У клиента один из сотрудников оформил счет от другого лица и отправил себе товара на 250 баксов. Его на удивление просто моментально вычислили и уволили. Вот интересно, а оно стоило того, чтобы рисковать своей работой из-за $250.
Я себе отправить не могу с сайта клиента, потому что он не отгружает в Канаду, но даже если бы отгружал, я бы не стал рисковать работой из-за этого. А в США вроде бы с работой сейчас не очень все прекрасно.
Ты когда-нибудь пионерил что-нибудь с работы дороже ручки или тетрадки? Личные данные конечно же не оставляйте и тем более не оставляйте свое рабочее место в комментариях.
Сегодня читал новость о том, что в Канаде активизировались попытки украсть информацию о кредитных картах. На самом деле это было кажется всегда. Еще три года назад, когда я приземлился впервые Канаде я удивился, как это уже через неделю мне звонит оператор Google и говорит, что им нравится мой бизнес и они хотят подарить мне $200 на развитие. Все абсолютно безвозмездно и единственное, что требуется от меня, дать данные моего счета. Я говорю, что в Google аккаунте есть мой счет, ведь я его использовал как AdWords, так и в AdSence и если Google щедро хочет одарить меня, то милости прошу на счет, который уже прикреплен к аккаунту в любом из этих двух сервисов.
Но конечно же оператор не согласился и настаивал, чтобы я продиктовал все по телефону. Мне хотелось сказать нежно и ласково на русском, но даже вульгарно Fuck off не сказал, а просто повесил трубку. Вы знаете.
На работе у админов на стене весит вот такой большой телевизор, на который транслируется активность хакерв с указанием IP адреса хакера и страны. Все это транслируется в виде таблички внизу в середине, в котором с завидной популярностью появляется Russia и особенно Moscow.
Есть такая очень крупная компания из индии TCS, которая занимается IT, в том числе хостят сайты. У нас сразу два крупных клиента хостят сайты у этой компании. Наши админы занимаются мониторингом и должны реагировать первыми на любые ошибки, чтобы убедиться, что ошибка не уровня приложения и в бой должны вступить мега мозги из Индии, чтобы устронить свой косяк.
Сегодня общался с админом и он сказал, что TCS выдали ему два аккаунта для двух клиентов и два пароля. Хотя нет, пароль был один для обоих аккаунтов - welcome1. Не надо объяснять, что этот пароль в списке самых дебильных по любым анализам.
Из правил доступа к VPN:
- нельзя использовать для несанкционированного доступа к сетям
- нельзя использовать с целью нарушения авторских прав
- нельзя использовать для рассылки спама
и далее в таком же духе. В общем, запрещено все, что нелегально. А если использовать VPN для легального серфинга и не нарушать закон, то нафиг он нужен с IP адресом в Швеции, Голландии и других европейских странах. Я понимаю, зачем он нужен с адресом США. Просто контент некоторых сайтов ограничен только для жителей этой страны. Самый простой, но не самый дешевый способ сделать вид, что ты америкос – это как раз VPN.
Наталья Касперская уверена, что смартфоны и планшеты Apple - iPhone и iPad ведут скрытую фото и видеосъемку и отправляют данные в Apple.
Все, я не знаю, что тут добавить. Сначала хотел добавить, но потом понял, что это самодостаточное мнение. Интересно, как она смогла найти это. Потом она говорит:
Хочу обратить внимание на следующее обстоятельство: против Apple было подано около 20-ти судебных исков от жителей США и коллективный иск от 27000 южнокорейцев по обвинению в слежении за пользователями
Сегодня на РБК интересная новость - видео по ДТП с участием игумена Тимофея стер вирус. Цитата из новости:
Данные на карте памяти регистратора из полицейской машины, куда был посажен Алексей Подобедов, стерлись в результате вирусной атаки. Вся информация уничтожена, говорится в предоставленной справке ведомства.
Я с вирусами давно уже не встречался, но когда встречался по работе, то они все данные не уничтожали. Хотя был один вирус, который именно портил информацию еще в 95-м году, уже и не помню, как его звали.
Кручу дырочку в одном крупном интернет магазине. Причем мне дали официальное добро найти дыру и рассказать о ней. Давно я не искал ошибок на чужих сайтах и прямо как-то подстегнуло найти что-то. За час пока нашел один небольшой косяк, но вроде бы как известно, что есть еще один, более серьезный. Нужно выяснить, как пользователь смог обойти систему.
Странно то, что пользователи покупали товар с обманом всего до $25. По крайней мере именно это я увидел в ордерах, которые мне дал клиент. В основном же полный ордер был в среднем на $300, а обман составлял всего лишь $10. В одном случае пользователь купил на $250, а обман был менее доллара. Такие мелкие цифры меня натолкнули на мысль, что пользователи, которые получили обманным путем скидку в $1 доллар и чуть более, могли даже не подозревать, что они имеют систему. Просто сумма слишком смешная, а платили реальными кредитными картами. Хотя на счет реальности я не знаю, это мне не сообщили, но все равно.
Допустим, ты знаешь, что в интернет магазине можно получить скидку от $1 до $10 долларов мошенническим путем. Будешь ли ты рисковать? Обязательное условие - получение товара, потому что этот интернет магазин торгует реальными товарами, типа электронники, DVD и т.д. Если отсылать себе домой телевизор, то придется выдать свой адрес, а отсылать на посредника, ему придется платить процент. Стоит ли это $10?
Apple стал домогаться с просьбой установить в своем профиле ответы на вопросы безопасностии и второй email. Лично меня бесят обе эти фигни и я считаю, что это только мешает. К тому же, предустановленные вопросы на столько простые и банальные. Я вечно выбираю практически на угад и постоянно забываю, потому что дебильные правила для вопросов обязательно содержат какую-то фигню.
Надобность второго почтового ящика так же вызывает серьезные вопросы. Ну у меня ящиков дофига и они мне нужны разными. А вот у жены, например, только один ящик. Идти заводить еще один на бесплатном сервисе? Это небезопасно, потому что она не будет пользоваться этим ящиком и если кто-то уведет его или он просто закроется по старости и откроется кем-то другим, то это откроет только лишнюю дыру в ее аккаунте.
Я не знаю, чем руководствовались специалисты по безопасности, которые выдумали правило в заведении второго почтового ящика к аккаунтам, но это самая глупая идея и только открывает потенциальную брешь. Особенно назойливое и практически насильственное требование Apple задать этот дебильный второй ящик.
Сегодня прочитал в журнале Хакер в типсах следующий вариант атаки:
1. Злой дядька входит на атакуемый сайт и авторизуется на нем. Запоминаем свой SessionID
2. 3лоумышленник подкидывает неавторизованному на сервере пользователю ссылку на скрипт с сервера, который устанавливает куки с идентификатором злоумышленника.
Это реально возможно? Неужели где-то возможен вариант на сайте, где имя Cookie переменной или ID сессии может задать пользователь сайта? Да за такие вещи нужно расстреливать. Сталина на них нет.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
