LINUX.ORG.RU

Как Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона за нахождение уязвимости.

 , ,


0

3

Чувак зарегал субдомен wpad.sknt.ru и получил на свой роутер DDOS с запросом фалй wpad.conf из сети провайдера. Решил отключить привязку домена к своему ip, но DDOS не прекратился. Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения, ответа не получил... Стал звонить, где его тоже послали.. И взападло прову, выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

А далее получил приглашение к следаку с просьбой прихватить с собой 2,6 лимона, в качестве компенсации прову..

Подробности тут: https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_ab...

Ответ на: комментарий от alexferman

Сервер не шлет какие-то запросы.

Вопрос стоит о том, что должен или не должен владелец компа отвечать за всех дятлов в интернете, которым чего-то без спросу (т.е., он не обязывался оказывать услуги) понадобилось от его компа и которые не получили чего хотели или получили не то, что хотели?

Логично, что не должен.

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

Да. Его действия привели к некоторому ущербу для третьих лиц. То, что это было сделано по незнанию/неосторожности - смягчающее обстоятельство.

CaveRat ()
Ответ на: комментарий от praseodim

Ок, вот тебе другой пример, более релевантный: я просто создал сайт ysndex.ru, который чисто случайно выглядит так же как yandex.ru, и он сам как-то собирает логины-пароли от яндексовых сервисов, которые вводят невнимательные юзеры. Я тут ни при чём. Чотакова.

alexferman ()

По хорошему либо:
a. Админов уволить, а абонента взять на работу.
b. Отдать абоненту реальную упущенную прибыль в качестве вознаграждения.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от morse

Нет, но репутация компании — штука такая. Представь себе диалог:

- Ты где работаешь?
- В T-Systems.
- Это та контора, которая с проездными в Будапеште обосралась и пыталась повесить всё на студента?

Это примерно как работать админом на первом канале. Вроде ничего плохого сам не делаешь, а всё равно зашквар.

hateyoufeel ★★★★★ ()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от praseodim

Вопрос стоит о том, что должен или не должен владелец компа отвечать за всех дятлов в интернете, которым чего-то без спросу (т.е., он не обязывался оказывать услуги) понадобилось от его компа и которые не получили чего хотели или получили не то, что хотели?

Вопрос в злономерянности. Если ты случайно устроил ddos в сети провайдера — тебе просто напишут «привет чувак, тут твое железо сеть шатает, выруби позязя». А если ты пишешь «вы все, с*ки бл*, заплатите» и пердолишь провайдеру сеть — это злой умысел.

kirk_johnson ★★ ()
Ответ на: комментарий от CaveRat

Т.е. они его ддосят запросами и это нормально, а когда он отдал им конфиг, чтобы прекратили, то это плохо?

swelf ()

Пост удалили, интересно продолжение.

tne ()
Ответ на: комментарий от tne

Вот только смысл было удалять - в кэше то он остался.

otto ★★ ()
Ответ на: комментарий от swelf

Т.е. они его ддосят запросами и это нормально, а когда он отдал им конфиг, чтобы прекратили, то это плохо?

Интересно, с чего ты сделал такой вывод? Нет, это не нормально в обоих случаях.

CaveRat ()
Ответ на: комментарий от hateyoufeel

Я же работаю в российском т-системс, а не в венгерском. Мало ли кто где облажался, ни я, ни мои коллеги говна не выкатываем.

Но вообще да, обосрамс там был эпичный. Причем мне, как программисту, самое обидное что виноваты там были не программисты, хотя все думают что они. Там изначально была неправильно составлена спецификация, а программисты все добросовестно делали по ней.

morse ★★★★★ ()
Ответ на: комментарий от torvn77

обязан ли пров обеспечивать приватность трафика

Если это прописано в договоре.

почтальон не запирал служебное помещение почты...

У почтальона есть должностная инструкция.

оператор связи

Оператор связи не обязан гарантировать приватность, он обязан соблюдать тайну переписки, т.е. со своей стороны не разглашать содержимое сообщений. Если же кто-то либо третий получает доступ к сообщениям (не важно как) это правонарушение со стороны этого третьего.

no-such-file ★★★★★ ()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от alexferman

У чувака активизировались зачатки мозга

Жаль, что только зачатки, потому что пост все еще есть в интернете.

otto ★★ ()

Ни чего страшного, я б ему дал пару советов как избежать взыскания 2,5 млн рублей всего за пару тысяч руб.

Ramil ★★★ ()

Самое беспонтовое то что он получит статью уголовную и по постановлению следователя с него взыщут в суде 2,5 ляма в пользу потерпевшего - провайдера.
Наказание по любому - денежный штраф. Вот его платить нужно обязательно в срок, а то - замена на более суровое наказание.
Долг будет в первой очереди взыскания у пристава. Но тут можно за 150 000 руб. и полгода времени через суд решить вопрос о списании долга.

Ramil ★★★ ()
Ответ на: комментарий от morse

Там изначально была неправильно составлена спецификация, а программисты все добросовестно делали по ней.

Ну то есть их попросили сделать говно, они без вопросов сделали, хотя было очевидно, что это говно. И даже профессиональная гордость не задета.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Ну то есть их попросили сделать говно, они без вопросов сделали, хотя было очевидно, что это говно. И даже профессиональная гордость не задета.

Понятия не имею, у меня нету там знакомых чтобы спросить. Поэтому мне и было интересно есть ли у тебя. Я бы и сам не против узнать подробностей.

morse ★★★★★ ()
Ответ на: комментарий от torvn77

Десять лет интернета и лет семь лора, а про этот сервис я услышал впервые

Да лан? Первая строка в гугле по запросу «бесплвтный домен»

Qwentor ★★★★ ()
Ответ на: комментарий от Manhunt

Прежде чем вот так «шутить» - стоит трижды подумать о том, насколько шуточными могут быть последствия.

Может еще и прежде, чем, сравнивать, например, Си Цзиньпиня с Винни-Пухом, тоже надо трижды подумать?

cvs-255 ★★★★★ ()
Ответ на: комментарий от Manhunt

А если я иду по улице и скажу куче людей «отдайте мне все ваши деньги», и они отдадут, это что, я типа мошенник?

cvs-255 ★★★★★ ()
Ответ на: комментарий от morse

Был умысел: человек знал что и зачем делает. Было действие: человек настроил свой роутер специальным образом. И были последствия: куча людей осталась без интернета.

Докажи, что у него была цель положить других клиентов. Из описания, как я понял, он хотел, чтобы его перестали долбить запросами

cvs-255 ★★★★★ ()
Ответ на: комментарий от CaveRat

Это как устроить в своей хате потоп, и залить соседей снизу.

Нет, это как повесить себе на входную дверь фотографию несуществующей чупакабры, а все соседи от этого сойдут с ума и начнут требовать компенсации

cvs-255 ★★★★★ ()
Ответ на: комментарий от alexferman

Если я держу свой сервер, а какой-нибудь медицинский центр зачем-то обращается к нему для своих каких-нибудь целей, притом делает это по своей инициативе, никак даже не ставя меня об этом в известность. Никаких обязательств я перед ним тоже не подписывал. И в один день я захочу взять и выключить этот свой сервер. И в медицинском центре кто-то от этого умер. Что, это типа я тоже виноват?

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от alexferman

осозннано нашёл дыру

ХМ, интересно как же те кто тоже осознанно ищет дыры в по, как же их там называют?)

mul4 ★★★★★ ()

Оба виноваты. И абонент, который якобы случайно зарегистрировал домен wpad. И провайдер, которому «западло» общаться с «быдлом», потому что «а кто он вообще такой?». Я помню компьютерные магазины ранних 00-х, и там продавцам было западло общаться с покупателем, как «спец» со «спецом», а исключительно «сверху вниз». «Пацан, а ты хоть знаешь смысл слов, которые ты говоришь?», блин, я пришёл просить совета, а меня в ответ просят доказать что я имею право с ними общаться (а заодно впаривают бракованный товар под видом идеального). А если оказывалось, что продавец чего-то не знает, то агрессия.

Например, я задумал крупный апгрейд. Прочитал в интернете и в журналах всё что можно и всё что нельзя. Пошёл и попросил собрать компьютер на 939 сокете с памятью DDR2 и видеокартой 6600GT. Мне в ответ сказали, что мне это не нужно, и что 754 совет живеет всех живых, и что «нахрена тебе PCI Express? Такие скорости передачи данных нужны для совсем NextGen-игр, где если песчаная буря, то моделируется каждая песчинка. Вот тебе 9800-й Radeon, потому что все знают что NVIDIA говно, а тру-посоны пользуются Radeon-ами». На самом деле, никто просто уже не покупал 754 сокеты, и им надо было продать остатки. Вот и решили нахлобучить 14-летнего омежку в очках

Уверен что этот провайдер имеет похожее отношение к своим клиентам. «Западло», «быдло» и «кто онвообще такой, чтобы ради него отрывать жопу?». Подобного рода типы наверняка до сих пор не вымерли, перекочевав из магазинов и компьютерных клубов - в тех. поддержку DNS-а и провайдеров

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 4)

Никто не в курсе развития ситуации? Удалось отбрехаться я-у-мамы-хацкеру?

morse ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)