Editat de Cristi Ursut.
2Parale are aparent un bug destul de periculos, iar acest post a fost editat pentru a nu da altora idei de exploatare a bug-ului.
Versiune printabilă
Editat de Cristi Ursut.
2Parale are aparent un bug destul de periculos, iar acest post a fost editat pentru a nu da altora idei de exploatare a bug-ului.
Ups...
Nimic din toate acestea nu ar trebui sa fie publice dupa parerea mea.
Da... pai mai lipsea sa faca publica si parola si gata, puteau spune c-au facut o treaba buna :)
Lasand gluma la o parte, i-ai contactat direct sa le semnalezi chestia asta? Pt ca poate este un bug si ei nu l-au luat in calcul. Scrie-i lui tetele vezi ce zice ele. Sunt sigur ca mai mari sanse ai sa primesti un raspuns oficial daca-i contactezi direct, decat intreband aici pe seopedia.
Dupa cate stiu eu e too late. Baza de date cu email-uri posibil sa fi fost deja folosita in scopuri neortodoxe. (si sa fie in continuare)
Poate ca m-am grabit postand mai intai aici. Multumesc de sfat, i-am trimis un mesaj lui tetele.
Eu zic ca ar fi bine sa sterg threadul asta :)
Adica sa nu creada cineva ca incerc sa musamalizez, pentru ca imi e egal (desi nu chiar indiferent pentru ca si datele mele sunt acolo). Insa cel putin detaliile din primul thread ar tb sterse.
@cristi: in cazul acesta cred ca cel putin primul paragraf il poti scoate, nu pot sa editez.
Am editat complet. Cred ca e cel mai bine asa.
Salutare!
Intr-adevar, este un bug in platforma, pe care l-am semnalat celor de la 2Performant. Va multumim pentru sesizare si, mai ales, celor de la Seopedia pentru modul foarte corect in care au tratat acest caz.
Revin cu detalii pe masura ce corectam problema.
--- Later Edit ---
Temporar, pana la solutionarea bug-ului in platforma 2Performant, am dezactivat accesul la URL-urile cu date sensibile.
Dap nasol
2Performant a rezolvat in acest moment problema, datele utilizatorilor nu mai sunt disponibile via API.
Multumim pentru feedback.Citat:
2Performant a rezolvat in acest moment problema
Poate-i de la interzicerea accesului pe anumite link-uri dar inainte mergea sa ajungi in pagina unui advertiser cu un click jos in notificari->ultimele evenimente->nume advertiser. Acum ajung intr-o pagina de eroare: "Cererea nu a putut fi procesata.. Nu aveti acces pt aceasta pagina.. "
deja primesc spam pe adresa de email folosita in 2P .....A mai primit cineva???Citat:
from whitemailro@yahoo.ro. A început goana dupa cumparaturile specifice perioadei Sarbatorilor de iarna.Luna decembrie înseamna, înainte de toate, o goana dupa cadouri. Perioada sarbatorilor de iarna e
Confirm, mail primit la ora 16:55
Nesimtul asta ... Received: from unknown (HELO PavilionDV7-PC) (79.112.121.135) by smtp2.rdslink.ro scrie la sfarsit ca
Citat:
Echipa www. WhiteMail .Tk va ureaza Sarbatori Fericite!
A T E N T I E !
In conformitate cu legea 365/2002 cu modificarile aduse prin legea 121/2006 privind comertul electronic,
acest mesaj nu este si nu poate fi considerat spam, deoarece:
Eu v-am zis ca deja e tarziu, baza de date cred ca a fost "imprumutata" de vreo 1-2 saptamani. O sa mai primiti si cu mail chimp, pdf si toate shit-urile. Eu cel putin primesc de vreo saptamana pe putin.
M-am uitat pe 52 de zile in urma si nu a fost nici o alta accesare a acestor date.
In primul rand, imi pare rau ca raspund cu atata intarziere acestui subiect. Apoi...
Mi se pare cel putin ciudat sa vad ca scrii asta in conditiile in care celalalt (i.e. singurul) om care a mai luat lista de emailuri in afara de tine este cel care m-a anuntat ca avem o problema. :)
de unde stii cati au luat lista?
Din loguri cel mai probabil.
Spune cand am interogat eu si la ce ora??? sa vedem cand a fost deschis topicul . E o diferenta intre a vedea daca chiar exista vulnerabilitatea si a avea lista sau a se folosi de ea
Vrei sa te conving ca nu ne-am nascut ieri, ca stim sa punem cap la cap niste informatii sau ce anume vrei sa explic?
Sa incerc, totusi...
Dupa ce OP mi-a trimis mesaj pe forumul Seopedia ca a gasit vulnerabilitatea, am dezactivat accesul la instructiunea respectiva din API, am notificat 2Performant (i.e. pe @sradu) si am inceput sa ne uitam in logs sa vedem ce date am pierdut.
Am observat ca au fost facute requesturi de vizualizare a detaliilor pentru toate ID-urile de useri via API, iar aceste cereri au fost facute folosind doar 2 conturi 2Parale: cel al lui OP (@andyradutza) si al tau.
Mai mult, pe ultimele ~2 luni, nu a mai existat vreun user care sa fi facut requesturi pentru liste mari de useri. @andyradutza a solicitat stergerea descrierii vulnerabilitatii, pentru a evita situatiile neplacute in care cineva ia toata lista. Ca urmare, ii vom acorda prezumtia de nevinovatie si inca o data ii multumesc lui @Cristi Ursut pentru promptitudinea si corectitudinea de care a dat dovada.
Sunt destul de putine conturi in 2Parale care au adrese de mail dedicate pentru retea (avem si noi cateva conturi de test pe adrese de mail single-purpose), iar noi n-am primit nimic pe niciuna dintre ele. Mai mult, din cate am remarcat, adresa de mail din contul tau nu pare a fi dedicata, asadar nu stiu exact cum ti-ai dat seama ca mailul a venit ca urmare a compromiterii contului tau.
In conditiile astea, mi se pare exagerat/ciudat ca tot tu sa fii cel care striga "hotii".
Cel putin pana acum, se pare ca n-a ajuns la nimeni baza de date cu adresele de mail are userilor, insa daca se intampla cumva, stim destul de clar pe cine trebuie sa luam la intrebari :)
--- Later Edit --- (ca mi-a fost lene sa apas "Edit")
Tu verifici daca poti lua informatiile oricarui cont
- luand aleator cateva ID-uri si vazand daca se poate?
SAU
- facand ~9500 de requesturi pentru a vedea daca e vreunul care e inca "sigur"? :P
Eu recunosc ca am accesat dupa ce am vazut topicul asta. Dar nu m-am folosit de datele astea .Intr-adevar s-a dus pana la capat ca am folosit in cod try -- ctach . Nu sunt eu raspunzator de SPAM sau ca lista e vanduta . Acuzi pe nedrept
Imi scapa rolul intrebarilor tale anterioare referitoare la timestamp-ul request-urilor, atunci. Repet, consideri ca scriu doar de dragul de a imi admira posturile sau pentru ca fac parte dintr-o echipa capabila sa puna cap la cap niste informatii?
Nu am acuzat pe nimeni de nimic. Mai mult, sunt convins ca lista NU e vanduta, pentru ca nu avea cine s-o vanda si, in plus, ne-am fi dat seama de chestia asta pana acum.
Ce am spus este ca mi se pare ciudat ca tot tu sa fii cel care striga in public ca primeste SPAM. Nu te-ai impiedicat de datele respective pe strada, au dedicat macar 15 minute din timpul tau ca sa le obtii :) Ma gandesc ca nu te asteptai sa fie doar atat de putini oameni care chiar au incercat sa le ia, nu? :)
Da-mi si mie un PM cu adresa de mail pe care ai primit SPAM si/sau un fwd la mailul respectiv, te rog. Daca se poate cu tot cu headere, ca sa vedem de unde a pornit si sa prezentam problema organelor de control abilitate, daca este cazul. Desigur, asta dupa ce verific prezenta adresei tale de mail in backup-ul de sambata/duminica al bazei de date cu userii 2Parale.
Cineva de aici a spus ca primeste de-o saptamana nu de ieri .
iti dau doua ca am mai primit unul . Da-mi adresa ta.
That's weird, tinand cont ca vulnerabiliatea a fost descoperita in noaptea de duminica spre luni (acum 3 zile), cand au fost luate si listele respective de catre tine si cealalta persoana. Dar na, o fi time travelling SPAM :D Sigur e de la lista cu userii nostri, intr-adevar :)
Adresa mea de mail e tudor.sandu la 2parale. Punct ro.
Ti-am mai spus ca nu te acuz de nimic. Mi se pare insa ciudat ca tu faci acuzatii nefondate la randul tau, considerand 2Parale vinovat pentru ce mailuri nesolicitate primesti tu.
Am primit mailul tau si am observat (asa cum credeam) ca adresa respectiva de mail nu este in niciun fel personalizata pentru 2Parale. Daca ma insel, atunci te rog da-mi un reply la mailul precedent in care imi spui (in scris, sa ramana) ca nu o folosesti in alta parte decat in contul 2Parale.
Daca nu ma insel, hai sa terminam cu acuzatiile de amorul artei, pentru ca daca ar fi fost folosita lista "scapata" duminica seara, atunci ar fi primit si alti membri 2Parale mailuri (inclusiv noi, pe niste conturi de test cu adrese de mail dedicate). Or, din cate vad, chestia asta nu s-a intamplat.
In alta ordine de idei, desi nu intra sub incidenta obligatiilor 2Parale, voi contacta ISP-ul in vederea luarii actiunilor necesare pentru cel care a trimis SPAM. Am niste amici pe acolo care abia asteapta sa curete inca o clasa de IP-uri de spammeri :)
Poate ca el le-a luat si cineva i le-a furat si lui, oricum nu ai cum sa acuzi pe cineva , doar pentru ca le-a luat atunci :D
Danila Prepeleac reloaded, gen. Yeah, right!
Din nou, sper ca pentru ultima data. NU acuz pe nimeni ca a vandut lista aia!
Spun doar ca stim exact cine a luat-o.
--- Later Edit --- (ca mi-a fost lene sa apas "Edit")
OK, am rezolvat si problema SPAM-ului. @avram mi-a scris pe mail ca foloseste adresa din contul 2Parale si pentru alte conturi. Atata vreme cat exista membri 2Parale care nu au primit mail-ul despre care vorbea el, voi considera ca adresele respective (inclusiv a lui, a lui @-Rares- etc.) au fost procurate prin alta metoda, si NU de la 2Parale.
Atitudinea romanilor, as usual. Urlete in gura mare, iar dupa ce ii arati "actele", pai sa vezi, ca nu e chiar asa. De fapt mailul ala il folosesc de x ani si l am bagat in toate rahaturile de siteuri :)
Ma rog, vulnerabilitatea e problema 2p, folosirea vulnerabilitatii in scopuri de gen ar putea avea tangente cu codul penal. Pe mine personal m-a lasat rece problema, indiferent ce fac primesc 30 de spamuri pe zi, filtrele isi fac treaba in majoritatea cazurilor, si cu asta am inchis discutia.
Eu unul nu am primit mail-urile respective pe adresa cu care sunt inregistrat la 2parale.
Bug-ul l-am obervat duminica, l-am raportat imediat si de dimineata cei de la 2performant l-au si rezolvat.
Cred ca se exagereaza pe subiectul asta si a deviat foarte mult discutia. Din fericire problema a fost stopata inainte ca cineva sa se foloseasca de acele date.