Слили исходники 3320 интернет-проектов, в том числе Яндекса и Рамблера
Два хабраюзера нашли уязвимость и взломали 3320 сайтов, получив доступ к их файловой структуре и исходникам, причём использовали давно известный хак с директорией /.svn. Среди сайтов - яндекс, опера, рамблер, РБК и прочие гиганты.
Насколько я понял там у них описана и защита от этой уязвимости. И вообще они пишут что:
P.S. Во избежании конфликтов все исходные коды, полученные за время исследования были распечатанны и сожжены :-)
P.S.S. Два пункта:
1) абсолютно все, кто мог пострадать, получили предупреждения об уязвимости с точной датой обнародования заранее.
2) никакие исходные коды ни при каких условиях не будут опубликованы или проданы. Не стоит писать нам по этому поводу.
P.P.P.S. Не обделяйте oowlкармой )
P.P.P.P.S. Никаких сорцов самого поискового механизма Яндекса получено не было, однако были получены корни веб морды некоторых ресурсов. Верстка, xmlapi, xsl шаблоны итп. Ничего серьезного, разве что все адреса репозиториев, логины разработчиков итп. Кукуц, Бобук, расслабьтесь.
Выпуск этой статьи был задержан ожиданием пока opera.com закроет уязвимость на всех своих серверах.
Если это правда, то такие взломы скорее положительный момент чем отрицательный. А там ...
комментарий человека из яндекса:
bobuk: Дети на Хабре обсуждают что кто-то украл "исходники яндекса" через каталог .svn . Как говорится "I LOLd".
bobuk: Расставляя точки над i - у нас вёрстка (т.е. css/html) и код лежат на разных серверах. Ничего секретного в html/css/xml нет, правда?
Никаких сорцов самого поискового механизма Яндекса получено не было, однако были получены корни веб морды некоторых ресурсов. Верстка, xmlapi, xsl шаблоны итп. Ничего серьезного, разве что все адреса репозиториев, логины разработчиков итп. Кукуц, Бобук, расслабьтесь
Отсюда вывод: ты непроходимый дурень, bobuk. А про bobuk'овое "I LOLd" хочется сказать словами из знаменитого анекдота: "а я видел эту девочку, она до сих пор бегает в каске и смеётся". Смени ник с bobuk на bambuk, он тебе больше подходит!
Я цитировал то, что по ссылке в этой статье. Это, если я не ошибаюсь, блог на хабре. И там вконце статьи написано:
Для вас старались 2Товарища (mobilz) и Антон Исайкин (oowl, twi)
:)
P.S. И да: причём тут oowl и кукуц с бобуком? Я знаю, что два последних клоуна из Яндекса. А в статье ясно сказано, что "Два хабраюзера нашли уязвимость и взломали 3320 сайтов"
Вся проблема считать ли доступ к свн, уязвимостью. единственное что полезного там было это просто список логинов (в случае с яндексом), это единственное что хоть как то можно назвать нарушением безопасности, и то мне кажется в этом нет ничего страшного...
Надо хорошо почитать их блог ещё раз. Я не думаю, что эта уязвимость была так уж безобидна. Всё зависит ещё от ряда обстоятельств. И в некоторых случаях взломщики могли получить многое.
Это у Яндекса особо ничего не стянули. Если на других сайтах поворовали php/perl/python/ruby-код, то такой код может быть использован для дальнейшего поиска уязвимостей и доступа уже к БД.
Доступ к SVN, конечно, не уязвимость, а признак дурноты админов.
Нефига себе
Насколько я понял там у них описана и защита от этой уязвимости. И вообще они пишут что:
Если это правда, то такие взломы скорее положительный момент чем отрицательный. А там ...
Особо ничего и не украли. Главное БД. Другое дело, что это за админы такие, которые SVN держат на публичных серверах?
комментарий человека из яндекса:
bobuk: Дети на Хабре обсуждают что кто-то украл "исходники яндекса" через каталог .svn . Как говорится "I LOLd".
bobuk: Расставляя точки над i - у нас вёрстка (т.е. css/html) и код лежат на разных серверах. Ничего секретного в html/css/xml нет, правда?
А разве не тут они написали, а я их процитировал:
Отсюда вывод: ты непроходимый дурень, bobuk. А про bobuk'овое "I LOLd" хочется сказать словами из знаменитого анекдота: "а я видел эту девочку, она до сих пор бегает в каске и смеётся". Смени ник с bobuk на bambuk, он тебе больше подходит!
вы цитировали oowl а в яндексе работают Кукуц и Бобук...
Я цитировал то, что по ссылке в этой статье. Это, если я не ошибаюсь, блог на хабре. И там вконце статьи написано:
:)
P.S. И да: причём тут oowl и кукуц с бобуком? Я знаю, что два последних клоуна из Яндекса. А в статье ясно сказано, что "Два хабраюзера нашли уязвимость и взломали 3320 сайтов"
Вся проблема считать ли доступ к свн, уязвимостью. единственное что полезного там было это просто список логинов (в случае с яндексом), это единственное что хоть как то можно назвать нарушением безопасности, и то мне кажется в этом нет ничего страшного...
Надо хорошо почитать их блог ещё раз. Я не думаю, что эта уязвимость была так уж безобидна. Всё зависит ещё от ряда обстоятельств. И в некоторых случаях взломщики могли получить многое.
Это у Яндекса особо ничего не стянули. Если на других сайтах поворовали php/perl/python/ruby-код, то такой код может быть использован для дальнейшего поиска уязвимостей и доступа уже к БД.
Доступ к SVN, конечно, не уязвимость, а признак дурноты админов.