1. Pozyskanie loginow i hasel czesci kont A. Przez kradziez (byly pracownik, backupy, etc.) - bylaby duża skala B. Przez włamanie (SQLi i łamanie haszy) - wtedy "botami" tylko Mirki o słabych hasłach, przynajmniej na początku C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡°͜ʖ͡°), etc - wtedy ofiarami Mirki ktore mialy hasło takie samo jak w innym serwisie (nieunikatowe) D. Przez phishing - wtedy Mirki musiały by się dać nabrać na lewą stronę logowania / apkę mobilną, ale przecież Mirki ain't no idiots! ;)
2. Wykonanie ataku MITM: A. Przez sniffing tokenów sesyjnych - wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika B. Przez rewrite żądania http - wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie "ataku", bezczynny Mirek nie zostałby ubotowiony)
3. Atak CSRF i/lub XSS A. Przez źle zaimplementowane tokeny antycsrf - Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub) B. Przez XSS na Wykopie - gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk.
4. Inny błąd w API/serwisie A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference) B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji
5. Spisek! Nawet bordo to boty - ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)
6(66). Szatan
PS. Jeśli funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www) to nie da się jej wykorzystać do obalenia/potwierdzenia którejś z powyższych hipotez (bo np. w 2A z dostępem przez inny IP tego faktu nie pokaże)
@niebezpiecznik-pl: jak można sprawdzić czy konto było wykradzione? w panelu z ip logowania czy dowiem się dopiero jak dostanę bana od mihaua ( ͡°͜ʖ͡°)
@niebezpiecznik-pl: jako ofiara muszę przyznać że bardzo prawdopodobna jest opcja 1.B Miałem słabiutkie 5 literowe hasło. Nie byłem rejestrowany na żadnym innym shackowanym portalu. Nie kliknąłem w żadne fałszywe linki ( nigdy tego nie robię).
@niebezpiecznik-pl: Biorę teraz pod uwagę tylko coś związanego z API. 1. Miałem losowe hasło 10-znakowe, [0-9][a-z][A-Z] - BruteForce zajął by za dużo czasu. 2. Jedynym wspólnym mianownikiem jak i u wielu innych osób był MirkoCzat. 3. MirkoCzat miał uprawnienia tylko do logowania i o 3 w nocy (21.04.2017) faktycznie było logowanie na konto. 4. Moje konto nie brało udziału w manipulacjach wykopami co sugeruje, że nie miało do tego uprawnień. 5.
@fledgeling Przecież odstęp czasu był tak mały(minuta 40-50 zakopów na raz) że nikłe są szanse poza tym tam byli ludzie o różnej aktywności i stażu wykopowym. Na dodatek wszyscy taki sam powód zakopu dali
@niebezpiecznik-pl: Jest punkt 6(66), a to punkcie 4(76) już zapomnieliście :<
@KRSS: Też mam MikroCzat, losowe hasło itd. brak obcego logowania.
W sumie jak sobie przypomnę to chyba 2 lub 3 dni temu, mobilna aplikacja wywalała u mnie na telefonie jakiś błąd i chyba nawet tam były jakieś tokeny zawarte, było to późno w nocy więc miałem #!$%@? bo to i tak konto wykopku
@niebezpiecznik-pl: Biorąc z własnego doświadczenia (mnie zhackowali) to najbardziej prawdopodobne:
1. B - słabe hasło. To jedyne wytłumaczenie. Na innych stronach nie mam ustawionego takiego hasłą i loginu. Nigdzie nie logowałem się przez wykop, nie pobierałem aplikacji na androida innych niż wykop.pl (dawno temu "mój wykop"). Na wykopie mam automatyczne logowanie i jak mnie wykop wyloguje to wole zresetować przeglądarkę niż logować się ręcznie.
W Japonii ludzie z tatuażami są wypraszani z restauracji, siłowni i innych miejsc publicznych. Tatuaże nie są tam mile widziane. Dla Japończyków to redflag i powód do traktowania takich ludzi z dystansem.
1. Pozyskanie loginow i hasel czesci kont
A. Przez kradziez (byly pracownik, backupy, etc.) - bylaby duża skala
B. Przez włamanie (SQLi i łamanie haszy) - wtedy "botami" tylko Mirki o słabych hasłach, przynajmniej na początku
C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc - wtedy ofiarami Mirki ktore mialy hasło takie samo jak w innym serwisie (nieunikatowe)
D. Przez phishing - wtedy Mirki musiały by się dać nabrać na lewą stronę logowania / apkę mobilną, ale przecież Mirki ain't no idiots! ;)
2. Wykonanie ataku MITM:
A. Przez sniffing tokenów sesyjnych - wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika
B. Przez rewrite żądania http - wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie "ataku", bezczynny Mirek nie zostałby ubotowiony)
3. Atak CSRF i/lub XSS
A. Przez źle zaimplementowane tokeny antycsrf - Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)
B. Przez XSS na Wykopie - gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk.
4. Inny błąd w API/serwisie
A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference)
B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji
5. Spisek! Nawet bordo to boty - ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)
6(66). Szatan
PS. Jeśli funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www) to nie da się jej wykorzystać do obalenia/potwierdzenia którejś z powyższych hipotez (bo np. w 2A z dostępem przez inny IP tego faktu nie pokaże)
#hacking #hackingnews #bezpieczenstwo #security #niebezpiecznik
Miałem słabiutkie 5 literowe hasło.
Nie byłem rejestrowany na żadnym innym shackowanym portalu. Nie kliknąłem w żadne fałszywe linki ( nigdy tego nie robię).
Komentarz usunięty przez autora
@niebezpiecznik-pl: xD
1. Miałem losowe hasło 10-znakowe, [0-9][a-z][A-Z] - BruteForce zajął by za dużo czasu.
2. Jedynym wspólnym mianownikiem jak i u wielu innych osób był MirkoCzat.
3. MirkoCzat miał uprawnienia tylko do logowania i o 3 w nocy (21.04.2017) faktycznie było logowanie na konto.
4. Moje konto nie brało udziału w manipulacjach wykopami co sugeruje, że nie miało do tego uprawnień.
5.
@KRSS: Też mam MikroCzat, losowe hasło itd. brak obcego logowania.
W sumie jak sobie przypomnę to chyba 2 lub 3 dni temu, mobilna aplikacja wywalała u mnie na telefonie jakiś błąd i chyba nawet tam były jakieś tokeny zawarte, było to późno w nocy więc miałem #!$%@? bo to i tak konto wykopku
Komentarz usunięty przez autora
--; string(___)*000
--; string(___)*300
Komentarz usunięty przez autora
Komentarz usunięty przez autora
1. B - słabe hasło. To jedyne wytłumaczenie. Na innych stronach nie mam ustawionego takiego hasłą i loginu. Nigdzie nie logowałem się przez wykop, nie pobierałem aplikacji na androida innych niż wykop.pl (dawno temu "mój wykop"). Na wykopie mam automatyczne logowanie i jak mnie wykop wyloguje to wole zresetować przeglądarkę niż logować się ręcznie.
2. Odpada. ISP jest różne, a w