Pereiti prie turinio

Internete nutekinta „CityBee“ vartotojų duomenų bazė: vardai, pavardės, asmens kodai


Rekomenduojami pranešimai

Taprasme? :) Na ne, sudėtingesnis slaptažodis reiškia, kad reikės daugiau resursų norint decryptinti. Galiausiai tokių slaptažodžių, kurie yra sąlyginai ilgi, turi įvairius simbolius, didžiąsias/mažąsias raides ir t.t užtrunka n kartų ilgiau iššifruoti ir prieinama iki to, kad paprasčiausiai tampa neįmanoma pagal šių dienos kompiuterių pajėgumus :) jeigu tavo slaptažodis tėra dažnai vartojamas žodis - praktiškai 100% tikimybė, kad užtruks milisekundę iššifruoti, kadangi duomenų bazėje bus sulyginamas hashas su jau turimais hashais ir tuomet bus žinoma kas už jo slepiasi :)

 

Trumpai šnekant kodėl ant Citybee visi pyksta - nes SHA-1 jau nuo 2017 yra niekur nerekomenduojamas naudoti ir yra SHA-2, SHA-3 šifravimo algoritmai. Tuo labiau, kad Salt nenaudojo apie kurį kiekvienas universiteto studentas žino, kadangi dar antram kurse yra šnekama kaip tai svarbu... :)

 

 

 

SHA1 nera imanoma issifruoti, kadangi pagal hash funkcijos definicija tai yra vienos krypties uzkodavimas, bet kas yra imanoma, tai tureti rainbow table, ty dazniausiai naudojamu slaptazodzius ir ju sha1 reiksmes ir issiaiskinti slaptazodi lyginant sias 2 reiksmes. Sitai operacijai padaryti nera praktinio skirtumo kokius passwordus naudoja useriai, nes ar nulauz ar ne priklauso ar tavo slaptazodis yra tarp tu daznai naudojamu ar ne. Salt padaro procesa zymiai komplikuotesni kadangi kiekvienas userio daznai naudojamas slaptazodis padaro ji ne daznai naudojamu.

Skirtumas tas, kad jei nera salt, tai gali pasimti dazna slaptazodi, uzhashinti ir paziuret ar egzistuoja toks PW visoj duombazej.

Jei yra saltinti slaptazodziai, tai kiekvienam userio irasui reikia atlikti hash funkcija hash(daznas slaptazodis + salt)

Salt praktiskai eksponentiskai padidina kompleksiskuma

 

Is esmes tavo mintis teisinga, tik tai norejau patikslinti, kad hasho nera imanoma atsifruoti, bet galima bandyti atspeti turint daznai naudojamus PW ir ju hash atitikmeni (rainbow table). Pavydziui galima naudoti lietuviu dazniausiai naudojamus slaptazodzius kuriuos galima rasti cia https://github.com/lexcor/LT-SecList?fbclid=IwAR2tXLNAZ2Ddzg1uG68noyKkp3WG_lZX-svA_MSdqLGJgydS54jAL0oK6tc

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Kiek žinau, naudojantis citybee paslauga, kiekvieną kartą rezervuojant auto suvedinėti kortelės duomenų nereikėdavo. Vieną kartą suvedi ir ji visada lieka išsaugota, bei priskirta paskyroje? Tai reiškia, kad kortelės numeris turi būti kažkur išsaugotas. O ar jis užšifruotas, ar ne - neaišku

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Kiek žinau, naudojantis citybee paslauga, kiekvieną kartą rezervuojant auto suvedinėti kortelės duomenų nereikėdavo. Vieną kartą suvedi ir ji visada lieka išsaugota, bei priskirta paskyroje? Tai reiškia, kad kortelės numeris turi būti kažkur išsaugotas. O ar jis užšifruotas, ar ne - neaišku

Išsaugo, bet tai nereiškia, kad duomenys kažkur laikomi, taip pat yra su Stripe, tarkim įsidiegus Stripe apmokėjimą, gali įjungti funkciją kuri leidžia klientams pažymėti varnelę ir išsaugo kreditinę kortelę kitam apsipirkimui, tai čia praktiškai tas pats principas.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Kiek žinau, naudojantis citybee paslauga, kiekvieną kartą rezervuojant auto suvedinėti kortelės duomenų nereikėdavo. Vieną kartą suvedi ir ji visada lieka išsaugota, bei priskirta paskyroje? Tai reiškia, kad kortelės numeris turi būti kažkur išsaugotas. O ar jis užšifruotas, ar ne - neaišku

 

Buvo paskelbta nuotrauka duomenų bazės dbo.Customers, kurioje matosi braintree, tai citybee naudoja braintree vault ir apmokėjimų informacija saugoma pačiam vault, kuri būna užšifruota. Vaultas nesaugo jokių cvv. O patys citybee tiesiog laiko tokenus, kurie skirti atlikti pasikartojamčiom transakcijoms pačiam citybee.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Jei turėjai kokias nors paslaugas anksčiau ir viskas užsakoma, pristatoma tuo pačiu adresu, tai ir netikrina giliau. Kitu atveju turi būti užduodami papildomi kontroliniai klausimai. :)

 

LT 20+ metu negyvenu. Telekomas dar tada buvo ar kazkas tokio. Kontrolinis klausimas buvo: kadangi jums perka tai savo ak padiktuokit :)

Pristatyta adresu i ofisa, kuris yra apie 80km nuo vietos kur esu apie menesi registruotas....

Redagavo Karol
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Buriamės bendram ieškiniui. Ko gero, bendradarbiausime su LIETUVOS VARTOTOJŲ ORGANIZACIJŲ ALJANSU. Ieškomi kiti stiprūs teisininkai.

Daugiau informacijos grupėje: www.facebook.com/groups/helpcitybee/

 

Prisijungta.

 

Įdomu, kiek žmonių susirinko jau.

 

Ko gero, kad Lt istorijoj bus didžiausias grupinis ieškinys, arba norinčių į grupinį jungtis.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

LT 20+ metu negyvenu. Telekomas dar tada buvo ar kazkas tokio. Kontrolinis klausimas buvo: kadangi jums perka tai savo ak padiktuokit :)

Pristatyta adresu i ofisa, kuris yra apie 80km nuo vietos kur esu apie menesi registruotas....

 

Visiškai skirtingi laikai, net nėra ką lyginti.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Buriamės bendram ieškiniui. Ko gero, bendradarbiausime su LIETUVOS VARTOTOJŲ ORGANIZACIJŲ ALJANSU. Ieškomi kiti stiprūs teisininkai.

Daugiau informacijos grupėje: www.facebook.com/groups/helpcitybee/

Ar čia tas pats reikalas, kurį organizuoja advokatas M. Kiskis ?

Nuoroda į pranešimą
Dalintis kituose puslapiuose

kreditiniu korteliu informacijos saugoti jiems ir nereikia ir negalima netgi, o kadangi jie yra automobiliu nuomos imone, tai tikrai nesitvarke duomenu kreditkems kaupti, tai butu tik laiko ir pinigu svaistymas.

 

trumpai atsakant, kokia informacija galejo tureti: tai kreditines korteles tipas (Visa, MasterCard ir tt), vardas bei pavarde, pasto kodas (velgi nera aisku ar saugojo, nera butina), 4 paskutiniai korteles skaiciukai, korteles galiojimo laikas (velgi nebutina) bei trecios salies (kuria naudojo imoku surinkimui) kliento kodas ir mokejimo metodo ID.

 

kliento kodas - tai leidzia identifikuoti tavo sistemos vartotoja su imoku surinkejo sistema, bei, jeigu yra igalintas automatinis lesu nuskaitymas (o toks buvo) tai dazniausiai eina kartu su mokejimo metodo ID. Sie du irasai leidzia automatiskai nuskaityti nurodyta suma nuo korteles savininko saskaitos be jo zinios (jis sutikima dave pridedamas kortele ir igalindamas automatinius atsiskaitymus).

 

Pagrindinis klausimas butu - ar tie, kurie turi sia informacija, gali lygiai taip pat nuskaityti pinigus is tos korteles automatiskai?

 

1. Ne, nes visu pirma tai veikia komunikuojant su imoku surinkimo serviso API, prisijungimui naudojami secretai, kurie turi buti panaudoti identifikuojantis (kuriant payment'o procesa), o tie secretai duombazeje nera laikomi, tai yra labai privati info ir tik visiskas neismanelis taip padarytu.

2. Ne, nes net jei ir gautum secretus ir nuskaiciuotum lesas, pinigai vistiek atitektu citybee saskaitai mokejimo sistemoje.

3. Ne, nes vos tik suzinojo apie nutekinta duombaze, esu beveik garantuotas, kad visi autentifikacijos raktai visur buvo pakeisti.

4. Ne, nes kadangi visais kitais budais to padaryti neina, lygiai taip pat neimanoma is provaiderio istraukti korteles duomenu pagal tuos tokenus.

 

FB maciau nemazai sklindancios neteisingos informacijos apie tai, kad buvo nuleakinta kreditkiu info ir vykdomi atsiskaitymai, zmones blokuoja kreditkes ir patiria nuostoliu. Tai labai liudna, nes tai yra pletku lygio informacija, o dar geriau pavadint dezinformacija. Niekas, net ir citybee nenusipelne tokio statuso, kuris jiems lipanamas zmoniu, kurie skleidzia naujienas nesuprasdami apie ka kalba (same su antivakseriais).

 

Pridursiu - maziausiai sukauti cia turetu tie pacukai, kurie ejo per visus ICO ir neaiskiu fintechu KYC submitindami savo pasus, vairuotojo pazymejimus, gyv. vietos detales, numerius, emailus ir viska confirmino del $5. O tokiu siame forume tikrai yra, lygiai taip pat, kaip ir toje FB grupeje, tikrai manau ne vienas pastebejau ta pati veikeja, kuris labai reiskiasi apie prarastus duomenis, nors pats kur tik imanoma yra savo data atidaves. Informacija jums, tokiems, veikejams - most likely tie ICO, kurie jau yra zluge, zlugo kartu su KYC duombazemis ir jusu pasais yra naudojamasi nusipirkti casino zetonu svedijoje, kai uz ekrano sedi 13 metu apsepes vaikas ir net neisivaizduoja ka daro, bet tai veikia, o duombaze kainavo vos 1 minecrafto pirstine.

Redagavo axios
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Visiškai skirtingi laikai, net nėra ką lyginti.

 

Turbut nematei pries tai ka rasiau. Pries nepilna menesi pasiemiau du iphone su sutartim + nesiojamas modemas su sutartim ir reikejo tik asmens kodo vardo pavardes. Jokio kito id check ar pan nebuvo. Cia tiesiog atsakiau tiems, kur rase ka su nutekintu asmens kodu galima padaryti

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Turbut nematei pries tai ka rasiau. Pries nepilna menesi pasiemiau du iphone su sutartim + nesiojamas modemas su sutartim ir reikejo tik asmens kodo vardo pavardes. Jokio kito id check ar pan nebuvo. Cia tiesiog atsakiau tiems, kur rase ka su nutekintu asmens kodu galima padaryti

Tik vienas niuansas. Užsakymas spėju padarytas iš to numerio, kuris priklauso ir prekių gavėjui?

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Turbut nematei pries tai ka rasiau. Pries nepilna menesi pasiemiau du iphone su sutartim + nesiojamas modemas su sutartim ir reikejo tik asmens kodo vardo pavardes. Jokio kito id check ar pan nebuvo. Cia tiesiog atsakiau tiems, kur rase ka su nutekintu asmens kodu galima padaryti

 

Spėju esi esamas klientas, perki ne pirmą kartą, jie jau turi tavo duomenis, adresas pristatymo tas pats koks ir sutartyje

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Turbut nematei pries tai ka rasiau. Pries nepilna menesi pasiemiau du iphone su sutartim + nesiojamas modemas su sutartim ir reikejo tik asmens kodo vardo pavardes. Jokio kito id check ar pan nebuvo. Cia tiesiog atsakiau tiems, kur rase ka su nutekintu asmens kodu galima padaryti

 

Ok, dar keli klausimai:

Iš kokio tel. nr. skambinta? Ko gero to, kuris yra registruotas?

Koks pristatymo adresas? Ar tik nebus tas, kuriame ir buvo anksčiau registruotos paslaugos? Kur tu pats registruotas niekas nežino ir netikrina :D

Ar nėra ta darbuotoja įrašyta kaip kontaktinis asmuo? :D

 

Btw, ką rašei, tą ir paklausė. Paminėjai, kad 20+ metų negyveni Lietuvoj ir tada dar Telekomas vadinosi, tai kokio atsakymo dar tikėjaisi? :D

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Ar čia tas pats reikalas, kurį organizuoja advokatas M. Kiskis ?

 

Taip. Prasidėjo nuo pažįstamo, o po to prijungėm suprantančius ir iniciatyvius žmones. Jei kas turit patirties, pasiūlymų, žinių, kontaktų, rekomendacijų teisininkų, kurie norėtų prisidėti, rašykit. ;)

 

Ar jūsų duomenys saugūs galite pasitikrinti čia: https://haveibeenpwned.com/

Redagavo CapricornLT
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Kas spejote (nes dabar kaina 500$) nusipirkti duombaze uz 8$, pasidalinkite i privata, is sportinio intereso bus idomu pasizvalgyti joje.

Jo, ims ir dalinsis zmones :D visu pirma, tai yra BK 198 str. numatyta nusikalstama veika.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Kas spejote (nes dabar kaina 500$) nusipirkti duombaze uz 8$, pasidalinkite i privata, is sportinio intereso bus idomu pasizvalgyti joje.

 

Tai ką tu ten pamatysi ? Gi viskas aprašytas, kas ten yra, čia tas pasakymas duok pažiūrėti įdomu, tiesiog noras prisiringti el paštu ir duomenų kokių... Kuo mažiau tokių kaip tu turės tuo geriau.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

kreditiniu korteliu informacijos saugoti jiems ir nereikia ir negalima netgi, o kadangi jie yra automobiliu nuomos imone, tai tikrai nesitvarke duomenu kreditkems kaupti, tai butu tik laiko ir pinigu svaistymas.

 

trumpai atsakant, kokia informacija galejo tureti: tai kreditines korteles tipas (Visa, MasterCard ir tt), vardas bei pavarde, pasto kodas (velgi nera aisku ar saugojo, nera butina), 4 paskutiniai korteles skaiciukai, korteles galiojimo laikas (velgi nebutina) bei trecios salies (kuria naudojo imoku surinkimui) kliento kodas ir mokejimo metodo ID.

 

kliento kodas - tai leidzia identifikuoti tavo sistemos vartotoja su imoku surinkejo sistema, bei, jeigu yra igalintas automatinis lesu nuskaitymas (o toks buvo) tai dazniausiai eina kartu su mokejimo metodo ID. Sie du irasai leidzia automatiskai nuskaityti nurodyta suma nuo korteles savininko saskaitos be jo zinios (jis sutikima dave pridedamas kortele ir igalindamas automatinius atsiskaitymus).

 

Pagrindinis klausimas butu - ar tie, kurie turi sia informacija, gali lygiai taip pat nuskaityti pinigus is tos korteles automatiskai?

 

1. Ne, nes visu pirma tai veikia komunikuojant su imoku surinkimo serviso API, prisijungimui naudojami secretai, kurie turi buti panaudoti identifikuojantis (kuriant payment'o procesa), o tie secretai duombazeje nera laikomi, tai yra labai privati info ir tik visiskas neismanelis taip padarytu.

2. Ne, nes net jei ir gautum secretus ir nuskaiciuotum lesas, pinigai vistiek atitektu citybee saskaitai mokejimo sistemoje.

3. Ne, nes vos tik suzinojo apie nutekinta duombaze, esu beveik garantuotas, kad visi autentifikacijos raktai visur buvo pakeisti.

4. Ne, nes kadangi visais kitais budais to padaryti neina, lygiai taip pat neimanoma is provaiderio istraukti korteles duomenu pagal tuos tokenus.

 

FB maciau nemazai sklindancios neteisingos informacijos apie tai, kad buvo nuleakinta kreditkiu info ir vykdomi atsiskaitymai, zmones blokuoja kreditkes ir patiria nuostoliu. Tai labai liudna, nes tai yra pletku lygio informacija, o dar geriau pavadint dezinformacija. Niekas, net ir citybee nenusipelne tokio statuso, kuris jiems lipanamas zmoniu, kurie skleidzia naujienas nesuprasdami apie ka kalba (same su antivakseriais).

 

Pridursiu - maziausiai sukauti cia turetu tie pacukai, kurie ejo per visus ICO ir neaiskiu fintechu KYC submitindami savo pasus, vairuotojo pazymejimus, gyv. vietos detales, numerius, emailus ir viska confirmino del $5. O tokiu siame forume tikrai yra, lygiai taip pat, kaip ir toje FB grupeje, tikrai manau ne vienas pastebejau ta pati veikeja, kuris labai reiskiasi apie prarastus duomenis, nors pats kur tik imanoma yra savo data atidaves. Informacija jums, tokiems, veikejams - most likely tie ICO, kurie jau yra zluge, zlugo kartu su KYC duombazemis ir jusu pasais yra naudojamasi nusipirkti casino zetonu svedijoje, kai uz ekrano sedi 13 metu apsepes vaikas ir net neisivaizduoja ka daro, bet tai veikia, o duombaze kainavo vos 1 minecrafto pirstine.

 

Bet apskritai hakeris, ko gero, nieko, susijusio su kreditinėmis kortelėmis neturėjo. Ta jo išplatinta ekrano nuotrauka su aplanku „credit cards“ greičiausiai buvo blefas. Tame aplanke nieko jautraus nėra.

Redagavo Blackbeard
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Bet apskritai hakeris, ko gero, nieko, susijusio su kreditinėmis kortelėmis neturėjo. Ta jo išplatinta ekrano nuotrauka su aplanku „credit cards“ greičiausiai buvo blefas. Tame aplanke nieko jautraus nėra.

 

Tai, kad ten nieko ir nėra - gi specialiai nesukūrė tos lentelės ir niekur neminėjo, kad ten saugomi kortelių numeriai. Kaip tik rašė, kad ten token. Komentatoriai čia burbulą išpūtė, kad bandoma atsiskaityti jų banko kortelėmis ir verčia dabar viską Citybee, kad čia bandė atsiskaityti prieš mėnesį / keletą ir t.t, nors patys neaiškiuose svetainėse priduoda savo duomenis :)

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Prisijunkite prie diskusijos

Jūs galite rašyti dabar, o registruotis vėliau. Jeigu turite paskyrą, prisijunkite dabar, kad rašytumėte iš savo paskyros.

Svečias
Parašykite atsakymą...

×   Įdėta kaip raiškusis tekstas.   Atkurti formatavimą

  Only 75 emoji are allowed.

×   Nuorodos turinys įdėtas automatiškai.   Rodyti kaip įprastą nuorodą

×   Jūsų anksčiau įrašytas turinys buvo atkurtas.   Išvalyti redaktorių

×   You cannot paste images directly. Upload or insert images from URL.

Įkraunama...
  • Dabar naršo   0 narių

    Nei vienas registruotas narys šiuo metu nežiūri šio puslapio.

  • Prisijunk prie bendruomenės dabar!

    Uždarbis.lt nariai domisi verslo, IT ir asmeninio tobulėjimo temomis, kartu sprendžia problemas, dalinasi žiniomis ir idėjomis, sutinka būsimus verslo partnerius ir dalyvauja gyvuose susitikimuose.

    Užsiregistruok dabar ir galėsi:

    ✔️ Dalyvauti diskusijose;

    ✔️ Kurti naujas temas;

    ✔️ Rašyti atsakymus;

    ✔️ Vertinti kitų žmonių pranešimus;

    ✔️ Susisiekti su bet kuriuo nariu asmeniškai;

    ✔️ Naudotis tamsia dizaino versija;

    ir dar daugiau.

    Registracija trunka ~30 sek. ir yra visiškai nemokama.

  • Naujausios temos

  • Karštos temos

×
×
  • Pasirinkite naujai kuriamo turinio tipą...