MK-AUTH

Olá a todos, 

Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus. 

Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes. 

Exibições: 10117

Responder agora

Respostas a este tópico

Boa tarde a todos.

A falha existe de fato e já está mais que provado, o que nos resta é saber se o Sr.Pedro vai tomar alguma atitude URGENTEMENTE ou caso contrário, vamos se unir e verificar uma solução.

Todos os mk-auth, principalmente os Cloud, estão vulneráveis.

Sim como o amigo citou acima, o Caras achou a falha e estipulou um valor para realizar a correção.

O mesmo alegou que por várias vezes, tentou contato com o Sr.Pedro e sem retorno. A uns 8 meses a trás também nos alertou nos grupos e ninguém deu atenção, agora de 1 falha, já descobriu mais 3 que da pra ter acesso ao nosso banco e deixando vulnerável a qq programador com um bom conhecimento..

Precisamos de uma solução Urgente, caso contrário, Mk-Auth não será visto da mesma forma de sempre.

att.

Estou vendo muito alarde, da mesma forma que uns dizem que foram invadidos tbm conversei com pessoas que pediram pra ser invadido e nao foram.  Seja qual for a vulnerabilidade nao esta em todos, revejam seus servidores 

De fato eu não invadi o teu sistema  devido você ter alegado ser funcionário. Só demostrei aos proprietários!! 

Acredito que nenhum "funcionário" tem o poder de solicitar algo do tipo.

até pq funcionário não é dono!


urglenio disse:

Estou vendo muito alarde, da mesma forma que uns dizem que foram invadidos tbm conversei com pessoas que pediram pra ser invadido e nao foram.  Seja qual for a vulnerabilidade nao esta em todos, revejam seus servidores 

Há uns 7, 8 meses atrás eu fiz uma publicação aqui no fórum relatando a falha e etc..

essa mesma publicação foi deletada poucas horas depois de ser publicada. 

Não só eu, mais um outro usuário chamado renato tentamos contato via e-mail relatando a situação, e apenas o renato teve o e-mail respondido onde responderam que todas as falhas existentes haviam sido corrigidas seguido de um link para baixar a versão nova já com as correções aplicadas. 

No entanto, nenhuma das vulnerabilidades encontradas por mim estavam entre as corrigidas e divulgadas no changelog.

 

Larguei de mão a tentativa de comunicar, relatar a situação; e acabou caindo no esquecimento por algum tempo.

Bom, tenho um script com a correção, mais ninguém trabalha de graça!! 

Montei uma vaquinha com uma meta, chegando nessa meta eu vou enviar esse script no grupo dos colaboradores...

[GRUPO DE COLABORADORES NO WHATSAPP]

vc esta certissimo em cobrar o seu serviço mais nao estou falando por mim estou falando por mais gente mesmo assim seria interessante evidenciar os fatos de uma forma q todo mundo pudesse comprovar a falha

Matheus Carvalho disse:

Há uns 7, 8 meses atrás eu fiz uma publicação aqui no fórum relatando a falha e etc..

essa mesma publicação foi deletada poucas horas depois de ser publicada. 

Não só eu, mais um outro usuário chamado renato tentamos contato via e-mail relatando a situação, e apenas o renato teve o e-mail respondido onde responderam que todas as falhas existentes haviam sido corrigidas seguido de um link para baixar a versão nova já com as correções aplicadas. 

No entanto, nenhuma das vulnerabilidades encontradas por mim estavam entre as corrigidas e divulgadas no changelog.

 

Larguei de mão a tentativa de comunicar, relatar a situação; e acabou caindo no esquecimento por algum tempo.

Bom, tenho um script com a correção, mais ninguém trabalha de graça!! 

Montei uma vaquinha com uma meta, chegando nessa meta eu vou enviar esse script no grupo dos colaboradores...

[GRUPO DE COLABORADORES NO WHATSAPP]

Evidenciar, você quer um manual, um passo a passo de como as falhas funcionam .. 

pq no grupo onde foi divulgado, já foi evidenciado para 233 pessoas .. 

Só vejo oportunistas aparecendo doidos para descobrirem o que eu sei. 

urglenio disse:

vc esta certissimo em cobrar o seu serviço mais nao estou falando por mim estou falando por mais gente mesmo assim seria interessante evidenciar os fatos de uma forma q todo mundo pudesse comprovar a falha

Matheus Carvalho disse:

Há uns 7, 8 meses atrás eu fiz uma publicação aqui no fórum relatando a falha e etc..

essa mesma publicação foi deletada poucas horas depois de ser publicada. 

Não só eu, mais um outro usuário chamado renato tentamos contato via e-mail relatando a situação, e apenas o renato teve o e-mail respondido onde responderam que todas as falhas existentes haviam sido corrigidas seguido de um link para baixar a versão nova já com as correções aplicadas. 

No entanto, nenhuma das vulnerabilidades encontradas por mim estavam entre as corrigidas e divulgadas no changelog.

 

Larguei de mão a tentativa de comunicar, relatar a situação; e acabou caindo no esquecimento por algum tempo.

Bom, tenho um script com a correção, mais ninguém trabalha de graça!! 

Montei uma vaquinha com uma meta, chegando nessa meta eu vou enviar esse script no grupo dos colaboradores...

[GRUPO DE COLABORADORES NO WHATSAPP]

Boas

O que realmente todos sabemos é que a página do hotsite não é encriptada devido a possibilidade de customizacões e com isso é possivel carregar o um exploit nela via script que permite a comunicacão via localhost ao banco de dados e como todos sabemos que o usuário padrão é ROOT e a senha VERTRIGO é possivel acessar o banco de dados completo do provedor.

E na tabela nomeadamente de sis_acesso é possivel baixar os dados credenciais de login dos usuários e funcionários cadastrados no sistema, assim como hash SHA utilizado nas sehnas.. 

Então resumindo não é uma coisa de agora mas já vem sendo possível a algumas versões anteriores, prinicipalmente para todos aqueles que usam o mkauth em clouds ou que tem porta 80,443 aberta no ip publico redirecionando pro IP no MK-AUTH pra poderem receber os retornos bancários via sistema de boletos online como gerencianets, pagseguros e afins..se não especificarem os ips de entrada autorizados a se conectar via essas portas especificas 80,443 e tiverem a  página do hotsite acesso livre a  www ..

fica a dica nas próximas versões o pedro poderia colocar no campo admin/provedor um menu para nós conseguirmos configurar o nosso usuário e senha customizada para acesso ao banco de dados.. pra cada provedor poder cadastrar o seu acesso ao banco com as credenciais diferentes.. 

Boa noite meu caro

Rebatendo a sua informação passada a cima, nenhuma das possibilidades cogitadas por você estão vulneráveis , o hotsite não é vulnerável, os arquivos disponíveis para modificação é apenas HTML , nenhum arquivo PHP é aberto para edição. 

E só para deixar claro a cogitação do exploit, o php roda no lado do Servidor , já o html é renderizado no navegador no lado do cliente

E sobre o usuário root e a senha vertrigo, também não há nenhuma possibilidade de invasão utilizando essas credenciais. Pois, por padrão esses dados só são acessíveis no localhost ou seja dentro do próprio sistema, não sendo possível acessar remotamente.


Pedro Costa disse:

Boas

O que realmente todos sabemos é que a página do hotsite não é encriptada devido a possibilidade de customizacões e com isso é possivel carregar o um exploit nela via script que permite a comunicacão via localhost ao banco de dados e como todos sabemos que o usuário padrão é ROOT e a senha VERTRIGO é possivel acessar o banco de dados completo do provedor.

E na tabela nomeadamente de sis_acesso é possivel baixar os dados credenciais de login dos usuários e funcionários cadastrados no sistema, assim como hash SHA utilizado nas sehnas.. 

Então resumindo não é uma coisa de agora mas já vem sendo possível a algumas versões anteriores, prinicipalmente para todos aqueles que usam o mkauth em clouds ou que tem porta 80,443 aberta no ip publico redirecionando pro IP no MK-AUTH pra poderem receber os retornos bancários via sistema de boletos online como gerencianets, pagseguros e afins..se não especificarem os ips de entrada autorizados a se conectar via essas portas especificas 80,443 e tiverem a  página do hotsite acesso livre a  www ..

fica a dica nas próximas versões o pedro poderia colocar no campo admin/provedor um menu para nós conseguirmos configurar o nosso usuário e senha customizada para acesso ao banco de dados.. pra cada provedor poder cadastrar o seu acesso ao banco com as credenciais diferentes.. 

Não sou expert em programação, mais pelo pouco que estudei sobre lógica de programação e banco de dados , é isso.  

Os amigos programadores podem me corrigir se eu estiver errado. 

Da mesma forma que você é o ban ban ban para me denegrir, seja corajoso e deixe o endereço do seu mk-auth em produção aqui nos comentários.

Ramon Igo Da Silva disse:

cara para de fazer raiva com essa bosta de Vulnerabilidade tua, que respota vai no email so suporte e tenta por la, ninguem vai responde ou acredita em tu ou nesse corno que descobriu não, para de enche o saco de deixa os outros trabalhar, que o pedro não ta respondendo e porque ele sabe que não tem essa bosta ou ja ta corrigindo, ou ja foi corrigida e não tem pra ele responde essa bosta ok, vai dormi ou mudar de sistema já que vc não que usar esse.

Há, deixa eu adivinhar.. você não tem provedor, vive aqui no forum tentando vender soluções de asterisk, tentando vender softs milagrosos, oferecendo serviço de consultoria. 

Cara, a falha existe!! e estou a disposição para provar para qualquer um, da mesma forma que fiz em um grupo com pouco mais de 233 participantes.

Agora vem você, o pika das galaxias querendo dar palpite em algo extremamente delicado e por cima denegrindo a imagem dos outros.

Ramon Igo Da Silva disse:

cara para de fazer raiva com essa bosta de Vulnerabilidade tua, que respota vai no email so suporte e tenta por la, ninguem vai responde ou acredita em tu ou nesse corno que descobriu não, para de enche o saco de deixa os outros trabalhar, que o pedro não ta respondendo e porque ele sabe que não tem essa bosta ou ja ta corrigindo, ou ja foi corrigida e não tem pra ele responde essa bosta ok, vai dormi ou mudar de sistema já que vc não que usar esse.

Boa tarde Ramon

Me confirme então uma coisa a pagina HTML do hotsite que tem acesso publico para a internet ela fica hospedada em qual máquina fisica? a não ser que esteja colocando somente a pagina do hotsite especifica em outra máquina fisica fora da máquina "localhost" onde o MK-AUTH está instalado.. e como o hotsite está em /var/www/  tem a pagina do layout do hotsite e o usuário root  tem acesso rwxr-xr-x  o restante deixo a sua imaginacão....

pois o intuito aqui não é indicar como mais gente poderá atacar o seu sistema e sim fazer um alerta para o pedro tentar aplicar correções de segurança.



Henrique Vasques disse:

Não sou expert em programação, mais pelo pouco que estudei sobre lógica de programação e banco de dados , é isso.  

Os amigos programadores podem me corrigir se eu estiver errado. 

Responder à discussão

RSS

parcerias

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço