•  

    pokaż komentarz

    Film dokumentujący niedopatrzenie administratorów hostingu LinuxPL.com. Co ciekawe, administrator z początku nie widział problemu. Tak przynajmniej wynikało z korespondencji. Ponadto administrator twierdził, że to nie jest resetowanie hasła i nie jest błędem umożliwianie wysyłania nowego (losowego) hasła na maila bez potwierdzenia (zgody) właściciela konta. Stanowczo brakuje linka potwierdzającego decyzje odnośnie wysłania nowego losowego hasła. Po małej perswazji zmieniło się stanowisko i stwierdzono, że błąd zostanie poprawiony na początku 2011 roku. Najśmieszniejsze jest to, że nie usłyszałem nawet "dziękuję". Moim zdaniem takich klientów jak ja powinno się wynagradzać (chociażby bonusowy miesiąc hostingu bo na pieniądze nie ma co liczyć) za znajdywanie błędów. Miałem tego dowodu nie publikować przed poprawką (postanowienie własne) jednak nieludzkie podejście do jednego z ich klientów spowodowało, że mi gula ruszyła. Film dedykowany jest dla blogera o nicku @kubofonista. Rzecz, która mnie ruszyła została opisana tutaj: http://kubofonista.net/o-tym-jak-linuxpl-com-mnie-zalatwil/ Mam nadzieję, że będzie to przestroga dla każdej firmy hostingowej i nie tylko, pokazująca, że klient jest najważniejszy i ludzkie podejście to podstawa w biznesie.

    Błąd umożliwia resetowanie hasła dowolnej osobie zakładając, że znamy login bądź adres e-mail klienta firmy LinuxPL.com. Proszę sobie teraz wyobrazić, że wyciekła baza danych np. webhostingtalk.pl, forum.optymalizacja.com, forum.php.pl, forum.webhelp.pl, forumweb.pl lub podobnego serwisu kumulującego webdeveloperów/administratorów (czyli potencjalnych klientów hostingów). Mając taką bazę danych możemy resetować hasła (zgaduje) znacznej części klientów? Co za tym idzie jest to równoznaczne z chaosem komunikacyjnym. Wystarczy się domyśleć. Najlepsze w tym wszystkim jest to, że nie trzeba "hackować" żadnego z wyżej wymienionych for dyskusyjnych. Wystarczy napisać prostego bota, który przeczyta tzw. memberlist i zapisze maile i/lub loginy. Dalej chyba wiecie co to oznacza :-) Ponadto strona nie ma zabezpieczenia antyfloodowego więc zapisując także loginy właśnie userów for dyskusyjnych i używając słowników do brute force można zwiększyć ilość osób, które zostaną ofiarą ataku. Swoja droga poprzez metodę "prób i błędów" można sprawdzać czy dany login klienta istnieje w bazie danych.

    Liczę, że administracja LinuxPL.com poważnie zastanowi się nad stosunkiem do klientów. Sam jako ich klient jestem zbulwersowany. Zamiast po ludzku wskazać, że ten i ten skrypt powoduje przeciążenie to "blokuje się domenę". Jest mi wstyd, że ściągnąłem im bardzo wielu klientów. Teraz wiem, że to był błąd. Liczę także, że przeprosi za swoje zachowanie choć w Polsce to bardzo rzadkie zachowanie.

    Podstawowe błędy:
    - brak zabezpieczenia antyfloodowego
    - brak np. captchy lub innego mechanizmu sprawdzającego czy to nie robot wysyła zapytania
    - brak linku potwierdzającego, że faktycznie właściciel konta chce zresetować hasło

    Nota do refleksji:
    "Nie można przełamać czegoś, co nie istnieje" - sygn. akt VI K 849/07

    Post scriptum
    Wiem, że znając mój login niektóre osoby mogą mi nabruździć jednak nie dbam o to ;-)
    Adres e-mail przypisany do konta hostingowego zmieniłem dla bezpieczeństwa. Zmienione zostało również hasło hihi choć wiem, że teraz każdy może tego dokonać.

  •  

    pokaż komentarz

    a gdzie jest opis który należy przeczytać przed obejrzeniem filmu?

  •  
    d........e

    +1

    pokaż komentarz

    Nie rozumiem - wystarczyłoby bardziej przyłożyć się do obsługi klienta i nie ryzykowaliby rozchodzenia się takich treści po necie.

  •  

    pokaż komentarz

    @vesdin: też mam ten problem.. gdybym to zobaczył z tydzień wcześniej to już by mnie tam nie było, ale niestety przed weekendem poszedł przelew.. więc 4litery blade i zbite..
    Do tego twierdzą, że w sieci robi im się czarny marketing etc.. No tak, tylko że skoro zarzekają mi się poprzez swój support, że błąd naprawiony dawno, to nie widzę innej opcji niż uciekać

    @rusty: to jeszcze lepiej, widzę, że trzeba w pierwszej wolnej chwili ogarnąć coś innego (a VPS chodzi za mną już dłuższy czas) i uciec od nich..

  •  

    pokaż komentarz

    tak dla waszej wiadomosci, jest jeszcze gorzej niz to wyglada

    X lat temu widzialem wypompowane mirrory wszystkich serwerow linuxpl.com przez osoby trzecie. cale systemy plikow, wiec meczenie sie z resetowaniem hasla to zwykla strata czasu.

    nie mam zamiaru robic czarnego PR linuxpl.com, stwierdzam tylko fakty.