Tema: Re: ka darytumet, jei rastumet svetimoje sistemoje saugumo spraga
Autorius: all set
Data: 2010-01-17 02:49:17
apkaltintu isilauzimu ir tiek ziniu

"VyvIT" <labas@viso.iki> wrote in message 
news:hipkrh$1q6$1@trimpas.omnitel.net...
> Labas visiems,
>    benaršant po google search rezultatus užkliuvo nuoroda į tam tikrą 
> paslaugą atliekančios tarptautinės kompanijos (turi daugiau nei 10 
> užsienio atstovų) puslapį;
>    na, o, bet, tačiau, kadangi ta tema man buvo aktuali, nusprendžiau 
> 'pasižvalgyti':
>    o - radau nuorodą į prisijungimą prie sistemos
>    o - beveik standartinė prisijungimo forma su user, password ir t.t.
>    o - pasibandziau suvesti kelis dažniausiai naudojamus demo 
> prisijungimus (demo,demo; user,demo.. :] ir t.t)
>    o - vienas jų mane įleido ("User" teisėmis)
>    o - toliau pažaidžiau su Firebug'u, Fiddler'iu ir išsiaiškinau, kad 
> galiu sistemoje matyti DAUG DAUGIAU, nei įprastinis useris:
>    o -     o - kurti vartotojus, trinti vartotojus (jei jau buvau sukūręs, 
> tai ir ištrint reikėjo :]),
>    o -     o - pakeisti savo ir kitų vartotojų teises
>    o -     o - MATYTI kitų vartotojų tam tikrus duomenis ir t.t., ir t.t.
>
> Jeigu ta informacija būtų paskelbta viešojoje erdvėje, yra labai nemažai 
> šansų, kad ta kompanija galėtų prarasti ne vieną ir ne du šimtus klientų.
>
> KLAUSIMAI:
>    Ar man pranešti atitinkamiems tos kompanijos asmenims apie šią sparagą?
>    Ar prašyti atlygio? :] (Neatrodys tai kaip pinigų išmušinėjimas, 
> šantažas ar pan.?)
>    Ar pasisiūlyti pakonsultuoti tą kompaniją?
>    Kokie būtų jūsų veiksmai?
>
> P.S. Apie kompaniją neklauskit, nieko detaliau nepasakysiu ;]
>
>
> -- 
> _____
> VyvIT
>