טוב, כמובטח, שרשור טכ*י על הפרצה באתר שירות בתי הסוהר, ולמה א*י מאמין שמדובר ברשל*ות שכבר חצתה את גבול הפלילי. א*י לא חושף את כל המידע כדי לא לאפשר שחזור של החולשות, אבל כל הפרטים במלואם *שלחו לשב"ס עם צעדים לשחזור והמלצות לפעולה. *תחיל:
וכשחשבתי שאין יותר חוסר מקצועיות מצד החברה שב*תה לשב"ס את האתר, הם "שכחו" גיבוי של האתר שלהם חשוף לרשת, כן, עם סיסמאות, והכל *גיש דרך הדפדפן. זה כבר מעבר ללא *עים pic.twitter.com/K2ys9YKDCC
טוב, תקשיבו, *ראה לי שהגע*ו לשכבת המטריקס, כמו שאומרת עג"ג. אמ;לק: אפשר להריץ שאילתות בדטהבייס פשוט ע"י קריאה לאתר. בכל ריצה של הקוד קודם כל רץ סקריפט שבודק כל מי*י דברים. חלק מהדברים שהוא בודק זה קיומם של פרמטרים מסוימים, שאם הם *מצאים הוא פשוט מריץ את התוכן שלהם בלי בדיקה pic.twitter.com/6QsAeYt5X4
הקוד הזה *מצא *בכל* התק*ה של המערכת אצל *כל* לקוח. זו לא פרצה, זה שלט *יאון מהבהב "בואו בואו, יש מסיבה בדטהבייס, כולם מוזמ*ים, הכ*יסה חופשית". המפתחים *יסו להסתיר אותו באמצעים פרימיטיבים מאוד, אבל זה כבר מעבר לכל מה שאדם עם חצי תא שכל מתפקד היה מדמיין לעשות
תכלס מה שזה אומר זה שהמפתחים הכ*יסו (בחובב*ות הרגילה) דלת אחורית לכל מערכת שלהם ו*יסו להסתיר אותה (שוב, בחובב*ות רבה) באמצעות "סקיוריטי ט'רו אובסקיוריטי". הקוד הזה הרי *גיש לכל לקוח שלהם, וברגע שרואים אותו מקבלים גישה אוטומטית לכל שאר הלקוחות. זה מעבר לרשל*י, זה כבר מכוון
א*י מרגיש שצריך להדגיש את ה*ושא הזה: שב"ס שילם על מערכת בה *הותק*ה במזיד* דלת אחורית שאיפשרה לכל אחד גישה למסד ה*תו*ים באופן חופשי וא*ו*ימי. אם זו לא לכל הפחות רשל*ות פלילית, א*י באמת לא יודע מה כן
'
26-04-2018, 00:07
