Forum » Informacijska varnost » Slovenski informacijski sistem HACKED
Slovenski informacijski sistem HACKED
LilStalker ::
Ešola d.o.o (svojo stotritev drago prodajajo šolam in staršem. Okoli 3+ miljona prihodkov za 30 zaposelnih) je podjetje, ki 80 procentom šolam zagotavlja storitev za hranjenje podatkov. Danes pa senzacija podjetje z uradnim ISO certifikatom, ki se hvali da gre za zelo varno aplikacijo je bil danes shekan s strani nekih arabcev. .
LilStalker ::
Že s strani učiteljev za računalništvo sem slišal kako je zadeva slabo narejena, kako so recimo nadomeščanja vidna vsem itd... In tako podjetje za svojo storitev zaračunava veliko denarje. EŠolo smo poskušali obvestiti o napadu pa so bili na malici..
Vazelin ::
ešola je zlata jama.
boli njih k za arabce in vdore lol.
boli njih k za arabce in vdore lol.
I got 99 problems but 4 usd XTZ ain't one...
zmaugy ::
LilStalker je izjavil:
Ešola d.o.o (svojo stotritev drago prodajajo šolam in staršem. Okoli 3+ miljona prihodkov za 30 zaposelnih) je podjetje, ki 80 procentom šolam zagotavlja storitev za hranjenje podatkov. Danes pa senzacija podjetje z uradnim ISO certifikatom, ki se hvali da gre za zelo varno aplikacijo je bil danes shekan s strani nekih arabcev. .
Lahko poveš kaj več? Slika se ne vidi.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.
OldSkul ::
Klikni na "screenshot" in se odpre slika. Sicer pa čisti moneygrab. Dobro so se spomnili.
LilStalker ::
Bili so prvi, ki so zadevo realizirali v Sloveniji, zato so tako uspešni (denarno). Drugače pa ponovno kje so konkurenti... Če bi bila konkirenca tukaj se to ne bi dogajalo, poleg tega bi bile cene precej nižje. Kaj pa vem mogoče se lotimo enkrat v prihodnosti, če se noben drug ne bo...
PH03N1X ::
zgleda so hack odpravili, al pa imaš preveč časa. Nekam čudni tabi so odprti. Kaj vam v SŠ res več ne vejo kaj dat?
feryz ::
Čisto tako, vprašanje, zakaj je naslov "Slovenski informacijski sistem"!?
A ne gre za popolnoma normalno privatno podjetje? In njihovo spletno stran?
A ne gre za popolnoma normalno privatno podjetje? In njihovo spletno stran?
Gejspodar ::
Če kaj pove o kompetencah povprečnega vegovca, je to ta thread. "Screenshot" s telefonom in incoherent rambling.
So tastari dobil sms da si špricu, pa si sedaj jezen na sistem? Če sta dovolj bebasta, da dejansko plačata za kakršenkoli paket eAsistenta ti izrekam sožalje.
So tastari dobil sms da si špricu, pa si sedaj jezen na sistem? Če sta dovolj bebasta, da dejansko plačata za kakršenkoli paket eAsistenta ti izrekam sožalje.
LilStalker ::
Mislim ja ce bi bila situacija obratna potem tudi jaz nevem če bi vrjel. Amapk dejansko se je zgodila tale zadeva, pa če vrjamete ali ne. Je prvi prišel prof. za baze v razred in rekel točno nekaj takega da je vnašal neke ocene in da se je pojavil nek arabec in da je bil easistent shenkan. Ceprav velja za bolj resnega profesorja smo se tudi mi salili in mu nismo vrjeli... Potem pa smo sami preverili... Pa tisti, ki pravi, da nismo imeli nič pametnega definivno je bila to senzacija, saj je storitev eAsistenta ekstremno draga poleg tega pa zelo "buggy". Tistim, ki pravite zakj nismo naredili screenshota, zato ker smo v tistem trenutku vsi zadevo slikali za snapchat in tudi slika je od tam...
Malo me žalosti, da zadevi ne vrjamete, čeprav res morda deluje preveč senzacionalno.
Malo me žalosti, da zadevi ne vrjamete, čeprav res morda deluje preveč senzacionalno.
Zgodovina sprememb…
- spremenilo: LilStalker ()
J.McLane ::
Sem od žene dobil praktično isti screenshot, zadeva je resnična.
Simplicity is the ultimate sophistication - Leonardo da Vinci
Vazelin ::
sedaj imajo vse vaše podatke in ocene vaših otrok
I got 99 problems but 4 usd XTZ ain't one...
Fsegula62 ::
Novica je tudi tukaj https://www.24ur.com/novice/slovenija/e...
FiLiPiNKO (Fsegula62) | IT storitve www.linkomp.si | LinKomp |
Kontakt Discord - FiLiPiNKO#7826 | Na voljo za pomoč vsem. |
" Zapomnite si geslo za Google račun in privarčujte 5€! :) "
Kontakt Discord - FiLiPiNKO#7826 | Na voljo za pomoč vsem. |
" Zapomnite si geslo za Google račun in privarčujte 5€! :) "
LilStalker ::
Smo pa eAsitent že dolgo opozarjali, da ima njihovem sistem luknje in da je slab pa ni nihče nilč naredi. Kot sem že rekel eden izmed profesorjev poklical na eŠolo pa so bili fantje na malici. Drugače pa tisti, ki imate eAsistenta malo se bolj poglobite noter pa boste videli za kaj se gre (kot sem rekel, za dostop do nekaterih podatkov strežnik sploh ne preveri ali jih lahko vidiš in jih preposto pošlje...). Poleg tega sistem sploh ne preveri, ali imaš kupljen + račun ali ne in tako pošlje vse podatke, tako da smo potem sami spacali aplikacijo, kjer si imel možnost videti vse čeprav to ni bil njihov namen. Skratka zadeva je šalabajzerska, boleče je pa koliko denarja za to pocuzajo.
WhiteAngel ::
Ajej.
Kolega Primožič je zagotovil, da "podatki niso bili zbrisani". Bravo. Samo prebrani so bili podatki o vseh otrocih, starših, stalna prebivališča, telefonske, maili, ocene, korespondence, prehranske posebnosti... ni da ni. Upam, da jih dobijo po buči in da bo to šola za naprej.
Kolega Primožič je zagotovil, da "podatki niso bili zbrisani". Bravo. Samo prebrani so bili podatki o vseh otrocih, starših, stalna prebivališča, telefonske, maili, ocene, korespondence, prehranske posebnosti... ni da ni. Upam, da jih dobijo po buči in da bo to šola za naprej.
misek ::
MrStein ::
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- zavaroval slike: Mavrik ()
Vazelin ::
A niso bli na malci v času varnostnega protokola?
Strong survival instinct
Strong survival instinct
I got 99 problems but 4 usd XTZ ain't one...
Raptor F16 ::
Leva ... Leva ... leva desna ena dva
Mavrik ::
Raptor F16 je izjavil:
je tle obrazložitev:
https://www.facebook.com/photo.php?fbid...
Ima kdo screenshot ?
The truth is rarely pure and never simple.
Zgodovina sprememb…
- zavaroval slike: Mavrik ()
anketar ::
za tehnološko neuke, ta iso standard je dobr al? in phpunit fajl pravjo, da so skeniral a je možno, da je poleg phpunit še kkšn drug fajl, ki ga še niso odkril?
jype ::
Predvsem to pomeni, da ima uporabnik, s katerim poganjajo spletni strežnik, pravico pisati po datotekah, ki jih ta strežnik servira. To je arhitektura, ki ni varnostno vzdržna in poganja polovico interneta.
Glugy ::
To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.
estons ::
To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.
Glugy, država tle nima nič. Šole same izberejo, katero "e-redovalnico" bodo uporabljale. E-asistent je ena možnost, kolikor vem je na voljo še Lopolis. Po informacijah od znancev je baje Lopolis še večji podn. In se šole pač odločijo kaj bodo imele in tudi plačajo za to. Poleg tega jim sploh ni treba imet e-redovalnice, lahko še vedno naprej furajo vse na papirju. Torej si tukaj popolnoma zgrešil poanto - tole namreč JE podjetje na trgu, ki ni privilegirano s strani države. Ampak je konkurenca tako zanič, da ni glih nekega napredka.
Vazelin ::
Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?
I got 99 problems but 4 usd XTZ ain't one...
SeMiNeSanja ::
za tehnološko neuke, ta iso standard je dobr al? in phpunit fajl pravjo, da so skeniral a je možno, da je poleg phpunit še kkšn drug fajl, ki ga še niso odkril?
Standard je standard.... nič takega, kar bi samo po sebi karkoli 'reševalo', je zgolj nekakšno jamstvo, da naj bi kvazi veljal red, ne pa anarhija. Da se dela po nekih 'preverjenih scenarijih' in 'pravilnikih', da se ne improvizira malo po domače, kakor to komu trenutno paše ali ljubi.
Dejansko si lahko skladen s standardom, imaš pa polomijo, kar se tiče same varnosti. Kot se je to izkazalo v tem primeru, ko so spletni strežnik poganjali z preveč pravicami in nenadzorovanim / neautoriziranim zunanjim akterjem dovolili dostop do funkcij, katere potrebujejo izključno za razvijalce.
Poleg tega, da niso 'pokrpali' zadevo, ki je že dve leti znana. Če si php razvijalec, je že skoraj sramota, da ne slediš ranljivostim orodja, s katerim vsakodnevno delaš in ustrezno posodabljaš svoje delovno okolje!
Na koncu si že skorajda lahko zastaviš bogokletno vprašanje, če morda v sistemu 'anarhije', nebi morda celo nekdo to ranljivost že zdavnaj 'pokrpal'....pa se je to nekje zataknilo zaradi pridnemu sledenju standardu - ker najbrž nekdo v procesu ni opravil svoje naloge kot bi jo moral glede na 'predvidene protokole'.
Ko se 'certificiraš' je vse to zelo lepo pošlihtano - na papirju. Kako pa to potem dejansko izvajaš....če si temu sploh dorasel, je pa potem druga zgodba...
Sploh če se je preveč delalo copy-paste in so se ohranile kakšne povsem neživljenjske zadeve za tvoje okolje.
Dodatno imajo več kot očitno nek 'problem' tudi na strani IPS-a, ki bi moral zaznati in preprečiti to zlorabo (sodobne požarne pregrade imajo zagotovo IPS signaturo za CVE-2017-9841 - vsaj WatchGuard jo ima in ne dvomim, da jo nebi imele tudi druge) - vendar se zna 'zatakniti', če se uporablja https, promet pa se ne dekriptira na požarni pregradi. Tako se pač ne more odkriti takšen poskus zlorabe. V takem primeru seveda tudi najboljši samostojni IPS ne bo pomagal.
Če je še kaj, kar "niso odkrili"?
Noja.... glede na to, da so imeli gor staro ranljivo verzijo, je čisto možno, da ima še kakšno zanimivo ranljivost v tem ali kakšnem drugem neposodobljenem programju (če php niso posodabljali, najbrž tudi drugo niso?).
Že prav, če so odstranili tisto nesrečno php datoteko...ampak dokler ne posodobijo vsega črevja, se seveda lahko v njemu skriva še kup znanih ranljivosti (samo v CVE listo vpiši "php", pa boš videl, koliko lukenj je tako ali drugače povezanih z php...)
ISO je po moje koristen za večjo organizacijo, ker dejansko rešuje problem 'anarhije' in procese standardizira, da se ve kdo je odgovoren za kaj. Manjši kot je kolektiv, bolj problematičen postane ISO. Saj papirologijo se že naredi - najmanj polovica je takointako copy-paste. Izvajanje pa je problem, ker nenadoma preveč nalog (ker se zgleduje po večjih okoljih) pade na posameznika.
Klasična 'anarhija' nikoli ni dobra, je pa dobra določena fleksibilnost, ki jo imajo manjši kolektivi - ravno to fleksibilnost pa se ubija z 'predvidenimi protokoli' po ISO standardu.
Bi moral vprašati kolega, ki se ukvarja z uvajanjem ISO standarda, pri koliko velikem kolektivu ima sploh smisel, da se zagrizneš vanj.
Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?
Kaj pa vem... na Bežigrajski gimnaziji imajo nek lasten sistem za redovalnico.
Lopolis pa uporabljajo za naročanje na malico.
Starše ne eno ne drugo nič ne stane.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Utk ::
Ampak resno, je potem eAsistent uradna redovalnica? Je narejen po pravilih za kaj takega? Arhiviranje, varnost, itd. Da je, dvomim, če ni, zakaj in s kakšnim namenom je nekdo učiteljem naložil dvojno delo.
SlimDeluxe ::
Kaj pa PHPUnit dela na produkcijskem strežniku mene zanima :)
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS
estons ::
Ampak resno, je potem eAsistent uradna redovalnica? Je narejen po pravilih za kaj takega? Arhiviranje, varnost, itd. Da je, dvomim, če ni, zakaj in s kakšnim namenom je nekdo učiteljem naložil dvojno delo.
Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.
Aja in kakšna šansa je, da kot no name prideš v neko šolo in vzamejo tvojo superiorno rešitev, medtem ko lahko eAsistent za lobiranje zapravi par 100k eur?
Zdaj lahko zapravijo za lobiranje, ko jih imajo. Pred časom jih pač niso imeli. Razširili so se, ker očitno nekaj delajo prav. Ne vem koliko je sam softver kvaliteten ali ne, ampak pač učitelji med mojimi znanci manj jamrajo nad eAsistentom kot nad Lopolisom. Pred časom je pa Lopolis bil (skoraj) povsod.
sandmat ::
SlimDeluxe je izjavil:
Kaj pa PHPUnit dela na produkcijskem strežniku mene zanima :)
easistent je spisan na nivoju seminarske naloge. Kaj drugega je za pričakovat? :P
WhiteAngel ::
Predvsem to pomeni, da ima uporabnik, s katerim poganjajo spletni strežnik, pravico pisati po datotekah, ki jih ta strežnik servira. To je arhitektura, ki ni varnostno vzdržna in poganja polovico interneta.
Kaj več od PHP programerjev ne moreš pričakovati. PHPUnit na produkcijski mašini wtf
To je podn od podna; trg ne dela na področju konkurence čist nič. Enostavno je država izbrala eno priviligirano podjetje in oni preveč udobno počivajo na kavču namest da bi stalno delal pa razvijal platformo.
Država nič ni "izbrala". Vsaka šola ima poljuben sistem. En konkurenčen za OŠ je še LO.POLIS. Glasbene šole imajo v glavnem Euroklikovo eGlasbenoŠolo itd.
Zgodovina sprememb…
- spremenil: WhiteAngel ()
Utk ::
Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.
Papirnate redovalnice morajo bit shranjene po nekih pravilih, ognjevarne omare, roki itd. Je eAsistent narejen po takih standardih za elektronsko hrambo?
rabelj5 ::
estons ::
Kolikor vem, tam kjer se uporablja eAsistent ali Lopolis se ne uporablja več papirnatih redovalnic.
Papirnate redovalnice morajo bit shranjene po nekih pravilih, ognjevarne omare, roki itd. Je eAsistent narejen po takih standardih za elektronsko hrambo?
Ne vem, vprašaj avtorje eAsistenta. Sicer pa tiste standarde za elektronsko hrambo IMHO ni težko doseči - samo najameš storitev e-arhiviranja pa zmečeš podatke tja. Zadoščanje standardom še ne pomeni, da imaš varno sprogramirano rešitev (ali spletno stran).
Utk ::
Tisto kar zmečeš tja, mora bit samo tam, če ne, nisi kaj dost naredu. In pri online aplikaciji to najbrž ni tako.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Pregrešno draga storitev eAsistenta (strani: 1 2 3 )Oddelek: Programska oprema | 18803 (14711) | FX6300B |
» | OŠ - kaj storiti v primeru nemogoce uciteljice (strani: 1 2 )Oddelek: Šola | 22092 (17649) | s6c-gEL |
» | podari malico (strani: 1 2 )Oddelek: Loža | 9484 (7823) | jebiveter2 |
» | srednja računalniška šolaOddelek: Šola | 5563 (4945) | Siddh |
» | Kateri jezik priporočate (Seminarska naloga za Maturo)Oddelek: Programiranje | 1550 (1146) | urosz |