Сайт компании АТОЛ, скомпрометированы 5к учетных записей. : Беседка

█ 01.06.2015 23:56

Совершенно недавно нашел на сайте атола почти в открытом доступе более 5 тыс аккаунтов их партнеров и пользователей в виде
ID FullName Company Email Login Password GroupId

Пароли аккаунтов md5hash и подбираются по таблицам почти мгновенно , отправил им письмо неделю назад о наличии уязвимости , реакции никакой .

Доколе у нас такое отношение к чужим данным то будет?

█ 02.06.2015 08:14

Почти в открытом, это к базе пароль?

Цитата:

21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8443/tcp open https-alt

молодцы, конечно... Рукожопие у нас повальное, а, в силу стремления удешевить рабочую силу, берут кого попало.
Только выкладывать сюда ничего не надо, равно как и какие-либо признания, что что-то проверял на устойчивость. Могут по 272 УК прокатить потом.

█ 02.06.2015 08:17

А! До Беларуси не дотянутся :)

█ 03.06.2015 13:56

Да как бы выкладывать ничего и не собираюсь , просто пускай их клиенты знают , как относятся к личным данным компания.

Почти в открытом ,это значит что не обладая определенными познаниями, через определенные поисковые строки в гугле можно найти, без авторизации доступ к таблицам аккаунтов на сайте.

█ 03.06.2015 14:02

Получен ответ :
Большое спасибо за предупреждение! Будем исправлять.

С уважением,
Мария Мнушкина
PR менеджер
Компания АТОЛ
Москва

Все данные пользователей располагались по адресу

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

█ 04.06.2015 11:08

ребята оперативно отреагировали и закрыли уязвимость.

█ 04.06.2015 12:02

Это халатность, а не уязвимость :)