Zaczęło się to od tego, że ze dwa razy zaplusowalem rumuna a i dla beki wrzuciłem na główną i mikro któryś z memowych filmów rumuna, co prawda bez +18, ale z jedną z adminek w vikop. Obłapałem platynkę jako jeden z pierwszych. Pare dni posiedziałem z banem, ale z wykopu z permem się średnio korzysta. Odwołałem się od bana, ofc bezzasadnie. Założyłem nowe konto, a na którym też dostałem bana za plusowanie rumuna ale już nie musiałem żadnego mema wrzucać.
Stwierdziłem, że mam w nosie, zmieniłem adres e-mail na koncie starym. I z ryjem do moderacji przez beznadziejny system zgłoszeniowy. Szanowni Państwo, nie mogę się wbić na swoje konto. Proszę o diagnozę dlaczego nie dostaje linku do zmiany hasła. To poprosili mnie o login, adres email i telefon. Podałem. Piszą, że nie ma konta z danym adresem e-mail, pewnie ktoś mi się włamał na maila i zmienił. To się wkurzyłem, że tak ściemniają i napisałem, że łżą, bo mam maila na gmailu, do maila mam podpięte uwierzytelnianie dwuskładnikowe, alerty jak ktoś loguje się na nowym urządzeniu i jest na prawdę bezpiecznie w przeciwieństwie do portalu gdzie co któryś dzień ktoś włamuje się na stare konta i udostępnia dziwne treści. Napisałem, że na to konto rejestrowałem się a że mają dziurawy portal i nie dostałem nawet informacji, ze ktoś zmienia mi adres email to jest to wyłącznie ich wina, że straciłem konto przez ich chore polityki bezpieczeństwa.
Przez dwa dni nie było odzewu. Po czym lekki zwrot akcji. Poprosimy o wiadomość którą otrzymał Pan w ramach rejestracji na to konto. Niestety sprzed 8 lat maili nie trzymam, ale podrzuciłem jakiegoś maila ze zmianą regulaminu a także stary mail ze zmianą hasła (wtedy też ogarnąłem, że link do zmiany hasła konta nie wygasa i można klikać kilkadziesiąt razy i za każdym razem dostać można maila z nowym hasłem i napisałem, że to średnio zgodne z jakimkolwiek security). Przekierowałem wiadomość, ale woleli skriny tych wiadomości, więc też podrzuciłem. O dziwo przywrócili mój poprzedni adres e-mail, ale został z banem. Poprosiłem o zdjęcie bana i o dziwo zdjęli też i dostałem osiągnięcie Banana.
Wnioski: wykop działa aktualnie na trytytkach i nie spełnia norm bezpieczeństwa. Główne błędy które wyłapałem.
-
Link do zmiany hasła jest dożywotni.
-
Zmiana adresu e-mail nie wymaga potwierdzenia tej zmiany na starym adresie e-mail. Nie ma też zwykłej notyfikacji, że ktoś zmienił Ci adres e-mail.
-
Blokowanie API dla IP danego konta. Tu mechanizm jest prosty - wystarczy zalogować się z innego adresu IP (np. sieci komórkowej) i już Twoje konto i adres IP z blokadą jest odblokowany. To moje trochę gdybanie.
-
Do potwierdzenia konta nie potrzeba waszego numeru telefonu wystarczy jakikolwiek numer z bramki SMS a w internecie jest dużo i nie musi być z Polski.
-
Wykop nie przetrzymuje żadnej historii i logów z wysłanymi mailami dla danego konta, a także z wysłanymi SMSami. Nie mają możliwości sprawdzenia po numerze telefonu czy dane konto należy do Ciebie czy nie. Nie wiedzą też kiedy i z jakiego adresu IP został zmieniony adres email.
"Bana dostaje się za naruszenie regulaminu - czyli np. promowanie/plusowanie łamania regulaminu (pornografia, naruszenie dóbr osobistych itp.). Wszystko jest wyjaśnione w naszych standardach moderacyjnych: Wykop.pl - Standardy moderacji "
I tu powiem, że rozumiem ich, bo mocne są niektóre materiały, ale nie zmienia to faktu, że to tak jakby policja zamykała każdego za zioło zamiast wytępić dealerów.
@radio20 co do czwartego punktu się nie zgodzę. Gdy była akcja z podawaniem swojego numeru telefonu, to przypisywali je do konta. Nawet w nieoficjalnej apce trzeba było to zrobić. Moje stare konto o nicku NukeOps usunąłem sam, gdy wróciłem z banicji - nota bene za powiedzenie prawdy, że na Polesiu Zachodnim, w ośrodkach dla uchodźców w Białej i Horbowie, czeczeńcy robią w okolicznych wsiach regularną bandyterkę. - bo chciałem na nowo pośmieszkować, by nie być wiązany z starym kontem. Konto usunąłem, poczekałem regulaminowy czas. Gdy minął i po koncie teoretycznie nie było śladu, założyłem nowe. I tutaj ogarnęli, że ten sam numer telefonu jak z poprzedniego konta.. które to konto już nie istniało xDD Jeszcze jak wyłapałem permplatynę, to przez jakiś czas wisiało dokładnie a co "multikonto - NukeOps". Jak mi pospamowałem kilka razy na skrzynkę z screenem, że takiego konta nie ma już od dawna, to usunęli nazwę mojego rzekomego multi i został sam lakoniczny powód.
@Mikry_Mike trzeba było dalej się kłócić, że nawet jak ktoś usunął konto to nie mają prawa przetrzymywac numeru telefonu ze względu na RODO. Chyba że mają w regulaminie że moga i dopiero jak poprosisz specjalnym mailem to usuwają. trzeba doczytać. Co nie zmienia faktu że ch**owo że po usunięciu konta dalej dane trzymają łącznie z numerem telefonu. Następnym razem masz pro tipa żeby nie podawać swojego numeru telefonu tylko z bramki korzystać. Ja też popełniłem ten błąd licząc na uczciwość i dobre zabezpieczenia serwisu, ale zawiodłem się jak rodzice na mnie xD
Na trzecim koncie które założyłem już tego błędu nie popełniłem i z bramki zagranicznej skorzystałem. Teraz wyczyszcze główne konto i usunę, poproszę o usunięcie mojego maila i telefonu z bazy i pozostaje liczyć na to że to zrobią a nie ściemnia.
@radio20 mi jeszcze ani razu nie udało się założyć konta i pozyskać numer telefonu poprzez bramkę sms. Godzinami wysyła sms...
@radio20 ja jeszcze zauważyłem jedną lukę bezpieczeństwa. Można zrobić multikonto i dopóki nie wykonasz na tym koncie aktywności to bana nie wyłapiesz. Możesz spokojnie czekać miesiąc na pomarańczowy nick i wrzucać film. Wystarczyłoby żeby dodali jakiś dodatkowy warunek, że np. pomarańczowy nick jest od 10 postów i to by im trochę zabezpieczyło system. Nie trzeba mieć zdolności informatycznych żeby robić to co rumun.
@radio20 mogą przechowywać md5, albo w inny sposób zaszyfrowany twój numer telefonu. Po to, abyś nie zarejestrował multikonto na ten numer.
Tak jest z hasłami. Maja dostęp do twojego konta, ale hasła nie znają.
@Miedzyzdroje2005 wrzucałem stronę z numerami specjalnie przeznaczonymi do weryfikacji. Niektóre zagraniczne numery sa nadal wolne i SMS przychodzi nawet szybko.
@radio20 jakieś bramki konkretne polecasz, bo ominąć dryftem ich zabezpieczenia?
@Mikry_Mike nie wiem której użyłem nawet ale wydaje mi się że ta https://www.temp-mails.com/lan/pl/number
Jak coś to wpisujesz w google: tymczasowy SMS
Czyli tak jak z tymczasowym mailem. Część może być zablokowana na wykopie a część zadziała, na zasadzie prob i błędów. Jak coś odwiedzasz stronkę i masz nowe smsy które przyszły
Zaloguj się aby komentować