"СУП" крадет пароли ЖЖ-юзеров?

CLERiC_77rus

http://webplanet.ru/news/security/2007/08/13/sup_ljplus_pass...
Компания "СУП", обслуживающая русскоговорящую аудиторию ЖЖ, с одной стороны, предоставляет довольно широкий ассортимент юзерских сервисов, а с другой - склонна впадать в неадекват при возникновении критических ситуаций.
На прошлой неделе компания снова отличилась. В сообществе sup_ru, где можно задать вопрос службе поддержки "СУПа", появилась запись Ольги Ведерниковой (юзер vedmouse обнаружившей, что некто залогинился в ее журнал с IP-адреса, зарезервированного за "СУПом". Возникает логичное предположение: некто из работников компании - неизвестно с какой целью - решил полистать чужие подзамочные записи (собственно, именно к этой версии склонялось множество участников обсуждения).
Вскоре ситуация прояснилась: по словам девушки Анны (некогда shaltai_boltai, если судить по юзерпику Ольга Ведерникова оставляла жалобу в LJPlus-сообществе, попросив технарей разобраться с неработающим счетчиком. Неполадка была успешно устранена, но в работе была допущена некорректность - Ольгу не предупредили о том, что будут проводиться работы.
Анна также заверила Ольгу, что эта ситуация экстраординарна, а в компании "СУП" нет доступа к базе паролей ЖЖ, так как они находятся у компании Six Apart, но есть доступ к базе LJPlus, где также хранятся пароли (но не всех пользователей ЖЖ, а только тех, которые зарегистрировались на сайте ljplus.ru).
Пикантности ситуации добавляет текст, размещенный на странице регистрации LJPlus: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем". Получается, что или это заявление не соответствует действительности, или техподдержка "СУПа" кривит душой.
После этого в комментариях начали задаваться вопросы: как удалить свой LJPlus-аккаунт? Сделать это достаточно просто, и сервис уже потерял несколько десятков пользователей. А одна из комментировавших добавила, что у нее более странная ситуация, чем у всех остальных: к ней также залогинились в ЖЖ с IP-адреса "СУПа", и это при том, что пароли от ЖЖ и LJPlus у нее разные. Объяснения от службы поддержки, как такое могло случиться, не последовало. Горячие дискуссии перемежались гнусными стихами от какого-то сумасшедшего бота.
Конечно, всех собравшихся больше всего занимало обсуждение морально-этической стороны вопроса: имел ли право посторонний человек использовать чужие логин и пароль, пусть даже и с благими намерениями? Поклонники "прайвеси" утверждали, что этого категорически нельзя делать, оппоненты выдвигали аргументы вроде: "если очень нужно, то можно, тем более что техподдержка - это не враги".
Длинную ветку возмущений спровоцировала пользовательница ЖЖ ksena, спросившая, кто это лазил к ней в журнал, невзирая на то, что "счетчики TNS и прочий мусор" она убрала со страниц еще прошлой осенью, нигде не оставляла никаких запросов, а главное - не пользовалась сервисами "СУПа". Реакции "суподелов" пока что не последовало. Не ответили они и Анатолию Воробью(юзер avva хотя кто-то из "СУПа" наверняка читает его дневник.

Nitochka

Интересно, как из хэша мона пароль вытянуть? Подбором?
/предполагается, что там нормальная система аутентификации/

78685

Горячие дискуссии перемежались гнусными стихами от какого-то сумасшедшего бота.
Ух ты! Вот это клёво - дайте почитать

roza200611

ключевое слово
предполагается

Nitochka

Ну блин, система где пароль хранится в расшифрабельном виде - вряд ли юзается в крупных конторах...

Nitochka

ППЦ тогда

roza200611

ну знач суп - гавноканторка

liliya63

ну знач суп - гавноканторка
этот факт был известен и ранее

serengeti

какие все нежные и чваные
если так дорожите секретами, зачем доверять их незнакомым людям, которые могут оказаться задротами?

MerKish

Там пароль от LJ хранился в LJPlus. Вроде как LJPlus надо уметь логиниться в LJ под тобой зачем-то (я им не пользуюсь, т.к. могу ошибаться поэтому пароль нужен в явном виде, а не хэшированный.

gsaxxx

dn: Говорят, ты работаешь в СУПе
pp: правду говорят
dn: Напомни тогда мне пароль от ЖЖ, я забыл %)
pp: мд-хеш подойдёт? у нас тут валяется коробка бесхозных…

1853515

Интересно, как из хэша мона пароль вытянуть? Подбором?

зачем вытягивать?
сменил, зашел, сменил обратно

karim

кому нужны говножурналы?
имхо креза и мания величия

MammonoK

+1

pp_asovskiy-1

LJplus то ещё г-но...
А товарищ который его организовывал (некто uisky) вообще странный перец, кстати, он сервис этот продал супу и вроде как теперь никакого отношения не имеет, но чем чёрт не шутит...

shumilelena

LJplus то ещё г-но...

как и жж...
Оставить комментарий
Имя или ник:
Комментарий: