forum.opennet.ru - "Выявлена возможность управления модемами миллионов абонентов ISP Cox без аутентификации" (44)

"Выявлена возможность управления модемами миллионов абонентов ISP Cox без аутентификации"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выявлена возможность управления модемами миллионов абонентов ISP Cox без аутентификации"	+/–
Сообщение от opennews (??), 04-Июн-24, 21:10
Клиент Cox Communications, третьего по величине провайдера кабельного телевидения в США и одного из крупнейших операторов широкополосного доступа, насчитывающего 6.5 млн абонентов, опубликовал результаты экспериментов с используемым провайдером внутренним Web API, доступным для внешних запросов и применяемым, среди прочего, для доступа службы поддержки к абонентским модемам и базе пользователей. Оказалось, что зная лишь MAC-адрес абонентского устройства можно получить полный контроль над модемом, позволяющий изменять настройки и выполнять любые команды на модеме. По сути, любой атакующий может получить доступ к модему, аналогичный инженерному доступу, который получает служба поддержки оператора связи... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61310
Ответить \| Правка \| Cообщить модератору

Оглавление

Как вы яхту назовете Который к тому же немного предсказуем для выводка устрой, Аноним (-), 21:10 , 04-Июн-24, (1) +3
Криптографы от сохи W веба 80 уровня - это зачет , Аноним (-), 21:12 , 04-Июн-24, (2) +6

и в сишные времена попадалось весельеОсобенно когда прога требует ввода кода акт, Бывалый Смузихлёб (ok), 09:40 , 05-Июн-24, (27)

Так до сих пор взламываются java приложения Через javaagent передаётся код, кот, хрю (?), 11:51 , 05-Июн-24, (32) +1
В случае клиент сервера считать на клиенте такое - это победа в чемпионате бакла, Аноним (-), 16:27 , 05-Июн-24, (41) –1

последнее с игорами обычно работало С тем же Райманом-Равинг-РаббитсВсм, вроде , Бывалый Смузихлёб (ok), 13:57 , 07-Июн-24, (51)

вернулись в девяностоседьмой , Аноним (3), 21:25 , 04-Июн-24, (3)

Не, это не 97, это позже Это вот когда всякие фреймворки появились, в которых к, Аноним (-), 21:39 , 04-Июн-24, (5) +2

Проверка _пароля_ на любой стороне является ошибкой , n00by (ok), 09:25 , 05-Июн-24, (25)

Отдельный сервер атентификации , Аноним (31), 11:21 , 05-Июн-24, (31)

Специально обученные люди, кто слышал хотя бы про соль и хеш , n00by (ok), 15:39 , 05-Июн-24, (34)

Учитывая что технология, по которой взломали, возникла в 2004 мой роутер из 97го, КО (?), 09:43 , 05-Июн-24, (28)

Ну хоть что-то у нас в безопасности , anonimus (?), 21:33 , 04-Июн-24, (4) +7

Просто еще руки не дошли Все знают какой китайский OEM хлам продают в аренду , cheburnator9000 (ok), 22:25 , 04-Июн-24, (7) +1

Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности, мы зн, Аноним (15), 03:05 , 05-Июн-24, (15)

Вообще-то установка OpenWRT на некоторые китайские девайсы - подразумевает гасил, Аноним (-), 06:26 , 05-Июн-24, (16) +2

По умолчанию вас уведомили,что частная собственность,а остальное ваши проблемы Б, Виндюшатник (?), 22:42 , 04-Июн-24, (9)

Там с конкуренцией между провайдерами проблема Так что куда ты денешься с подво, Аноним (23), 08:21 , 05-Июн-24, (23)

Всё в духе Адриана Ламо , IdeaFix (ok), 23:26 , 04-Июн-24, (11)

Эти, первое поколение хавкеров были мелкими хулиганами Типа бесплатный звонок , Аноним (44), 20:00 , 05-Июн-24, (44)

Т е Вы не в курсе за классовую вражду мёртвого Митника и мёртвого Ламо Они нем, IdeaFix (ok), 21:02 , 05-Июн-24, (45)

Ну вы поняли, с нынешней-то любовью каждого сервиса просить номер для аутентифик, Аноним (12), 00:14 , 05-Июн-24, (12) +1
Люблю такое читать Полное раздолбайство и пофигизм Даже завидно, что эти люди , Аноним (13), 00:41 , 05-Июн-24, (13) +6

А уж CIO и его секретутки не просто американскую, а икзикьютивную Кокса на не, mos87 (ok), 06:56 , 05-Июн-24, (18)

директорам кокс, абонентам cocks, onanim (?), 07:32 , 05-Июн-24, (20) +3

Бывает такое что у датацентра супер проверка безопасности на входе с картами с о, Аноним (23), 09:45 , 05-Июн-24, (29) +2
Замечу что кабель провести и втыкнуть в модем много ума не нужно Вы смотрели ка, Аноним (-), 06:16 , 06-Июн-24, (48)

О - да О сочетании букв DHCP не знают вообще никакой информации Вместо него са, Аноним (55), 13:11 , 08-Июн-24, (55)

Другая стратегия Купить на стороне готовое решение будто кто-то будет _хорошо_, Аноним (55), 13:08 , 08-Июн-24, (54)

Судя по названию этого ISP, его основали эмигранты из Колумбии что-ли , Аноним (14), 01:09 , 05-Июн-24, (14)
или Cox По сути - заходите, люди добрые, берите что хотите , ryoken (ok), 07:28 , 05-Июн-24, (19)
Если бы это было в кино, сказали бы, что автор сценария какую-то ерунду сочинил , Аноним (21), 08:14 , 05-Июн-24, (21) +3

Вы просто не работали в современном IT , Аноним (55), 13:04 , 08-Июн-24, (53)

И что уязвимость была несколько лет, а отчёт появился только сейчас Так что или, Аноним (23), 08:18 , 05-Июн-24, (22) +1

Хорошо бы узнать, у какого провайдера работает эксперт, написавший кому надо ни, n00by (ok), 09:21 , 05-Июн-24, (24) –1

Ты мне ещё тут теорий заговора построй Сразу пиши кому чего сделали , Аноним (23), 09:38 , 05-Июн-24, (26)

Я же тебе сразу написал мне любопытно, у какого провайдера такой разгильдяй как, n00by (ok), 16:48 , 05-Июн-24, (43)

А специалистов не всегда в штате можно иметь Порой компании привлекают специали, Аноним (-), 06:11 , 06-Июн-24, (47)

Тю А я - дурак, звонил абоненту, и просил его назвать циферки, которые написаны, tm (?), 11:01 , 05-Июн-24, (30) +2
Диды telnet юзали и нам завещали , YetAnotherOnanym (ok), 16:04 , 05-Июн-24, (37) –1

А провайдер будет заботливо с телнетов собирать password login-ы , Аноним (31), 16:14 , 05-Июн-24, (38) +1

Это его, провайдера, логины и пароли, через которые он рулит абонентскими модема, YetAnotherOnanym (ok), 15:40 , 06-Июн-24, (49)

Адепт вредных советов, Аноним (-), 06:06 , 06-Июн-24, (46)

Скрыто модератором, Аноним (55), 13:02 , 08-Июн-24, (52)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 04-Июн-24, 21:10 +3 +/–

Как вы яхту назовете...
> зная лишь MAC-адрес абонентского устройства
Который к тому же немного предсказуем для выводка устройств, так что если сильно надо то и сбрутить можно для энной партии девайсов так то :)
> включая адрес, телефон, ФИО и email.
Хотя если брутфорсить не надо, да еще с таким аддоном - так даже прикольнее.

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (-), 04-Июн-24, 21:12 +6 +/–

> функции для шифрования удалось найти в одном из скриптов на языке
> JavaScript, отдаваемых сайтом webcdn-business.cox.com.
> Ключ для шифрования удалось определить установив точку останова в JavaScript-отладчике
Криптографы от сохи^W веба 80 уровня - это зачет!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

3. Сообщение от Аноним (3), 04-Июн-24, 21:25 +/–

вернулись в девяностоседьмой!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #28

4. Сообщение от anonimus (?), 04-Июн-24, 21:33 +7 +/–

Ну хоть что-то у нас в безопасности!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

5. Сообщение от Аноним (-), 04-Июн-24, 21:39 +2 +/–

Не, это не 97, это позже. Это вот когда всякие фреймворки появились, в которых код для фронтенда и бекенда пишется в одном месте и на одном языке, вот тогда веб-девляпсы начали допускать ошибки, типа проверки пароля на стороне клиента.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #25

7. Сообщение от cheburnator9000 (ok), 04-Июн-24, 22:25 +1 +/–

Просто еще руки не дошли. Все знают какой китайский OEM хлам "продают в аренду" наши интернет провайдеры, с дырами 10 летней давности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

9. Сообщение от Виндюшатник (?), 04-Июн-24, 22:42 +/–

По умолчанию вас уведомили,что частная собственность,а остальное ваши проблемы.Бгг. Высокий забор все же надежнее.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

11. Сообщение от IdeaFix (ok), 04-Июн-24, 23:26 +/–

Всё в духе Адриана Ламо...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

12. Сообщение от Аноним (12), 05-Июн-24, 00:14 +1 +/–

> Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи.
> номеру телефона
Ну вы поняли, с нынешней-то любовью каждого сервиса просить номер для аутентификации.

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 05-Июн-24, 00:41 +6 +/–

Люблю такое читать! Полное раздолбайство и пофигизм. Даже завидно, что эти люди получают зарплату, причём американскую. (Да-да, а я сижу на дивани и пишу коммент).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #29, #48, #54

14. Сообщение от Аноним (14), 05-Июн-24, 01:09 +/–

Судя по названию этого ISP, его основали эмигранты из Колумбии что-ли ;)

Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 05-Июн-24, 03:05 +/–

Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности, мы знаем. Мог даже не всплывать здесь лавры твои по праву.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #16

16. Сообщение от Аноним (-), 05-Июн-24, 06:26 +2 +/–

> Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности,
> мы знаем. Мог даже не всплывать здесь лавры твои по праву.
Вообще-то установка OpenWRT на некоторые китайские девайсы - подразумевает гасилово их эксплойтом. Просто потому что uboot господа любезно обгадили до состояния когда без сериального шнурка фиг вы им порулите, а апдейтер прошивки чекает что прошивка вендорская и опенврту влить не даст.
То-есть это такая штатная инструкция по установке - огреть девайс сплойтом чтобы выполнить команды флешевания опенврты заместо этой дырени. Круто придумано, да? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от mos87 (ok), 05-Июн-24, 06:56 +/–

А уж CIO и его секретутки не просто американскую, а икзикьютивную... Кокса на неё было куплено - страшно подумать. А у них наверняка ещё и безопасник-оффисер есть.
Впрочем, как и у остальных. IT оно такое. Пока за подобное миллиардные иски выигрываться не будут, то так будет продолжаться. При этом возможность такого ненулевая как раз в Омериге.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20

19. Сообщение от ryoken (ok), 05-Июн-24, 07:28 +/–

>>Xox Business
или Cox?
По сути - "заходите, люди добрые, берите что хотите".

Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от onanim (?), 05-Июн-24, 07:32 +3 +/–

директорам кокс, абонентам cocks

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (21), 05-Июн-24, 08:14 +3 +/–

Если бы это было в кино, сказали бы, что автор сценария какую-то ерунду сочинил :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

22. Сообщение от Аноним (23), 05-Июн-24, 08:18 +1 +/–

И что уязвимость была несколько лет, а отчёт появился только сейчас. Так что или было никому не надо или тот кому надо ничего плохо не сделал за всё время. Итог преждевременная оптимизация не нужна пров всё правильно сделал.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #47

23. Сообщение от Аноним (23), 05-Июн-24, 08:21 +/–

Там с конкуренцией между провайдерами проблема. Так что куда ты денешься с подводной лодки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

24. Сообщение от n00by (ok), 05-Июн-24, 09:21 –1 +/–

Хорошо бы узнать, у какого провайдера работает эксперт, написавший "кому надо ничего плохо не сделал" вместо "неизвестно, что было сделано".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от n00by (ok), 05-Июн-24, 09:25 +/–

Проверка _пароля_ на любой стороне является ошибкой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #31

26. Сообщение от Аноним (23), 05-Июн-24, 09:38 +/–

Ты мне ещё тут теорий заговора построй. Сразу пиши кому чего сделали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Бывалый Смузихлёб (ok), 05-Июн-24, 09:40 +/–

и в сишные времена попадалось веселье
Особенно когда прога требует ввода кода активации, а в самом коде - генерирует его и сравнивает его как строку с тем что ввёл пользователь
Суть патча сводилась к тому, что чутка патчился вызов и, при неверно введённом ключе, правильный код отображался в сообщении о неверно введённом коде. Буквально, считанные байты замены
А ведь даже сам код активации непосредственно зависел от параметров железа. Такое ПО-само-кейген порой получалось ещё до повсеместного распространения жс

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #32, #41

28. Сообщение от КО (?), 05-Июн-24, 09:43 +/–

Учитывая что технология, по которой взломали, возникла в 2004 мой роутер из 97го даже лучше защищён, лол

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от Аноним (23), 05-Июн-24, 09:45 +2 +/–

Бывает такое что у датацентра супер проверка безопасности на входе с картами с охранниками за стеклом, который на тебя пристально смотрит, камеры везде. При это заходишь в зал, а там настяж открытая дверь для разгрузки из машин. И никаких охранников. Ну и предвосхищая некоторых экспертов оттуда ничего так и не украли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от tm (?), 05-Июн-24, 11:01 +2 +/–

Тю. А я - дурак, звонил абоненту, и просил его назвать циферки, которые написаны на обратной стороне модема. "Хакеры"

Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (31), 05-Июн-24, 11:21 +/–

?
Отдельный сервер атентификации?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #34

32. Сообщение от хрю (?), 05-Июн-24, 11:51 +1 +/–

Так до сих пор взламываются java приложения. Через javaagent передаётся код, который патчит стандартную библиотеку на геренацию или сравнение какого-нить BigInteger и заодно на блокировку выхода в инет по определённым урлам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

34. Сообщение от n00by (ok), 05-Июн-24, 15:39 +/–

Специально обученные люди, кто слышал хотя бы про соль и хеш.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #43

37. Сообщение от YetAnotherOnanym (ok), 05-Июн-24, 16:04 –1 +/–

> TR-069
Диды telnet юзали и нам завещали.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #46

38. Сообщение от Аноним (31), 05-Июн-24, 16:14 +1 +/–

А провайдер будет заботливо с телнетов собирать password/login-ы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49

41. Сообщение от Аноним (-), 05-Июн-24, 16:27 –1 +/–

> и в сишные времена попадалось веселье
В случае клиент сервера считать на клиенте такое - это победа в чемпионате бакланов. Ведь считай такое сервер, клиент обломался бы совсем. У сишников такое и то практиковалось, в виде серверов активации/счета алго и проч, хоть там это и сложнее. А тут все карты на руках с самого начала но все равно продули. Позор.
> Особенно когда прога требует ввода кода активации, а в самом коде - генерирует
> его и сравнивает его как строку с тем что ввёл пользователь
Одно дело если клиент сервер надо искусственно донавешивать, это все же эн лишнего кодинга и майнтенанса сервисов "спецом для этого". И совсем другое - если все это было, но бабуины все равно продолбались даже со всем этим великолепием.
А синшики между прочим умели прикалываться. В половине случаев ты вот введешь такой код, вроде зашибись. Но потом, через два дня - хрясь! Оказывается, редиски заныкали часть менее очевидных вычислений отложенно, и если оно не прокатило - глючат/прикадываются/проч. И вот кекс с дебагером думал что всех наел, релизнул кейген, а через несколько дней он собирает свой ушат помоев сполна... :))). А у вон тех стэк для таких вещей - маловат.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #51

43. Сообщение от n00by (ok), 05-Июн-24, 16:48 +/–

Я же тебе сразу написал: мне любопытно, у какого провайдера такой разгильдяй как ты работает. Что бы случайно не воспользоваться его услугами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

44. Сообщение от Аноним (44), 05-Июн-24, 20:00 +/–

>Всё в духе Адриана Ламо...
Эти, первое поколение хавкеров были мелкими хулиганами. Типа "бесплатный звонок по межгороду", или "вирус-вандал".
Сечас всё серъёзно: майнить крипту на твоём компе - ничего личного просто бизнес. Или, шпионская программа прикидывающаяся браузером - Google Chrome. Телеграм, антивирус Касперского - официальный филиалы ФСБ РФ. Intel ME - фирменный троян от Intel.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #45

45. Сообщение от IdeaFix (ok), 05-Июн-24, 21:02 +/–

Т.е. Вы не в курсе за классовую вражду мёртвого Митника и мёртвого Ламо? Они немного разные были в плане навыков, инструментов, базы и мотивации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от Аноним (-), 06-Июн-24, 06:06 +/–

Адепт вредных советов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

47. Сообщение от Аноним (-), 06-Июн-24, 06:11 +/–

А специалистов не всегда в штате можно иметь. Порой компании привлекают специалистов из других компаний. В частности по ИБ. Капитализм — экономия средств такая. Возможно то что вам кажется раздолбайством просто не входит в обязанности (недорогих) сотрудников.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

48. Сообщение от Аноним (-), 06-Июн-24, 06:16 +/–

Замечу что кабель провести и втыкнуть в модем много ума не нужно. Вы смотрели каких специалистов они нанимают и сколько платят?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #55

49. Сообщение от YetAnotherOnanym (ok), 06-Июн-24, 15:40 +/–

> А провайдер будет заботливо с телнетов собирать password/login-ы.
Это его, провайдера, логины и пароли, через которые он рулит абонентскими модемами. Ему не надо их собирать, они у него и так уже есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

51. Сообщение от Бывалый Смузихлёб (ok), 07-Июн-24, 13:57 +/–

последнее с игорами обычно работало. С тем же Райманом-Равинг-Раббитс
Всм, вроде бы отучил от диска, а по сути - вроде бы и работает, но баллов начисляется сильно меньше и задания становятся гораздо тяжелее. Порой, невозможно-тяжкими

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Аноним (55), 08-Июн-24, 13:02 Скрыто ботом-модератором +/–

Вебня - она такая вебня.
Ещё джунам в помощь AI и анекдоты неводом грести можно будет.

Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (55), 08-Июн-24, 13:04 +/–

Вы просто не работали в современном IT. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

54. Сообщение от Аноним (55), 08-Июн-24, 13:08 +/–

Другая стратегия. Купить на стороне готовое решение (будто кто-то будет _хорошо_ дорабатывать под них, наивные). Нанять грошовых людей для обслуги (а они НЕ случайно грошовые). Платить мало за чужое, продавать свой сервис подороже. Профит. Но потом всё почему-то скука вроде акции вниз идут и похожее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

55. Сообщение от Аноним (55), 08-Июн-24, 13:11 +/–

О - да! О сочетании букв DHCP не знают вообще никакой информации. Вместо него сам всё делал и учил...
Кстати, зачем... Абонент сам научит. Профит!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (-), 04-Июн-24, 21:10	+3 +/–
Как вы яхту назовете... > зная лишь MAC-адрес абонентского устройства Который к тому же немного предсказуем для выводка устройств, так что если сильно надо то и сбрутить можно для энной партии девайсов так то :) > включая адрес, телефон, ФИО и email. Хотя если брутфорсить не надо, да еще с таким аддоном - так даже прикольнее.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Аноним (-), 04-Июн-24, 21:12	+6 +/–
> функции для шифрования удалось найти в одном из скриптов на языке > JavaScript, отдаваемых сайтом webcdn-business.cox.com. > Ключ для шифрования удалось определить установив точку останова в JavaScript-отладчике Криптографы от сохи^W веба 80 уровня - это зачет!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

3. Сообщение от Аноним (3), 04-Июн-24, 21:25	+/–
вернулись в девяностоседьмой!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #28

4. Сообщение от anonimus (?), 04-Июн-24, 21:33	+7 +/–
Ну хоть что-то у нас в безопасности!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

5. Сообщение от Аноним (-), 04-Июн-24, 21:39	+2 +/–
Не, это не 97, это позже. Это вот когда всякие фреймворки появились, в которых код для фронтенда и бекенда пишется в одном месте и на одном языке, вот тогда веб-девляпсы начали допускать ошибки, типа проверки пароля на стороне клиента.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #25

7. Сообщение от cheburnator9000 (ok), 04-Июн-24, 22:25	+1 +/–
Просто еще руки не дошли. Все знают какой китайский OEM хлам "продают в аренду" наши интернет провайдеры, с дырами 10 летней давности.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #15

9. Сообщение от Виндюшатник (?), 04-Июн-24, 22:42	+/–
По умолчанию вас уведомили,что частная собственность,а остальное ваши проблемы.Бгг. Высокий забор все же надежнее.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

11. Сообщение от IdeaFix (ok), 04-Июн-24, 23:26	+/–
Всё в духе Адриана Ламо...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #44

12. Сообщение от Аноним (12), 05-Июн-24, 00:14	+1 +/–
> Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи. > номеру телефона Ну вы поняли, с нынешней-то любовью каждого сервиса просить номер для аутентификации.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Сообщение от Аноним (13), 05-Июн-24, 00:41	+6 +/–
Люблю такое читать! Полное раздолбайство и пофигизм. Даже завидно, что эти люди получают зарплату, причём американскую. (Да-да, а я сижу на дивани и пишу коммент).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #29, #48, #54

14. Сообщение от Аноним (14), 05-Июн-24, 01:09	+/–
Судя по названию этого ISP, его основали эмигранты из Колумбии что-ли ;)
Ответить \| Правка \| Наверх \| Cообщить модератору

15. Сообщение от Аноним (15), 05-Июн-24, 03:05	+/–
Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности, мы знаем. Мог даже не всплывать здесь лавры твои по праву.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #16

16. Сообщение от Аноним (-), 05-Июн-24, 06:26	+2 +/–
> Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности, > мы знаем. Мог даже не всплывать здесь лавры твои по праву. Вообще-то установка OpenWRT на некоторые китайские девайсы - подразумевает гасилово их эксплойтом. Просто потому что uboot господа любезно обгадили до состояния когда без сериального шнурка фиг вы им порулите, а апдейтер прошивки чекает что прошивка вендорская и опенврту влить не даст. То-есть это такая штатная инструкция по установке - огреть девайс сплойтом чтобы выполнить команды флешевания опенврты заместо этой дырени. Круто придумано, да? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

18. Сообщение от mos87 (ok), 05-Июн-24, 06:56	+/–
А уж CIO и его секретутки не просто американскую, а икзикьютивную... Кокса на неё было куплено - страшно подумать. А у них наверняка ещё и безопасник-оффисер есть. Впрочем, как и у остальных. IT оно такое. Пока за подобное миллиардные иски выигрываться не будут, то так будет продолжаться. При этом возможность такого ненулевая как раз в Омериге.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20

19. Сообщение от ryoken (ok), 05-Июн-24, 07:28	+/–
>>Xox Business или Cox? По сути - "заходите, люди добрые, берите что хотите".
Ответить \| Правка \| Наверх \| Cообщить модератору

20. Сообщение от onanim (?), 05-Июн-24, 07:32	+3 +/–
директорам кокс, абонентам cocks
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (21), 05-Июн-24, 08:14	+3 +/–
Если бы это было в кино, сказали бы, что автор сценария какую-то ерунду сочинил :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #53

22. Сообщение от Аноним (23), 05-Июн-24, 08:18	+1 +/–
И что уязвимость была несколько лет, а отчёт появился только сейчас. Так что или было никому не надо или тот кому надо ничего плохо не сделал за всё время. Итог преждевременная оптимизация не нужна пров всё правильно сделал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #47

23. Сообщение от Аноним (23), 05-Июн-24, 08:21	+/–
Там с конкуренцией между провайдерами проблема. Так что куда ты денешься с подводной лодки?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

24. Сообщение от n00by (ok), 05-Июн-24, 09:21	–1 +/–
Хорошо бы узнать, у какого провайдера работает эксперт, написавший "кому надо ничего плохо не сделал" вместо "неизвестно, что было сделано".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от n00by (ok), 05-Июн-24, 09:25	+/–
Проверка _пароля_ на любой стороне является ошибкой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #31

26. Сообщение от Аноним (23), 05-Июн-24, 09:38	+/–
Ты мне ещё тут теорий заговора построй. Сразу пиши кому чего сделали.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

27. Сообщение от Бывалый Смузихлёб (ok), 05-Июн-24, 09:40	+/–
и в сишные времена попадалось веселье Особенно когда прога требует ввода кода активации, а в самом коде - генерирует его и сравнивает его как строку с тем что ввёл пользователь Суть патча сводилась к тому, что чутка патчился вызов и, при неверно введённом ключе, правильный код отображался в сообщении о неверно введённом коде. Буквально, считанные байты замены А ведь даже сам код активации непосредственно зависел от параметров железа. Такое ПО-само-кейген порой получалось ещё до повсеместного распространения жс
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #32, #41

28. Сообщение от КО (?), 05-Июн-24, 09:43	+/–
Учитывая что технология, по которой взломали, возникла в 2004 мой роутер из 97го даже лучше защищён, лол
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

29. Сообщение от Аноним (23), 05-Июн-24, 09:45	+2 +/–
Бывает такое что у датацентра супер проверка безопасности на входе с картами с охранниками за стеклом, который на тебя пристально смотрит, камеры везде. При это заходишь в зал, а там настяж открытая дверь для разгрузки из машин. И никаких охранников. Ну и предвосхищая некоторых экспертов оттуда ничего так и не украли.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

30. Сообщение от tm (?), 05-Июн-24, 11:01	+2 +/–
Тю. А я - дурак, звонил абоненту, и просил его назвать циферки, которые написаны на обратной стороне модема. "Хакеры"
Ответить \| Правка \| Наверх \| Cообщить модератору

31. Сообщение от Аноним (31), 05-Июн-24, 11:21	+/–
? Отдельный сервер атентификации?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #34

32. Сообщение от хрю (?), 05-Июн-24, 11:51	+1 +/–
Так до сих пор взламываются java приложения. Через javaagent передаётся код, который патчит стандартную библиотеку на геренацию или сравнение какого-нить BigInteger и заодно на блокировку выхода в инет по определённым урлам.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

34. Сообщение от n00by (ok), 05-Июн-24, 15:39	+/–
Специально обученные люди, кто слышал хотя бы про соль и хеш.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31 Ответы: #43

37. Сообщение от YetAnotherOnanym (ok), 05-Июн-24, 16:04	–1 +/–
> TR-069 Диды telnet юзали и нам завещали.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38, #46