Ir para conteúdo
  • Cadastre-se

appds

Membro
  • Postagens

    5
  • Registro em

  • Última visita

Sobre appds

  • Data de Nascimento 12/12/1970

Informações pessoais

  • Nome
    Ana Paula Prado
  1. Nossa, foi eu postar essa mensagem e eles atualizaram o Twitter: E lá vamos nós de novo... :(
  2. Pessoal, tá tudo fora na WHMCS.COM.... site, blog, forum... só o Twitter está OK mas sem notícias. Alguém sabe desde quando? --- Ana Paula
  3. Desculpe, post duplicado.... como não tem como apagar, estou editando...
  4. Boa tarde Edvan, Desculpe, creio que não fui clara em minha mensagem, mas vou tentar esclarecer agora... Eu não me referi (de fato, em momento algum) a "licença cadastrada na WHMCS.com". Eu me referi a um possível acesso aos nossos WMCS pela "porta da frente" mesmo, ou seja, com login e senha válidos. Não podemos esquecer que um dos pontos que o Matt colocou foi o comprometimento dos tickets de suporte deles. E sabemos que, ao acionar o suporte deles, normalmente fornecemos nossos dados de acesso aos nossos WHMC's. E sabemos que muitas pessoas são relapsas com a segurança de dados de acesso e, ou nunca trocam as senhas, ou o fazem a cada 10 anos. Ou seja, são dados que agora estão em mãos de desconhecidos, e com certeza, haverá todo tipo possível de exploração destes dados. E como "servidores" são matéria-prima para hackers (e para nós, empresas de hosting), eles certamente não irão desprezar isso. Ou seja, quem já forneceu dados de acesso (de seu WHMCS) ao suporte da WHMCS.com e não alterou a senha depois disso, está SIM, vulnerável a ter o seu WHMCS "visitado" e seus servidores expostos. É por isso que eu disse que não basta trocar as senhas dos seus administradores do WHMCS, mas também os dados de acesso dos servidores cadastrados nele. NOTA: me refiro a servidores CPANEL cadastrados no WHMCS (que são os que uso e conheço - portanto, não posso falar sobre outros), com autenticação tanto via senha ou "Access Hash". E sobre a "Access Hash" vale falar um pouco mais.... Imagine que alguém entrou no seu WHMCS (com login e senha obtidos em algum ticket de suporte roubado da WHMCS.com), foi até a página dos servidores e copiou os dados de todos eles (especialmente as "Access Hash"). Você, sem ter conhecimento desta "visita", trocou todas as senhas de acesso ao WHMCS - coincidentemente - somente depois desta visita, mas não fez nada em relação aos servidores que tem cadastrados nele. Como a "visita" esteve em seu WHMCS antes de você trocar as senhas e já pegou os dados dos seus servidores, ele pode acessar estes servidores tranquilamente usando as "Access Hash" de cada um deles. Ou seja, ele NÃO precisa do seu WHMCS para acessar os seus servidores, basta ter as "Access Hash". Por isso que eu acho altamente recomendado, após trocar as senhas de acesso do WHMCS, complementar o processo com a troca das "Access Hash" de cada servidor seu. Para fazer isso, basta acessar o WHM e ir em "Main >> Cluster/Remote Access >> Setup Remote Access Key" (clicar no botão "Generate new key") Eu como sou uma pessoa muito precavida, não gosto de dar chance ao azar e prefiro ter trabalho agora (ainda que pareça ser desnecessário) do que lágrimas depois. Essa situação que apontei não é, nem de longe, "exagerada". É uma situação muitíssimo plausível, basta ver que a quebra de segurança ocorreu no dia 21/05 e somente ontem que eu (como muitos de vocês) recebi o email oficial da WHMCS.com. Por sorte, eu soube um pouco antes do email (mas não tão antes quanto deveria) mas muitos usuários do WHMCS.com talvez nem estejam sabendo ainda... afinal, nem todo mundo é assíduo frequentador de Twitter, Facebook, Fóruns, etc... uns tantos mal tem tempo de ler email... Então, insisto: MUITOS usuários do WHMCS (que se encaixem no "perfil" que eu abordei), estão com seus servidores vulneráveis.
  5. Olá! Como todos, tenho acompanhado a situação do comprometimento do WHMCS e notei que ainda não foi feito nenhum alerta para a situação que, a meu ver, além do risco de roubo de cartões (da base de clientes) e outros dados sensíveis, é ainda mais sério: a exposição dos servidores cadastrados no WHMCS. Lembrando que, o WHMCS se comunica - a principio - com TODOS os servidores que a empresa de hosting possui. Assim, qualquer invasor no WHMCS é, por tabela, um potencial invasor de qualquer servidor cadastrado. Podendo causar danos diretamente à partir do próprio WHMCS (deletando contas, etc) ou externamente, usando as "Access Hash" dos servidores cadastrados. Uma vez dentro do WHMCS, hipotéticamente, um invasor poderá também (além de deletar contas) enviar falsos emails em massa para a base de clientes com informações de cunho desastroso para dizer o minimo, como por exemplo, uma mensagem do tipo "prezado cliente, comunicamos que estamos encerrando nossas atividades (...)" e isso, somado a exclusão em massa de contas, coloca em segundos, uma empresa fora do mercado, afinal, até esclarecer os fatos, muitos clientes já se assustaram e tomaram outro rumo... Enfim, acontecimentos desse tipo servem para nos lembrar de como um negócio virtual é frágil, e precisa de muita atenção e planos de contingência para várias situações, especialmente aquelas que comprometem áreas nevrálgicas do negócio, que na minha opinião são: o sistema de controle financeiro, o sistema de atendimento e o sistema de backups. Assim, gostaria de lembrar a todos que ainda não se deram conta desse "detalhe" dos servidores que não alterem APENAS as senhas dos administradores do WHMCS, mas também as senhas de root dos servidores e as "Remote Access Key", para garantir maior segurança. É bom também ficar atento se o seu WHMCS possui algum tipo de "integração" com outro sistema (por exemplo, com o Kayako/Fusion). E por que também o seguro morreu de velho, não seria ruim gerar um backup completo do seu WHMCS e guardar off-line. Para que pensa em atualizar ou instalar, eu sugiro esperar, afinal, não se sabe se os arquivos para download não foram comprometidos. Melhor aguardar essa tempestade passar e a WHMCS se manifestar a respeito, garantindo que todos os pacotes estão seguros. Outra dica (válida para qualquer fornecedor) é: crie sempre um usuário específico para fornecer ao suporte de terceiros, assim, acabou o atendimento, esse usuário pode ter a senha trocada e/ou o seu acesso desativado até o próximo "uso" - é mais prático porque "isola" este usuário "temporário" de outros usuários de uso cotidiano. Bem, espero ter contribuido de alguma forma. PS: sou "sobrevivente" da tragédia do Modernbill (quando apostaram tudo na versão 5 que foi um fracasso retumbante) que, por sinal, foi a responsável por alavancar o WHMCS na época, e talvez por isso, parece inevitável não sentir uma certa incômoda sensação de "deja-vu"... que claro, espero ser apenas paranóia. Portanto, boa sorte a todos nós, usuários do WHMCS. :unsure: Cordialmente, Ana Paula Prado
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?