In primul rand, imi pare rau ca raspund cu atata intarziere acestui subiect. Apoi...
Mi se pare cel putin ciudat sa vad ca scrii asta in conditiile in care celalalt (i.e. singurul) om care a mai luat lista de emailuri in afara de tine este cel care m-a anuntat ca avem o problema.![]()
de unde stii cati au luat lista?
Spune cand am interogat eu si la ce ora??? sa vedem cand a fost deschis topicul . E o diferenta intre a vedea daca chiar exista vulnerabilitatea si a avea lista sau a se folosi de ea
Ultima modificare făcută de avram; 7th December 2011 la 12:27.
Vrei sa te conving ca nu ne-am nascut ieri, ca stim sa punem cap la cap niste informatii sau ce anume vrei sa explic?
Sa incerc, totusi...
Dupa ce OP mi-a trimis mesaj pe forumul Seopedia ca a gasit vulnerabilitatea, am dezactivat accesul la instructiunea respectiva din API, am notificat 2Performant (i.e. pe @sradu) si am inceput sa ne uitam in logs sa vedem ce date am pierdut.
Am observat ca au fost facute requesturi de vizualizare a detaliilor pentru toate ID-urile de useri via API, iar aceste cereri au fost facute folosind doar 2 conturi 2Parale: cel al lui OP (@andyradutza) si al tau.
Mai mult, pe ultimele ~2 luni, nu a mai existat vreun user care sa fi facut requesturi pentru liste mari de useri. @andyradutza a solicitat stergerea descrierii vulnerabilitatii, pentru a evita situatiile neplacute in care cineva ia toata lista. Ca urmare, ii vom acorda prezumtia de nevinovatie si inca o data ii multumesc lui @Cristi Ursut pentru promptitudinea si corectitudinea de care a dat dovada.
Sunt destul de putine conturi in 2Parale care au adrese de mail dedicate pentru retea (avem si noi cateva conturi de test pe adrese de mail single-purpose), iar noi n-am primit nimic pe niciuna dintre ele. Mai mult, din cate am remarcat, adresa de mail din contul tau nu pare a fi dedicata, asadar nu stiu exact cum ti-ai dat seama ca mailul a venit ca urmare a compromiterii contului tau.
In conditiile astea, mi se pare exagerat/ciudat ca tot tu sa fii cel care striga "hotii".
Cel putin pana acum, se pare ca n-a ajuns la nimeni baza de date cu adresele de mail are userilor, insa daca se intampla cumva, stim destul de clar pe cine trebuie sa luam la intrebari
--- Later Edit --- (ca mi-a fost lene sa apas "Edit")
Tu verifici daca poti lua informatiile oricarui cont
- luand aleator cateva ID-uri si vazand daca se poate?
SAU
- facand ~9500 de requesturi pentru a vedea daca e vreunul care e inca "sigur"?![]()
Eu recunosc ca am accesat dupa ce am vazut topicul asta. Dar nu m-am folosit de datele astea .Intr-adevar s-a dus pana la capat ca am folosit in cod try -- ctach . Nu sunt eu raspunzator de SPAM sau ca lista e vanduta . Acuzi pe nedrept
Imi scapa rolul intrebarilor tale anterioare referitoare la timestamp-ul request-urilor, atunci. Repet, consideri ca scriu doar de dragul de a imi admira posturile sau pentru ca fac parte dintr-o echipa capabila sa puna cap la cap niste informatii?
Nu am acuzat pe nimeni de nimic. Mai mult, sunt convins ca lista NU e vanduta, pentru ca nu avea cine s-o vanda si, in plus, ne-am fi dat seama de chestia asta pana acum.
Ce am spus este ca mi se pare ciudat ca tot tu sa fii cel care striga in public ca primeste SPAM. Nu te-ai impiedicat de datele respective pe strada, au dedicat macar 15 minute din timpul tau ca sa le obtiiMa gandesc ca nu te asteptai sa fie doar atat de putini oameni care chiar au incercat sa le ia, nu?
Da-mi si mie un PM cu adresa de mail pe care ai primit SPAM si/sau un fwd la mailul respectiv, te rog. Daca se poate cu tot cu headere, ca sa vedem de unde a pornit si sa prezentam problema organelor de control abilitate, daca este cazul. Desigur, asta dupa ce verific prezenta adresei tale de mail in backup-ul de sambata/duminica al bazei de date cu userii 2Parale.
Cineva de aici a spus ca primeste de-o saptamana nu de ieri .
iti dau doua ca am mai primit unul . Da-mi adresa ta.
Momentan este/sunt 1 utilizator(i) care navighează în acest subiect. (0 membrii și 1 vizitatori)