mBank nowy, a zasady przestarzałe

mBank, którego mam okazję być klientem ze sporą pompą chwali się wprowadzeniem nowego interfejsu zmieniającego codzienną bankowość w coś na kształt gry (zdobywanie punktów, odznak itd.). Nowy interfejs jest czytelny i przemyślany. Szkoda, że wypowiedzieć o nim mogę się dopiero teraz, a nie dwa tygodnie wcześniej, gdy został on udostępniony dla użytkowników.

Nie mogłem od razu dlatego, że system nie przyjmował mojego loginu i hasła. Tego samego zestawu, który dla starego interfejsu działał bez zarzutu. Od razu zgłosiłem to do banku i zaznaczyłem, że być może to przez długość hasła (24) lub znaki specjalne. Dowiedziałem się, że jest ok, a znaki których używam są dopuszczalne. Teraz w skrócie: otwarcie zgłoszenia reklamacyjnego > odpowiedź z prośbą o więcej szczegółów > podesłanie szczegółów > odpowiedź, iż moje hasło jest za długie – razem prawie dwa tygodnie. Pomijam kwestie dlaczego tak długo trwała analiza czegoś, co zasugerowałem przy pierwszym kontakcie.

Zastanawia mnie natomiast dlaczego z mBank cofnął się z nowym interfejsem (stary nie posiadał takich graniczeń) i dołączył do grona stron ograniczających dowolność w hasłach. A ponieważ mowa o banku, to niezadowolenie z tytułu takiego ograniczenia nie wynika wyłącznie z zepsutej statystyki średniej długości hasła :)

PS. Mieć tylko nadzieję, że hasła nie są przechowywana w formie jawnej dla potrzeb deweloperskich 😉

PS2. Skoro w temacie haseł jestem, to zachęca wszystkich do zapoznania się z OpenSource-owym rozwiązaniem do przechowywania unikatowych haseł: KeePass

MantisBT – liczba zgłoszeń wg. projektu zsumowana w latach

Prosty raport do odpalenia na bazie Mantis-a, zawierający zestawienie ilości ticketów w każdym projekcie w rozbiciu na lata.

SELECT FROM_UNIXTIME(date_submitted, '%Y') as rok, pt.name as projekt, COUNT(*) as ilosc
FROM mantis_bug_table bt
LEFT JOIN mantis_project_table pt ON pt.id = bt.project_id
WHERE FROM_UNIXTIME(date_submitted, '%Y') IN (2011, 2012, 2013)
GROUP BY projekt, rok
ORDER BY projekt ASC, rok ASC

MsSql – Zliczenie wszystkich rekordów w bazie

Prosty kod listujący wszystkie tabele w bazie, wraz z zawartą w nich ilością rekordów.

SELECT
    sysobjects.Name, sysindexes.Rows
FROM
    sysobjects
    INNER JOIN sysindexes ON sysobjects.id = sysindexes.id
WHERE
    type = 'U'
    AND sysindexes.IndId < 2
ORDER BY
    sysobjects.Namecode

iOS7 – blokada ekranu złamana w 48 godzin

Apple ewidentnie nie ma szczęścia (a może raczej procedur testowych) w kwestii ekranu blokowania. Najnowsze oprogramowanie sprzętu z jabłkiem w tle podtrzymuje niechlubną tradycję. Już po 48 godzinach od publikacji Jose Rodriguez opublikował sposób na dostanie się do galerii zdjęć bez znajomości kodu blokady. Szczegóły procedury autor prezentuje na załączonym filmie.

Włamanie ma stronę internetową międzynarodowego lotniska w Dubaju

Luka w zabezpieczeniach strony dubaiairport.com pozwoliła sprawcom włamania na wyciągnięcie danych (email, hash hasła) 50 pracowników lotniska.

Zrzut danych został opublikowany na
pastebin.

Ciekawe czy hasła były chociaż posolone? :)

Hackowanie Facebook-a z użyciem OAuth

Amine Cherrai odkrył słabość mechanizmu OAuth na Facebook. Szczegóły zamieścił w filmie dostępnym poniżej.

Podatność zastała już załatana przez Facebook Security Team.

Google Hacked

Na szczęście tylko Kenijska strona wiodącej wyszukiwarki.

Google Kenya hacked

TiGER-M@TE podmienił stronę główną w domenie google.co.ke w ostatni poniedziałek. Oryginalna strona została już przywrócona.

Reflected XSS w PhpMyAdmin 3.5.0 – 3.5.7

Podatne parametry (z pliku „tbl_gis_visualization.php”) to

  • visualizationSettings[width]
  • visualizationSettings[height]

Błąd występuje w PhpMyAdmin w wersjach 3.5.0 – 3.5.7. Wykorzystanie podatności wymaga podania prawidłowej nazwy bazy danych oraz posiadania ważnej sesji, jednak niezależnie od tego warto jak najszybciej zaktualizować wersję PhpMyAdmin do najnowszej.

Na stronie projektu (http://www.phpmyadmin.net/) dostępna jest już wersja 3.5.8 zawierająca poprawki na ten błąd.

Włamanie do SolidHost

Serwis hostingowych solidhost padł ofiarą ataku.
Z tego co udało mi się ustalić w korespondencji z supportem źródło ataku znajdowało się w Turcji, a ostatecznymi ofiarami stały się wszystkie konta utrzymywane u tego usługodawcy.
Napastnikom udało się podmienić stronę informacyjną dla kont zablokowanych a następnie zablokowali wszystkie konta. Firma poinformowała iż nie dokonano żadnych zmian w plikach klientów.

Pod atakiem podpisała się grupa D4, HaRK / Security999.

Włamanie do SolidHost

Włamanie miało miejsce 17 grudnia 2012, a informację publikuję dopiero teraz z uwagi na wcześniejszą potrzebę potwierdzenia szczegółów.

Fałszywe maile od LinkedIn

W sieci zaczęła krążyć kolejna seria fałszywych e-mail. Nadawca udając LinkedIn przekierowuje przez domeny lvshi122.com i robstefanson.com na stronę sklepu internetowego z lekami doctormusi.ru; jakimi – łatwo się domyślić.
Żadem z linków nie przypomina nawet w części strony linkedin a sam mail jest poprawnie odfiltrowywany przez skanery spamu gMail. Na razie nie mam informacji jak radzą sobie z tym inne skanery.

Fałszywy email od LinkedIn

Witaj w moim świecie