Wpis z mikrobloga

Skopiuj link

23.04.2017, 11:37:03

Trochę więcej na temat możliwych przyczyn #aferabotowa i hackowania wykopu (manipulowania głosami) w ostatnich dniach. Jeśli jesteście ofiarami - dajcie znać, która z hipotez w waszym przypadku odpada. Może w ten sposób uda się nam ustalić faktyczny sposób, w jaki konta zostały przejęte.

https://niebezpiecznik.pl/post/dziura-w-serwisie-wykop-czy-slabe-konta-uzytkownikow/

#hacking #hackingnews #security #wykop #bezpieczenstwo #niebezpiecznik #moderacja

konto usunięte
konto usunięte
konto usunięte
konto usunięte
pawel_wsk
+40 innych

Cesarz_Polski

23.04.2017, 11:39:50

@niebezpiecznik-pl: to było tak. Mihau już ma dość ciągłego przypominania mu o tagach, to sobie robi afery. Sam na cebulę wrzucił hashe i sól. Teraz wie kto to rozkodował i zatrudni go jako naprawiacza tagów.

O.....9

konto usunięte 23.04.2017, 11:40:47

@niebezpiecznik-pl:

1. Pozyskanie loginów i haseł częźci kont

CZĘŹCI XD

L.....u

konto usunięte 23.04.2017, 11:43:02

@niebezpiecznik-pl: hasło: Admin1

w.....y

konto usunięte 23.04.2017, 11:45:43

@niebezpiecznik-pl: cumple, wygląda na to że po prostu lipne hasła i brak zabezpieczenia przed brute force

w.....y - @niebezpiecznik-pl: cumple, wygląda na to że po prostu lipne hasła i brak z... — **źródło:** comment_JBJCh7twSJCKhnLoV77xrufP6Yw2mNnH.jpg

n.....k

konto usunięte 23.04.2017, 11:46:56

@niebezpiecznik-pl: mozna wrzucic na glowna :)
http://www.wykop.pl/link/3709505/dziura-w-serwisie-wykop-czy-slabe-konta-uzytkownikow/

niebezpiecznik-pl

s.....4

konto usunięte 23.04.2017, 11:49:03

@niebezpiecznik-pl: jedyne co moge się pochwalić to że nie działa cofanie zalgowań dla aplikacji/telefonów w panelu na http://www.wykop.pl/ustawienia/sesje/ wycofałem ze wszystkiego i gowno to dało bo na telefonie mnie nie wylogowało ( ͡° ͜ʖ ͡°)

niebezpiecznik-pl

23.04.2017, 11:49:10

@wysuszony: ale zdajesz sobie sprawę, ile czasu (i ile wpisów w logach) wygenerowałoby wykonanie ataku brute-force na tyle konto z takim słownikiem haseł? Nie jest to niemożliwe - ale wierzyć się nie chce, że nikt by tego nie zauważył po stronie Wykopu.

niebezpiecznik-pl

23.04.2017, 11:49:37

@stg44: zmień hasło, to wyloguje.

bi-tek

23.04.2017, 11:49:44

Afery ciąg dalszy? kolejne 200 loginów
https://pastebin.com/6u967M4A

s.....4

konto usunięte 23.04.2017, 11:51:49

@niebezpiecznik-pl: zmieniłem oczywiscie i mnie nie wylogowało

w.....y

konto usunięte 23.04.2017, 11:54:36

@niebezpiecznik-pl: w sumie to nie wiem ile mogłoby coś takiego zająć, ale zauważ że do tej pory nikt z zarządu serwisu nawet się nie odezwał, więc czasu jak widać jest całe mnóstwo. Jedynie moderatorzy pobanowali tymczasowo niektóre konta, bo nic więcej nie mogą zrobić. Nie wspominając już o trudnościach z wylogowaniem. Zgodnie z tym co jest w tym wątku sprawca zaczął w piątek po południu, a od tej pory Wykop ma

niebezpiecznik-pl

23.04.2017, 11:54:44

@bi-tek: @wysuszony: wszystkie z tych haseł to bardzo popularne ciagi, ktore sa w wielu slownikach (zmutowane popularnymi regulami, np. rokiem urodzenia na koncu). Mozna wziąć słownik 200 haseł, dodać regułę (pass = login, pass = rev(login)) i takim slownikiem przejsc sie po n kontach scrawlowanych z np. ostatnich wpisów na mirko czy komentarzy/wykopan ze znalezisk. Ale to i tak będą setki (!) jak nie tysiące błędnych logowań, co każdy szanujący

s.....4

konto usunięte 23.04.2017, 11:57:12

@niebezpiecznik-pl: dodam od siebie również po cofaniu sesji i zmienia hasła wypok nie podaje mi aktywnego zalogowania na iphonie i androidzie, wiec chyba coś tu nie halo ( ͡° ͜ʖ ͡°)

niebezpiecznik-pl

23.04.2017, 12:00:21

@stg44: zgadzamy sie ze ta funkcja nie dziala poprawnie (i intuicyjnie). Moze pokazuje tylko jak sie loguje przez WWW i zakliknie "zapamietaj"?

s.....4

konto usunięte 23.04.2017, 12:02:57

@niebezpiecznik-pl: no nie, bo przed cofnięciem sesji widziałem że jestem zalogowany na telefonie, a spróbuje sie wylogować i zalogować ponownie na telefonie, ciekawe czy mi się wyświetli

s.....4

konto usunięte 23.04.2017, 12:04:47

@niebezpiecznik-pl: bez komentarza ( ͡º ͜ʖ͡º)

kingkris

xetrov

23.04.2017, 12:05:11

Ale to i tak będą setki (!) jak nie tysiące błędnych logowań, co każdy szanujący się serwis powinien w logach od razu zauwazyć... Ciężko uwierzyć, że Wykop nie monitoruje auth_errorów.

@niebezpiecznik-pl: panie, to przecież wykop. Po takiej ilości faili jakie zaliczyli (oraz informacji jakie docierają do mnie od znajomych którzy tam się kiedyś rekrutowali) nie zdziwiłbym się gdyby hasła trzymali plaintextem.

s.....4

konto usunięte 23.04.2017, 12:09:13

@niebezpiecznik-pl: czyli tak naprawde ten panel 'informuje' z czego jesteś zalogowany, usuwając to nie wylogowujesz się, więc tak naprawde ktoś mógł zalogować sie moim starym hasłem na telefonie, ja pousuwałem te powiadomienia, zmieniłem hasła a on nadal ma dostęp do mojego konta, juz nie wspomne że nawet nie podali ip z którego sie logowałem na telefonie

s.....4

konto usunięte 23.04.2017, 12:21:40

@niebezpiecznik-pl: http://www.wykop.pl/wpis/23640591/wczoraj-ktos-z-lublina-logowal-sie-na-naszego-grup/

GuessWho_sRandy

23.04.2017, 12:43:58

każdy szanujący się serwis powinien w logach od razu zauwazyć...

Szanujący się serwis
Wykop pe el

wybierz jedno
@niebezpiecznik-pl:

Aktywne Wpisy

Adamfabiarz

Adamfabiarz +175

6 godz. i 11 min temu

MIREK WYKLUCZONY Z WYKOPAKI MIMO 5 PRÓB SKOMPLEMENTOWANIA PACZKI - ZŁOŚLIWOŚĆ ORGANIZATORÓW #afera #wykop #ankieta

Gdy ktoś w przyszłości będzie zastanawiał się nad wzięciem udziału, myślę, że warto aby najpierw przeczytał moje perypetie i 2 razy zastanowił.

Zgłosiłem się do #wykopaka mając przeświadczenie, że to normalna wykopowa zabawa, niczym #mirkowyzwanie w której wcześniej brałem udział. I, że będzie miło, ktoś komuś wyśle prezent. Tymczasem okazało się, że stawiane wymagania wobec prezentów i

Adamfabiarz - MIREK WYKLUCZONY Z WYKOPAKI MIMO 5 PRÓB SKOMPLEMENTOWANIA PACZKI - ZŁOŚ... — **źródło:** 323

Która paczka Twoim zdaniem była najlepsza?

#1 29.8% (197)
#2 12.4% (82)
#3 19.7% (130)
#4 15.1% (100)
#5 23.0% (152)

vdrvr

vdrvr +755

3 godz. i 7 min temu

Pamiętacie kuriera #pocztapolska #pocztex który wyłamał mi przedwczoraj zamek w skrzynce pocztowej w #szczecin? No to wczoraj przeszedł sam siebie. Filmu nie cenzuruję, bo jak on ma w dupie swoją pracę, to ja mam w dupie, kto to zobaczy.

vdrvr - Pamiętacie kuriera #pocztapolska #pocztex który wyłamał mi przedwczoraj zamek...

Aktywne Wpisy

Która paczka Twoim zdaniem była najlepsza?

Aktywne Znaleziska

Uniwesystet Harvard traci miliard dolarów za popieranie Ludobójstwa Żydów.

Putin szykuje się do wojny. Celem jest NATO

Zebrali ponad 70 tys. zł dla Brauna. Organizator zakończył zbiórkę

Syn Kurskiego w Orlenie

W Sejmie promowano rabina, który uważał Gojów za podrzędnych wobec Żydów

Popularne tagi