Ez nagyon durva, ha igaz: állítólag SQL injectiont használtak a bejutáshoz és plain textben tárolt jelszavakat hoztak el.
Mindenesetre első dolgom volt jelszót változtatni.
Ahogy nézem, jelenleg a Yahoo! Mail bejelentkező oldala teljesen broken, ez valószínűleg igaz a többi Yahoo szolgáltatás beléptetésre is. Legalábbis bekapcsolt JavaScript mellett nem lehet bejelentkezni. Kikapcsolt mellett pedig a belépés után egy JSON fájlt kap az ember válaszul, ami nem túl hasznos.
Akkor kezdjek új víruskergető után nézni?
Mert szokásomtól eltérően, most IE-ből vagyok belépve a ymail.com-on és riasztás nem jött... márpedig az meglepne, ha egy ilyen törés nem járna együtt valami malware terjesztéssel. :(
---
update: közben megnéztem linux alól, nekem működik. Legalábbis kikapcsolt JS mellett.
Poetro azt írta, hogy az oldallal is van valami gubanc.
Nekem elsőre az jött le, hogy ezek szerint feltörték.
Ha így feltörik, akkor esélyes, hogy valami egyéb szemét is odakerül. Igaz, nálam azóta is működik normálisan javascripttel és anélkül egyaránt.
(ellenben kedvenc játékoldalam, a ninjakiwi.com elég "érdekesen" néz ki tegnap este óta... És mintha lenne valami yahoo-s kötődése a társaságnak. :-( )
Az utóbbi időben egyre több - az IT / elektronika - területén meghatározó cégről derül ki, hogy iszonyatos rések vannak a rendszereiken. Nem fér a fejembe, hogy hogy fordulhat elő ilyen. Én azt gondolnám, hogy egy ilyen cégnél, mint pl. a Yahoo vagy Sony vérprofi mérnökök vannak, akik ennél nagyságrendekkel szofisztikáltabb támadást is kivédenek. Közben meg úgy tűnik, hogy az ott dolgozók egy része még egy alapvető biztonsági teszten is megbukna. Vagy értenek hozzá csak ennyire igénytelenek a munkájukkal szemben? De akkor is: ilyen nagy cégnél teszter team nincs? Vagy valami céges policy az alapvető biztonsági kérdésekkel kapcsolatban? Szóval magyarázza már ezt el valaki nekem :)
Lehet, hogy a Petőfi Sándor idején készített rendszer a telepítése óta kikapcsolás nélkül működik és -- reklámok megjelenítésével -- kiszámítottan termeli a bevételt.
Feltételezhető, hogy nem egyetlen, homogén rendszerről van szó, hanem olyanról, ami "organikusan fejlődött": sokan, sokféleképpen fejlesztettek hozzá, míg a hatalmas katyvaszban már senki sem ismeri ki igazán magát -- még az a néhány "kocka" sem, akik viszont szociális képességek híján eleve képtelenek érthetően ismertetni a veszélyforrásokat, és mivel nem tudnak a "business" fejével sem gondolkodni, kivitelezhető megoldást sem ajánlhatnak.
Ezért aztán az öltönyös srácok azt teszik, amit ilyenkor tenni szoktak: csattogtatják az ostort, hasraütéssel találnak ki határidőket, zsíros hirdetési szerződéseket kötnek előre, és követelik, hogy a szekér haladjon feleannyi lóval és felannyi zabbal is, szóval élnek a maguk kis álomvilágában. Amikor pedig 2--3 év múlva be kellene mutatni a project eredményét -- hogy, hogy nem --, új kihívások után áhítozva átszökkennek egy másik multihoz, még nagyobb fizetésért.
A kockafejűek is hasonlóan működnek: morognak kicsit, de a legtöbbjük már rájött, hogy szakmai dicsőséget nem a multicégeknél kell keresni, oda fizetésért jár az ember. Tapasztalatom szerint az ilyen cégeknél a "vérprofi" mérnökök 90%-a tehetségtelen sarlatán, akik azért dolgoznak multicégeknél, mert csak a beszélőkéjük jó, de valójában szakmailag le vannak maradva minimum 10--15 évvel, és nincs idejük/ambíciójuk az ilyen jellegű fejlődéshez, arról nem is beszélve, hogy gyakran egyszerűen nincs büdzsé a tisztességes fejlesztéshez és teszteléshez. KrisnaPista napi két dollárért anyanyelven beszéli a Javát, és ha ilyenekből felbérelsz mondjuk ezret, akkor egy év alatt össze fognak gyurmázni valamilyen eszközt, ami nagyjából azt csinálja, amit a valaha összetákolt specifikáció megfogalmazott, és máris lehet ünnepelni. Nem teljesen irreális az a vicc, ami valahogy úgy definiálja a project managert, hogy "az az ember, aki szerint 9 várandós nő 1 hónap alatt tud gyereket szülni". Scrum FTW, még hogy waterfall...
Néha, amikor efféle betörések történnek, van ugyan egy kis kotkodácsolás a tyúkólban, talán le is fejeznek egy-két bűnbakot, de mert nem hatalmas banki vagy katonai titkokról van szó, nincs komoly következménye ezeknek, és amúgy is hamarosan előkerül valami új cirkusz, ami elvonja róluk a figyelmet.
Mint minden altalanositas, ez is csak feligazsag. Nem minden multi egyforma, nem minden kisebb ceg egyforma, szerintem abbol amit irtal csak annyi igaz, hogy vannak olyan "szakik" akik nem hajlandoak fejlodni. Vannak vallalatok, ahol konnyebben megmaradnak az ilyenek, vannak ahol nehezebben, de barhol fellelhetoek. Kisebb cegeknel is, minden szakteruleten... csak konyorgok...ne altalanositsunk, mert semmi ertelme. :)
Ez nagyon durva, ha igaz:
Mindenesetre első dolgom volt jelszót változtatni.
Broken
Akkor kezdjek új víruskergető
Mert szokásomtól eltérően, most IE-ből vagyok belépve a ymail.com-on és riasztás nem jött... márpedig az meglepne, ha egy ilyen törés nem járna együtt valami malware terjesztéssel. :(
---
update: közben megnéztem linux alól, nekem működik. Legalábbis kikapcsolt JS mellett.
Egy SQL injection alapú
Poetro azt írta, hogy az
Nekem elsőre az jött le, hogy ezek szerint feltörték.
Ha így feltörik, akkor esélyes, hogy valami egyéb szemét is odakerül. Igaz, nálam azóta is működik normálisan javascripttel és anélkül egyaránt.
(ellenben kedvenc játékoldalam, a ninjakiwi.com elég "érdekesen" néz ki tegnap este óta... És mintha lenne valami yahoo-s kötődése a társaságnak. :-( )
Megjavult
Furcsa
CDN
Az utóbbi időben
Mítosz
Feltételezhető, hogy nem egyetlen, homogén rendszerről van szó, hanem olyanról, ami "organikusan fejlődött": sokan, sokféleképpen fejlesztettek hozzá, míg a hatalmas katyvaszban már senki sem ismeri ki igazán magát -- még az a néhány "kocka" sem, akik viszont szociális képességek híján eleve képtelenek érthetően ismertetni a veszélyforrásokat, és mivel nem tudnak a "business" fejével sem gondolkodni, kivitelezhető megoldást sem ajánlhatnak.
Ezért aztán az öltönyös srácok azt teszik, amit ilyenkor tenni szoktak: csattogtatják az ostort, hasraütéssel találnak ki határidőket, zsíros hirdetési szerződéseket kötnek előre, és követelik, hogy a szekér haladjon feleannyi lóval és felannyi zabbal is, szóval élnek a maguk kis álomvilágában. Amikor pedig 2--3 év múlva be kellene mutatni a project eredményét -- hogy, hogy nem --, új kihívások után áhítozva átszökkennek egy másik multihoz, még nagyobb fizetésért.
A kockafejűek is hasonlóan működnek: morognak kicsit, de a legtöbbjük már rájött, hogy szakmai dicsőséget nem a multicégeknél kell keresni, oda fizetésért jár az ember. Tapasztalatom szerint az ilyen cégeknél a "vérprofi" mérnökök 90%-a tehetségtelen sarlatán, akik azért dolgoznak multicégeknél, mert csak a beszélőkéjük jó, de valójában szakmailag le vannak maradva minimum 10--15 évvel, és nincs idejük/ambíciójuk az ilyen jellegű fejlődéshez, arról nem is beszélve, hogy gyakran egyszerűen nincs büdzsé a tisztességes fejlesztéshez és teszteléshez. KrisnaPista napi két dollárért anyanyelven beszéli a Javát, és ha ilyenekből felbérelsz mondjuk ezret, akkor egy év alatt össze fognak gyurmázni valamilyen eszközt, ami nagyjából azt csinálja, amit a valaha összetákolt specifikáció megfogalmazott, és máris lehet ünnepelni. Nem teljesen irreális az a vicc, ami valahogy úgy definiálja a project managert, hogy "az az ember, aki szerint 9 várandós nő 1 hónap alatt tud gyereket szülni". Scrum FTW, még hogy waterfall...
Néha, amikor efféle betörések történnek, van ugyan egy kis kotkodácsolás a tyúkólban, talán le is fejeznek egy-két bűnbakot, de mert nem hatalmas banki vagy katonai titkokról van szó, nincs komoly következménye ezeknek, és amúgy is hamarosan előkerül valami új cirkusz, ami elvonja róluk a figyelmet.
De legalább a wordlist
:D
Mint minden altalanositas, ez