» »

Slovenski informacijski sistem HACKED

Slovenski informacijski sistem HACKED

LilStalker ::

Ešola d.o.o (svojo stotritev drago prodajajo šolam in staršem. Okoli 3+ miljona prihodkov za 30 zaposelnih) je podjetje, ki 80 procentom šolam zagotavlja storitev za hranjenje podatkov. Danes pa senzacija podjetje z uradnim ISO certifikatom, ki se hvali da gre za zelo varno aplikacijo je bil danes shekan s strani nekih arabcev.
 Screenshot

Screenshot

.

LilStalker ::

Že s strani učiteljev za računalništvo sem slišal kako je zadeva slabo narejena, kako so recimo nadomeščanja vidna vsem itd... In tako podjetje za svojo storitev zaračunava veliko denarje. EŠolo smo poskušali obvestiti o napadu pa so bili na malici..

Vazelin ::

ešola je zlata jama.
boli njih k za arabce in vdore lol.
I got 99 problems but 4 usd XTZ ain't one.

zmaugy ::

LilStalker je izjavil:

Ešola d.o.o (svojo stotritev drago prodajajo šolam in staršem. Okoli 3+ miljona prihodkov za 30 zaposelnih) je podjetje, ki 80 procentom šolam zagotavlja storitev za hranjenje podatkov. Danes pa senzacija podjetje z uradnim ISO certifikatom, ki se hvali da gre za zelo varno aplikacijo je bil danes shekan s strani nekih arabcev.
 Screenshot

Screenshot

.


Lahko poveš kaj več? Slika se ne vidi.
Biseri...

OldSkul ::

Klikni na "screenshot" in se odpre slika. Sicer pa čisti moneygrab. Dobro so se spomnili.

LilStalker ::

Bili so prvi, ki so zadevo realizirali v Sloveniji, zato so tako uspešni (denarno). Drugače pa ponovno kje so konkurenti... Če bi bila konkirenca tukaj se to ne bi dogajalo, poleg tega bi bile cene precej nižje. Kaj pa vem mogoče se lotimo enkrat v prihodnosti, če se noben drug ne bo...

PH03N1X ::

zgleda so hack odpravili, al pa imaš preveč časa. Nekam čudni tabi so odprti. Kaj vam v SŠ res več ne vejo kaj dat?

rabelj5 ::

zakaj ne narediš screenshota s prt scr??

feryz ::

Čisto tako, vprašanje, zakaj je naslov "Slovenski informacijski sistem"!?
A ne gre za popolnoma normalno privatno podjetje? In njihovo spletno stran?

PH03N1X ::

poglej tab-e. ti "vegova" pove vse....

PH03N1X ::

aja to se je res zgodilo, sem mislil, da je zajebancija, opa, se posipam s pepelom....

Gejspodar ::

Če kaj pove o kompetencah povprečnega vegovca, je to ta thread. "Screenshot" s telefonom in incoherent rambling.

So tastari dobil sms da si špricu, pa si sedaj jezen na sistem? Če sta dovolj bebasta, da dejansko plačata za kakršenkoli paket eAsistenta ti izrekam sožalje.

LilStalker ::

Mislim ja ce bi bila situacija obratna potem tudi jaz nevem če bi vrjel. Amapk dejansko se je zgodila tale zadeva, pa če vrjamete ali ne. Je prvi prišel prof. za baze v razred in rekel točno nekaj takega da je vnašal neke ocene in da se je pojavil nek arabec in da je bil easistent shenkan. Ceprav velja za bolj resnega profesorja smo se tudi mi salili in mu nismo vrjeli... Potem pa smo sami preverili... Pa tisti, ki pravi, da nismo imeli nič pametnega definivno je bila to senzacija, saj je storitev eAsistenta ekstremno draga poleg tega pa zelo "buggy". Tistim, ki pravite zakj nismo naredili screenshota, zato ker smo v tistem trenutku vsi zadevo slikali za snapchat in tudi slika je od tam...

Malo me žalosti, da zadevi ne vrjamete, čeprav res morda deluje preveč senzacionalno.

Zgodovina sprememb…

J.McLane ::

Sem od žene dobil praktično isti screenshot, zadeva je resnična.
Simplicity is the ultimate sophistication - Leonardo da Vinci

Vazelin ::

sedaj imajo vse vaše podatke in ocene vaših otrok
I got 99 problems but 4 usd XTZ ain't one.

Fsegula62 ::

LilStalker ::

Smo pa eAsitent že dolgo opozarjali, da ima njihovem sistem luknje in da je slab pa ni nihče nilč naredi. Kot sem že rekel eden izmed profesorjev poklical na eŠolo pa so bili fantje na malici. Drugače pa tisti, ki imate eAsistenta malo se bolj poglobite noter pa boste videli za kaj se gre (kot sem rekel, za dostop do nekaterih podatkov strežnik sploh ne preveri ali jih lahko vidiš in jih preposto pošlje...). Poleg tega sistem sploh ne preveri, ali imaš kupljen + račun ali ne in tako pošlje vse podatke, tako da smo potem sami spacali aplikacijo, kjer si imel možnost videti vse čeprav to ni bil njihov namen. Skratka zadeva je šalabajzerska, boleče je pa koliko denarja za to pocuzajo.

WhiteAngel ::

Ajej.

Kolega Primožič je zagotovil, da "podatki niso bili zbrisani". Bravo. Samo prebrani so bili podatki o vseh otrocih, starših, stalna prebivališča, telefonske, maili, ocene, korespondence, prehranske posebnosti... ni da ni. Upam, da jih dobijo po buči in da bo to šola za naprej.

anketar ::

screen anybody?

misek ::

anketar je izjavil:

screen anybody?
Klikni na novico https://www.24ur.com/novice/slovenija/e...

MrStein ::

Evo:
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • zavaroval slike: Mavrik ()

crniangeo ::

Convictions are more dangerous foes of truth than lies.

D3m ::

Ni več.
|HP ProBook|R5 3500U|
|Lenovo A10|Mediatek MT8121|

Vazelin ::

A niso bli na malci v času varnostnega protokola?

Strong survival instinct
I got 99 problems but 4 usd XTZ ain't one.

Raptor F16 ::

crniangeo je izjavil:

je tle obrazložitev:

https://www.facebook.com/photo.php?fbid...


Ima kdo screenshot ?
Genosse

anketar ::

now that is fuckin funny :D

Mavrik ::

Raptor F16 je izjavil:

crniangeo je izjavil:

je tle obrazložitev:

https://www.facebook.com/photo.php?fbid...


Ima kdo screenshot ?


The truth is rarely pure and never simple.

Zgodovina sprememb…

  • zavaroval slike: Mavrik ()

anketar ::

za tehnološko neuke, ta iso standard je dobr al? in phpunit fajl pravjo, da so skeniral a je možno, da je poleg phpunit še kkšn drug fajl, ki ga še niso odkril?

jype ::

Predvsem to pomeni, da ima uporabnik, s katerim poganjajo spletni strežnik, pravico pisati po datotekah, ki jih ta strežnik servira. To je arhitektura, ki ni varnostno vzdržna in poganja polovico interneta.

Glugy ::

To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.

estons ::

Glugy je izjavil:

To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.


Glugy, država tle nima nič. Šole same izberejo, katero "e-redovalnico" bodo uporabljale. E-asistent je ena možnost, kolikor vem je na voljo še Lopolis. Po informacijah od znancev je baje Lopolis še večji podn. In se šole pač odločijo kaj bodo imele in tudi plačajo za to. Poleg tega jim sploh ni treba imet e-redovalnice, lahko še vedno naprej furajo vse na papirju. Torej si tukaj popolnoma zgrešil poanto - tole namreč JE podjetje na trgu, ki ni privilegirano s strani države. Ampak je konkurenca tako zanič, da ni glih nekega napredka.

Vazelin ::

Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?
I got 99 problems but 4 usd XTZ ain't one.

SeMiNeSanja ::

anketar je izjavil:

za tehnološko neuke, ta iso standard je dobr al? in phpunit fajl pravjo, da so skeniral a je možno, da je poleg phpunit še kkšn drug fajl, ki ga še niso odkril?

Standard je standard.... nič takega, kar bi samo po sebi karkoli 'reševalo', je zgolj nekakšno jamstvo, da naj bi kvazi veljal red, ne pa anarhija. Da se dela po nekih 'preverjenih scenarijih' in 'pravilnikih', da se ne improvizira malo po domače, kakor to komu trenutno paše ali ljubi.

Dejansko si lahko skladen s standardom, imaš pa polomijo, kar se tiče same varnosti. Kot se je to izkazalo v tem primeru, ko so spletni strežnik poganjali z preveč pravicami in nenadzorovanim / neautoriziranim zunanjim akterjem dovolili dostop do funkcij, katere potrebujejo izključno za razvijalce.
Poleg tega, da niso 'pokrpali' zadevo, ki je že dve leti znana. Če si php razvijalec, je že skoraj sramota, da ne slediš ranljivostim orodja, s katerim vsakodnevno delaš in ustrezno posodabljaš svoje delovno okolje!

Na koncu si že skorajda lahko zastaviš bogokletno vprašanje, če morda v sistemu 'anarhije', nebi morda celo nekdo to ranljivost že zdavnaj 'pokrpal'....pa se je to nekje zataknilo zaradi pridnemu sledenju standardu - ker najbrž nekdo v procesu ni opravil svoje naloge kot bi jo moral glede na 'predvidene protokole'.
Ko se 'certificiraš' je vse to zelo lepo pošlihtano - na papirju. Kako pa to potem dejansko izvajaš....če si temu sploh dorasel, je pa potem druga zgodba...
Sploh če se je preveč delalo copy-paste in so se ohranile kakšne povsem neživljenjske zadeve za tvoje okolje.

Dodatno imajo več kot očitno nek 'problem' tudi na strani IPS-a, ki bi moral zaznati in preprečiti to zlorabo (sodobne požarne pregrade imajo zagotovo IPS signaturo za CVE-2017-9841 - vsaj WatchGuard jo ima in ne dvomim, da jo nebi imele tudi druge) - vendar se zna 'zatakniti', če se uporablja https, promet pa se ne dekriptira na požarni pregradi. Tako se pač ne more odkriti takšen poskus zlorabe. V takem primeru seveda tudi najboljši samostojni IPS ne bo pomagal.

Če je še kaj, kar "niso odkrili"?

Noja.... glede na to, da so imeli gor staro ranljivo verzijo, je čisto možno, da ima še kakšno zanimivo ranljivost v tem ali kakšnem drugem neposodobljenem programju (če php niso posodabljali, najbrž tudi drugo niso?).
Že prav, če so odstranili tisto nesrečno php datoteko...ampak dokler ne posodobijo vsega črevja, se seveda lahko v njemu skriva še kup znanih ranljivosti (samo v CVE listo vpiši "php", pa boš videl, koliko lukenj je tako ali drugače povezanih z php...)

ISO je po moje koristen za večjo organizacijo, ker dejansko rešuje problem 'anarhije' in procese standardizira, da se ve kdo je odgovoren za kaj. Manjši kot je kolektiv, bolj problematičen postane ISO. Saj papirologijo se že naredi - najmanj polovica je takointako copy-paste. Izvajanje pa je problem, ker nenadoma preveč nalog (ker se zgleduje po večjih okoljih) pade na posameznika.
Klasična 'anarhija' nikoli ni dobra, je pa dobra določena fleksibilnost, ki jo imajo manjši kolektivi - ravno to fleksibilnost pa se ubija z 'predvidenimi protokoli' po ISO standardu.
Bi moral vprašati kolega, ki se ukvarja z uvajanjem ISO standarda, pri koliko velikem kolektivu ima sploh smisel, da se zagrizneš vanj.

Vazelin je izjavil:

Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?

Kaj pa vem... na Bežigrajski gimnaziji imajo nek lasten sistem za redovalnico.

Lopolis pa uporabljajo za naročanje na malico.

Starše ne eno ne drugo nič ne stane.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Utk ::

Ampak resno, je potem eAsistent uradna redovalnica? Je narejen po pravilih za kaj takega? Arhiviranje, varnost, itd. Da je, dvomim, če ni, zakaj in s kakšnim namenom je nekdo učiteljem naložil dvojno delo.

anketar ::

@SeMiNeSanja

thx za izčrpen odgovor

SlimDeluxe ::

Kaj pa PHPUnit dela na produkcijskem strežniku mene zanima :)
Desktop: i5 6500 | RX580 8GB | 16GB DDR4 | be quiet! StraightPower 11 650W
Laptop Asus TUF FX705GD: i7 8750H | GTX1050 | 32GB DDR4 | 17" FullHD IPS

estons ::

Utk je izjavil:

Ampak resno, je potem eAsistent uradna redovalnica? Je narejen po pravilih za kaj takega? Arhiviranje, varnost, itd. Da je, dvomim, če ni, zakaj in s kakšnim namenom je nekdo učiteljem naložil dvojno delo.

Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.

Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?

Zdaj lahko zapravijo za lobiranje, ko jih imajo. Pred časom jih pač niso imeli. Razširili so se, ker očitno nekaj delajo prav. Ne vem koliko je sam softver kvaliteten ali ne, ampak pač učitelji med mojimi znanci manj jamrajo nad eAsistentom kot nad Lopolisom. Pred časom je pa Lopolis bil (skoraj) povsod.

jype ::

Utk je izjavil:

je potem eAsistent uradna redovalnica
Ne, ni. Uporaba ni obvezna.

sandmat ::

SlimDeluxe je izjavil:

Kaj pa PHPUnit dela na produkcijskem strežniku mene zanima :)

easistent je spisan na nivoju seminarske naloge. Kaj drugega je za pričakovat? :P

WhiteAngel ::

jype je izjavil:

Predvsem to pomeni, da ima uporabnik, s katerim poganjajo spletni strežnik, pravico pisati po datotekah, ki jih ta strežnik servira. To je arhitektura, ki ni varnostno vzdržna in poganja polovico interneta.


Kaj več od PHP programerjev ne moreš pričakovati. :| PHPUnit na produkcijski mašini wtf :O

Glugy je izjavil:

To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.


Država nič ni "izbrala". Vsaka šola ima poljuben sistem. En konkurenčen za OŠ je še LO.POLIS. Glasbene šole imajo v glavnem Euroklikovo eGlasbenoŠolo itd.

Zgodovina sprememb…

Utk ::

Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.

Papirnate redovalnice morajo bit shranjene po nekih pravilih, ognjevarne omare, roki itd. Je eAsistent narejen po takih standardih za elektronsko hrambo?

rabelj5 ::

Utk je izjavil:

Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.

Papirnate redovalnice morajo bit shranjene po nekih pravilih, ognjevarne omare, roki itd. Je eAsistent narejen po takih standardih za elektronsko hrambo?

10/10 :))

potem pa svizec....

estons ::

Utk je izjavil:

Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.

Papirnate redovalnice morajo bit shranjene po nekih pravilih, ognjevarne omare, roki itd. Je eAsistent narejen po takih standardih za elektronsko hrambo?


Ne vem, vprašaj avtorje eAsistenta. Sicer pa tiste standarde za elektronsko hrambo IMHO ni težko doseči - samo najameš storitev e-arhiviranja pa zmečeš podatke tja. Zadoščanje standardom še ne pomeni, da imaš varno sprogramirano rešitev (ali spletno stran).

Utk ::

Tisto kar zmečeš tja, mora bit samo tam, če ne, nisi kaj dost naredu. In pri online aplikaciji to najbrž ni tako.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pregrešno draga storitev eAsistenta (strani: 1 2 3 )

Oddelek: Programska oprema
1135762 (1670) FX6300B
»

OŠ - kaj storiti v primeru nemogoce uciteljice (strani: 1 2 )

Oddelek: Šola
9013942 (9499) s6c-gEL
»

podari malico (strani: 1 2 )

Oddelek: Loža
526224 (4563) jebiveter2
»

srednja računalniška šola

Oddelek: Šola
283524 (2906) Siddh
»

Kateri jezik priporočate (Seminarska naloga za Maturo)

Oddelek: Programiranje
171039 (635) urosz

Več podobnih tem