MK-AUTH

Olá a todos, 

Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus. 

Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes. 

Exibições: 10182

Responder agora

Respostas a este tópico

Você está corretíssimo !!

Para os duvidosos... pesquisa sobre client-side e server-side.

https://tableless.github.io/iniciantes/manual/obasico/o-que-front-b...


Henrique Vasques disse:

Não sou expert em programação, mais pelo pouco que estudei sobre lógica de programação e banco de dados , é isso.  

Os amigos programadores podem me corrigir se eu estiver errado. 

Boa tarde Colega 

teria como vc me add a esse grupo?

27-998186196

DIEGO ALBERTO SILVA SANTOS disse:

Salientando que faço parte de um grupo 250 usuários do sistema aonde estamos todos apreensivos sobre a segurança do sistema. 

vou solicitar ao adm..

Saulo Amorim de Souza disse:

Boa tarde Colega 

teria como vc me add a esse grupo?

27-998186196

DIEGO ALBERTO SILVA SANTOS disse:

Salientando que faço parte de um grupo 250 usuários do sistema aonde estamos todos apreensivos sobre a segurança do sistema. 

Já tá mais que provado.

O cara acessou meu sistema que estava por trás de um redirecionamento de portas. Eu utilizo uma única regra de nat para liberar acesso na porta 80, e mesmo assim ele conseguiu acessar tudo e mim enviou prints com todos os detalhes.

Já não é questão de provar, a situação agora é como corrigir !!

Provar, foi provado a muitos.

Ele conseguiu silenciar uma multidão que o criticava !!


Ramon Igo Da Silva disse:

ta ai, a pagina do mk-auth realmente fica na www, mas a pagina de admin, advinha não fica na www kkkkkkkkkk, e outra coisa a pasta root do www não tem permissão  777 e si 644, ser não tive a senha root, não abrir o mysql pra fora da rede, e meio dificil entra no mk-auth, ser quiser eu coloco um mk-auth em uma maquina virtual, jogo aqui no grupo o ip dele so com a porta 80 aberto e quero ver quem gera um boleto nela.

Pedro Costa disse:

Boa tarde Ramon

Me confirme então uma coisa a pagina HTML do hotsite que tem acesso publico para a internet ela fica hospedada em qual máquina fisica? a não ser que esteja colocando somente a pagina do hotsite especifica em outra máquina fisica fora da máquina "localhost" onde o MK-AUTH está instalado.. e como o hotsite está em /var/www/  tem a pagina do layout do hotsite e o usuário root  tem acesso rwxr-xr-x  o restante deixo a sua imaginacão....

pois o intuito aqui não é indicar como mais gente poderá atacar o seu sistema e sim fazer um alerta para o pedro tentar aplicar correções de segurança.



Henrique Vasques disse:

Não sou expert em programação, mais pelo pouco que estudei sobre lógica de programação e banco de dados , é isso.  

Os amigos programadores podem me corrigir se eu estiver errado. 

Qual a solução ?

O cara que descobriu a falha fez uma vaquinha online, assim que a meta for alcançada ele vai divulgar a correção. 

Esse é o link do grupo dos colaboradores da vaquinha:

https://chat.whatsapp.com/JLrkOaViGBYFlczhmtZIZv


Marcelo Miranda disse:

Qual a solução ?
Ramon,

Acabei nem lindo tudo o que vc escreveu.

O problema não é a questão dos 85 reais , e sim estamos correndo o risco de expor os dados dos nossos clientes..

Esta mais que provado que a falha existe , agora vai da gente, utilizadores, pensar em uma solução.

O assunto é sério, e nego desacreditando.

Lamentável!!!!

E como vamos usar o call back dos gateway pagamento. 

Ramon Igo Da Silva disse:

faz como o pedro falou, não usar o mk-auth como site, fim de papo.

Connect Banda Larga disse:

Ramon,

Acabei nem lindo tudo o que vc escreveu.

O problema não é a questão dos 85 reais , e sim estamos correndo o risco de expor os dados dos nossos clientes..

Esta mais que provado que a falha existe , agora vai da gente, utilizadores, pensar em uma solução.

O assunto é sério, e nego desacreditando.

Lamentável!!!!

É pode ser uma solução, vou tentar;

Ramon Igo Da Silva disse:

tenho outra melhor, entra em contato com o gerencianet ou qualquer outro pergunta o ip da api deles, e libera so pra ele.

Vi que você é de serra talhada, cidade onde reside o ilustre tiringa. com esse palavreado que você tem, sem educação, rude, escroto... tenho certeza que é parente do tiringa ne?? 

@Integração, peço por gentileza que prestem atenção na forma que o Ramon está comentando essa e algumas outras publicações do fórum, sempre com quatro pedras nas mãos atacando terceiros com palavras de alto calão.

Ramon Igo Da Silva

então fala pra o corno que descobriu o bug para de cobra dinheiro pra libera como resolver o problema e passa pra o pedro logo pra ele resolver, fim de papo, o corno vem cobra pra libra um bug que ele descobriu

DIEGO ALBERTO SILVA SANTOS disse:

E como vamos usar o call back dos gateway pagamento. 

Ramon Igo Da Silva disse:

faz como o pedro falou, não usar o mk-auth como site, fim de papo.

Connect Banda Larga disse:

Ramon,

Acabei nem lindo tudo o que vc escreveu.

O problema não é a questão dos 85 reais , e sim estamos correndo o risco de expor os dados dos nossos clientes..

Esta mais que provado que a falha existe , agora vai da gente, utilizadores, pensar em uma solução.

O assunto é sério, e nego desacreditando.

Lamentável!!!!

Integração MK-AUTH

Estamos precisando de uma resposta mas concreta ou pelo menos uma solução paliativa para que continuamos usar o sistema com segurança;

Caraca R$ 10.000,00 para consertar o bug do mk-auth, melhor deixar o meu fora da internet mesmo.

Responder à discussão

RSS

parcerias

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço