Telekomunikacja jak na dłoni
Wiadomości Fatalne zabezpieczenia serwerów Orange - część II

Fatalne zabezpieczenia serwerów Orange - część II

WitekT 25 Września 2006 11:16

0 0

Znaleźliśmy kolejną dziurę w serwerach Centertela. Tym razem pozwala ona na swobodne przeglądanie poczty klientów Orange.

Tak, jak poprzednio, czynność ta nie wymaga żadnych programistycznych zdolności. Umożliwia m.in. przeglądanie poczty dowolnego konta MultiBox czy sprawdzenie możliwości skorzystania z programu ProPozycja.

Niestety (a może "stety") szukanie konkretnych MultiBoxów odbywa się trochę na ślepo, choć bez problemów można przeczytać pocztę swojej rodziny czy przyjaciół – wystarczy ich tylko sprowokować do określonego zachowania.

Udało nam się znaleźć MultiBoxa Jacka Kalinowskiego, rzecznika grupy TP. Oto kilka innych przykładów, wyciągniętych dzięki temu poważnemu błędowi w bezpieczeństwie (po lewej alias, po prawej numer telefonu użytkownika – oba częściowo zamaskowane):
przedszkole**@orange.pl – 504**5777,
hool**@orange.pl – 503**9513,
**iedrzycki@orange.pl – 504**9562,
santana***@orange.pl – 503**3663,
***pard@orange.pl – 503**0670,
anna**@orange.pl – 501**0009.




Skrypt, który wyciągałby takie powiązania, można zawrzeć w kilkunastu linijkach. Niejedna firma czy osoba z pewnością dobrze zapłaciłaby za taką bazę danych. Proszę się nie martwić – my szanujemy tajemnicę korespondencji. Nie zmienialiśmy na kontach niczego ani nie czytaliśmy żadnych listów. Nie zamierzamy także z nikim dzielić się zdobytymi w ten sposób informacjami.

Marcin Gruszka z biura prasowego Orange obiecał przysłać wkrótce oficjalnie stanowisko firmy w tej sprawie.

O poprzedniej dziurze w zabezpieczeniach, która pozwoliła nam ściągnąć m.in. poufną umowę między Centertelem a Comarchem, pisaliśmy w tej wiadomości.

Źródło tekstu: wł     

Dodaj do:
w sumie: 40
  • 0

    21. ~wlo  2006-09-25 12:12:10  host: anv57.neoplus.adsl.tpnet.pl

    Aha! - czy pisałeś do boku simplusa, że nie odpowiada Ci to? Ja pisałem już dawno, że to nie jest właściwy sposób informowania o aktywcaji pakietu ;-) Dostałem nawet odpowiedź...

  • 0

    22.  2006-09-25 12:15:42

    *** wlo - na szczescie ani nie korzystam z uslug orange, ani nie mam innej bezplatnej skrzynki u opa :-) patrzac Twoimi kategoriami to powinienem zapytac: wolisz plaskacza w kark czy w czolko? :-P jasne, ze takie zabezpieczenie (lub jego brak) jest karygodne, ale ile osob to wykryje, a ile z niego skorzysta? :>

  • 0

    23.  2006-09-25 12:17:46

    *** wlo - nie, nie pisalem o tym do BOKu.. czemu? ano temu, ze reklamacje do plusa mi sie juz odwidzialy! za kazdym razem co napisze cos do nich, to odpowiedz mam w stylu: "dziala jak dziala. nie podoba sie to won!" :-/ wiem, ze to slaby argument, ale: juz tyle innych osob monitowalo w tej sprawie, a poprawy nie ma od poczatku eboka simplusowego..

  • 0

    24. ~wlo  2006-09-25 12:24:18  host: anv57.neoplus.adsl.tpnet.pl

    Q! - ci którzy wiedzą jak się dostać to i doskonale wiedzą jak to wykorzystać ;-) Nie musi każdy mieć dostępu, żebyś Ty miał problemy - nie wiesz o tym?

  • 0

    25. ~wlo  2006-09-25 12:26:39  host: anv57.neoplus.adsl.tpnet.pl

    Pewnie, ze większośc wiadomosci większości użytkowników to śmieci, ale... Znajdzie się perełka czasem ;-) A taka perła, jak wiesz, może mieć znaczną cenę, w zależności komu może być przydatna ;-)

  • 0

    26. ~  2006-09-25 12:29:17  host: apn-100-181.gprsbal.plusgsm.pl

    TO PREZENT OD UZYTKOWNIKOW NA 1 I OSTATNIE TAK HUCZNE URODZINY ORANGE.ILE RAZY WCHODZILEM NA KONTA KOLEZANEK..TE ZABEZPIECZENIA SĄ ZEROWE,PODKRESLAM ZEROWE..

  • 0

    27.  2006-09-25 12:31:24

    *** wlo - to, ze ktos wie jak sie dostac wcale nie oznacza, ze od razu bedzie chcial to wykorzystac (w zlym celu) :-) chyba za bardzo wierzysz w spiskowa teorie dziejow ;-) padles kiedys ofiara takiego spisku? ja na szczescie nie, i mimo iz wierze w ludzi (jakkolwiek to zabrzmi), to staram sie swoje (cenne lub mniej cenne) dane trzymac od nich z daleka, tak na wszelkie wypadek :-) wiesz - czego oczy nie widza.. ;-)

  • 0

    28. ~dt  2006-09-25 12:43:00  host: wap.plusgsm.pl

    nie wiem czego chcecie od e-boku. Czasem aplikacja jest niedostepna no trudno, ale z reguly dziala ok. Czego tam tak naprawde szukacie? Ja sprawdzam biezace uzycie, stan pakietow i jakos mi dziala. Czasem dodam jakis pakiet lub usune i wszystko gra.

  • 0

    29.  2006-09-25 13:30:53

    no popatrzcie, i to ma być najlepszy operator, jak nie można u niego czuć się bezpiecznie???!!!

  • 0

    30. ~wlo  2006-09-25 13:36:10  host: anv57.neoplus.adsl.tpnet.pl

    Q! - tak - nie dziejów, ale w skarbowym - wynoszone są informacje przez ludzi, którzy mają do nichg dostęp, które później wykorzystują ci, któzy do nich dostępu nie powinni mieć ;-) W ludzi ja też wierzę... Ale stosują powszechnie znaną maksymę jednego sławnego kardynała ;-)

  • 0

    31. ~KimdzonG  2006-09-25 13:53:55  host: dpy250.neoplus.adsl.tpnet.pl

    no to kolejny raz sie orange nie popisał:]

  • 0

    32. ~Rafik  2006-09-25 14:57:34  host: bvw65.neoplus.adsl.tpnet.pl

    wlo! - EBOK - praktycznie codziennie pojawia się komunikat "aplikacja chwilowo niedostępna", soboty i niedziele to standartowo niedziałające prawie wszystkie systemy Polkomtela,

  • 0

    33. ~wlo  2006-09-25 15:20:41  host: anv57.neoplus.adsl.tpnet.pl

    Rafik - naprawdę nie wiem jak często trzeba wchodzić na e-bok, żeby zbaczyć ten komunikat... Ja właśnie w weekendy przeglądam e-bok. Nie zauważam tego o czym mówisz.

  • 0

    34. ~Rafik  2006-09-25 17:16:40  host: bwj203.neoplus.adsl.tpnet.pl

    wlo - ostatnio korzystam z Eboku ( jak działa) z trzy razy dziennie, przenosiłem numer do Plusa (bez podpisywania nowej umowy, tylko zmiana numeru), i mam niezły miszmasz z niektórymi usługami.

  • 0

    35. ~wlo  2006-09-25 17:28:45  host: anv57.neoplus.adsl.tpnet.pl

    Uuuuu... To chyba źle zrobiłeś ;-)) Sa widzisz jak to "u nas" w Plusie jest ;-)

  • 0

    36. ~Rafik  2006-09-25 17:40:31  host: bwj203.neoplus.adsl.tpnet.pl

    Wiem jak jest od dobrych kilku lat :), lecz mimo wszystko wielkim sentymentem dażę tą firmę ( i Erę :) choć to właśnie z Ery przeniosłem numer aktywowany w 98 roku).Jeżeli krytykuję Plusa to tylko dla jego dobra, bo niestety wielkie korporacje mają tendencję do samouwielbienia i oderwania od rzeczywistych potrzeb takich malućkich klientów jak ja.

  • 0

    37. ~Rafik  2006-09-25 17:40:55  host: bwj203.neoplus.adsl.tpnet.pl

    Wiem jak jest od dobrych kilku lat :), lecz mimo wszystko wielkim sentymentem dażę tą firmę ( i Erę :) choć to właśnie z Ery przeniosłem numer aktywowany w 98 roku).Jeżeli krytykuję Plusa to tylko dla jego dobra, bo niestety wielkie korporacje mają tendencję do samouwielbienia i oderwania od rzeczywistych potrzeb takich malućkich klientów jak ja.

  • 0

    38. ~  2006-09-25 19:26:41  host: abcy106.neoplus.adsl.tpnet.pl

    wlo: Mylisz dwóch różnych facetów. Ten to powiedzenia nigdy nie chodził w sutannie.

  • 0

    39. ~wlo  2006-09-25 19:52:35  host: anv57.neoplus.adsl.tpnet.pl

    38. - ?? Kardynał nie musi nosić sutanny ;-) Nie jest to obecnie praktykowane, natomiast by ło to bardzo powszechne w ubiegłych wiekach - książęta kupowali sobie tytuły kardynalskie ;-)

  • 0

    40. ~Rafik  2006-09-26 12:18:11  host: bwj203.neoplus.adsl.tpnet.pl

    godz 12.17- EBOK - Aplikacja czasowo niedostępna.

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-198-143-210.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.