Comments | madkoder: как взломали гмыло

madkoder

как взломали гмыло

Jul 24, 2009 00:05

Все твиттеровские бизнес-документы своровали с почты и гугл-календаря следующим образом. Некоторые твиттеровцы указали в Гмыле свой второй email-адрес Хотмейла (куда высылать пароль если что). У Хотмейла такие правила, что через некоторое время старые, неиспользуемые аккаунты удаляются и кто угодно может их зарегистрировать заново. Хакер заново ( Read more... )

облака, безопасность, gmail, twitter

Leave a comment

Back to all threads

poputchik_ru July 24 2009, 08:17:01 UTC

Тут есть одно "но". Сервис гугля никто не ломал, если уж тут и воспринимать слово "взломали", то только как по отношению к хотмэйлу. Именно их идиотское правило делает возможным такие фишки. Этому ходу - 100 лет в обед.

Так что тут скорее разъебайство сотрудников.
Ну а как возьми тот же сотрудник используй MS Exchange с доступом через owa. Ну и не используя доксов - они пересылают по почту друг другу доки для согласования. Ну и взяли, предположим сперли КПК где настроен пас на доступ, и все привет, вся информация открыта. Хотя и охраняется одминами и секьюрити.

В общем, тут вопрос культуры. Именно поэтому у меня все "вторые мылы" смотрят на мыло на моих доменах )

madkoder July 24 2009, 08:34:53 UTC

Да, какого-то супер-взлома действительно не было. Но опять, проблема куда больше, чем случайное разъебайство ( ... )

poputchik_ru July 24 2009, 11:20:36 UTC

да несомненно, придумать можно много чего, но сколько компаний все это использует?
все о чем ты говоришь, удел контор EPG сегмента, а Google Apps как не крути покупают более мелкие, те кто хотят сэкономить на инфраструктуре

естественно любой сервис проигрывает перед обычным решением, но ведь народ который работает в вебе не будет держать все на винтах, я не удивлюсь, если твиттеры не откажутся от гуглаппсов

кстати! мысль в голову пришла, взломали не корпоративный аккаунт "стандард" или "премиум", сломали просто аккаунт на @gmail.com

у премиума и стандарта есть всего один путь восстановления пароля - попросить админа его восстановить, а у админа - верификация путем файла на ФТП или CNAME. А значит... пиздюлей надо тому, кто с простого аккаунта работает корпоративными доками

я например очень разделяю корпдоки и свои персональные темы

madkoder July 24 2009, 11:40:35 UTC

>придумать можно много чего

Ну, тут не совсем придумано, а перечислено то, что своими глазами вижу в своей и куче других контор, больниц, где угодно. Свою инфраструктуру ты всегда очень хорошо контролируешь, и независимо от твоего размера, есть куча инструментов.

Например, за счёт чего держится Blackberry? За счёт корпоративной безопасности. Почему продаётся дерьмовый Lotus Notes? Потому что зашифрован и требует пароль каждый раз. В магазинах здесь чуть ли не половина бытовых ноутов уже (!) идёт с биометрикой. Для всего этого необязательно быть Газпромом.

> твиттеры не откажутся от гуглаппсов

А вот здесь поясни. Может, и не откажутся, хотя я очень сильно сомневаюсь, что будут по-прежнему выкладывать все планы топ-менеджмента туда. Но вопрос такой: как они могут на чужой (гугло-хостовой) инфраструктуре стопудово убедиться, что каждый пидарас ежемесячно обновляет свой сложный пароль и во всём остальном также безупречно следует политике безопасности компании?

poputchik_ru July 24 2009, 12:39:14 UTC

Lotus Notes - в России не продается, всех от него тошнит, а гугл делает средства доступной миграции. Биометрию на компе всегда можно обойти паролем. В общем, штаты сильно отличаются от России ( ... )

madkoder July 24 2009, 22:10:06 UTC

Подозреваю, что мы с тобой сейчас разговариваем как продавец и инженер : )

Инженер: бля, вот проблема с нашей херней. Надо садиться как-то решать её и смотреть глубже, нету ли там ещё хуже проблем.

Продавец: несмотря на временные мелкие трудности взросления и низкую культуру потребителей, за нашей технологией будущее!

И ведь каждый по-своему прав, шо характерно : )

poputchik_ru July 25 2009, 05:42:15 UTC

у меня скорее позиция манагера, которому инженер говорит о том, что проект по запуску нового истребителя в серийное производство надо отложить: "проблема с нашей херней. Надо садиться как-то решать её и смотреть глубже, нету ли там ещё хуже проблем ( ... )

madkoder July 25 2009, 10:00:03 UTC

Тут ещё вот какой момент. Ты всё говоришь, пользователь дурак, частный аккаунт, сам виноват, т.п.

Я как-то ещё в школе, во времена незамутнённой перестройки, читал какую-то херню про то, что на западе на кампусах универов следят за тем, где студни топчут, и если они предпочитают ходить поперёк газона, прокладывают там асфальтовую дорожку. Я посмотрел вокруг себя, и оказалось, что действительно, я 90% дороги до школы проходил по огороженным "газонам", а на самом деле никому не нужному истоптанному говнищу, по которому ходили люди, потому что только так было удобно и быстро передвигаться.

Так вот. Тупой юзер не всегда виноват. Если человек вольно относится к своим гугль-аккаунтам, значит он так привык, ему так удобнее, и скорее всего, он не один такой. Это может оказаться не багом, а фичей.

poputchik_ru July 26 2009, 19:19:17 UTC

кстати, мы вот тут копья ломаем, а ты не подумал о том, что утечка спланированная, просто твиттеру нужен был пиар?

madkoder July 29 2009, 10:57:32 UTC

а х.з... по идее, у твиттера пиара реально уже выше крыши: всякие опры, кутчеры и даже белый дом распиарили до тошноты так, что уже зашкаливает. Силу пеара по американскому говноящику трудно переоценить. А техкранч про них и до утечки каждый второй пост хуячил...

Хотя, я в пеаре-то ничего не смыслю, так что всё может быть...

Back to all threads