Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty phpmyadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne. Udało mi się całą bazę danych, całe 2.2 mln danych użytkowników, do...
Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty phpmyadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne.
Udało mi się całą bazę danych, całe 2.2 mln danych użytkowników, do tego kilkadziesiat tysiecy peseli, pare tysiecy zeskanowanych dowodów osobistych, zazwyczaj były to dwie strony.
Przykładowy log z bazych danych wygląda nastepująco(wykop nie usuwaj proszę)
(2478371,'J****','Boj**uk','jboj**uk@interia.pl','$1$owLbC*****DRkZJMh78U7g1','510***509',3,3,32**,722**43,3,3,'2018-10-0923:56:58','2018-10-1333:00:08',0)
Dołączyłem układ kolumn, tak aby upewnić ich, że jestem w posiadaniu. Pare dni wcześniej JACYŚ LUDZIE robili kampanie phishingowe z użyciem fałszywej bramky dotpay, z czego wynika że posiadali również telefony numerów (możliwe, że z panelu do którego dostęp mogli uzyskać poprzez zcrackowanie haseł z bazy danych - a jak wiadomo, porty były otwarte) ale o tym tylko slyszalem ;))
Dołączyłem również pare hashów i loginów jednych z zatrudnionych.
Okej. Fajnie odpowiedzieli, jedziemy dalej.
Zaoferowałem im 15 BTC, wiadomo, wszystko ma swoją cene, chcialem zachowac cisze, doradzic, zakopac gleboko tak aby to nie wyszlo.
Mają 10k+ zamówień dziennie, a nie maja jak załatwić 15 bitcoinów, naprawdę morele? Wysłanie 200 000 bez dokumentu też całkiem spoko propozycja, ciekawe czy legalna?
Wiadomo, mówie jaki jest układ, te 300k chciałem przelać na jakiś szczytny cel na świeta, niech coś ktoś ma od takich rzeczy ;)
Tutaj widać nieudolną próbę prawdopodobnie policjanta cyberka który liczy na awans przez swoje manewry.
Na początku sie zaśmiałem mocno, że próbuja ogarnąć 15 BTC bez prezesa, ale no co zrobić, chyba ktoś oberwie po premii ;)
Łukasz dla mnie osobiście jest osobą nie myśląca racjonalnie i nieodpowiednia na swoje stanowisko. Może ja bym je zajął?
Po tej wiadomosci skontaktował się ze mną CEO Morele.
Przy okazji, napisałem wiadomość do niebezpiecznika - orientacyjna czy są zainteresowani. Otrzymałem wiadomość zwrotną dopiero kiedy morele same ogłosiło, że był wyciek.
Wiadomość od CEO. Musieli chyba mieć szajbe w robocie - szukali winnego spośród własnych pracowników, ciekawe kto oberwał po głowie, może pan Ł?
Otrzymałem propozycję pracy fajnie w sumie, może się zatrudnie. Ciekawe czy mam od razu się spakować i pojechać do ich biura? Czy to może oni przyjdą do mnie na ciasteczka?
Wiecie jak jest, umowa to umowa, zgodzili się. Z3s jest już poinformowane o całej sytuacji wraz ze screenami. Artykuł pojawi sie do weekendu. Morele - słabo!!
300K NIE UDAŁO SIĘ ZDOBYĆ ALE MOŻECIE NAKARMIĆ PIESKA :)
https://www.olx.pl/lp/nakarm-p...
I c--j, wszystko. Miłej zabawy
tygodnia
Komentarze (553)
najlepsze
Co do p---------a, że dzieciak odrzucił ofertę pracy - przypominam, że niejeden przypadek chęci pomocy, gdzie ludzie nawet
Poza tym znam robotę od strony IT i wiem, że nikt takiego czegoś by nie zaproponował. Pół miliona z kieszeni pewnie Działu IT, poza wiedzą prezesa. No ja Cię kurfa proszę...
Komentarz usunięty przez moderatora
- prawie nie straciłem pracy.
- byłem zastraszany wszystkim po kolei z ich strony i w sumie tylko mailowe zgłoszenia wszystkiego mnie uratowały.
Nie
nawet bym się uśmiał, ale to nie jest ani trochę zabawne, także ten ( ͡° ͜ʖ ͡°)
Poza tym nie tylko on tę bazę moreli posiada, więc fiutek mu pewnie zmalau.
mogłeś wytargać chociażby 50/100k bo tyle by ci napewno dali, a ty od razu z grubej rury.
opublikujesz baze i co? masz satysfakcję z tego? co z tym zyskasz? poza tym ze wczesniej czy pozniej bedziesz mial najazd bagiet
Mimo że nie szanuje xarm(chyba że baza nie zaliczy publicznego leaku) to jednak rozumiem jego decyzje.