Witaj gościu! Zaloguj się lub Zarejestruj aby móc korzystać ze wszystkich funkcjonalności jakie oferuje to forum! Rozpocznij zarabianie przez internet, poznaj korzysci pracy w domu! Rejestracja i korzystanie z forum jest całkowicie darmowe!
Praca w domu - Dodatkowa Praca - Zarabianie przez Internet
Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Wersja do druku

+- Praca w domu - Dodatkowa Praca - Zarabianie przez Internet (https://zarabiam.com)
+-- Dział: Off-Topic (/Forum-Off-Topic-9)
+--- Dział: Kosz/Spam/Archiwum (/Forum-Kosz-Spam-Archiwum-11)
+---- Dział: MyLead (/Forum-MyLead-397)
+---- Wątek: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci (/Temat-Zabezpieczenia-MyLead-pl-Dane-uzytkownikow-dostepne-w-sieci-156545)

Strony: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Dante_/ - 05-06-2018 23:09

(05-06-2018 22:45)Xanter98 napisał(a):  Oddzielne są dane personalne i dane logowania.

Dobra, w takim razie powiedz mi skąd są dane personalne "Animka" i "BNK", żeby mieć dostęp do danych personalnych to musi mieć także dostęp do konta, tak? Więc wywnioskuj sobie skąd są dane do user_name "Administrator".

Nie rozumiem, dlaczego na siłę próbujesz wmówić innym coś innego..

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - szyweg - 05-06-2018 23:12

Pewnie w szoku jest. Jerk

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Admin - 06-06-2018 11:13

Co najlepsze Nasz user @[Xaimeer] który znalazł ten wyciek w necie i informował o nim na shoutboxie, twierdzi że nic takiego na chatboxie nie pisał i podejrzewa włam impreza
Zagadki kryminalne 21 wieku RolleyesRolleyes

Samemu ciekawi mnie gdzie leży prawda i jak faktycznie mają się te sprawy.

Nie mniej jednak skoro już się wypowiadam to osobiście jestem niemal w 100% pewny że screen z "szansą na leada" o ile jest prawdziwy, mógł co najwyżej sugerować podkręcenie statystyk na stronie, co nie jest etyczne, ale jest dosyć powszechne, i było udowadniane na naszym forum co drugiemu serwisowi z smsami/cpa.
Tak agresywne kręcenie statystyk wyszłoby od razu po kilku dniach, w końcu nie jeden user robił testy zaliczeniowe wysyłając samemu smsy, takie praktyki wyszłyby bardzo szybko i ciężko byłoby się dowolnemu serwisowi z takich rzeczy się tłumaczyć, niezauważalne cięcia można byłoby przeprowadzać wyłącznie podczas wielkich eventów za czasów KSW itp.

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Xaimeer - 06-06-2018 11:17

@[Admin] Czyli nie ma jakiś archiwalnych screenów z shoutboxa?
Ja nic nie umieszczałem także, proszę @[piotrekprorok] usuń oznaczenie mojego nicku w pierwszym poście tego tematu.

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - piotrekprorok - 06-06-2018 11:20

(06-06-2018 11:17)Xaimeer napisał(a):  @[Admin] Czyli nie ma jakiś archiwalnych screenów z shoutboxa?
Ja nic nie umieszczałem także, proszę @[piotrekprorok] usuń oznaczenie mojego nicku w pierwszym poście tego tematu.

Ty może nie umieszczałeś ale był to wpis na czacie z Twojego konta Wink Bez powodu Twojego nicku nie wziąłem i są userzy, którzy dobrze pamiętają tę sytuacje i potwierdzają, że był to nick Xaimeer.
Niestety archiwum chatu nie ma bo Klin wyczyścił czat...

No ale usunę tak jak sobie życzysz.

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - ostry2ostry - 06-06-2018 11:24

(06-06-2018 11:13)Admin napisał(a):  Co najlepsze Nasz user @[Xaimeer] który znalazł ten wyciek w necie i informował o nim na shoutboxie, twierdzi że nic takiego na chatboxie nie pisał i podejrzewa włam impreza
Zagadki kryminalne 21 wieku RolleyesRolleyes

Samemu ciekawi mnie gdzie leży prawda i jak faktycznie mają się te sprawy.

Nie mniej jednak skoro już się wypowiadam to osobiście jestem niemal w 100% pewny że screen z "szansą na leada" o ile jest prawdziwy, mógł co najwyżej sugerować podkręcenie statystyk na stronie, co nie jest etyczne, ale jest dosyć powszechne, i było udowadniane na naszym forum co drugiemu serwisowi z smsami/cpa.
Tak agresywne kręcenie statystyk wyszłoby od razu po kilku dniach, w końcu nie jeden user robił testy zaliczeniowe wysyłając samemu smsy, takie praktyki wyszłyby bardzo szybko i ciężko byłoby się dowolnemu serwisowi z takich rzeczy się tłumaczyć, niezauważalne cięcia można byłoby przeprowadzać wyłącznie podczas wielkich eventów za czasów KSW itp.

Nawet jeżli dotyczyło by to fake kont to o ile prawdopodobne staje sie że w normalnych kontach też istnieje taka opcja ? Nie mówię o ucinaniu 90% ledów bo to nie dało by sie ukryć ale 5-10% jak najbardziej? Jeśli ktoś chciałby sprawdzić to musiałby powysyłać duzo smsów i raczej mało kto zdecydował by sie na wysyłanie 10 smsów by to sprawdzić . Miałem kiedyś taką sytuacje w innym serwisie że wysłałem 3 smsy i 1 nie zaliczyło po napisaniu do admina otrzymałem odpowiedz że to jakiś błąd a lead został doliczony Smile

A tak poza tym jeżli ktoś chciałby zrobić fakowego screana to raczej nie wpisywał by tam "Fake konta" skoro chciał zadziałać na szkode serwisu pokazał by że dotyczy to realnych userów , dlatego właśnie jestem pewien że screan jest prawdziwy a Mylead wypiera się nawet tego.

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Wojo-MyLead - 06-06-2018 11:41

(06-06-2018 11:13)Admin napisał(a):  Co najlepsze Nasz user @[Xaimeer] który znalazł ten wyciek w necie i informował o nim na shoutboxie, twierdzi że nic takiego na chatboxie nie pisał i podejrzewa włam impreza
Zagadki kryminalne 21 wieku RolleyesRolleyes

Samemu ciekawi mnie gdzie leży prawda i jak faktycznie mają się te sprawy.



Istnieje taka szansa. Przypomnę że aby wyciekł login z hasłem do MyLead, musiały być spełnione dwa warunki:

- zalogować się do MyLead w okresie weekendu majowego
- mieć zapisane hasło w przeglądarce


Aby powiązać włam MyLead z włamem na zarabiam.com, użytkownik musiał mieć takie same hasło oraz login do obydwóch serwisów. Skoro haker miał pewną bazę Username+Password, co to dla niego był za problem, znaleźć użytkownika który maja takie same dane do logowania na zarabiam.com aby następnie wykorzystać to konto do opublikowaniu swojego dzieła. Wiadomo że osoba która dokonuje takich rzeczy chcę zatrzeć za sobą ślady.

Dorzucę screen mojej dzisiejszej rozmowy z Xaimeer, który potwierdził że:
- miał te same dane logowania do MyLead oraz Zarabiam.com
- miał zapisane dane do logowania w przeglądarce

Oczywiście biorę pod uwagę, że Xaimeer może nie do końca być szczery, jednak z drugiej strony dziwne aby naglę zmienił zdanie i wyparł się czegoś co ewidentnie się wydarzyło. Inną kwestią jest fakt, że jeśli powyższa sytuacja rzeczywiście miała miejsce, potwierdza się teza że informacja celowo wypłynęła w piątek o 22.

Jako ciekawostkę dodam że zlokalizowaliśmy numer telefonu osoby która dokonała ataku. Jak wiecie przy rejestracji konta w naszym serwisie, niezbędne jest potwierdzenie danych numerem telefonu. Haker musiał założyć konto w serwisie aby za implikować złośliwe oprogramowanie w podatne miejsca. Ten, oraz inne dowody zostały przekazane odpowiednim służbom. Numer pochodził z Polski
(05-06-2018 23:09)Dante_/ napisał(a):  
(05-06-2018 22:45)Xanter98 napisał(a):  Oddzielne są dane personalne i dane logowania.

Dobra, w takim razie powiedz mi skąd są dane personalne "Animka" i "BNK", żeby mieć dostęp do danych personalnych to musi mieć także dostęp do konta, tak? Więc wywnioskuj sobie skąd są dane do user_name "Administrator".

Nie rozumiem, dlaczego na siłę próbujesz wmówić innym coś innego..


Nie będę odnosił się do wcześniejszych postów, osób które nie do końca zrozumiały nasz komunikat, w którym podaliśmy dokładne informacje jak przebiegał atak jak już zweryfikowaliśmy co właściwie się stało. Bo tych osób jest więcej.

Nastąpiły dwa rodzaje ataku:

I. W jednym wyciekły LOGIN i HASŁO (wiadomo że w tym przypadku haker miał dostęp do danych personalnych, bo mógł wejść na konto i sprawdzić sobie w ustawieniach.

- tutaj musiał być spełniony warunek posiadania zapisanego hasła w przeglądarce! Oraz próby logowania w okresie weekendu majowego

II. W którym wyciekły dane użytkowników, pobrane z ustawień profilu

tutaj wystarczyło że użytkownik akurat był zalogowany do panelu, w momencie kiedy haker zaimplikował złośliwy skrypt przez Czat lub w Prywatnej wiadomości (te dwa miejsca były podatne) Całość również odbywała się w okresie weekendu majowego.

[u]Tłumaczyliśmy to w ostatnim oświadczeniu. Dlatego wyciek danych z profilu nie jest jednoznaczny z wyciekiem hasła, ponieważ musiały być spełnione inne warunku.

Sposób przeprowadzenia ataku jest już potwierdzony i pewny. Na pewno poinformowalibyśmy Was zdecydowanie szybciej, gdyby nie fakt naszej obecności na zlocie.

Niektórzy również zarzucali nam brak natychmiastowej interwencji. Niestety odpowiedzi nie czekały na nas na biurku, potrzebowaliśmy czasu aby wszystko zweryfikować. [/u]

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - MyLead.pl - 06-06-2018 12:39

(05-06-2018 22:00)Gremquen napisał(a):  ej, ej, ale czy ja źle myślę?

Jeśli dane administratora wyciekły, to jak piszecie "spełniał on kryteria".
A skoro ktoś miał dostęp do admina, to nie mógł pobrać sobie danych wszystkich userów? No po za tym hasłem, jeśli faktycznie one wyciekły przez problem, o którym pisze MyLead i faktycznie są hashowane.

Zacznijmy od tego, że nikt nie uzyskał dostępu do wszystkich użytkowników - potwierdzają to logi, które przejrzeliśmy. Nikt nieuprawniony nie skorzystał z panelu administratora. Zaznaczamy, że dane wyciekły na dwa sposoby - inaczej dane osobowe i inaczej dane z hasłem, tak jak pisaliśmy w naszym poprzednim oświadczeniu. Administrator logował się w czasie ataku - weekendu majowego, dlatego jego dane osobowe wyciekły. Jednocześnie nie wyciekło hasło administratora, ponieważ nie miał zapamiętanego hasła w przeglądarce.

Co do samej możliwości zalogowania się do panelu admina, to tak jak napisał Wojo, korzystając z haseł podanych na liście, nie byłoby to możliwe, gdyż wyciekły dane osobowe administratora, a nie jego hasło. W związku z tym, podtrzymujemy - problem dotyczy jedynie niewielkiej grupy wydawców. Podatność ta wykorzystana została do pobrania wyglądu niektórych podstron dostępnych w panelu, w tym zakładki profil, przez co możliwe było pobranie danych zawartych na koncie użytkownika, lecz nie wszystkich użytkowników i nie poprzez panel admina. Tak jak innym użytkownikom narażonym na atak, tak również administratorowi wyciągnięto kopie HTML jego zakładek, natomiast ważne jest to, że te nie zawierały żadnych danych wrażliwych, ponieważ dane do tychże zakładek dociągane są w kolejnych zapytaniach, a do tego dostępu już nie było.

Jednocześnie wprowadziliśmy szereg zabezpieczeń, dzięki którym dostęp do części adminowskiej jest zabezpieczony najlepiej jak to możliwe.

(05-06-2018 22:15)kizunka78 napisał(a):  Przeciez pobrał pokerface

Nie miało to miejsca.

Cytat:Nawet jeżli dotyczyło by to fake kont to o ile prawdopodobne staje sie że w normalnych kontach też istnieje taka opcja ? Nie mówię o ucinaniu 90% ledów bo to nie dało by sie ukryć ale 5-10% jak najbardziej? Jeśli ktoś chciałby sprawdzić to musiałby powysyłać duzo smsów i raczej mało kto zdecydował by sie na wysyłanie 10 smsów by to sprawdzić . Miałem kiedyś taką sytuacje w innym serwisie że wysłałem 3 smsy i 1 nie zaliczyło po napisaniu do admina otrzymałem odpowiedz że to jakiś błąd a lead został doliczony

Jeśli tabelka byłaby prawdą, wtedy musielibyśmy obcinać ogromny procent leadów, zwłaszcza w godzinach nocnych, nawet na poziomie kilkudziesięciu procent, co bardzo szybko wyszłoby na jaw. Wielu z naszych użytkowników przeszło do nas z innych sieci afiliacyjnych i zostało z nami na dobre, ponieważ pojawiło się u nich zadowolenie z osiąganej konwersji. Powtórzymy więc raz jeszcze - zawsze gramy fair w stosunku do naszych wydawców.

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - ostry2ostry - 06-06-2018 12:56

(06-06-2018 12:39)MyLead.pl napisał(a):  
(05-06-2018 22:00)Gremquen napisał(a):  ej, ej, ale czy ja źle myślę?

Jeśli dane administratora wyciekły, to jak piszecie "spełniał on kryteria".
A skoro ktoś miał dostęp do admina, to nie mógł pobrać sobie danych wszystkich userów? No po za tym hasłem, jeśli faktycznie one wyciekły przez problem, o którym pisze MyLead i faktycznie są hashowane.

Zacznijmy od tego, że nikt nie uzyskał dostępu do wszystkich użytkowników - potwierdzają to logi, które przejrzeliśmy. Nikt nieuprawniony nie skorzystał z panelu administratora. Zaznaczamy, że dane wyciekły na dwa sposoby - inaczej dane osobowe i inaczej dane z hasłem, tak jak pisaliśmy w naszym poprzednim oświadczeniu. Administrator logował się w czasie ataku - weekendu majowego, dlatego jego dane osobowe wyciekły. Jednocześnie nie wyciekło hasło administratora, ponieważ nie miał zapamiętanego hasła w przeglądarce.

Co do samej możliwości zalogowania się do panelu admina, to tak jak napisał Wojo, korzystając z haseł podanych na liście, nie byłoby to możliwe, gdyż wyciekły dane osobowe administratora, a nie jego hasło. W związku z tym, podtrzymujemy - problem dotyczy jedynie niewielkiej grupy wydawców. Podatność ta wykorzystana została do pobrania wyglądu niektórych podstron dostępnych w panelu, w tym zakładki profil, przez co możliwe było pobranie danych zawartych na koncie użytkownika, lecz nie wszystkich użytkowników i nie poprzez panel admina. Tak jak innym użytkownikom narażonym na atak, tak również administratorowi wyciągnięto kopie HTML jego zakładek, natomiast ważne jest to, że te nie zawierały żadnych danych wrażliwych, ponieważ dane do tychże zakładek dociągane są w kolejnych zapytaniach, a do tego dostępu już nie było.

Jednocześnie wprowadziliśmy szereg zabezpieczeń, dzięki którym dostęp do części adminowskiej jest zabezpieczony najlepiej jak to możliwe.

(05-06-2018 22:15)kizunka78 napisał(a):  Przeciez pobrał pokerface

Nie miało to miejsca.

Cytat:Nawet jeżli dotyczyło by to fake kont to o ile prawdopodobne staje sie że w normalnych kontach też istnieje taka opcja ? Nie mówię o ucinaniu 90% ledów bo to nie dało by sie ukryć ale 5-10% jak najbardziej? Jeśli ktoś chciałby sprawdzić to musiałby powysyłać duzo smsów i raczej mało kto zdecydował by sie na wysyłanie 10 smsów by to sprawdzić . Miałem kiedyś taką sytuacje w innym serwisie że wysłałem 3 smsy i 1 nie zaliczyło po napisaniu do admina otrzymałem odpowiedz że to jakiś błąd a lead został doliczony

Jeśli tabelka byłaby prawdą, wtedy musielibyśmy obcinać ogromny procent leadów, zwłaszcza w godzinach nocnych, nawet na poziomie kilkudziesięciu procent, co bardzo szybko wyszłoby na jaw. Wielu z naszych użytkowników przeszło do nas z innych sieci afiliacyjnych i zostało z nami na dobre, ponieważ pojawiło się u nich zadowolenie z osiąganej konwersji. Powtórzymy więc raz jeszcze - zawsze gramy fair w stosunku do naszych wydawców.

Czy konto Administrator nie ma dostępu do wszystkich danych użytkownikow ?
Skoro ktoś do niego miał dostęp to miał też do wszystkich danych dostęp .
Nawet jeżeli wyciekły dane tylko części osób to w jakim stopniu to was usprawiedliwia ? Kto odpowie za ewentualne szkody przez to wyrządzone ?

RE: Zabezpieczenia MyLead.pl - Dane użytkowników dostępne w sieci - Hoolig4n - 06-06-2018 13:09

Cytat:Jako ciekawostkę dodam że zlokalizowaliśmy numer telefonu osoby która dokonała ataku. Jak wiecie przy rejestracji konta w naszym serwisie, niezbędne jest potwierdzenie danych numerem telefonu. Haker musiał założyć konto w serwisie aby za implikować złośliwe oprogramowanie w podatne miejsca. Ten, oraz inne dowody zostały przekazane odpowiednim służbom. Numer pochodził z Polski

Numer na 100% zarejestrowany na słupa, więc szanse na znalezienie sprawcy są znikome. Ktoś kto potrafi robić takie rzeczy nie popełnił by takiego błędu, podając swój numer telefonu, który potwierdził swoim dowodem tożsamości. Chyba, że jest totalnym debilem...