36 Responses to “In atentia BitDefender.com, SQL Injection”

1. yaxley Says:
   February 15th, 2009 at 9:46 am

   tot vroiam sa va intreb daca puteti raspunde… cum se cheama addonul cu Extract links? Il gasisem odata cand rasfoiam addons.mozilla.org dar acum nu il mai gasesc. am intrebat ca vad ca aveti jos in mozilla, extract links

2. unu Says:
   February 15th, 2009 at 9:57 am

   Link Gopher
   https://addons.mozilla.org/en-US/firefox/addon/7312

3. Claudel Says:
   February 15th, 2009 at 7:12 pm

   unu tati mai bine pune fifty fifty cu engleza ca asa… nush daca prinde idea cineva de acolo si sincer nu cred ca esti curios sa vezi cum traduce gugle din ro in end )) mori de ras

4. Cd-MaN Says:
   February 16th, 2009 at 10:03 am

   FYI, daca tot va mandriti cu “noi facem cum fac altii in vest”, email-ul de contact standard pentru astfel de probleme este security@company.com (security@bitdefender.com in cazul de fata).

   Disclaimer: sunt un fost angajat al companiei.

5. unu Says:
   February 16th, 2009 at 12:19 pm

   cd-man, arata-mi te rog unde scrie adresa respectiva de email, eu promit sa mananc pagina intreaga, daca ai dreptate. Dar nu scrie. Nu scrie pentru ca bitdefender este prea “mare” sa se gandeasca ca vreodata ar putea avea probleme de securitate. Iar eu nu-mi permit sa trimit mailuri de atentionare la adrese ghicite,ori luate dupa auzite, sau “standardizate” cum le numesti tu

6. Jay Says:
   February 16th, 2009 at 2:18 pm

   @ unu

   $ whois bitdefender.com | grep \@
   Email: aanescu@bitdefender.com
   Email: domains-admin@bitdefender.com
   Email: domains-admin@bitdefender.com

7. Claudel Says:
   February 16th, 2009 at 2:27 pm

   ca sa-ti dau un exemplu, cauta e-mail de contact la .edu .mil sau .gov eu am trimis odata la toata lista din alumini ca sa pot primi un raspuns dupa vreo luna asa ca te rog eu, lasa “generalizarile” ca nu ajungem nicaieri asa cu ghicitul in trandafiri ))

8. Cd-MaN Says:
   February 16th, 2009 at 4:11 pm

   @unu: asta e ideea – nu trebuie sa scrie explicit (desi sunt de acord, ar fi mai bine sa scrie), ci este o conventie (ca si abuse@example.com sau webmaster@example.com).

9. Claudel Says:
   February 16th, 2009 at 5:37 pm

   sa-ti spun sincer, nu am primit niciodata raspuns cand am trimis la abuse@ sau webmaster@ doar un autoresponder sau autoticket etc, atat, niciodata de la o persoana, asa ca de fiecare data a trebuit sa ma uit la staff, luam un nume dupa aia cu ajutorul lu’ nenea gugle gaseam si e-mail de contact, si pe baza asta am mers multi ani, pentru ca alea 2a abuse sau webmaster chiar daca erau afisate arau egale cu 0 asa ca nici nu le-am mai bagat in seama

10. Jay Says:
    February 16th, 2009 at 6:21 pm

    Ceva ma face sa cred ca daca ai fi scris la adresa trecuta ca si contact pentru domeniul bitdefender.com (da, that’s the way to do it), cineva ar fi raspuns foarte prompt

    E usor sa zici “am crezut ca nu-i nimeni acasa” dar in multe situatii este gresit.

    Ce-am invatat din asta copii ?

11. unu Says:
    February 16th, 2009 at 7:37 pm

    ceva ma face sa cred ca vorbim mult si degeaba. Daca ar fi fost trecut macar o adresa de contact as fi putut scrie un email normal nu completam in prostie casute de genul ce sa gasesc la sectiunea contact
    http://www.bitdefender.com/site/contact/ , la care sa nu raspunda nimeni

12. BitDefender website exposes private data (yet again) | TechKraze Says:
    February 16th, 2009 at 9:48 pm

    [...] to an item posted to HackersBlog, BitDefender’s main website can be tricked into disclosing database [...]

13. BitDefender website exposes private data (yet again) - Computer Forums Says:
    February 16th, 2009 at 9:50 pm

    [...] the company has inadvertently exposed a database that is supposed to remain private. According to an item posted to HackersBlog, BitDefender’s main website can be tricked into disclosing database contents [...]

14. BitDefender, situs yang meng-exposes Data Pribadinya | Sucipto Kuncoro Says:
    February 17th, 2009 at 1:06 pm

    [...] salah satu topik yang diposting di HackersBlog, Website utama BitDefender dapat dikelabuhi sehingga masuk ke database oleh perintah di URL [...]

15. David Says:
    February 17th, 2009 at 1:17 pm

    Este total lipsit de profesionalism ce faceti,copii.Esta ca si cum ati intra la cineva in casa ca sa-i verificati yala, fara sa-i cereti permisiunea.In State testele se fac la solicitare.Voi o faceti de capul vostru,ca sa va dati apoi mari.
    Nu va spus nimeni cate legi ati incalcat pana acum?

16. 2fingers Says:
    February 17th, 2009 at 1:40 pm

    Sunt curios cat conteaza profesionalismul nostru pentru oamenii care au datele lor private puse la dispozitia oricui. Testele alea facute la solicitare vad ca nu prea au efect. Cat despre faptul ca ne dam mari… ce sa mai zic. Fiecare crede ce vrea.

    Lectura: http://hackersblog.org/2009/02/03/inca-o-pierdere-de-timp/

17. TTDDOO Says:
    February 17th, 2009 at 1:47 pm

    BitDefender could learn a thing or two from competitor Kaspersky Lab. After an American support site was found to have exposed customer data for 11 days, the company hired an outside auditor to conduct a forensic analysis. He determined that while the information was accessible, hackers never actually succeeded in stealing the data.

    HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA

18. Nerodot Says:
    February 17th, 2009 at 2:02 pm

    Unule ai un mail, ceva?

19. 2fingers Says:
    February 17th, 2009 at 2:13 pm

    http://hackersblog.org/contact-us/

20. Geo Says:
    February 17th, 2009 at 2:16 pm

    http://www.theregister.co.uk/2009/02/16/bitdefender_website_breach/

21. ciprig Says:
    February 17th, 2009 at 5:21 pm

    http://www.antena3.ro/stiri/hightech/hacker-ul-roman-care-a-spart-kaspersky-a-reusit-sa-intre-acum-in-site-ul-bitdefender_64989.html ))))

22. Shocker Says:
    February 17th, 2009 at 5:31 pm

    @ciprig: vai

23. Partz Partzescu Says:
    February 18th, 2009 at 12:29 am

    De ce nu explicati si voi niciodata ce puteti face cu aceste date, ce fel de baza de date afecteaza si ce fel de informatii se pot prelua de acolo? Eu vad in screenshot-urile alea numai imagini din search cu definitii de virusi, deci este ceva serios sau nu?

24. Claudel Says:
    February 18th, 2009 at 2:58 pm

    adica sa le dea idei celor care citesc aceste articole? dat fiind faptul ca odata ce arati unde e gaura e deajuns ca orice script kiddie sa foloseasca un tool automat ca sa poata lua access dat fiind faptul ca nu e ceva securizat e bine sa lasi anumite informatii nespecificate, altfel dintr-un simplu report se poate ajunge in situatii aiurea cand tocmai cei ce a vrut sa faca un bine, sa cada la un loc cu cei ce vor sa faca rau.
    un exemplu foarte clar ar fi extragerea de informatii private precum carti de credit si pe urma sa le foloseasca in scop personal, si la urma urmei vor fi trasi la raspundere toti cei care au accessat acel server, nu mai conteaza pe ce motiv ai facut-o.
    e clar ca pe unele servare poti gasit informatii de tot felul de la simple informatii de contact pana la alte chestii mult mai serioase si mai ales strict confidentiale.
    Daca citesti un articol fara sa ai habar despre ce e in acel articol, atunci e sa te informezi mai intai, informatia exista peste tot, nu trebuie decat sa cauti.
    asa ca hf & rtfm

25. Rudi Bedy Says:
    February 18th, 2009 at 5:42 pm

    Nu este vorba de sectiunea de news ci de search in primul rand, in al doilea rand date despre server se pot afla foarte usor. De exemplu http://www.mcafee.com foloseste Microsoft Server, IIS 5.0 and ASP.Net, acum sunt si eu un mare hacker? La testul pe care l-au facut probabil ca au folosit SQL Map, iar la kaspersky probabil Acunetix.

    Nu,nu sunt mare expert in securitatea site-urilor.

26. tolique Says:
    February 18th, 2009 at 5:52 pm

    @Claudel respect pentru skill-urile avansate de web security, acum ca esti iesit in lumea invata niste romana.
    Am inteles ca ceea ce incercati sa faceti este sa avertizati atat oamenii care au scris/folosesc scripturi web cat si userii de zi cu zi.
    Vad ca la fiecare treaba de genul asta nimeni nu va raspunde la mailuri (ma indoiesc), dar cu toate astea publicati problema si ea poate fi destul de usor identificata pentru cei familiarizati. Cu aceste actiuni sunteti white-hat? Vad ca deveniti din ce in ce mai populari, pe cand vine si un adsense?
    Daca vreti sa invatati pe cineva cate ceva despre securitate faceti asta, nu va luati de useri cu chestii de genul RTFM, n00b and other 1337 speech. Stiu, aratati cool dar semanati a script-kiddies si nu vreti asta, nu?; vreti sa fiti white-hat hackers.
    Noi si noi succese!

27. unu Says:
    February 18th, 2009 at 6:05 pm

    da…la blind sqli folosesc sqlmap sa extraga. Nu este niciun secret asta. Sqlmap-ul este un tool free, cel mai bun dupa parerea mea. Cine ar sta luni de zile sa faca sute de mii de interogari,sintaxe cand exista tool pentru asta. Poate un “expert” ca tine. Nu trebuie reinventat America, a facut-o Columb candva. Cat despre gasirea parametrilor vulnerabili, daca e asa usor, oare de ce n-o fac cei care sunt platiti f bine pt asta, cei care sunt raspunzatori de securitatea site-urilor respective? Rudi ..citeste cu atentie sectiunea About & disclaimer , aici nimeni nu e hacker, nu asta este scopul nostru. Cat despre acunetix –avand in vedere unde lucrezi– ai putea fi un pic mai bine informat (sau intentionat) si sa nu faci afirmatii gratuite. Inclusiv kaspersky a recunoscut in raportul sau oficial: cautarea parametrilor vulnerabili s-a facut din google, iar interogarile manual, fara scanner.

28. Rudi Bedy Says:
    February 18th, 2009 at 6:13 pm

    Bine, acum poti folosi adresa mea de mail pentru contact, sti unde lucrez . Nu lucrez la departamentele la care te-ai gandit, de aceea am spus ca nu sunt mare expert.

29. Andre3000 Says:
    February 18th, 2009 at 6:37 pm

    @tolique vezi ca multi webmasteri nu raspund la emailuri. GRESIT cei mai multi raspund si remediaza dar nu vad de ce am preciza noi asta in postul de pe blog. Precizare se face doar atunci cand nu raspund de aceea tu ii vezi doar pe cei care nu raspund. Spui ca folosim expresii gen RTFM n00b and stuff … din nou gresesti am facut o singura data o gluma cu RTFM. Daca nu ai chef sa citesti tot continutul nu iti da cu parerea despre o carte. Ceea ce facem noi este si va ramane non-profit … daca vrei sa fiu si meschin , eventual da’ne niste bannere de la tine si le punem la noi ca sa faci tu bani din treaba asta, noi nu vrem.

30. Claudel Says:
    February 18th, 2009 at 9:43 pm

    cauta un howto de unix si zi-mi daca nu gasesti in cel putin unu din ele, la sfarsit RTFM, daca nu intelegi ce inseamna cuvantul ala si-l iei motamo atunci ramai la parerile tale.sal
    e ceva normal sa-ti zica oricine rtfm cand vii si pui intrebari de 3 lei sau doar ca sa-ti bati joc

31. tolique Says:
    February 18th, 2009 at 9:51 pm

    Da iti multumesc pentru lectia de etica in raspunsuri pe forumuri, bloguri si liste de discutii. Ce iti explicam eu este ca nu e modul de a vorbi al unui expert in securitate sau mai simplu nu e OK sa fii “cocky” cu userii care pun o intrebare.
    Mai ales intr-un loc in care exista pretentia de oameni adulti “cu cap” care incearca sa ajute webdeveloperii in securizarea corespunzatoare a progeniturilor lor.

32. 2fingers Says:
    February 18th, 2009 at 10:00 pm

    @tolique – noi nu avem pretentia de a fi tratati ca experti in securitate. Anuntam, publicam, iar oamenii trag concluzii si baga sau nu la cap. Atata tot.
    Cat despre un singur RTFM prezent pe tot blogul, intr-un singur comentariu, sa fim seriosi. Ne pare rau ca mai facem o gluma din an in paste care se pare ca deranjeaza 0.1% din vizitatori.

33. tolique Says:
    February 18th, 2009 at 10:07 pm

    Duda de mai sus a.k.a. PartzPartzescu intreaba: “[...]ce fel de baza de date afecteaza si ce fel de informatii se pot prelua de acolo?[...]” i s-a raspuns in doi peri (specific) ca nu se citesc complet informatiile si ca sa se informeze lumea ca e Internetul plin.
    Acum s-a inteles care era nemultumirea? Si vad si mai sus ca existau solutii de contact doar ca nu foarte la vedere. Asta nu inseamna nici rea-vointa, dar nu pare a fi nici ceva OK sa se publice “stuff” inainte sa fie reparat.

34. Claudel Says:
    February 19th, 2009 at 9:03 am

    ma scuzi domnu’ tolique, ai dreptate
    2fingers sau unu, pune-le ma cu bold in paranteza dupa fiecare db si ce informatii exista in acel db, credit cards, bank accounts, e-mails, phone numbers, home address, etc
    pune-le mura-n gura ca sa le dai motive si idei la baietii “buni”.
    daca sql injection ar fi aparut ieri, poate ca nu-ti mai ziceam rtfm, si daca chiar nu-ti poti da macar cu parerea cam ce informatii ar putea exista pe un server x, care e si afisat, atunci e grav

35. Ce isi face romanul cu mana lui… « Dothemotto’s Blog Says:
    February 21st, 2009 at 5:17 pm

    [...] unui post de pe HackersBlog, principalul site BitDefender poate fi păcălit să dezvăluie conţinutul unor [...]

36. Should I Trust You? Says:
    February 26th, 2009 at 11:24 am

    [...] major antivirus companies. After the recent SQL injections in Kaspersky, BitDefender (here and here) and F-Secure the regular user might wonder in which company should they still [...]

Leave a Reply