05th kwietnia 2007
Hack.pl: za 200.000 zł nie napiszemy o Waszej luce w systemie
Wczoraj późnym wieczorem redakcja serwisu hack.pl zaproponowała firmie Home.pl, że nie upublicznią znalezionych przez nich błędów na serwerze w zamian za bagatela 200 tysięcy złotych.
O sprawie na bieżąco były informowane redakcje ipsec.pl oraz hacking.pl. Michał Bućko oraz Michał Semeniuk - redaktorzy serwisu hack.pl wysłali do Home.pl dość interesujący list:
Szanowni Państwo.
Znaleźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny. Jesteśmy przekonani, że może być wykorzystana na wiele sposobów przez ew. napastników.
Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem.
Wstępnie myśleliśmy tylko o napisaniu o błędzie na łamach HACK.pl, a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu.
Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.
Koszt informacji szacujemy wstępnie na 200,000 złotych, cena - oczywiście - podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.
Jesteśmy otwarci na propozycje, oferujemy audyt bezpieczeństwa. Mamy nadzieję, że wspólnie uda nam się wyeliminować ten i podobne niedociągnięcia.
Z poważaniem.
Michał Bućko, współpraca Michał Semeniuk
Luka, o której mowa dotyczyła dostępu do logów niektórych serwisów. Stosując metodę brute-force po HTTP redaktorom z hack.pl udało się wyszukać nazwy katalogów ze statystykami a następnie przeglądać staty serwisów internetowych.
Administracja Home.pl wykryła i zpatchowała usterkę zanim redakcja hack.pl zdecydowała się opisać im swoje rewelacje.
źródło: hacking.pl
Loading ...