Upozorenje, MTS drži passworde u clear text

[Olujche]

Naime, preko agenta sam još prilikom podnošenja zahteva za optički internet tražio i statičku IP adresu.
Danas mi isti agent šalje pristupne parametre na viber, što mi je bezveze da telekom ne kontaktira mene ali nema veze.

Ono što me je zaprepastilo je šifra koju sam JA birao još iz davnih dana kada sam bio korisnik MTS mreže a kasnije sam prešao na telenor.
Telekom je moju šifru za nalog koji je bio aktivan pre nekoliko godina čuvao očigledno u clear text i sada je iskoristio istu za pristupnu šifru PPPOE konekcije za statičku IP!
I još tu istu šifru je podelio sa trećim licem!

Iz ovoga samo mogu da zaključim da telekom ne hashuje šifre kao sav normalan svet, i baš ga briga s kim će podeliti vaše podatke!

Inače šifra je kombinacija velikih, malih slova sa specijalnim znakovima i uz password manager znam gde je koristim.

EDIT. Čisto da ne bude zamene, šifra nije ista kao moj trenutni "moj mts" nalog, već šifra stara 5 godina za taj isti nalog.

 

[nightshadow]

 

[V.i.P.e.R]

Nazalost nije to samo slucaj kod njih... Mnogi nasi provajderi to rade... a sto je najveca fora to je "univerzalna" sifra tj ujedno sifra za taj neki mail koji ti daju (pricam za druge provajdere ne znam kako je kod MTS-a). Naravno mnogi koriste taj mail koji im otvore i ne slute sta moze da ih snadje...
Msm kapiram ja sto oni to rade, ali ne shvataju ozbiljnost toga niti su ocigledno sposobni za to.

Toliko o strucnosti nasih provajdera.

 

[DukeLander]

Sinoc u neobaveznom razgovoru sa it security strucnjakom dobijem sliku koliko su nam busni provajderi i hosteri u Srbiji (srecom ima i redovnih), gde je on dobio info od strane firme koja je radila test tipa zna dete predskolakog uzrasta da uradi i vecina nasih popadala na testu... Strava i uzas...

 

[V.i.P.e.R]

Znas sta, najgore je sto nije da mi nemamo strucnjake itd, imamo ali ovde niko nece da te plati kako treba za taj posao, i naravno takvi rade van, a ne ovde za kikiriki. Imas realnu situaciju kod nas gde danas vodoistalateri, moleri, vulkanizeri, gde ti ne treba ni osnovna skola zaradjuju 5 puta vise od it strucnjaka, programera, itd koji su godinama ulagali u svoje znanje... Ne cudi me uopste situacija...

 

[kUdtiHaEX]

Ja ne znam nijednog vodoinstalatera koji zaradjuje vise od sposobnog IT strucnjaka.

 

[zexoni70]

Dobro sada, čovek je možda zaboravio da spomene i zanimanje keramičara...

 

[V.i.P.e.R]

Onda ne zivimo u istoj drzavi Mali broj firmi hoce da plate i placaju kako treba ozbiljne it strucnjake, a i mi ovde pricamo iskljucivo o domacim provajderima. Necu da pominjem imena provajdera, nema smisla (znam licno ljude, imao uvid), samo cu reci da it strucnjake i frontend/backend programere ne placaju vise od 500-700 eura i preko toga euro vise ne zele da daju. Nista bolja situacija nije ni kod ostalih, neki mozda nesto malo vise ali da ozbiljno plate, tesko, cast izuzecima.
Ali ajde da pomenem da takodje licno znam firme (programerske), gde junior/medior ima od 400 do 800 eura, senior maksimalno 1000-1300 eura.
Takodje jedna veca, moze se reci i poznata kompanija koja se bavi razvojem i odrazavanjem veoma ozbiljnog i osetljivog softvera koji koriste odredjene drzavne i privatne ustanove, it strucnjake (iskusne) placa 700 eura.
Sve to znam licno. Nije rekla-kazala. Naravno zavisi i od grada. BG je druga prica, a ostatak Srbije... mada ova poslednja kompanija je iz BG-a.

A evo ja sam imao skoro majstore u kuci, za sat i po vodoinstalater mi je uzeo 300 eura sto je postavio 2 plasticne cevi, od toga materijal je 50 eura, racunaj kolika je satnica. Takodje nedelju dana posle toga za nekih 40 min sto je namesto kadu, solju, bojler, odnosno izbusio 4 rupe, uzeo je 150eura. Ja ne kazem da to nisam mogao ja, mogao sam nije mi tesko, mislim taj deo namestanja, ali zasto bih kad je njemu to posao. I pored svega toga toliko je zauzet, non-stop ima posla da je tu montazu radio u 22h. Pitao sam pre njega jos par njih, svi su rekli slicnu cenu, s tim da ti pre njega su mogli tek za 2-3 meseca.
Imao si skoro oglas na infostudu za vodoinstalatere, bilo je u novinama.

I naravo, posto o provajderima pricamo i konkretnoj situaciji, postavlja se pitanje zasto bi neki ozbiljan it strucnjak / developer radio kod nekog naseg provajdera koji jednstavno ne ceni znanje i ne placa kako treba?

 

[stopke]

Sve lozinke za moj mts naloge su hashovane, a prva se upisuje na jos jednom mestu... Za staticke isto i mali broj ljudi moze da pristupi istima (uvek manji od 10, u 90posto vremena manji od 5). Veruj mi znam iz prve ruke. E sad zasto su ti promenili na tu prvu ne znam, ili mozda nisi menjao od pocetka...
I osim ako nesto nije promenjeno u medjuvremenu

 

[DukeLander]

Onda ne zivimo u istoj drzavi Mali broj firmi hoce da plate i placaju kako treba ozbiljne it strucnjake, a i mi ovde pricamo iskljucivo o domacim provajderima. Necu da pominjem imena provajdera, nema smisla (znam licno ljude, imao uvid), samo cu reci da it strucnjake i frontend/backend programere ne placaju vise od 500-700 eura i preko toga euro vise ne zele da daju. Nista bolja situacija nije ni kod ostalih, neki mozda nesto malo vise ali da ozbiljno plate, tesko, cast izuzecima.
Ali ajde da pomenem da takodje licno znam firme (programerske), gde junior/medior ima od 400 do 800 eura, senior maksimalno 1000-1300 eura.
Takodje jedna veca, moze se reci i poznata kompanija koja se bavi razvojem i odrazavanjem veoma ozbiljnog i osetljivog softvera koji koriste odredjene drzavne i privatne ustanove, it strucnjake (iskusne) placa 700 eura.
Sve to znam licno. Nije rekla-kazala. Naravno zavisi i od grada. BG je druga prica, a ostatak Srbije... mada ova poslednja kompanija je iz BG-a.

A evo ja sam imao skoro majstore u kuci, za sat i po vodoinstalater mi je uzeo 300 eura sto je postavio 2 plasticne cevi, od toga materijal je 50 eura, racunaj kolika je satnica. Takodje nedelju dana posle toga za nekih 40 min sto je namesto kadu, solju, bojler, odnosno izbusio 4 rupe, uzeo je 150eura. Ja ne kazem da to nisam mogao ja, mogao sam nije mi tesko, mislim taj deo namestanja, ali zasto bih kad je njemu to posao. I pored svega toga toliko je zauzet, non-stop ima posla da je tu montazu radio u 22h. Pitao sam pre njega jos par njih, svi su rekli slicnu cenu, s tim da ti pre njega su mogli tek za 2-3 meseca.
Imao si skoro oglas na infostudu za vodoinstalatere, bilo je u novinama.

I naravo, posto o provajderima pricamo i konkretnoj situaciji, postavlja se pitanje zasto bi neki ozbiljan it strucnjak / developer radio kod nekog naseg provajdera koji jednstavno ne ceni znanje i ne placa kako treba?

Odgovorio si sam. Ne znam ni jednog krstenog da radi ispod 1500€...

 

[Olujche]

Sve lozinke za moj mts naloge su hashovane, a prva se upisuje na jos jednom mestu... Za staticke isto i mali broj ljudi moze da pristupi istima (uvek manji od 10, u 90posto vremena manji od 5). Veruj mi znam iz prve ruke. E sad zasto su ti promenili na tu prvu ne znam, ili mozda nisi menjao od pocetka...
I osim ako nesto nije promenjeno u medjuvremenu

Ne znam ja šta znaš i iz koje ruke. Ali nisam lud i znam šta sam gde koristio i šta oni znaju a šta ne. Činjenica je da su postavili lozinku koju sam koristio pre 5-10 godina za njihov tadašnji portal i to uopšte nije normalno. I razumem da neke lozinke moraju da znaju, kao na primer ovu za pppoe. Ali koja im je fora da je znaju njih "manje od 10" a predaju je istu bilo kome? Malo socijalnog inžinjeringa i eto ti pristupa izgleda.
Ništa ja njima ne verujem ni iz prve ni iz druge ruke. Nema nikakvog logičkog i tehničkog objašnjenja/izgovora da oni imaju tu lozinku koju su poslali.

I da ponovim. Ne govorim o sadašnjem "moj mts" portalu. Možda za njega sada i hashuju lozinke, a možda i ne. Ali definitivno čuvaju stare lozinke za internet portal u clear text, čak i za ljude koji nisu više korisnici.

 

[Nidzo]

 

[Olujche]

Inicijalna lozinka je OK. To se menja(ako je stvarno postavljena od strane njih). Ali druže oni imaju i promenjene lozinke... Ako lozinke ne čuvaju u formatu u kom bi trebalo, onda sam siguran da su svi podaci na izvolte. Od kartica do krvne grupe.


I da, progledao sam im kroz prste što mi je inicijalna lozinka za mts.rs email bila datum rođenja iako nisu forsirali promenu prilikom logovanja. Mogao bi da uz malo istraživanja doći do gomile validnih usera i passworda za njohove mailove. Ma haos s njima.

 

[trajkovic]

Onda ne zivimo u istoj drzavi Mali broj firmi hoce da plate i placaju kako treba ozbiljne it strucnjake, a i mi ovde pricamo iskljucivo o domacim provajderima. Necu da pominjem imena provajdera, nema smisla (znam licno ljude, imao uvid), samo cu reci da it strucnjake i frontend/backend programere ne placaju vise od 500-700 eura i preko toga euro vise ne zele da daju. Nista bolja situacija nije ni kod ostalih, neki mozda nesto malo vise ali da ozbiljno plate, tesko, cast izuzecima.
Ali ajde da pomenem da takodje licno znam firme (programerske), gde junior/medior ima od 400 do 800 eura, senior maksimalno 1000-1300 eura.
Takodje jedna veca, moze se reci i poznata kompanija koja se bavi razvojem i odrazavanjem veoma ozbiljnog i osetljivog softvera koji koriste odredjene drzavne i privatne ustanove, it strucnjake (iskusne) placa 700 eura.
Sve to znam licno. Nije rekla-kazala. Naravno zavisi i od grada. BG je druga prica, a ostatak Srbije... mada ova poslednja kompanija je iz BG-a.

A evo ja sam imao skoro majstore u kuci, za sat i po vodoinstalater mi je uzeo 300 eura sto je postavio 2 plasticne cevi, od toga materijal je 50 eura, racunaj kolika je satnica. Takodje nedelju dana posle toga za nekih 40 min sto je namesto kadu, solju, bojler, odnosno izbusio 4 rupe, uzeo je 150eura. Ja ne kazem da to nisam mogao ja, mogao sam nije mi tesko, mislim taj deo namestanja, ali zasto bih kad je njemu to posao. I pored svega toga toliko je zauzet, non-stop ima posla da je tu montazu radio u 22h. Pitao sam pre njega jos par njih, svi su rekli slicnu cenu, s tim da ti pre njega su mogli tek za 2-3 meseca.
Imao si skoro oglas na infostudu za vodoinstalatere, bilo je u novinama.

I naravo, posto o provajderima pricamo i konkretnoj situaciji, postavlja se pitanje zasto bi neki ozbiljan it strucnjak / developer radio kod nekog naseg provajdera koji jednstavno ne ceni znanje i ne placa kako treba?

Možda je taj vodoinstalater neki IT stručnjak, pa radi posle radnog vremena.
Možda mu je mala plata, pa da preživi...

 

[V.i.P.e.R]

Inicijalna lozinka je OK. To se menja(ako je stvarno postavljena od strane njih). Ali druže oni imaju i promenjene lozinke... Ako lozinke ne čuvaju u formatu u kom bi trebalo, onda sam siguran da su svi podaci na izvolte. Od kartica do krvne grupe.


I da, progledao sam im kroz prste što mi je inicijalna lozinka za mts.rs email bila datum rođenja iako nisu forsirali promenu prilikom logovanja. Mogao bi da uz malo istraživanja doći do gomile validnih usera i passworda za njohove mailove. Ma haos s njima.

Konkretno, kod nekih provajdera pored tehnicke podrske (sto naravno ni na koji nacin ne bi trebalo/smelo) i obicni monteri znaju tj mogu da vide pppoe/email sifru (ne govorimo o inicijalnoj vec o promenjenoj) i sve ostale podatke. Dovoljno ti je jasno sve.

 

[Wizard74]

Pa sad i gmail uveo 2fa a paypal odavno
Sa 2fa pasword je irelevantan

Nema na fiveru vodoinstalatera a Vijetnamaca koji za 20$ prave cuda kolko hoces
Ovi sto valjaju nuled word teme za 100+ evra su najglasniji it genijalci,izmislili toplu vodu

 

[Olujche]

Password nikad nije i neće biti irelevantan. 2FA je dopuna a ne osnova autorizacije.

Mislim da ljudi ovde mešaju IT stručnjake sa ljudima zalutalim u IT svet koji rade u državnim firmama preko stranke. Stručnjake svi jure i debelo ih plaćaju, podučene dizače sistema niko neće platiti više od bilo kog majstora.

 

[stopke]

Da si se malo bolje raspitao, video bi da je Telekom uveo pre god ipo expertske pozicije u IT sa vecim platama, bas da bi zadrzao strucne ljude. 95%+ ljudi u IT i inzenjera u tehnici je strucno i nema veze sa strankom. Telekom je pre ovoga imao problem sa odlivom IT kadra - sada je taj problem malo manji.
Opet, i to ti kazem iz prve ruke - kao sto sam ti rekao da su email i moj mts passwordi hashovani.

 

[Olujche]

Da malo bolje čitaš postove video bi da ne pominjem plate u telekomu(komentar na "stručnjake" je bio uopšten) i da šifru koja je predmet rasprave nisam koristio sad za novi "moj mts" portal i da nema opravdanja za propust. Ne znam što misliš da komentar "znam iz prve ruke" znači da ti trebamo verovati a mi ostali nemamo pojma o čemu pričamo. Možda hashuju lozinke u zadnjih 5 godina od kako nisam njihov korisnik. Ali odakle im lozinka stara izmedju 5 i 10 godina? Ajde ti sad iz "prve ruke" saznaj koji korisnik im se za to obratio na mail i odakle su je iščupali pa mi javi iz prve ruke.

 

[kUdtiHaEX]

Onda ne zivimo u istoj drzavi Mali broj firmi hoce da plate i placaju kako treba ozbiljne it strucnjake, a i mi ovde pricamo iskljucivo o domacim provajderima. Necu da pominjem imena provajdera, nema smisla (znam licno ljude, imao uvid), samo cu reci da it strucnjake i frontend/backend programere ne placaju vise od 500-700 eura i preko toga euro vise ne zele da daju. Nista bolja situacija nije ni kod ostalih, neki mozda nesto malo vise ali da ozbiljno plate, tesko, cast izuzecima.
Ali ajde da pomenem da takodje licno znam firme (programerske), gde junior/medior ima od 400 do 800 eura, senior maksimalno 1000-1300 eura.
Takodje jedna veca, moze se reci i poznata kompanija koja se bavi razvojem i odrazavanjem veoma ozbiljnog i osetljivog softvera koji koriste odredjene drzavne i privatne ustanove, it strucnjake (iskusne) placa 700 eura.
Sve to znam licno. Nije rekla-kazala. Naravno zavisi i od grada. BG je druga prica, a ostatak Srbije... mada ova poslednja kompanija je iz BG-a.

A evo ja sam imao skoro majstore u kuci, za sat i po vodoinstalater mi je uzeo 300 eura sto je postavio 2 plasticne cevi, od toga materijal je 50 eura, racunaj kolika je satnica. Takodje nedelju dana posle toga za nekih 40 min sto je namesto kadu, solju, bojler, odnosno izbusio 4 rupe, uzeo je 150eura. Ja ne kazem da to nisam mogao ja, mogao sam nije mi tesko, mislim taj deo namestanja, ali zasto bih kad je njemu to posao. I pored svega toga toliko je zauzet, non-stop ima posla da je tu montazu radio u 22h. Pitao sam pre njega jos par njih, svi su rekli slicnu cenu, s tim da ti pre njega su mogli tek za 2-3 meseca.
Imao si skoro oglas na infostudu za vodoinstalatere, bilo je u novinama.

I naravo, posto o provajderima pricamo i konkretnoj situaciji, postavlja se pitanje zasto bi neki ozbiljan it strucnjak / developer radio kod nekog naseg provajdera koji jednstavno ne ceni znanje i ne placa kako treba?

Da ti ljudi nesto zaista vrede i znaju, ne bi radili tu gde rade za te plate. Ili pristaju da rade za taj iznos zbog nekih drugih stvari, ponajvise jer mnoge mrzi da uce stvari iznova, prilagodjavaju se novom okruzenju i novim pravilima igre.

Dobrih programera i devops inzenjera nema bas mnogo i veruj mi da vrlo lako nadju drugi posao koji je bolje placen i koji nudi bolje uslove.

 

[Envoy]

Treba prvo proci te uslove rada da bi se stiglo do ozbiljne firme i posla.

 

[orange47]

pa sta? moja sifra je svuda hunter2, izgleda da je bar ovaj forum sasvim bezbedan..

 

[mirza82]

Promeni je u H@nter22 sada.

 

[shamanNS]

Bolje @H4nt3r2.

 

[balsa]

Iz ovoga samo mogu da zaključim da telekom ne hashuje šifre kao sav normalan svet

Isto je i kod Oriona.

 

[NevisStarShine]

Da ti ljudi nesto zaista vrede i znaju, ne bi radili tu gde rade za te plate. Ili pristaju da rade za taj iznos zbog nekih drugih stvari, ponajvise jer mnoge mrzi da uce stvari iznova, prilagodjavaju se novom okruzenju i novim pravilima igre.

Dobrih programera i devops inzenjera nema bas mnogo i veruj mi da vrlo lako nadju drugi posao koji je bolje placen i koji nudi bolje uslove.

U osnovi je tako. Postoji grupa ljudi koja je zarobljena (kredit, porodica) u takvim firmama iako bi u nekoj drugoj imali barem duplo veću platu od starta. Poslodavac, naravno, nema nikakve namere da promeni stanje i da platu koja je značajno porasla u poslednjih 10 godina.

 

[shamanNS]

Isto je i kod Oriona.

ZLOrion je kategorija za sebe jer kod njih (Moj Orion portal) password em može da bude max 9 karaktera em su dozvoljena samo slova i brojevi em ne pravi razliku između velikih i malih slova!

Bonus: mail server im ne podržava enkripciju.

 

[Space Beer]

S obzirom na to da ni PayPal, Microsoft, banke i ostali ne podržavaju passphrase već imaju zahteve za velikim i malim slovima, brojevima, specijalnim karakterima... uopšte me ne iznenađuje ništa više po tom pitanju.
Ako su pametni ljudi napravili program koji računa entropiju šifre, zar je toliko teško da to bude, ako ne jedini, a ono primarni uslov prihvatanja šifre. Da sve preko npr. 80 ili 90 bita bude prihvatljivo. I još da se proveri hash da nije u HIBP bazi i to je to. Jednostavno i bolje od svakog drugog uslova koji se trenutno koristi. Ali ne, mora svako da izmišlja toplu vodu i bude najpametniji.
Još gore je kada nude TOTP kao 2FA, pa i nakon toga ti blokiraju pristup jer nisu sigurni da si to ti. Jer zaboga, promenio si IP adresu ili browser. Ko to još putuje u 21. veku, pa je danas u Srbiji a sutra možda u Rumuniji. Ili ne daj bože koristi VPN. I posle me pitaju zašto mrzim Google, Paypal i ostale slične kompanije

 

[SindzaBG]

Olujche, ja bih poslao dopis Tužilaštvu za visokotehnološki kriminal i Povereniku za zaštitu podataka o ličnosti jer postoji sumnja da se tvoja lozinka može zloupotrebiti. Ovo je nedopustivo! Nisu naivne stvari. Ako neko iz medija prati ovu priču, mogao bi detaljnije da istraži kako MTS posluje na štetu korisnika.

Poy

 

[Olujche]

Povereniku sam se već javio ali nikakav odgovor nisam dobio. Ovo je problem kojeg je svestan samo mali procenat korisnika pa verujem da se ništa neće ni desiti. Moja iskrena želja je da MTS unapredi svoje servise i bezbednost, a u današnje vreme izgleda da pomaže samo javna prozivka.