Säg att man, rent teoretiskt, av en slump skulle ha hittat ett jättesäkerhetshål hos två välkända Video-on-demandsidor som innebar att man fick tillgång till allt innehåll utan kostnad, och förmodligen även kan dra pengar från vilken kunds konto man vill. Finns det någon poäng i att berätta det för dem? Jag menar, om man nu (rent teoretiskt) skulle ha hittat ett sådant säkerhetshål så kanske man dessutom har begått ett brott, och löper en viss risk att bli polisanmäld. Men samtidigt kanske de blir väldigt tacksamma och känner för att skänka en symbolisk summa pengar till personen i fråga.

Ledsen om det här är ett lite luddigt exempel, och om det egentligen inte hör hemma här på forumet.
Moderatorer är välkomna att ta bort tråden om de anser den den vara opassande

Hehe du har nog hittat ett sådant känns det som ;)

Maila dom och berätta att dom har problem i systemet.

Thomas

Hur mycket vill du ha för att säga det till mig istället för dem? :lol:

Haha, hur mycket bjuder du? ;)

Beror ju till stor del på vad personen skulle gjort för att "hittat" säkerhetshålet. Rent generellt kan det ju kanske vara bra att berätta för dem istället för att de upptäcker något opassande och tar det vidare den vägen. Sköter man det snyggt kan det ju också möjligen eventuellt öppna för framtida samarbeten eller kommersiella uppdrag.

Angående skänkandet av pengar för att någon hittat ett säkerhetshål är nog mest önsketänkande och brukar vanligtvis inte förekomma. Delvis beror det på att företagen oftast inte vill låtsas om dessa säkerhetshål överhuvudtaget. Betalar man ut pengar (vilket syns i bokföringen), om än symboliskt, så är det ett officiellt erkännande på att ett fel funnits. Möjligen skulle de kanske kunna erbjuda rabatterad tillgång till deras tjänst eller liknande som inte skulle kosta dem några pengar.

För det mesta ligger ju dessutom säkerheten i ansvar hos någon teknisk administratör som inte har något inflytande gällande utbetalningar. Att för denne erkänna för ovanstående chef att ett fel finns, om det inte är absolut nödvändigt, som han/hon egentligen borde se till inte funnits från början är föga troligt.

Att informera dem om säkerhetsbristen och på så sätt bespara dem arbete gör i sig knappast att de polisanmäler någon. Som sagt beror det nog till stor del på vad som gjorts.

Nej, alltså, jag var väl inte riktigt fullt så seriös angående pengarna, det var mest en metafor för någon form av ersättning.

En kompis till mig hittade ett säkerhetshål på en filmsida. Eller rättare sagt, de hade inte någon form av inloggning till sitt admin-system. Och en sökning i google på "<censur> site:.se" tog honom direkt till deras adminsystem. Jag mailade dem och talade om detta, men de har inte brytt sig om det. <Censur> ska egentligen vara en rysk filmtitel som jag utelämnar för att inte någon illvillig läsare ska utnyttja detta.

Det där är ett farligt område. Det finns många exempel på hackers som hittat säkerhetshål och sen velat ha betalt för att berätta hur de ska täppa igen dem. Är det okey för en hacker att aktivt försöka bryta sig in och sen använda informationen som utpressning mot företaget? Det är bara ett annat sätt att se det.

Mitt råd är att ge fan. Lämna ett anonymt tips på sin höjd. Förvänta dig inga pengar.

Om du för i uppdrag att kolla efter säkerhetshål är det en annan femma. Men då måste du verkligen få det dokumenterat.

Ett exempel är en kille som sägs (han hävdar det spray hävdade motsattsen) ha fått i uppdrag att göra en säkerhetskontroll utav spray och hittade säkerhetshål och ville sen ha pengar för det. På mötet med spray satt civilsnuttar och efter mötet haffade de honom på tunnelbannan.

Det finns många andra exempel på datorkunniga killar som bara velat väl men vill tjäna pengar på sin kunskap men som råkat illa ut.

Lycka till och berätta gärna hur det går.

Exemplet med "Joel" är ganska extremt. Men visst, är ju ett känsligt område så självklart bör man sköta det snyggt.

"Jag surfade in på er sida och då jag sett samma säkerhetsmiss på andra sidor så tänkte jag se om ni hade samma.. Och det hade ni.. Jag har inte utnyttjat det hela utan kollade bara för att kunna tipsa er om det.

Det går alltså att ta sig förbi ert inloggningssystem och på så vis få allt ert material gratis genom att man .......... - ni kanske vill fixa det :)

vänliga hälsningar Sven Svensson"


jag tror inte att någon polisanmäler...

Kan du inte låta oss på WN få tanka hem filmerna innan du berättar om säkerhetshålet ? :rolleyes:

För drygt ett år sedan satt jag och mailade ett par företag som hade lite trubbel med sql-injections, jag bara påpekade vad det var, och hur man löste det.

Det var min mest inkomstrika dag någonsin, jag hade inte ens krav på ersättning utan bara visade var, hur och lösning.
(var rätt livlig diskussion om detta i WN´s kanal på quakenet för er som minnns och fanns med på den tiden ;) )

Ingen av dom jag mailade hade någon hotfull ton tillbaka utan var tacksamma över att man upplyste om problemet, vissa har dock ännu inte åtgärdat det.

Om nån ska polisanmäla måste det kunna styrkas att uppsåt till intrång finns, ett uppsåt är oftast vinning för "dig" och förlust för den som har sajten.
Att göra en if-sats i användarnamnsfältet för att se om det funkar vetefan om det är uppsåt (om man nu inte tänkt se på gratis film (om det nu är det saken handlar om)).

SF-anytime vet jag har lite knas med injections, eller åtminstone hade.

Det finns företag i staterna som sysslar med detta på heltid... att leka hackare o täppa till säkerhetshål... jag tror det finns en genuin hacka att tjäna i sverige om man är driftig och duktig på detta område.. Och seriös givetvis... det är värt stora pengar att komma till rätta med denna typ av problem...

Jag vet inte riktigt om det räknas som en SQL injection. Handlar egentligen bara om att skriva in rätt URL för att få all den info man behöver :)

Det känns ju föga olagligt. Men å andra sidan så har jag dålig koll på lagar osv.

Det är en lönade branch, jag har nog totalt fått ca 5000 kr för sådana hål, men också hot om anmälan. I de flesta fall var har det varit STORA företag som jag har hittat hålen hos, hos ett var det så stort att jag hade kunnat tömma deras server om jag så hade önskat... dom fick jag bara ett hot om polisanmäla av. <_<

Känns ju faktiskt som det gör större skada att -inte- berätta det. Händer det något större så börjar de förmodligen att titta igenom sina loggar. Hittar de ditt ip där är det ju kanske inte så bra.

Om företaget har info/data uppe publikt (räknas som publikt även om du chansar på en url som t.ex www.storfirma.se/~products/) så räknas det inte som intrång. Så om nu t.ex smsmovies.net har gjort en miss så att man kan se en film genom att knappa in URLen direkt till filmen (antar att det handlar om en sådan sida) så är det inget brottsligt att titta på dom

Men det är däremot sjysst att meddela dom om missen och så kanske man får en slant som tack för hjälpen

se det så här.. om det var din sida - skulle inte du uppskatta om någon tipsade dig om missen då?

Lite OT för de som undrar hur/vad en SQL-injection är:
http://grazzy.mjoelkbar.net/hacking/newbie...ng_swedish.html

Lite lustigt är att en av webbplatserna som jag använde som exempel, verkar ha återuppstått (4-5 år senare) på arenan.org :-)

Roligt att du tog smsmovies.net som exempel då jag hittade just det felet på www.smsfilm.se.

Men just detta (teoretiska) exempel handlar om en serie url'er som man måste skriva in för att få tillgång till en film.

Spelar ingen roll.. då du inte måste sitta och knäcka lösenord (dvs begå ett riktigt intrång) så är det inte olagligt..

de kan alltså inte hota med polisanmälan etc om du skulle tipsa dom om det och kanske t.om då fråga om en viss ersättning

Det där resonemanget är lite farligt.
Hur definierar du "ett riktigt intrång"?

Bara för en dator inte har något lösenord specificerat för t.ex. root-kontot så betyder det inte att du får logga in.

Det där med att fråga efter ersättning tror jag inte heller riktigt på.

Jag har aldrig haft som avsikt att fråga efter någon ersättning. Jag var bara nyfiken på om det var sannolikt att företag brukar dela ut sådana vid liknande fall. Bara av ren nyfikenhet alltså.

Och sedan så känns ju det här med datorintrång som en väldig gråzon.
Men jag antar att det bottnar i om man hade som syfte att t.ex. få tillgång till gratis filmer, eller om man bara upptäckte säkerhetshålet av en slump.

Jo..

Om jag har en sida som t.ex smsmovies.net och dom och har då en sådan funktion att filmerna nås via www.filmer.se/playmovie.php?id=12 - saknar kontroll på betalning i den php-filen och någon listar ut adressen dit så kan jag inte åtala dom för något om dom skulle få för sig att kika på mina filmer gratis...

Om jag skriver info på min hemsida som jag inte anser att någon ska veta.. placerar det i en mapp som heter xyvcds (dvs www.minsida.com/xyvcds) och nån där med då listar ut mappnamnet och surfar in så är inte det heller något åtalsbart

Det anses ligga öppet på internet och kan då inte klassas som hemlig info etc etc - nu finns det sjävlklart en massa varianter på det här men i grund funkar det så här

min poäng är alltså att han är safe i det här läget - förutsatt att han hittat hålet utan att knäcka lösenord etc

kluven inställning från min sida:

Om en fruktaffär ställer ut en korg med äpplen utanför butiken, så kan någon gå förbi och ta ett äpple, och hävda att det var ju inte i butiken och att han inte fattade att det kostade. Men det räknas som stöld (snatteri).
Man skulle kanske kunna tycka att affären borde tänka sig för, om man ställer saker utan övervakning utomhus. De kanske har ställt en låda päron på baksidan där folk normalt inte rör sig.

Om en bilaffär ställer en bil utanför med nyckeln i tändningslåset med motorn igång, så räknas det normalt sett inte som stöld. Det räknas som olovligt brukande då man har främjat själva utnyttjandet genom att tillhandahålla stöldobjektet (man har lämnat bilen med nyckel i. Motorn igång etc)

Om man nu överför detta till internetvärlden, så skulle man kunna säga att om någon finner en film (en låda päron) på ett ställe av en slump, så skulle det kanske handla om snatteri. Man har olovligt tillförskaffat sig något man borde inse var otillåtet. I mina ögon är det kunden som borde reagera på att något inte stämmer.

Om istället internetsiten hade en egen länk av misstag till vad som egentligen skulle ha varit betal-grej, så får det anses vara deras egna fel. Man borde kanske ha insett att det skulle ha kostat, men i och med att de själva tillhandahöll så skulle det bli typ olovligt brukande. I mina ögon är det företagets fel då dem har gjort fel.

Sen kan man diskutera google etc vars robotar letar upp och publicerar länkar till delar av sajter som inte var tänkt att publiceras offentligt.

Jag hoppas det inte var du som skickade ett mail till ic a.se som jag jobbade åt då. Det mailet har det skrattas åt mycket och det hängde även på väggen ett tag... =)

Nu blir man ju nyfiken! Berätta mer! :)

Nu finns inslaget om Joel upplagt på SR Gävleborgs webbsida - "Superhackern från Gävle".

För er som inte vill köra Realplayer finns ju Realplayer alternative. Kommer ni till inställningssidan sedan, klicka då i att ni har stöd för Realplayer-ljud också, så bör det fungera sedan.