Boha jeho… aktualizováno
Tak se tak koukám na titulní stránku nového blogovacího systému www.buh.cz (na kterém jsem se před pár dny zkusmo zaregistroval, abych zjistil, co všechno umí) a zaujala mě top ten tabulka nejaktualizovanějších weblogů. Zarazilo mě, jak může mít například weblog s jedním příspěvkem, založený před sedmi dny návštěvnost 87 čtenářů.
Po kliknutí uvidíte celý obrázek.
Pak se kouknu do přijaté pošty a rázem mi to bylo jasné:
Vážení uživatelé,
s politováním Vám musíme oznámit, že byly projekty BUH.CZ / BOHYNE.CZ napadeny hackerem, který poškodil systém do té míry, že došlo ke ztrátě veškerých Vašich příspěvků. Všechna Vaše nastavení, grafický design či databáze obrázků však byly zachovány.
Jako reakci na tuto událost jsem provedli bezpečnostní úpravy, které do budoucna zvýší, co možná nejvíce, bezpečnost celého systému.
Velmi se Vám tímto omlouváme, ovšem věříme, že i přes tuto velmi nepříjemnou událost nám zachováte Vaši přízeň…
Realizační tým studia DESIGN SALIN s.r.o.
Proboha.cz! Copak nezálohují??? Nu, přeji realizačnímu týmu mnoho spokojených uživatelů, ovšem nevím, zda se jim s takovým přístupem k datům uživatelů podaří realizovat tu plánovanou tisícovku zaregistrovaných weblogů do půl roku.
Doplněno
Podezírali jsme adminy zbytečně – všechno je jinak. Ozval se mi skutečný „viník“ prázdné databáze na www.buh.cz. Dovolím si jej citovat v nezměněné podobě (máte-li zájem spojit se s ním přímo, jeho e-mail není tajemstvím – ja.jsem.buh@seznam.cz):
…nejdri vmi popis, jak moc dobre jsi na tom se znalosti PHP a SQL. abych se nesnazil zbytecne neco vysvetlovat. strucne: podstrcenim fake GET dat….provedl jsem to velice jednoduchym systemem. jde o to, ze neoverovali, pri predavani id cisla prispevku jeho format. takze kdyz se volal SQL treba DELETE FROM …. WHERE id=neco
normalne neco je cislo, ale ja poslal:
1 or 1=1 -> podminka ktera je splnena vzdy->smazani vsech prispevku. tohle neni jedina chyba…
Za neschopnost programátora platí naštěstí zatím jen pár desítek uživatelů. Doufám, že se z chyby poučí a provede náležité opravy.