Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας

[Engimek]

1 ώρα πριν, nchatz είπε

Δεδομένα που σχετίζονται με αυθεντικοποίηση/ταυτοποίηση των υποκειμένων των δεδομένων, όπως στοιχεία εισόδου (όνομα χρήστη και κωδικοί για τις υπηρεσίες)

 

33 λεπτά πριν, george1807 είπε

Είναι δυνατόν κωδικοί να αποθηκεύονται σε plain text και να τους κλέβουν;

 

Θεωρητικά και κρυπτογραφημένοι να είναι οι κωδικοί (που κατά 99% πιστεύω ότι ισχύει αυτό) αν δεν έχουν κάνει salt, μπορούνε να "σπάσουν" κάποιους. Εν πάσει περιπτώσει προφανώς παίρνουν την θεωρητικά χειρότερη περίπτωση και λένε στον χρήστη να αλλλάξει κωδικούς "καλού-κακού". Πάγια τακτική.

[mindreader]

Μπερδευτηκα καπως. Εχω hosting στην tophost. Mail απο αυτους, ΔΕΝ ΕΛΑΒΑ.

Ξερω οτι papaki και tophost, απο πισω ειναι οι ιδιοι.

Ωστοσο, εδω λεει για αλλαγες στο παπακι.

https://support.papaki.com/help/pos-energopoio-i-apenergopoio-to-2nd-level-authentication-ston-logariasmo-moy/

Δεν βρισκω αντιστοιχες επιλογες στο controlpanel του tophost.

Να υποθεσω οτι οτι εγινε, αφορα το papaki, ή και εντος tophost;

[filip123go]

4 minutes ago, Engimek said:

 

 

Θεωρητικά και κρυπτογραφημένοι να είναι οι κωδικοί (που κατά 99% πιστεύω ότι ισχύει αυτό) αν δεν έχουν κάνει salt, μπορούνε να "σπάσουν" κάποιους. Εν πάσει περιπτώσει προφανώς παίρνουν την θεωρητικά χειρότερη περίπτωση και λένε στον χρήστη να αλλλάξει κωδικούς "καλού-κακού". Πάγια τακτική.

Εντωμεταξυ το να Χασαρεις και να κάνεις σαλτ τους κωδικούς (η encrypt), είναι στην κυριολεξία 3 γραμμές κώδικας πλέον.

Επεξ/σία 27 Ιουλίου 2023 από filip123go

[Ciccirya]

19 λεπτά πριν, filip123go είπε

 Επίσης τον κωδικό μου μέσα από το προφίλ δεν με άφηνε να τον αλλάξω. Έβγαζε σφάλμα.

Είναι ο συνηθισμένος ερασιτεχνισμός που μαστίζει πολλά site. Έχουν περιορισμό στη μορφή του κωδικού που μπορούν να δεχτούν (σε αριθμό χαρακτήρων, είδος συμβόλων, αν επιτρέπουν καν σύμβολα κλπ.) αλλά δεν αναφέρουν πουθενά τις σχετικές λεπτομέρειες. Απλά βγάζουν σφάλμα. Κάποια ακόμη πιο προχωρημένα site, βγάζουν ότι έγινε κανονικά η αλλαγή κωδικού. Μετά όμως, δεν σου επιτρέπουν να μπεις (λάθος κωδικός)! Οπότε forgot password και ξανά από την αρχή.

Για το papaki τώρα. Γράφει τους περιορισμούς, αλλά είναι προβληματικά αυτά που γράφει:

16 μόνο χαρακτήρες είναι απαράδεκτο, πόσο μάλλον για τέτοιο site (καταλάβαμε σήμερα γιατί...). Δεν αναφέρει σύμβολα, ενώ δέχεται κάποια. Ποια είναι αυτά; Καλή τύχη. Δοκιμάζετε τα πιο συνηθισμένα.

Επεξ/σία 27 Ιουλίου 2023 από Ciccirya

[dbrillis]

58 minutes ago, cricket said:

ΗΜΑΡΤΟΝ ΟΛΟΙ ΣΤΗΝ ΕΛΛΑΔΑ ΓΙΑ ΛΥΠΗΣΗ

Δεν θελω να σε απογοητευσω αλλα σε παρα πολλες μεγαλες εταιρειες Ελλαδα και εξωτερικο, ειδικα αν υπαρχουν για χρονια, τα πιο πολλα πραγματα φτιαχνουν μετα απο ενα μεγαλο outage ή μετα απο ενα security breach. Κοινως, υπαρχουν παρα πολλα σουρωτηρια εκει εξω.

[kormos]

Ήθελα να ήξερα όλοι όσοι γράφετε όσα γράφετε...

Έχετε κάποια υπηρεσία εκεί ή έτσι λέμε για να λέμε;

Το αν ως "εξειδικευμένος" χρήστης αναμένεις μια ανακοίνωση να προστατέψεις τον λογαριασμό σου ή μια κακόβουλη επίθεση, επίσης λέει πολλά.

Ας λογικευτουμε κάποια στιγμή.

Ο διαδικτυακός κόσμος ποτέ δεν ήταν και ποτέ δεν θα είναι θωρακισμένος όπως κάποιοι ονειρεύονται.

 

Μφχ

[MDefender]

Πόσο τραγικοί,

 

εγώ φταίω που διάλεξα domain με κριτήριο την τιμή.

Προτείνει κάποιος κάτι πιο ασφαλές που να μην ξεφεύγει πολύ το κόστος;

[george1807]

11 λεπτά πριν, kormos είπε

Ήθελα να ήξερα όλοι όσοι γράφετε όσα γράφετε...

Έχετε κάποια υπηρεσία εκεί ή έτσι λέμε για να λέμε;

Το αν ως "εξειδικευμένος" χρήστης αναμένεις μια ανακοίνωση να προστατέψεις τον λογαριασμό σου ή μια κακόβουλη επίθεση, επίσης λέει πολλά.

Ας λογικευτουμε κάποια στιγμή.

Ο διαδικτυακός κόσμος ποτέ δεν ήταν και ποτέ δεν θα είναι θωρακισμένος όπως κάποιοι ονειρεύονται.

 

Μφχ

Το λιγότερο είναι η προστασία του λογαριασμού μου, έτσι και αλλιώς μοναδικό κωδικό και 2FA έχω.

Τα προσωπικά μου δεδομένα ηλπιζα να μπορούν να προστατεύσουν, αλλά μάλλον ζητάω πολλά.

[kormos]

7 λεπτά πριν, george1807 είπε

Το λιγότερο είναι η προστασία του λογαριασμού μου, έτσι και αλλιώς μοναδικό κωδικό και 2FA έχω.

Τα προσωπικά μου δεδομένα ηλπιζα να μπορούν να προστατεύσουν, αλλά μάλλον ζητάω πολλά.

Όλοι το θέλουμε αυτό. Εφόσον είχες ήδη το 2FA δεν πιστεύω να πρέπει να ανησυχείς...
Ίσως όσοι δεν το είχαν...
 

Δεν σημαίνει όμως ότι όλα τα συστήματα είναι άτρωτα.
 

Απλά μην εμφανίζουμε την καταστροφή, πάντα υπήρχαν κενά και θα υπάρχουν κενά ασφαλείας.
 

Μφχ

[infin1tyGR]

Όπως επεσήμανε κάποιος και σε άλλο φόρουμ, όταν είχαν ενημερωθεί για κενά ασφαλείας πριν λίγο καιρό απάντησαν δεν ενδιαφερόμαστε για τα κενά ασφαλείας ούτε έχουμε κάποιο bug Bounty πρόγραμμα. Καλά να πάθουν, λοιπόν.

[cricket]

Συγγνωμη αλλα μονο στην Ελλαδα το σορρυ καναμε λαθος δε πειραζει ομως καλεσαμε 3ους καλυτερους ισχυει

Που ειναι η αποζημιωση για την ψυχικη οδυνη και επισης η συνευθυνη για τη διαρροη των προσωπικων μου δεδομενων?

Και το κρατος τι κανει γιατι δεν τους πιεζει να μας αποζημιωσουν για την κλοπη και την ψυχικη οδυνη.

Μπορει καποιοι να ειχα ιδιο κωδικο σε αλλα σαιτ και να κλαινε λεφτα τωρα,θα μηνυσουν το παπακι να τα παρουν πισω?

Σορυ αλλ το μας χακαρανε αλλαξτε κωδικους και η ατιμωρησια της Ελλαδας εχει ξεφυγει.

Εχουν γινει τραμπουκοι απο τους ψυκτικους και υδραυλικους μεχρι και τα μαγαζια που επιβλεπει η ανυπαρκτη ΕΕΤΤ του 5G στα νησια που δουλευουν ακομα με SAR

[CyberCr33p]

47 minutes ago, MDefender said:

Πόσο τραγικοί,

 

εγώ φταίω που διάλεξα domain με κριτήριο την τιμή.

Προτείνει κάποιος κάτι πιο ασφαλές που να μην ξεφεύγει πολύ το κόστος;

Εάν αναφέρεσαι σε .gr domain εκτός από την τιμή των 5 ευρώ + ΦΠΑ για νέες καταχωρήσεις που χρεώνει το papaki και είναι κάτω από το κόστος του (η ΕΕΤΤ το χρεώνει 12,50 ευρώ) σχεδόν όλοι οι άλλοι καταχωρητές έχουν σταθερές και χαμηλότερες τιμές για τις ανανεώσεις. Η αλλαγή .gr domain σε άλλον καταχωρητή είναι δωρεάν.

[mechpanos]

Εγώ δεκαπέντε χρόνια τώρα είμαι σε hyperhosting, αυτή ξέρω αυτή εμπιστεύομαι και ότι χρειάστηκα ήταν εκεί. Παπάκια και κύκνους τα βλέπω αλλά δεν έχω λόγο να πάω, για 2 ευρώ οικονομία (εντάξει αν είχα εκατοντάδες domain θα το έβλεπα αλλιώς)

[eyw]

αυτά με τις επιθέσεις και τις μη "εξουσιοδοτημένη πρόσβαση τρίτου" (ή και τέταρτου, πέμπτου ή νιοστού) σε συστήματα εδώ και χρόνια έχουν καταντήσει βαρετά, ας τα βάλουν σε section παραβιάσεις, προσβάσεις κλπ, όπως έχουν οι εφημερίδες τα φαρμακεία και τα βενζινάδικα.

Πάντως κοτζάμ υπηρεσία domains και να μην έχει κάποιον expert (έστω και με μπλοκάκι) για security κάνει εντύπωση.
Μάλλον θα έχουν μαζευτεί πολλοί μανατζεραίοι στο μαγαζί και δεν περισσεύει φράγκο για security.

Αν υποθέσουμε ότι η δουλειά δεν έγινε από μέσα.

[MariaLog]

ξεφτιλες παπακι με χρεωσεις λες και πουλανε πυρηνικα καυσιμα