Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty phpmyadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne. Udało mi się całą bazę danych, całe 2.2 mln danych użytkowników, do...
Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty phpmyadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne.
Udało mi się całą bazę danych, całe 2.2 mln danych użytkowników, do tego kilkadziesiat tysiecy peseli, pare tysiecy zeskanowanych dowodów osobistych, zazwyczaj były to dwie strony.
Przykładowy log z bazych danych wygląda nastepująco(wykop nie usuwaj proszę)
(2478371,'J****','Boj**uk','jboj**uk@interia.pl','$1$owLbC*****DRkZJMh78U7g1','510***509',3,3,32**,722**43,3,3,'2018-10-0923:56:58','2018-10-1333:00:08',0)
Dołączyłem układ kolumn, tak aby upewnić ich, że jestem w posiadaniu. Pare dni wcześniej JACYŚ LUDZIE robili kampanie phishingowe z użyciem fałszywej bramky dotpay, z czego wynika że posiadali również telefony numerów (możliwe, że z panelu do którego dostęp mogli uzyskać poprzez zcrackowanie haseł z bazy danych - a jak wiadomo, porty były otwarte) ale o tym tylko slyszalem ;))
Dołączyłem również pare hashów i loginów jednych z zatrudnionych.
Okej. Fajnie odpowiedzieli, jedziemy dalej.
Zaoferowałem im 15 BTC, wiadomo, wszystko ma swoją cene, chcialem zachowac cisze, doradzic, zakopac gleboko tak aby to nie wyszlo.
Mają 10k+ zamówień dziennie, a nie maja jak załatwić 15 bitcoinów, naprawdę morele? Wysłanie 200 000 bez dokumentu też całkiem spoko propozycja, ciekawe czy legalna?
Wiadomo, mówie jaki jest układ, te 300k chciałem przelać na jakiś szczytny cel na świeta, niech coś ktoś ma od takich rzeczy ;)
Tutaj widać nieudolną próbę prawdopodobnie policjanta cyberka który liczy na awans przez swoje manewry.
Na początku sie zaśmiałem mocno, że próbuja ogarnąć 15 BTC bez prezesa, ale no co zrobić, chyba ktoś oberwie po premii ;)
Łukasz dla mnie osobiście jest osobą nie myśląca racjonalnie i nieodpowiednia na swoje stanowisko. Może ja bym je zajął?
Po tej wiadomosci skontaktował się ze mną CEO Morele.
Przy okazji, napisałem wiadomość do niebezpiecznika - orientacyjna czy są zainteresowani. Otrzymałem wiadomość zwrotną dopiero kiedy morele same ogłosiło, że był wyciek.
Wiadomość od CEO. Musieli chyba mieć szajbe w robocie - szukali winnego spośród własnych pracowników, ciekawe kto oberwał po głowie, może pan Ł?
Otrzymałem propozycję pracy fajnie w sumie, może się zatrudnie. Ciekawe czy mam od razu się spakować i pojechać do ich biura? Czy to może oni przyjdą do mnie na ciasteczka?
Wiecie jak jest, umowa to umowa, zgodzili się. Z3s jest już poinformowane o całej sytuacji wraz ze screenami. Artykuł pojawi sie do weekendu. Morele - słabo!!
300K NIE UDAŁO SIĘ ZDOBYĆ ALE MOŻECIE NAKARMIĆ PIESKA :)
https://www.olx.pl/lp/nakarm-p...
I c--j, wszystko. Miłej zabawy
tygodnia
Komentarze (553)
najlepsze
Mam nadzieję, że cię złapią i wlepią kilka paragrafów.
@xArm
- shodan.io
- nmap
No i wydaje mi się że osoba która się włamała do moreli raczej uzyskała dostęp w inny sposób, bo ciężko mi uwierzyć w niezabezpieczoną bazę tak ogromnego sklepu, choć pewnie w przeszłości i takie przypadki się zdarzały :P
app_dev.php+ dane do bazy w zmiennych środowiskowych, prawda?Co to tych 15 BTC mógłby jakiś prezesik wyjąć z konta prywatnego ale nie z firmowego, spółki itp. Istnieje takie coś jak księga przychodów i rozchodów i jest tam zapisana każda złotóweczka.
Naoglądają się ludzie filmów i zamiast legalnie zgłosić wyciek to chcą okupu za coś, co nie ma fizycznej formy. Przecież nawet nie da
1. mam u nich konto xD
2. o ile sie nie myle to jest to polski kapital, wiec veto! nie pozwalam! Mozecie dojechac jakis saturn czy inny niemiecki sklep :D
@thus5: Byliby debilami jakby cokolwiek zapłacili szantażyście, kiedy nie ma żadnej pewności, że ta baza i tak nie wycieknie ¯\_(ツ)_/¯
@thus5: To nie ma znaczenia czy to USA czy Polska. W każdym kraju oferowanie pracy takiemu dzbanowi byłoby nierozsądne. Tutaj ta propozycja raczej padła dlatego, że mieli nadzieje iż się ujawni i wtedy by go pewnie aresztowali.
Rozsądne firmy mogą nawiązać współpracę ale
@Nerin: oczywiście, że chciał zarobić. Gdyby w ogóle brał pod uwagę taką możliwośc jak pomoc to by zasugerował by morele zrobiły przelew na wskazaną fundację np. i przesłały potwierdzenie przelewu albo zapytał fundację czy taki przelew do nich dotarł. Choć nawet wtedy pójście na taki układ byłoby ryzykowne bo to nadal szantaż i nie ma