten kto miał odwagę namieszać niech teraz ma odwagę i się przyzna...
bo sprawa wydaje się być mocno poważna...

[zdzana]

Chciałbym się dowiedzieć dlaczego nikt nie komentuje wielkości luki wykrytej w systemie największego dostawcy serwerów wirtualnych w Polsce, świadczącego usługi dla takich instytucji jak MEN? Przecież ta luka to absolutna porażka. Ciekawe do ilu serwisów utrzymywanych w home.pl włamano się w ten sposób?

O pomste do nieba woła pisanie serwisów gdzie wystarczy wejść na odpowiedni URL aby otrzymać pełen dostęp do panelu. Wina home.pl leży w tym, że umożliwiło łatwiejsze znalezienie tego adresu, ale jednak główna luka znajduje się w skryptach serwisu MEN!