Tentativas de invasão em meu WHMCS

[Visitante]

Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!!

Vocês nunca pensaram que isso fosse acontecer?!

A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário...

#prontofalei

Módulo de pagamento que salva a senha?? Nunca vi!

Só sei daquele addons/módulo do Edvan, para ver o saldo, que você deve colocar a senha para funcionar, e, nas condições atuais em que a segurança do WHMCS está, é pedir pra se ferrar mesmo :P.

[Lperez]

Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!!

Vocês nunca pensaram que isso fosse acontecer?!

A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário...

#prontofalei

Eu não uso esses módulos que mostram o saldo no Whmcs, no meu caso, ele verificou quais as contas de email utilizadas no modulos de pagamentos, trocou a senha do email que utilizo na conta do Pagseguro e Moip, e depois entrou no nos dois sites e solicitou a troca de senha.

E como no Pagseguro não existe PIN para confirmar a transferência, ele conseguiu transferir.

[Cassiano Teixeira]

Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta.

- É a crise da Europa interferindo no WHMCS. - Pode ser engano, mais será que este momento está sendo um grande pesadelo pro WHMCS e seus usuários?

[Visitante]

Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta.

- É a crise da Europa interferindo no WHMCS. - Pode ser engano, mais será que este momento está sendo um grande pesadelo pro WHMCS e seus usuários?

Te garanto que dinheiro eles tem..

[tekobr]

Esse modulo do Edvan de mostrar o saldo MoiP no WHMCS é um adianto e tanto. Porem desde quando comecei a usar, achava que o modo com que as informações fossem acessadas fosse diferente. Que agente não precisa-se colocar a senha e usuario assim gravado em um arquivo, pois se este arquivo fosse baixado por uma pessoa qualquer, essa terá todo o dado de acesso da conta.

Nem se gravar no banco de dados vai adiantar, pois nesse tipo de invasão que está acontecendo a pessoa tem acesso ao banco de dados e, consequentemente, a qualquer senha arquivada.

[edvan]

Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!!

Vocês nunca pensaram que isso fosse acontecer?!

A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário...

#prontofalei

Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente!

[Alexandre Duran]

Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente!

Tb pensei nisso, porem se o cara mudar a senha/email de contato vc pode esperar sentado o suporte do Moip e Pageseguro faze algo, até lá já se passaram mais de 45 dias com certeza.

[Mr Bomber]

Se estao usando o fopen pra gravar o arquivo pra upar a shell... não é simples desabilitar o fopen no php.ini?

[tekobr]

Eu até compreendo seu questionamento... mas sacar o R$ como? Só se for transferindo para uma conta do próprio titular... Ou usando uma transferência entre contas MoIP/PagSeguro o que poderia ser estornando obviamente!

Mas esses dados ele já tem acesso no WHMCS, se esqueceu que este tem o email e senha gravados para enviar os emails aos clientes? E com a senha do MoIP ele pode solicitar a transferência, inclusive um novo PIN que vai para o email que o larápio tem a senha... Tudo é bem simples e rápido. Por isso que meu email do MoIP não é o mesmo do WMHCS.

[tekobr]

Tb pensei nisso, porem se o cara mudar a senha/email de contato vc pode esperar sentado o suporte do Moip e Pageseguro faze algo, até lá já se passaram mais de 45 dias com certeza.

E isso se eles devolverem, afinal de contas o uso do email e senha só deveria ser de conhecimento e feito pelo proprietário da conta.