Segurança na Optimus?
26 Outubro 2007
Sei que não devia postar isto, mas quando se trata destes assuntos, sou radical. Quando os meus amigos deambulavam pelo sítio da Optimus, na sequência da promoção maluca dos telemóveis a 6€ (já feita pela TMN e Vodafone) obteram esta erro no sítio referente à loja:
[nativecode=Too many connections] ** mysql://u11222:lojaopxnixni@81.92.210.202/lojaoptimusnet
Num momento em que tanto se fala de segurança, olhando para este username e password, denota-se alguma (senão nenhuma) falta de cuidado na selecção/criação das mesmas. Obviamente que neste momento isto é o que menos me preocupa, preocupa-me sim é o facto de mesmo que fosse por alguns segundos, alguém se tivesse aproveitado do facto de a base de dados estar “aberta” e, até que ponto os dados dos utilizadores estiveram em jogo!
Esperava um pouco mais de uma empresa do grupo Sonae.
PS: Ainda me tentei ligar ao servidor, e confirmou-se a minha suspeita, ligou-se mas logo deu um “Too many connections”.
Informares que a Optimus tem esse “problema” parece-me uma boa ideia. Por outro lado, tentares entrar é um bocado má ideia (ainda que sem má intenção).
Em termos simples, é o mesmo que entrares em minha casa só porque deixei a porta aberta (ou porque encontraste a chave).
Portanto, quando dizes “Esperava um pouco mais de uma empresa do grupo Sonae.”, devias também olhar para as tuas acções.
Se por acaso responderes envia e-mail, sff. 🙂
É o outsourça meu amigo, é o outsourça! Onde os engenheiros são apenas gestores de projectos! Onde a programação é vista como uma actividade repetitiva e sem méritos. Depois dá nisto claro, especialmente quando todos sabemos que as empresas externas vendem consultoria sénior e enviam mas é juniores.
Caro Pedro Pais
Com certeza que concordo contigo, em todas as tuas observações e por todas as razões, trabalhando eu em TIC, sei a importância da privacidade dos dados.
No entanto a tua casa não esta apetrechada de logins e passwords e dados de clientes, por mais mal ou bem intencionada seja a minha acção, esta pode ser criticada, mas pode ser interpretada de varias maneiras, se é que me entendes (o facto de verificar uma chave não quer dizer que entre, pode fazer parte apenas de um processo de auditoria).
O que aqui quero denunciar é exactamente uma situação que pode ser facilmente evitada e que pode por em risco milhares de utilizadores, a sua privacidade e a sua integridade.
[…] aconselho vivamente a sua leitura, se desejarem saber um pouco mais sobre este assunto. Assim como deste outro sobre o mesmo […]
http://gamito.blogs.sapo.pt/49299.html
Epa encontrámos mais um génio hacker em Portugal, depois do buzy bee, chegou agora o Adriano Afonso. Parabéns!
Depois de teres encontrado a password por “Too Many Connections” entraste e deu… “Too Many Connections”, ficaste logo com a suspeita confirmada. Parabens , aliás muitos parabens !!!