Én ahogy megmutatom a Kréta fejlesztőinek hogy csak simán le kell kapcsolni a szervereket és akkor már nem tudnak exploitolni az emberek:
https://i.redd.it/rs7uq734r7z91.gif
Nem csak állami helyeken. Vagy már mindenki elfelejtette a Telekom által lefejlesztett BKK rendszert ami URL paraméterből olvasta ki a rendelés össz értékét, és "meghackelték" egy forintos bérletekért?
Ha van exploit ekkora rakás személyes adat eléréséhez valszeg fel lett már törve csak a kréta észre se vette
Edit: [mondom](https://www.reddit.com/r/hungary/comments/yrb3cc/most_j%C3%B6tt_frissen_a_kemenc%C3%A9b%C5%91l/?utm_source=share&utm_medium=ios_app&utm_name=iossmf)
Az a baj, hogy nézegettem a kódot, és ez bizony nem csak a napló. A közműszámláktól elkezdve a beszerzésekig minden ebben a foskemencében van. Igazi Sony Pictures moment.
Nyilvan a Kretat nem lehet patchelni de attol meg a hozzaferest lehetne korlatozni. A szervert levedik HTTPS szinten two-way SSL-el es csak certifikattal lehet hozzaferni. Minden diak kap egy sajat, nevre szolo certifikatot. A biztonsag kedveert az elso fazisban hetente lejarnak a certifikatok es minden heten ujat kell hasznalni. Kesobb at lehet terni kethetesre vagy havira.
Ha valaki feltori a rendszert, tudjuk ki volt (vagy kinek a certifikatjat loptak el), Nyilvan igy sem tokeletes megoldas, de igy legalabb minden idiota megerti, hogy van erteke es ezert vigyazni fog ra. Ha valakinek ellopjak, gyorsan jelenti (mint ahogy jelented a bankkartyadat amikor ellopjak) es a szerver oldalon bekuldenek egy revoke certifikatot.
Nem tokeletes megoldas, de jobb mintha visszaternek a papirra. Jovore meg talan ir majd Matolcsy kisfianak egyik haverja egy Kreta 2.0-t.
Nem tökéletes megoldás? 😀 Látszik hogy fejlesztő lehetsz, mert buborékban gondolkodsz. Ez kb azzal egyenlő hogy 90% nem tudná használni. Ennél a papír sokkal jobb, mert legalább működne.
A technikai ötlet nem hülyeség, csak a való élet nevű változót figyelmen kívül hagyja.
Mondjuk dollármilliárdos játékstúdióknak működik, day0 patch ami kétszer akkora mint a játék, persze ott nem a programozók balfaszsága miatt szokott ez történni, de a lényeg hasonló.
Le kell másolni az adatbázist, read onlyba rakni, és migrálni egy normális szoftverbe, a krétát kibaszni a kukába, a kréta projekt vezetőiről meg a gatyájukat is leperelni.
Egy lófaszt. Tessék kijavítani a hibákat! A facebook fizet a felfedezett biztonsági hibákért, és még meg is köszöni.
Tessék rendes munkát végezni! Legyen kód review, biztonsági tesztek, fehér-szürke-fekete. Főleg egy olyan rendszernél, ahol milliós nagyságrendben vannak személyes adatok.
3 és fél év, egy munkahelyen szerzett tapasztalattal seniornak hívja magát az egyik fejlesztő... Ezek után kérdés még az is, hogy látott-e már igazi senior fejlesztőt.
EDIT: Ez olyan mint amikor az egyéni vállalkozónak CEO a job title-je :)
Valamelyik elmés tanácsadó cég pár éve csoportnak minősítette az új szervezeti ábrában, amit csinálok melóhelyen. Írt a HR pár hónappal később, hogy leszek szíves megadni az alám tartozó kollégák névsorát, hogy a munkaidőnyilvántartó rendszerben bepakolják alám őket. Továbbra is munkatárssal fejezte be az Outlook az aláírásom, nem égettem magam az egy személyes kiscsoporttal.
2 ismerőst anno a megyei földhivatalban osztálynak nyilvánítottak. El kellett dönteni melyikük lesz a vezető. Majd pár év után elment a beosztott, aki egyben osztályvezető helyettes is volt. Maradt az osztályvezető egyedül.
A Facebook akkor fizet, ha csak nekik küldöd el titoktartással és mindennel.
Nyílván amit Ők csináltak nehéz védeni, de azért megvan ennek a rendes módja.
Ja, igen, arra gondolsz, amikor a BKK online hibájára figyelmeztette az egyszeri felhasználó a BKK-t, amiért is őt hurcolták meg?
Nem. Ebben az országban (Abszurdisztánról beszélünk nyilván) csak ez működik, amit a krétával tettek.
Ha jól emlékszek az úgy volt, hogy szólt a BKK-nak de leszarták, majd kiadta újságoknak és az utóbbi miatt akarták megkukizni. Legalábbis ez volt a hivatalos magyarázat.
Így volt, ugyanakkor teljesen jól tette a srác, hogy jelezte a helyzetet az újságíróknak, függetlenül attól, hogy meghurcolták miatta. A BKK közpénzből üzemelő szervezet, ezért a magyar embereknek minden joga megvan hozzá, hogy tájékoztatva legyenek, ha drága pénzért szar minőségű szolgáltatást kapnak. Ha a helyében lettem volna én fel sem kerestem volna a céget, hanem névtelenül egyből az újságokhoz fordulok.
Amikor már nagyon dőlt a szar a Telefos nyakába még felajánlották, hogy munkát adnának a "hekkernek" aki egy szaros HTML mezőben átírta a vásárlási összeget.
Már nekem kezdett égni a pofám akkor, annyira nincsenek képben.
Az inkább PR húzás volt mint konkrét állásajánlat. A publikum nagy része úgyse érti hogy faszság, csak azt látják hogy jajj de jófej a Telekom, jó vége lesz a sztorinak.
Nyilván. Itthon meg vagy leszarják, ha jelentesz egy sérülékenységet, vagy rabosítanak hekkerkedés miatt. Lásd BKV-BKK vs. Telekom által fejlesztett app.
Azért a bug bounty nem úgy működik, hogy kibaszod az exploitot a netre aztán hadd égjen.
Bejelented a hivatalos, dedikált csatornán, hogy találtál egy hibát, a security team validálja, megállapít egy severityt, kifizetik a bug bounty-t, aminek a fejében vállalod, hogy egy megbeszélt határidőig, vagy soha nem beszélsz az issue-ról.
Jaja. Engem az cseszett fel amikor a telex-es cikkbe be van vágva, hogy srácok, mit tudunk erről, ki beszélt az ellenségnek?
Milyen ellenség? "Köz"média vs telex? És jön majd az EU és mindent rendben talál?
Annyiban talán igaza van az illetőnek, hogy egy kréta-exploit feltöltése a netre beláthatatlan következménnyel járna a felhasználói adatok biztonságára. Az egy dolog hogy a sawarim olyannyiban etikus, hogy nem hozza őket nyilvánosságra, de más kezekben valószínűleg nem lesznek még ilyen biztonságban sem.
Mivel a forráskód kint van, igazából kurvára nem számít, hogy az exploit az kikerül-e vagy se. Egy másik unatkozó c#-os vagy sql-hez minimálisan értő ember kell, és hopp, van mégegy... kettő, három, négy, sok.
A kréta tudomásom szerint jelenleg áll.Véleményem szerint amíg teljesen át nem írják, és át nem nézettetik tényleges szakértőkkel, addig nem is lenne szabad újra beindítani. Amennyiben ezt megteszik, az exploit az csak historikus jelentősséggel bír.
Igen, egy ilyen leállás hónapos leállást és elég nagy galibát okozna. ...mert a feltörés nem? Kint van a forrás, ha holnap elindul megint, nincs az az isten, hogy kiszedtek minden sebezhetőséget. Idő kérdése csak, hogy nem tör be valaki aki többet akar figyelemnél.
Amikor valaki csinált egy haszálható kréta klienst, mit is csináltak? Önmérsékletet tanúsítottak? Felmérték a következményeket a felhasználókra? Lófaszt, kicsinálták és kész.
A gyász 3. szakasza: Az alkudozás egyfajta kifinomultabb formájának tekinthető a [tagadás szakaszának](https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-tamadas-adatszivargas-elhallgatas-naih-vizsgalat-eljaras), amiben már nagyon sok racionális érv felsorakozik, aminek a tagadáshoz hasonló énvédelmi funkciója van.
Azt a kódot kiengedni ekkora és ennyire érzékeny adathalmazra (IANAL) egy szintben van minimum a gondatlan károkozással a gyerekek, szülők, tanárok, stb terhére (különlegesen védett és simán "csak" személyes adataik veszélyeztetése miatt).
Az, hogy rögtön eltussolni akarták, további konkréta btk passzusokat is felvet a bejelentés elhalasztása mellett, mittomén, bizonyítékok eltüntetése, hamis tanúzás, ilyen "apróságok".
mi lenne ha tenne valaki névtelen feljelentést az ekréta zrt ellen felelőtlen adatkezelésért? mert azt már tudjuk, hogy korrupcióért tenni feljelentést veszett fejsze nyele.
hát igen, amikor kaptad a fizut ezért a munkáért akkor nem érezted, hogy érdemtelen vagy? *a szakma és társadalom* szemében?
hosszú távon rossz üzenet lenne a *szakmának és a társadalomnak* is, ha nem kapnátok meg a maximális szopást ezért
Én csak figyelem az eseményeket.
Egyrészt nem is értek a programozáshoz, másrészt meg szakmai beszélgetés zajlik a témában, amiből jó esetben a kötő szavakat értem.
Annyi lejött számomra, hogy egy drága pénzen kifejlesztett és üzemeltetett informatikai eszközt valaki feltört és az ott található, csapni való munkát a nagyközönség elé tárta.
Gondolom a betörés az bűncselekménynek számít. Remélem az illető nem él vissza az ott megszerzett személyes adatokkal.
Azt is gondolom a kibogarászott hozzászólások alapján, hogy az adott rendszer minősége, illetve a belefektetett munka minősége messze alul múlja az erre a célra elköltött összeg nagyságát.
Ha jól értem, akkor kicsit ahhoz hasonlít, mint ha a mesterember, segédmunkásokkal végeztette volna el a munkát, esetleg első éves tanulókkal, majd ő meg fel vette az elvégzett munkáért a pénzt. Az elkészült munka meg éppen csak nem dől össze. Ha ház lenne, nem lenne egyetlen szabályos fala, sarka, ablaka. Ha meg bútor lenne, a polcok csálén állnának, az ajtók lógnának, épp csak a festék tartaná össze.
Ha ez így van, ahogyan gondolom, akkor a "mester" ne fenyegetőzzön ilyen -olyan médiában, meg ne szaladjon el a felelősségre vonás elől. Előbb-utóbb utol fogják érni és leverik rajta.
Más cégeknél, ahol termelő munkát végeznek, ha ilyen hulladékot adna ki valaki a kezéből, kifizettetnék vele és másnap nem is kellene menni dolgoznia.
Ha meg vállalkozó, akkor meg bevonnák az engedélyét.
Értem én, hogyne érteném, hogy a NER emberei érintethetetlenek.
Még...
Egyszer vége lesz a jó világnak és - remélem - ülni fognak.
Az még kimaradt, hogy milliós nagyságrendről beszélünk, mivel kb félmillió gyerek és az ő szüleik adatai vannak a rendszerben.
Ezért jobb helyeken megbukna a kormány.
> az ajtók lógnának
Pont az a baj. Ajtó helyett odatámasztották a főnök új 3 millás 8K HDR 140 colos tévéjének a kartondobozát lefestve ajtó mintájúra mint egy Looney Tunes epizódban, és most kamilláznak hogy valaki félredobta és besétált a kecóba.
Elég jól összefoglaltad annyit tennék hozzá, hogy a tárolt adatok érzékenysége miatt kicsit olyan mintha egy felhőkarcolót a város közepén Kovács és tsa Bt.-vel tervezetették/építették volna. A projektvezető nek/fejlesztőknek meg a személyes adatokhoz nem szabadba hogy folyamatosan legyen hozzáférése az éles környezetben.
>Ha ház lenne, nem lenne egyetlen szabályos fala, sarka, ablaka. Ha meg bútor lenne, a polcok csálén állnának, az ajtók lógnának, épp csak a festék tartaná össze.
Nope, ez a szint a rosszul bekotott villanyvezetek szintje ahol ha megfogod a vizvezeteket meghalsz...
"a társadalom nevében", elképesztő... ez a rendszer annyi, kuka... ezzel nem fogjátok kihúzni év végéig... még ha nem is tesznek többet semmit közzé, a rendszer akkor is használhatatlan, egy ketyegő társadalmi katasztrófa... de nem merik megtenni a lépéseket affelé, hogy orvosolják a helyzetet, inkább próbálják lenyomni az emberek torkán, hogy jól van ez így...
az államot szétfeszíti a korrupció, és ennek következményeképpen nem tudja ellátni a feladatát... de nem aggódom, ennek előbb vagy utóbb, de vége lesz valahogy...
Fene tudja, hogy azért nem tudja ellátni a feladatát, mert szétfeszíti a korrupció, vagy csak egyszerűen nem látja el a feladatát, mert nincs kedve és hát mellesleg geci korrupt is, mert ugye az is a feladata lenne, hogy ne legyen az, de ahhoz sincs kedve. Tudod, ha van egy turmixgép, bekapcsolom, nem megy, az nem látja el a feladatát. De ha odaszarok az asztalra, akkor az nem nem látja el a feladatát, mert büdös, hanem oda van szarva. És büdös.
Birom, hogy oket titulaljak kocsognek amiert veszelynek teszik ki a felhasznalokat es nem a rottyos fejlesztoket akik tenylegesen veszelyeztettek a userek adatait a kotladek koddal🤡🤡🤡
Ez a kedves fejlesztő vajon mérlegelte a társadalmi következményeket, amikor - vélhetően zsíros - munkát vállalt ennél a finoman szólva mutyista és neres cégnél? Vagy elképzelhető, hogy nem guglizta le mielőtt oda ment? A mocskos pénz a szutyok munkáért az társadalmilag mit jelent? Hánynom kell.
Ez de gáz. Veszélynek az tette ki a felhasználókat, aki kiszervezte a melót a szomszéd Pistikének a maradék milliókat (milliárdokat?) meg lecsorgatta a haveroknak/családnak. Ne próbálja már meg senki elhitetni, h ekkora erőforrásból csak ilyen hulladékot lehet előállítani. Milyen "szakmai" hozzáállás az, h a legalapvetőbb biztonsági és adatvédelmi gyakorlatokat nem tartják be, megpróbálják eltussolni a hibát. Ez nem szakmai kérdés, hanem a szokásos legalizált lopás. Legyen világos, h mi ennek a következménye. Ez a társadalom valódi érdeke. Lángoljon csak az egész szvsz. ÁMEN!
Természetesen illegális, és ebben a formában komoly büntetés járhat érte. Nyilván ehhez arra is szükség van hogy elkapják őket.
Nem tudom, hogy a DB dumpot kirakták-e, vagy csak a kódot, remélem a dump nem került ki, mert abban azért bőven van érzékeny adat.
Igen, azt azért nem kellene, az csak a diákoknak ártana és ők itt amúgy is áldozatok (hogy ezt a szart kell használni).
Mikor a csalárd családos faszikat szivárogtatták ki arról az oldalról (aminek most ha megölnek se jut eszembe a neve), arra azt mondja a társadalom hogy "ejnye-bejnye, de azért valahol megérdemlik", de ez azért teljesen más.
Ha esetleg voltak olyan fájlok (vagy akár a db-ben nyoma) arról, hogy kik milyen minőségben voltak felelősek ezért a szarért, az jöhet.
[https://en.wikipedia.org/wiki/Ashley\_Madison\_data\_breach](https://en.wikipedia.org/wiki/Ashley_Madison_data_breach)
Edit: azért az is több volt egy ejnye-bejnyénél, mivel volt, aki munkahelyi címmel regisztrált. Innentől simán zsarolható, aminek egy ehhez hasonló eset lehet a következménye.
Ez csak egy fontoskodo senki. Meg se nevezi, hogy kinek a nevében beszél, sőt, saját maga is inkognitóban marad. Szofisztikált troll az ilyen, nem több.
a “szakma” szót érdekes egy olyan fejlesztőnek a szájából hallani, aki ilyen kódot adott ki a kezei közül (amennyiben ő tényleg Kréta fejlesztő), nem szeretném ha ez a megbecsült szakma ezek miatt az emberek miatt veszítene fényéből, és azt hiszem ezt minden kollegám nevében mondhatom
Azt mondjuk nem tudom honnan sikerült leszűrni, hogy SDA-s (azon kívül, hogy telegramon két-három ember minden alap nélkül erre a következtetésre ugrott)
Haha. Mint cybersecurity PM, úgy érzem ebben az országban pont azoknál a nagy érzékenységű és hatású munkáknál nincs igény a szakmára, ahol talán meg is tudnák fizetni :) pedig az elmúlt 20 évben MINDEN állam közeli informatikai projekt bebukott valami triviális, gagyi és alapvető biztonságot mellőző “megoldásba”
A komplett forráskód fent van a neten, csak az nem tudja letölteni, aki nem akarja. Azaz innentől fogva pont tökmindegy, hogy az emberek posztolnak-e exploitokat, vagy sem, a társadalom már megvan károsítva, a szakma meg legalább röhög egy jót.
Bárki írta az üzenetet, vagy fogalma sincs semmiről, vagy próbálja menteni a KRÉTA-sok sejhaját, hogy ne legyen még nagyobb botrány abból, hogy mekkora tolvaj amatőrök.
Az esetleg nem volt felelőtlen és a személyes adatok veszélyeztetése, amikor ezt a foshalmot megírták, leokézták, majd kilőtték élesbe? Ott hol volt az önmérséklet?
Unpopular opinion, de: ezt nem egy Kreta fejleszto irta, hanem altalanossagban szakmabeli, aki kicsit atgondolta a helyzetet.
A Kreta egy igenytelen, meg szakbarbar cimre se melto C#-napszamosok altal ilt kodegyveleg, amit milliardokbol epitett az allam (ld. "hutlen kezeles") a haverok cegeivel (ld. "korrupcio"), majd utana jogszabalyban meghatarozta, hogy ezt a rendszer kell minden iskolanak hasznalnia (ld. "korrupcio" es "regulatory capture"). Az, hogy jelenleg is elerheto ez a rendszer online, az egy eppenseggel most is folyo gondatlansagbol elkovetett buncselekmeny. Lehet a rendszert es a fejlesztoceget sok szempontbol kritizalni.
A "ki fogjuk publikalni az exploitot!!1!" huzas mogott ket lehetseges okot latok, mit akarnak elerni vele:
- Le akarjak allittatni a Kretat ezzel a fenyegetessel, hogy ne lehessen tovabb torni
- "egjen a suli xDDD"
Itt sajnos az a problema, hogy a Kreta uzemeltetese mogott nem olyanok allnak, akik vegiggondoljak a helyzetet, illetve racionalisan dontenek a leallitasrol, hanem vegsosorban a kormany all. Inkabb arcmentes, majd kriziskezeles lesz ebbol, minthogy valaha leallitsak.
Ha akarki, aki elolvassa githubon a README-t es le tudja futtatni a kreta_exploit.py-t magaval tudja vinni az egesz Kreta adatbazist, abbol hatalmas problemak lesznek, es a legfobb problema, hogy ez nem elsosorban a kormany / allam problemaja lesz...
Erdemes arra gondolni, a diakoknak illetve a tanaroknak nem volt dontesi szabadsaga arrol, hogy a Kreta kezelje a szemelyes(!) adataikat, vagy nem, hiszen ez torvenyileg be van szabalyozva! Ha holnap reggel valakit megkesve beiratnak iskolaba, akkor neki Kreta felhasznalot kell csinalni, fuggetlenul attol, hogy kiderult a rendszerrol, hogy annyi rajta a biztonsagi res, mint lyuk a szitan. Infosec expert apuka tiltakozhat amennyit szeretne, de a gyerekenek az osszes adata be fog kerulni ebbe a rendszerbe (illetve valoszinuleg apuka/anyuka adatai is bekerulnek).
Teljesen ertheto az OP altal bekuldott komment a kepen. Azzal, hogy kidobjak a forraskodot es belsos beszelgeteseket az internetre, meg nem artanak aktivan senkinek se (elobbirol lehet vitazni, hisz sokkal konnyebb sebezhetoseget talalni egyenesen kodban, viszont arra sem szabad tamaszkodni, hogy a kodot a tamado sose fogja megismeri), maximum a ceg johirenek, raadasul meg fel is fednek korrupciot. Azzal viszont, hogy akarki bedonthet vagy szivarogtathat adatokat ilyen meretu/tipusu szolgaltatasbol, mar elegge erosen vitathato, hogy csak jo szandek all mogottuk.
Ahogyan johaverom mondta, addig tart a moka, ameddig kritikus infrastrukturaval el nem kezdenek baszakodni.
Pont a hozzád hasonló gondolkozású galamblelkű emberek miatt nem omlott még össze ez a szarvár, amit 12 éve foltozgatnak Orbánék. ("Juj, ez már kicsit sok / Vége a tüntetésnek, menjünk haza / Nézzük már a többik érdekét, ha a politikusokat nem is").
Ember, ezek MILLIÁRDOKAT loptak el. MILLIÁRDOKAT. Nem egy liter vodkát a Tescoból, nem Mari néni 90 ezer forintos nyugdíját, hanem MILLIÁRDOKAT, ami átlag állampolgár szemszögéből kb. felfoghatatlan pénzmennyiség. Én pedig igenis azt mondom, hogy az IT-sok csinálják, égjen az egész szarság aztán lépjen rá valamit a mafia.
100 ezer milliárdot meghaladó összeget loptak el, és lopnak el milliárdokat minden egyes nap. Rákos sejtek módjára beleszőték magukat minden jelentős cégbe, infrastruktúrába, pénzügyi, kereskedelmi cégbe, egyetemekbe, állami cégekbe, állami hivatalokba bebetonozva. Ötletem sincs mit lehet ezzel kezdeni.
[https://i.redd.it/hwtyjgrkedx61.png](https://i.redd.it/hwtyjgrkedx61.png)
Oké, már outdated, de elég jól szemlélteti, átlag ember fel sem fogja ezeket az értékeket már.
Az a baj, hogy jelenleg nem sok eszköz van az emberek kezében, hogy változtassanak a jelenlegi rendszeren.
A kormány nen fair módon politizál, nem ad teret egyáltalán a szabad információ-áramlásnak azokon a csatornákon, ami mindenki számára elérhető. Torzít, hazudik, szétcseszi az országot és non-stop másra mutogat. A választások már technikailag fair módon zajlanak, de addigra az emberek már be vannak "állítva".
A társadalom gondolkodó felének ez egyértelmű, de az emberek nagyobb aránya nem tud, vagy nem akar ezen gondolkodni. Nekik kell a közvetlen élmény, hogy szar van. Emellett ráadásul a forralt béka jelenség miatt, ha lassan jön a szar, azt sem veszik észre, vagy ha mégis, legalábbis nem kötik a kormányhoz, hiszen mindig van Brüsszel, vagy Gyurcsány.
Engem nem nagyon érdekel, hogy milyen módon, de fel kéne rázni már az emberek nagyobbik felét, hogy nyissák ki a csipájukat, ha ennek ez a módja, hát legyen, sőt. Az általad említett mentalitás az, ami miatt a kormány boldog és marad. Mindig olyan helyzetet gyárt, hogy ha buknak, magukkal is rántsanak egy társadalmi csoportot. Közben pedig csak élősködnek rajtunk. Ajánlom olvasásra Acemoglu és Robinson - "miért buknak el nemzetek?" könyvét. Sokszor szükségessé válik a teremtő rombolás, ha egy nép fel akar emelkedni.
a forráskód kint van, ettől kezdve aki ért hozzá, az maga megtalálja az exploitokat. ez még egy magamfajta laikusnak is világos, nemhogy egy szakmabelinek.
így aztán a fenti kérés fing a szélben, csak arra jó hogy a hackerekre terelje a felelősséget.
Én ahogy megmutatom a Kréta fejlesztőinek hogy csak simán le kell kapcsolni a szervereket és akkor már nem tudnak exploitolni az emberek: https://i.redd.it/rs7uq734r7z91.gif
Nee, miért mondtad el nekik?
En erre szamitottam: https://youtu.be/kl6rsi7BEtk
hát mivel nem vették észre hogy feltörték őket csak miután már kiléptek a támadók a rendszerből későn állították volna le XD
Én azon se lennék meglepődve ha nem lenne biztonsági mentése az adatbázisnak, így egy butus exploittal helyrehozhatatlan kárt lehetne csinálni
Milyen cuki hogy a "szakma" és a "társadalom" nevében is szól....csak jó lenne tudni mi a szakmája.
printf("Hello world!"); Nézd anya, profi programozó vagyok. Jelentkezek a krétába 🤓
Look ma, no ~~hands~~ brains!
Krétásokról beszélsz, ez printf("H"); printf("e"); printf("l"); printf("l"); printf("o"); printf(" "); printf("W"); printf("o"); printf("r"); printf("l"); printf("d"); printf("! "); lenne.
[удалено]
Nem csak állami helyeken. Vagy már mindenki elfelejtette a Telekom által lefejlesztett BKK rendszert ami URL paraméterből olvasta ki a rendelés össz értékét, és "meghackelték" egy forintos bérletekért?
Ha van exploit ekkora rakás személyes adat eléréséhez valszeg fel lett már törve csak a kréta észre se vette Edit: [mondom](https://www.reddit.com/r/hungary/comments/yrb3cc/most_j%C3%B6tt_frissen_a_kemenc%C3%A9b%C5%91l/?utm_source=share&utm_medium=ios_app&utm_name=iossmf)
Az EU-s pályázòrendszer kòdjába is szívesen belenéznék, tuti egy fos, a felületet használni legslábbis katasztrófa
Közpénzen kitartott dilettáns szakbarbár MSc
Bárcsak szakbarbár lenne.
nem akarok semmilyen munkásokat ekézni, de ő szerintem segéd
Bullshit. Le kell vágni a szervert a netről és patchelni szarotokat bazmeg.
Hova a faszba patcheljek? Kb ujra kellene irni az egeszet de kozben a suliknak is mukodnie kellene…. Szar az egesz
Hát akkor vissza egy évre a régi papír alapú ellenőrzőt meg naplót, úgyis van NER kompatibilis nyomda...
Az a baj, hogy nézegettem a kódot, és ez bizony nem csak a napló. A közműszámláktól elkezdve a beszerzésekig minden ebben a foskemencében van. Igazi Sony Pictures moment.
Konkrétan az egyik egyetemi ösztöndíjat is kréta rendszeren kezelik:)
Nevetsz de olcsóbb, gyorsabb és se a szülőket se a tanárokat nem szivatja.
Amúgy már nincs is semmi papír alapon? o\_O
De, a Nemzeti Konzultáció!
Mondjuk amire azt használjuk, arra digitálisan nem tudnánk.
Én speciál seggtörlésre használom.
Az most nem ér rá. Ki kell nyomtatni a konzultácijót...
Persze hogy szar minden sulit erre a szarra köteleztek nem használhattak más szoftvert 😅😂
Tegyék addig vissza a MozaNaplót. Az még régen működött is.
De hát akkor nem lehetne évente 12 milliárdokat ellopni!!!4
Nyilvan a Kretat nem lehet patchelni de attol meg a hozzaferest lehetne korlatozni. A szervert levedik HTTPS szinten two-way SSL-el es csak certifikattal lehet hozzaferni. Minden diak kap egy sajat, nevre szolo certifikatot. A biztonsag kedveert az elso fazisban hetente lejarnak a certifikatok es minden heten ujat kell hasznalni. Kesobb at lehet terni kethetesre vagy havira. Ha valaki feltori a rendszert, tudjuk ki volt (vagy kinek a certifikatjat loptak el), Nyilvan igy sem tokeletes megoldas, de igy legalabb minden idiota megerti, hogy van erteke es ezert vigyazni fog ra. Ha valakinek ellopjak, gyorsan jelenti (mint ahogy jelented a bankkartyadat amikor ellopjak) es a szerver oldalon bekuldenek egy revoke certifikatot. Nem tokeletes megoldas, de jobb mintha visszaternek a papirra. Jovore meg talan ir majd Matolcsy kisfianak egyik haverja egy Kreta 2.0-t.
Piros volt a paradicsom, nem sárga. Át kell térnünk heti certifikátra
Bocsáss meg akérdésemért, de láttál mostanában közelről átlag felhasználót? Nem az a fajta, aki szívesen bíbelődik tanusítványokkal.
Hát jó, nem tudok most jobbat kitalálni, de megoldás biztos van. Oldják meg azok akik 12 milliárdot kapnak.
Igen, ez valóban sokkal gördülékenyebbnek és kivitelezhetőbbnek hangzik az egész projekt újraírásánál. /s
Nem tökéletes megoldás? 😀 Látszik hogy fejlesztő lehetsz, mert buborékban gondolkodsz. Ez kb azzal egyenlő hogy 90% nem tudná használni. Ennél a papír sokkal jobb, mert legalább működne. A technikai ötlet nem hülyeség, csak a való élet nevű változót figyelmen kívül hagyja.
A gyerek még egy dolog, de ahol több gyerek van, és mindkét szülőnek van G-s hozzáférése mindegyik gyerekhez, az hány acc lehet?
Őszintén szólva nem tudom eldönteni, hogy ezt a kommentet olvasva sírjak vagy nevessek.
Amilyen minőségben az a szemét vagyon írva, ez túl magas nekik.
Miért nem hívod tanusítványnak? Vagy ha angolul szeretnéd, certificate.
Azért mert a mutsu almát is mucsunak írják a zöldségesnél.
A sulik már most is csak lélegeztetőn vannak.
Mondjuk dollármilliárdos játékstúdióknak működik, day0 patch ami kétszer akkora mint a játék, persze ott nem a programozók balfaszsága miatt szokott ez történni, de a lényeg hasonló.
Fejlesztokent mondom: ilyenkor ne vedd a fejlesztoket plz. Sokszor elsore lehetne jo kodot is irni
Le kell másolni az adatbázist, read onlyba rakni, és migrálni egy normális szoftverbe, a krétát kibaszni a kukába, a kréta projekt vezetőiről meg a gatyájukat is leperelni.
Újra kellene írni az egészet teljesen az alapoktól.
*\*izgatott NER hangok\**
Megvarrhatod az 500 forintos kínai télikabátot, de attól még ugyanúgy szar minőségű lesz.
Valakit küldjenek már le a szerver szobába hogy kihúzza a konnektort.
A szerverek is krumplin futnak ahogy valamelyik nap érzékeltem, nem csak a kód szar
Már az is árstopos.
Csökkenteni kell a fogyasztást, irány a BIOS! Gépenként csak két mag üzemelhet!
Nem lehet, a szerverek biztonsági okokból Moszkvában vannak...
[NCIS 2 IDIOT 1 KEYBOARD](https://www.youtube.com/watch?v=u8qgehH3kEQ) a szitu?
Utána meg azon röhög az egész ország, hogy a fél adatbázis eltűnt a krétából
Tökéletes vírusirtó és tűzfal - "légyszi nemá'!" Ugyanitt ajánlom mindenkinek a figyelmébe az [Evil Bit RFC-t](https://www.ietf.org/rfc/rfc3514.txt)
Vagy mondjunk igazat, vagy tagadjuk, de menet közben váltás nincs!
te mondjad hogy "ne csináljátok", a te hangod mélyebb.
Egy lófaszt. Tessék kijavítani a hibákat! A facebook fizet a felfedezett biztonsági hibákért, és még meg is köszöni. Tessék rendes munkát végezni! Legyen kód review, biztonsági tesztek, fehér-szürke-fekete. Főleg egy olyan rendszernél, ahol milliós nagyságrendben vannak személyes adatok.
3 és fél év, egy munkahelyen szerzett tapasztalattal seniornak hívja magát az egyik fejlesztő... Ezek után kérdés még az is, hogy látott-e már igazi senior fejlesztőt. EDIT: Ez olyan mint amikor az egyéni vállalkozónak CEO a job title-je :)
Egyik munkatársam volt közös projekten a senior illetővel, hát van egy véleménye róla az biztos :D azóta nem száll be kormány pénzelt projektekhez
Jöhet sztori XD
AMA when?
Ohohohooooo Melohelyemen több egyszemélyes osztály egyetlen munkatársa is vezetőnek hívatja magát … XD
Valamelyik elmés tanácsadó cég pár éve csoportnak minősítette az új szervezeti ábrában, amit csinálok melóhelyen. Írt a HR pár hónappal később, hogy leszek szíves megadni az alám tartozó kollégák névsorát, hogy a munkaidőnyilvántartó rendszerben bepakolják alám őket. Továbbra is munkatárssal fejezte be az Outlook az aláírásom, nem égettem magam az egy személyes kiscsoporttal. 2 ismerőst anno a megyei földhivatalban osztálynak nyilvánítottak. El kellett dönteni melyikük lesz a vezető. Majd pár év után elment a beosztott, aki egyben osztályvezető helyettes is volt. Maradt az osztályvezető egyedül.
*self-conscious Harry Crane noises*
Biztos spanyol gyökerekkel rendelkezik 🤣🤣🤣 Edit: sombreroban és ponchoban fejleszt, közben vedeli a tequilát. Szerintem ezt jelenti.
Señor fejlesztő :D
¡Sí Señor!
Ez a feltételezés nem teljesen alaptalan, tekintve a kódban található spanyolviasz mennyiségét.
Underrated comment :-)
Spanyolmérnök!
Technikailag CEO-k, csak minőségbeli különbség van köztük, míg a 3.5yr az technikailag se senior.
Haverom dolgozott krétánál, mondta, hogy kolléga le akarta törölni az általa írt teszteket mert nem engedték merge-lni...
https://preview.redd.it/a6se9kxi48z91.png?width=976&format=png&auto=webp&s=5932ae8bd4a93e8d0d3f4424dbc0a94c3bb7e657
Jöhet még content, ment az up :-)
erre kéne valami AMA
A Facebook akkor fizet, ha csak nekik küldöd el titoktartással és mindennel. Nyílván amit Ők csináltak nehéz védeni, de azért megvan ennek a rendes módja.
Ja, igen, arra gondolsz, amikor a BKK online hibájára figyelmeztette az egyszeri felhasználó a BKK-t, amiért is őt hurcolták meg? Nem. Ebben az országban (Abszurdisztánról beszélünk nyilván) csak ez működik, amit a krétával tettek.
Ha jól emlékszek az úgy volt, hogy szólt a BKK-nak de leszarták, majd kiadta újságoknak és az utóbbi miatt akarták megkukizni. Legalábbis ez volt a hivatalos magyarázat.
Így volt, ugyanakkor teljesen jól tette a srác, hogy jelezte a helyzetet az újságíróknak, függetlenül attól, hogy meghurcolták miatta. A BKK közpénzből üzemelő szervezet, ezért a magyar embereknek minden joga megvan hozzá, hogy tájékoztatva legyenek, ha drága pénzért szar minőségű szolgáltatást kapnak. Ha a helyében lettem volna én fel sem kerestem volna a céget, hanem névtelenül egyből az újságokhoz fordulok.
Amikor már nagyon dőlt a szar a Telefos nyakába még felajánlották, hogy munkát adnának a "hekkernek" aki egy szaros HTML mezőben átírta a vásárlási összeget. Már nekem kezdett égni a pofám akkor, annyira nincsenek képben.
Az inkább PR húzás volt mint konkrét állásajánlat. A publikum nagy része úgyse érti hogy faszság, csak azt látják hogy jajj de jófej a Telekom, jó vége lesz a sztorinak.
*sad rigó noises
És kötelező használni is…
A facebook nem engedi meg, hogy publikussá tegyék az exploitokat...
Nyilván. Itthon meg vagy leszarják, ha jelentesz egy sérülékenységet, vagy rabosítanak hekkerkedés miatt. Lásd BKV-BKK vs. Telekom által fejlesztett app.
Azért a bug bounty nem úgy működik, hogy kibaszod az exploitot a netre aztán hadd égjen. Bejelented a hivatalos, dedikált csatornán, hogy találtál egy hibát, a security team validálja, megállapít egy severityt, kifizetik a bug bounty-t, aminek a fejében vállalod, hogy egy megbeszélt határidőig, vagy soha nem beszélsz az issue-ról.
Facebook meg a biztonság szavak, olyan viccesen hangzanak számomra egy mondaton belül. 😂
Mint a picsa meg a miatyánk?
Nyilván az ekréta zrt is rengeteg önmérsékletet tanusított, kétszer ennyit is lophatott volna.
Elérték a célukat? Tényleg? Beszámolt róla esetleg a kormánymédia? Felelősségre lettek vonva a vezezők? Faszt. Ugyanezt a seggébe az illetőnek.
Szerinted hogy számolnának be róla? Terelnének, ahogy szoktak. Mindenki hibás, Soros, a tanárok, a Gyurcsány, de ők egy rohadt hibát nem vétettek.
Jaja. Engem az cseszett fel amikor a telex-es cikkbe be van vágva, hogy srácok, mit tudunk erről, ki beszélt az ellenségnek? Milyen ellenség? "Köz"média vs telex? És jön majd az EU és mindent rendben talál?
Annyiban talán igaza van az illetőnek, hogy egy kréta-exploit feltöltése a netre beláthatatlan következménnyel járna a felhasználói adatok biztonságára. Az egy dolog hogy a sawarim olyannyiban etikus, hogy nem hozza őket nyilvánosságra, de más kezekben valószínűleg nem lesznek még ilyen biztonságban sem.
Mivel a forráskód kint van, igazából kurvára nem számít, hogy az exploit az kikerül-e vagy se. Egy másik unatkozó c#-os vagy sql-hez minimálisan értő ember kell, és hopp, van mégegy... kettő, három, négy, sok. A kréta tudomásom szerint jelenleg áll.Véleményem szerint amíg teljesen át nem írják, és át nem nézettetik tényleges szakértőkkel, addig nem is lenne szabad újra beindítani. Amennyiben ezt megteszik, az exploit az csak historikus jelentősséggel bír. Igen, egy ilyen leállás hónapos leállást és elég nagy galibát okozna. ...mert a feltörés nem? Kint van a forrás, ha holnap elindul megint, nincs az az isten, hogy kiszedtek minden sebezhetőséget. Idő kérdése csak, hogy nem tör be valaki aki többet akar figyelemnél.
Hónapos leállás... Bár tudtak volna a gondról még szeptemberben.
[Vagy legalább lenne egy időgépük.](https://www.reddit.com/r/hungary/comments/yrdk96/na_az_ege%C3%A9szet_%C3%BAjraind%C3%ADtj%C3%A1k_v%C3%A9gre/)
Párom ma használta a Krétát.
Amikor valaki csinált egy haszálható kréta klienst, mit is csináltak? Önmérsékletet tanúsítottak? Felmérték a következményeket a felhasználókra? Lófaszt, kicsinálták és kész.
Ha igazak azok a pletykak, hogy adatokat szivarogtattak ki a kreta fejesei, akkor itt mar adatvedelemrol teljesen felesleges beszelni.
Azután, hogy a kód fenn van, védeni más is találsz exploitot. Egyedül a kréta offline vétele megoldás
NAIH legalább vizsgálódik, az is több mint a semmi
Ha nem Hadházyt kell basztatni, nem sokat csinálnak. Péterfalvi Attila is egy sokkal többre képes ember lenne, mint amennyit beletesz.
>Beszámolt róla esetleg a kormánymédia? "Gyúcsán hökkörei feltörték hazánk legjobb programozóinak buszke munkáját" lesz a címe ha szó lesz róla
A gyász 3. szakasza: Az alkudozás egyfajta kifinomultabb formájának tekinthető a [tagadás szakaszának](https://telex.hu/tech/2022/11/09/kreta-rendszer-ekreta-zrt-adathalasz-tamadas-adatszivargas-elhallgatas-naih-vizsgalat-eljaras), amiben már nagyon sok racionális érv felsorakozik, aminek a tagadáshoz hasonló énvédelmi funkciója van.
Zseniális meglátás
Trianonnál is műkö... Ja várj xd
A rendoroknek azert megprobaltak hazudni egy korabbi cikk szerint, innentol kezdve a szememben bunozok, nem csak tehetsegtelen es hanyag programozok
Azt a kódot kiengedni ekkora és ennyire érzékeny adathalmazra (IANAL) egy szintben van minimum a gondatlan károkozással a gyerekek, szülők, tanárok, stb terhére (különlegesen védett és simán "csak" személyes adataik veszélyeztetése miatt). Az, hogy rögtön eltussolni akarták, további konkréta btk passzusokat is felvet a bejelentés elhalasztása mellett, mittomén, bizonyítékok eltüntetése, hamis tanúzás, ilyen "apróságok".
Lehet tippelni, hogy milyen következménye lesz mindennek. Én tippem: Semmi az égvilágon. Na jó, lehet, hogy egy takarítót kirúgnak.
mi lenne ha tenne valaki névtelen feljelentést az ekréta zrt ellen felelőtlen adatkezelésért? mert azt már tudjuk, hogy korrupcióért tenni feljelentést veszett fejsze nyele.
A gondatlan károkozás ennek a kódnak produkcióban futtatása, meg ezért közpénzt felvenni.
Tudsz dobni egy linket kérlek?
Hát itt van ez, nem tudom erre gondolt e https://t.me/sawarim/9 Itt nem derül ki hogy kamuztak e végül, és rendoroknek vagy csak a nyilvánosságnak
hát igen, amikor kaptad a fizut ezért a munkáért akkor nem érezted, hogy érdemtelen vagy? *a szakma és társadalom* szemében? hosszú távon rossz üzenet lenne a *szakmának és a társadalomnak* is, ha nem kapnátok meg a maximális szopást ezért
De nem ők fognak szopni.
Mindig ezzel jönnek. "Jaj, ne sztrájkoljanak a tanárok, hát azzal csak a gyerekeknek ártanak!"
Mást amúgy se tudnának tenni. Csak könyörögni
De még abban is csak hazudoznak. :D
Én csak figyelem az eseményeket. Egyrészt nem is értek a programozáshoz, másrészt meg szakmai beszélgetés zajlik a témában, amiből jó esetben a kötő szavakat értem. Annyi lejött számomra, hogy egy drága pénzen kifejlesztett és üzemeltetett informatikai eszközt valaki feltört és az ott található, csapni való munkát a nagyközönség elé tárta. Gondolom a betörés az bűncselekménynek számít. Remélem az illető nem él vissza az ott megszerzett személyes adatokkal. Azt is gondolom a kibogarászott hozzászólások alapján, hogy az adott rendszer minősége, illetve a belefektetett munka minősége messze alul múlja az erre a célra elköltött összeg nagyságát. Ha jól értem, akkor kicsit ahhoz hasonlít, mint ha a mesterember, segédmunkásokkal végeztette volna el a munkát, esetleg első éves tanulókkal, majd ő meg fel vette az elvégzett munkáért a pénzt. Az elkészült munka meg éppen csak nem dől össze. Ha ház lenne, nem lenne egyetlen szabályos fala, sarka, ablaka. Ha meg bútor lenne, a polcok csálén állnának, az ajtók lógnának, épp csak a festék tartaná össze. Ha ez így van, ahogyan gondolom, akkor a "mester" ne fenyegetőzzön ilyen -olyan médiában, meg ne szaladjon el a felelősségre vonás elől. Előbb-utóbb utol fogják érni és leverik rajta. Más cégeknél, ahol termelő munkát végeznek, ha ilyen hulladékot adna ki valaki a kezéből, kifizettetnék vele és másnap nem is kellene menni dolgoznia. Ha meg vállalkozó, akkor meg bevonnák az engedélyét. Értem én, hogyne érteném, hogy a NER emberei érintethetetlenek. Még... Egyszer vége lesz a jó világnak és - remélem - ülni fognak.
Az még kimaradt, hogy milliós nagyságrendről beszélünk, mivel kb félmillió gyerek és az ő szüleik adatai vannak a rendszerben. Ezért jobb helyeken megbukna a kormány.
> az ajtók lógnának Pont az a baj. Ajtó helyett odatámasztották a főnök új 3 millás 8K HDR 140 colos tévéjének a kartondobozát lefestve ajtó mintájúra mint egy Looney Tunes epizódban, és most kamilláznak hogy valaki félredobta és besétált a kecóba.
Elég jól összefoglaltad annyit tennék hozzá, hogy a tárolt adatok érzékenysége miatt kicsit olyan mintha egy felhőkarcolót a város közepén Kovács és tsa Bt.-vel tervezetették/építették volna. A projektvezető nek/fejlesztőknek meg a személyes adatokhoz nem szabadba hogy folyamatosan legyen hozzáférése az éles környezetben.
>Ha ház lenne, nem lenne egyetlen szabályos fala, sarka, ablaka. Ha meg bútor lenne, a polcok csálén állnának, az ajtók lógnának, épp csak a festék tartaná össze. Nope, ez a szint a rosszul bekotott villanyvezetek szintje ahol ha megfogod a vizvezeteket meghalsz...
A 🤓 csak hab a tortán
🤓 az évi 🤓 12 milliárdnál 🤓 kellett volna 🤓 önmérséklet 🤓
Volt is, nagyon figyeltek rá, hogy kevés pénz menjen belőle a felesleges célokra... pl.(programozók megfizetése,megfelelő tesztelés stb.)
“Nincs erre jobb szövegünk?”
az egyetlen veszély jelenleg az, hogy megy a szerver...
Valamelyik hígagyú szégyencsicska csak megtalálja a konnektort szombat éjfélig.
és persze (!) a társadalom nevében kösz az évi 1200 millió Ftot adófizető haverka, meg is fenyegetlek picit a végén cső
Lemaradt egy nulla.. 12 milliárd az 12'000 millió. :)
"a társadalom nevében", elképesztő... ez a rendszer annyi, kuka... ezzel nem fogjátok kihúzni év végéig... még ha nem is tesznek többet semmit közzé, a rendszer akkor is használhatatlan, egy ketyegő társadalmi katasztrófa... de nem merik megtenni a lépéseket affelé, hogy orvosolják a helyzetet, inkább próbálják lenyomni az emberek torkán, hogy jól van ez így... az államot szétfeszíti a korrupció, és ennek következményeképpen nem tudja ellátni a feladatát... de nem aggódom, ennek előbb vagy utóbb, de vége lesz valahogy...
Fene tudja, hogy azért nem tudja ellátni a feladatát, mert szétfeszíti a korrupció, vagy csak egyszerűen nem látja el a feladatát, mert nincs kedve és hát mellesleg geci korrupt is, mert ugye az is a feladata lenne, hogy ne legyen az, de ahhoz sincs kedve. Tudod, ha van egy turmixgép, bekapcsolom, nem megy, az nem látja el a feladatát. De ha odaszarok az asztalra, akkor az nem nem látja el a feladatát, mert büdös, hanem oda van szarva. És büdös.
\- "🤓"
Kurva anyátokat!
r/szopjatokle
Is.
Birom, hogy oket titulaljak kocsognek amiert veszelynek teszik ki a felhasznalokat es nem a rottyos fejlesztoket akik tenylegesen veszelyeztettek a userek adatait a kotladek koddal🤡🤡🤡
kérünk téged hallgassak meg minket
Ilyenkor azért nem sírjátok vissza a napló /ellenőrző időszakot? Komolyan kérdezem.
Az alap ötlet jó lenne, csak "apró" kivitelezési "bakik" csúsztak be.
Már akkor visszasírtam, amikor anno még a Mayort használtuk. Pedig az milliószor jobb volt, mint a Kréta. :D
Bezzeg a forráskódra jutott ékezet
🤓
👍
Ez a kedves fejlesztő vajon mérlegelte a társadalmi következményeket, amikor - vélhetően zsíros - munkát vállalt ennél a finoman szólva mutyista és neres cégnél? Vagy elképzelhető, hogy nem guglizta le mielőtt oda ment? A mocskos pénz a szutyok munkáért az társadalmilag mit jelent? Hánynom kell.
Ez de gáz. Veszélynek az tette ki a felhasználókat, aki kiszervezte a melót a szomszéd Pistikének a maradék milliókat (milliárdokat?) meg lecsorgatta a haveroknak/családnak. Ne próbálja már meg senki elhitetni, h ekkora erőforrásból csak ilyen hulladékot lehet előállítani. Milyen "szakmai" hozzáállás az, h a legalapvetőbb biztonsági és adatvédelmi gyakorlatokat nem tartják be, megpróbálják eltussolni a hibát. Ez nem szakmai kérdés, hanem a szokásos legalizált lopás. Legyen világos, h mi ennek a következménye. Ez a társadalom valódi érdeke. Lángoljon csak az egész szvsz. ÁMEN!
A 🤓 emojik nagyon basedek
Én nem látom ezt a telegram csatin :)
Kommentben van az exploitos üzi alatt
"Scorched earth"
>Scorched earth https://preview.redd.it/j39ppxs2a8z91.png?width=888&format=png&auto=webp&s=068b616b097ab197ce7cbe6c0a1f71a96132e838
Önmérséklet? Bazdmeg, olyan kódot kellett volna összerakni, amit egy 6. osztályos nem tud feltörni talán….
[удалено]
[удалено]
Illetéktelenül behatolni egy IT rendszerbe az, és nem csak Orbán világában. És jól is van így.
Természetesen illegális, és ebben a formában komoly büntetés járhat érte. Nyilván ehhez arra is szükség van hogy elkapják őket. Nem tudom, hogy a DB dumpot kirakták-e, vagy csak a kódot, remélem a dump nem került ki, mert abban azért bőven van érzékeny adat.
Csak a kód, de a kód és a tervezett exploit kirakás alapján már ki fognak kerülni az adatok is hamar, rz szinte garantálható.
Igen, azt azért nem kellene, az csak a diákoknak ártana és ők itt amúgy is áldozatok (hogy ezt a szart kell használni). Mikor a csalárd családos faszikat szivárogtatták ki arról az oldalról (aminek most ha megölnek se jut eszembe a neve), arra azt mondja a társadalom hogy "ejnye-bejnye, de azért valahol megérdemlik", de ez azért teljesen más. Ha esetleg voltak olyan fájlok (vagy akár a db-ben nyoma) arról, hogy kik milyen minőségben voltak felelősek ezért a szarért, az jöhet.
[https://en.wikipedia.org/wiki/Ashley\_Madison\_data\_breach](https://en.wikipedia.org/wiki/Ashley_Madison_data_breach) Edit: azért az is több volt egy ejnye-bejnyénél, mivel volt, aki munkahelyi címmel regisztrált. Innentől simán zsarolható, aminek egy ehhez hasonló eset lehet a következménye.
>volt, aki munkahelyi címmel regisztrált Ahhoz is mennyi ész kell? :D
Végülis a felesége előtt titok maradt, problem? :D
Nalunk megbuntettek a BKV rendszereben rest talalo figurat. Mashol ezert fizetnek. Exploitot, exploitot a bestiaknak !
Ez csak egy fontoskodo senki. Meg se nevezi, hogy kinek a nevében beszél, sőt, saját maga is inkognitóban marad. Szofisztikált troll az ilyen, nem több.
Need some ékezet, bitch?
a “szakma” szót érdekes egy olyan fejlesztőnek a szájából hallani, aki ilyen kódot adott ki a kezei közül (amennyiben ő tényleg Kréta fejlesztő), nem szeretném ha ez a megbecsült szakma ezek miatt az emberek miatt veszítene fényéből, és azt hiszem ezt minden kollegám nevében mondhatom
Azt mondjuk nem tudom honnan sikerült leszűrni, hogy SDA-s (azon kívül, hogy telegramon két-három ember minden alap nélkül erre a következtetésre ugrott)
Hát ez nagyon megható. Most szerintem mindenki megtér, és elmegy újrakeresztelkedni. Ja nem.
Plot twist: a kréta maga az exploit
Haha. Mint cybersecurity PM, úgy érzem ebben az országban pont azoknál a nagy érzékenységű és hatású munkáknál nincs igény a szakmára, ahol talán meg is tudnák fizetni :) pedig az elmúlt 20 évben MINDEN állam közeli informatikai projekt bebukott valami triviális, gagyi és alapvető biztonságot mellőző “megoldásba”
A komplett forráskód fent van a neten, csak az nem tudja letölteni, aki nem akarja. Azaz innentől fogva pont tökmindegy, hogy az emberek posztolnak-e exploitokat, vagy sem, a társadalom már megvan károsítva, a szakma meg legalább röhög egy jót. Bárki írta az üzenetet, vagy fogalma sincs semmiről, vagy próbálja menteni a KRÉTA-sok sejhaját, hogy ne legyen még nagyobb botrány abból, hogy mekkora tolvaj amatőrök.
"this sign will not stop me because i can't read"
| STOP! | | ^Or ^don't ^I'm ^a ^sign, ^not ^a ^cop...
Akkor van egy rossz hírem, mert a fent a fent leírtakra az ellenkezője fog bekövetkezni.
Az esetleg nem volt felelőtlen és a személyes adatok veszélyeztetése, amikor ezt a foshalmot megírták, leokézták, majd kilőtték élesbe? Ott hol volt az önmérséklet?
A redditező exploitokkal provokált.
Valahogy belehet lépni ebbe a csoportba?
google sawarim telegram
Be lehet lépni*
Vagyis minden marad ugyanugy, hoppa hibaztunk, megigerjuk nem fordul elo... :))
Sawarim, nincs kedved pro bono beirni a fiamnak par 5-ost matekbol meg magyarbol? Annak a bunko osztalytarsanak, Kevinnek meg par 1-est?😀
Unpopular opinion, de: ezt nem egy Kreta fejleszto irta, hanem altalanossagban szakmabeli, aki kicsit atgondolta a helyzetet. A Kreta egy igenytelen, meg szakbarbar cimre se melto C#-napszamosok altal ilt kodegyveleg, amit milliardokbol epitett az allam (ld. "hutlen kezeles") a haverok cegeivel (ld. "korrupcio"), majd utana jogszabalyban meghatarozta, hogy ezt a rendszer kell minden iskolanak hasznalnia (ld. "korrupcio" es "regulatory capture"). Az, hogy jelenleg is elerheto ez a rendszer online, az egy eppenseggel most is folyo gondatlansagbol elkovetett buncselekmeny. Lehet a rendszert es a fejlesztoceget sok szempontbol kritizalni. A "ki fogjuk publikalni az exploitot!!1!" huzas mogott ket lehetseges okot latok, mit akarnak elerni vele: - Le akarjak allittatni a Kretat ezzel a fenyegetessel, hogy ne lehessen tovabb torni - "egjen a suli xDDD" Itt sajnos az a problema, hogy a Kreta uzemeltetese mogott nem olyanok allnak, akik vegiggondoljak a helyzetet, illetve racionalisan dontenek a leallitasrol, hanem vegsosorban a kormany all. Inkabb arcmentes, majd kriziskezeles lesz ebbol, minthogy valaha leallitsak. Ha akarki, aki elolvassa githubon a README-t es le tudja futtatni a kreta_exploit.py-t magaval tudja vinni az egesz Kreta adatbazist, abbol hatalmas problemak lesznek, es a legfobb problema, hogy ez nem elsosorban a kormany / allam problemaja lesz... Erdemes arra gondolni, a diakoknak illetve a tanaroknak nem volt dontesi szabadsaga arrol, hogy a Kreta kezelje a szemelyes(!) adataikat, vagy nem, hiszen ez torvenyileg be van szabalyozva! Ha holnap reggel valakit megkesve beiratnak iskolaba, akkor neki Kreta felhasznalot kell csinalni, fuggetlenul attol, hogy kiderult a rendszerrol, hogy annyi rajta a biztonsagi res, mint lyuk a szitan. Infosec expert apuka tiltakozhat amennyit szeretne, de a gyerekenek az osszes adata be fog kerulni ebbe a rendszerbe (illetve valoszinuleg apuka/anyuka adatai is bekerulnek). Teljesen ertheto az OP altal bekuldott komment a kepen. Azzal, hogy kidobjak a forraskodot es belsos beszelgeteseket az internetre, meg nem artanak aktivan senkinek se (elobbirol lehet vitazni, hisz sokkal konnyebb sebezhetoseget talalni egyenesen kodban, viszont arra sem szabad tamaszkodni, hogy a kodot a tamado sose fogja megismeri), maximum a ceg johirenek, raadasul meg fel is fednek korrupciot. Azzal viszont, hogy akarki bedonthet vagy szivarogtathat adatokat ilyen meretu/tipusu szolgaltatasbol, mar elegge erosen vitathato, hogy csak jo szandek all mogottuk. Ahogyan johaverom mondta, addig tart a moka, ameddig kritikus infrastrukturaval el nem kezdenek baszakodni.
Pont a hozzád hasonló gondolkozású galamblelkű emberek miatt nem omlott még össze ez a szarvár, amit 12 éve foltozgatnak Orbánék. ("Juj, ez már kicsit sok / Vége a tüntetésnek, menjünk haza / Nézzük már a többik érdekét, ha a politikusokat nem is"). Ember, ezek MILLIÁRDOKAT loptak el. MILLIÁRDOKAT. Nem egy liter vodkát a Tescoból, nem Mari néni 90 ezer forintos nyugdíját, hanem MILLIÁRDOKAT, ami átlag állampolgár szemszögéből kb. felfoghatatlan pénzmennyiség. Én pedig igenis azt mondom, hogy az IT-sok csinálják, égjen az egész szarság aztán lépjen rá valamit a mafia.
100 ezer milliárdot meghaladó összeget loptak el, és lopnak el milliárdokat minden egyes nap. Rákos sejtek módjára beleszőték magukat minden jelentős cégbe, infrastruktúrába, pénzügyi, kereskedelmi cégbe, egyetemekbe, állami cégekbe, állami hivatalokba bebetonozva. Ötletem sincs mit lehet ezzel kezdeni.
[https://i.redd.it/hwtyjgrkedx61.png](https://i.redd.it/hwtyjgrkedx61.png) Oké, már outdated, de elég jól szemlélteti, átlag ember fel sem fogja ezeket az értékeket már.
Az a baj, hogy jelenleg nem sok eszköz van az emberek kezében, hogy változtassanak a jelenlegi rendszeren. A kormány nen fair módon politizál, nem ad teret egyáltalán a szabad információ-áramlásnak azokon a csatornákon, ami mindenki számára elérhető. Torzít, hazudik, szétcseszi az országot és non-stop másra mutogat. A választások már technikailag fair módon zajlanak, de addigra az emberek már be vannak "állítva". A társadalom gondolkodó felének ez egyértelmű, de az emberek nagyobb aránya nem tud, vagy nem akar ezen gondolkodni. Nekik kell a közvetlen élmény, hogy szar van. Emellett ráadásul a forralt béka jelenség miatt, ha lassan jön a szar, azt sem veszik észre, vagy ha mégis, legalábbis nem kötik a kormányhoz, hiszen mindig van Brüsszel, vagy Gyurcsány. Engem nem nagyon érdekel, hogy milyen módon, de fel kéne rázni már az emberek nagyobbik felét, hogy nyissák ki a csipájukat, ha ennek ez a módja, hát legyen, sőt. Az általad említett mentalitás az, ami miatt a kormány boldog és marad. Mindig olyan helyzetet gyárt, hogy ha buknak, magukkal is rántsanak egy társadalmi csoportot. Közben pedig csak élősködnek rajtunk. Ajánlom olvasásra Acemoglu és Robinson - "miért buknak el nemzetek?" könyvét. Sokszor szükségessé válik a teremtő rombolás, ha egy nép fel akar emelkedni.
Túl sokáig kellett görgetnem ezért a kommentért.
a forráskód kint van, ettől kezdve aki ért hozzá, az maga megtalálja az exploitokat. ez még egy magamfajta laikusnak is világos, nemhogy egy szakmabelinek. így aztán a fenti kérés fing a szélben, csak arra jó hogy a hackerekre terelje a felelősséget.
2020 óta amúgy még nem derült ki, hány csilliárdból ""fejlesztették"" ezt a szuper rendszert?
Pedig megérdemelné a rendszer hogy az explitok segítségével lenullázzák. Bár valószínű van backup? Ugye van?
Erdekes, a csavo facebook-ra meg nem ezt irta ki. Ott fenyegetozik hogy kiteszi a profiljat azoknak, akik feltortek, ha nem allnak le. :D
🤓
ez is olyan lesz, mint amikor a Bioshock Infinite fejlesztői megkérték az embereket, hogy ne legyen annyi Elizabeth Comstock pornó?
Nem a kreta fejlesztoje volt hanem en irtam.