- Hacker Uses XSS and Google Street View Data to Determine Physical Location
- CAnCAn te iubim, CA CA tine nu gasim. Superfete.cancan.ro e de rahat
- Deface (?!?) pe Cotidianul.ro
- Virusi in clipuri video [how to]
- Cyber-Bullying – palma parinteasca a noului mileniu
- Christopher “moot” Poole: The case for anonymity online
- Wtf Avira?
- Some old story about tagged.com
- Pwning cam girls for fun
- Tabloshit
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Hackersblog.org is now blog.rstcenter.com in (1800 Visits)
- O mica dar importanta precizare in (1402 Visits)
- Twitter in (846 Visits)
- This is the end in (834 Visits)
- Ce servicii de mail folositi? in (826 Visits)
- Un nou membru in (771 Visits)
- La multi ani România, la multi ani românilor in (762 Visits)
- Inca o pierdere de timp in (709 Visits)
- De reţinut in (670 Visits)
- Azi este ziua userilor hackersblog.org in (644 Visits)
- Hi5.com coders read this in (620 Visits)
- SMS scam (1) in (610 Visits)
- Dezinformare sau proasta informare? in (597 Visits)
- Phishing Raiffeisen cu atasament html in (557 Visits)
- Phishing Bancpost in (524 Visits)
- Si tentativele de phishing pot fi amuzante in (456 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (2865 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (2832 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (1206 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (1187 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (1006 Visits)
- Virusi in clipuri video [how to] in (967 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (763 Visits)
- Yahoo! redirects - a big issue (with video) in (609 Visits)
- Internet vs. privacy (1) in (503 Visits)
- Ca musca in... in (461 Visits)
- RedTube.com ... The Free Sex Video Community in (13509 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (5410 Visits)
- libertatea.ro vulnerabil la (blind) sql injection in (3079 Visits)
- Telegraph.co.uk hacked, sql injection in (2699 Visits)
- Pwning cam girls for fun in (2693 Visits)
- Facebook hacked - sql injection in (2577 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (2552 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (1857 Visits)
- [Hacked]Bitdefender (Portugal) exposes sensitive customer data in (1851 Visits)
- Wtf Avira? in (1801 Visits)
- Christopher "moot" Poole: The case for anonymity online in (1578 Visits)
- Digital Photocopiers Loaded With Secrets in (1491 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (891 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (648 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (631 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (487 Visits)
- PRIVACY IS DEAD - GET OVER IT, Pt 01-34 (Recommended by Hackersblog ) in (419 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (415 Visits)
- [Video] The History Of Hacking in (395 Visits)
- Email Security - Why You Should Encrypt Your Email - Part One in (388 Visits)
- Deface - tuttoaffari.lastampa.it si citymusiclab.city.corriere.it in (3545 Visits)
- RNS vs. RAI - citizenreport.rai.it hacked. in (3359 Visits)
- Hi5 email finder si sfarsitul a tot ceea ce inseamna privacy in social networking in (3280 Visits)
- Se poate sparge parola de Yahoo? in (2734 Visits)
- Planete-plus-intelligente.lemonde.fr defaced by R.N.S. in (2560 Visits)
- Free SMS time, TrimiteSMS.ro in (2532 Visits)
- Gmail uber hacking in (2471 Visits)
- Cancan.ro spart pentru a doua oara intr-o zi in (2344 Visits)
- Camera de supraveghere a universitatii Alexandru Ioan Cuza din Iasi in (2322 Visits)
- Stiri cu antena3 in (2241 Visits)
Posted on September 24th, 2009
Acest articol a fost scris in luna Iunie a acestui an dar din anumite motive am amanat publicarea lui pana astazi.
Se pare ca web 2.0 incepe sa ridice probleme majore datorita numarului din ce in ce mai mare de utilizatori ai serviciilor de tip social networks.
Twitter a cunoscut o uriasa crestere de utilizatori in ultima perioada, devenind o moda sa iti tii la curent cunostintele prin scurtele mesaje postate prin acest sistem. Este un serviciu util, amuzant, informativ, ce ajuta foarte mult la interactiunea oamenilor din online. Dar exista o mare problema. Datele membrilor nu sunt in siguranta.
Recentele probleme de securitate ma fac sa ma intreb cat mai dureaza pana cand personalitatile publice vor simti pe pielea lor ce inseamna sa folosesti un serviciu care permite (din cauza erorilor umane), accesul la datele lor confidentiale. Stiu, nu se gasesc datele bancare ale membrilor, nu exista in baza de date niciun SSN sau CNP, in schimb daca cineva obtine acces neautorizat in panoul de administrare poate gasi extrem de usor cea mai utila informatie ce-l poate ajuta la pornirea unui atac targetat si anume adresa de mail.
Citeam acum cateva sapamani articole despre pozele furate din pc-urile unor vedete internationale si singurul lucru la care am putut sa ma gandesc a fost “oare de unde au pornit atacurile?”. Un atacator nu are cum sa acceseze un mail sau un pc fara a avea un punct de pornire. Nimeni nu ar incerca sa infecteze milioane de pc-uri sau sa sparga milioane de mailuri doar pentru a gasi poze cu o singura persoana, deci un punct de pornire a fost necesar. Si mi-a venit in minte ceea ce s-a intamplat cu twitter de curand si la cat au fost de expuse informatiile utilizatorilor acestui serviciu.
Acum sa analizam putin o posibilitate de atac, asa cum as proceda eu.
Din moment ce pot vedea adresele de mail ale fiecarui user in parte si este (probabil) o chestiune de timp pana cineva isi da seama ca mi-am bagat degetele in sistemul de administrare, ce optiuni am? Sa ma chinui sa salvez cateva milioane de adrese mail total neinteresante daca nu sunt spammer sau sa caut adresele celebritatilor care prin intermediul twitter tin legatura cu fanii? Eu as merge pe ideea de a salva adresele celebritatilor.
Pasul urmator este de a afla cat mai multe despre sistemul de operare si browserele folosite de persoanele vizate. Se rezolva foarte usor chiar si cu ajutorul unor servicii publice si gratuite de tipul “readnotify.com”.
Pasul final este extrem de simplu. Se incepe bombardarea respectivilor cu diferite mailuri ce pot contine exploituri xss, exploituri de browser, troieni, scam-uri.
Din experienta pot spune ca in cazul unui xss minim 3 din 10 oameni atacati vor fi afectati. In cazul exploiturilor de browser sansele de reusita sunt mult mai mici dar totusi exista. In privinta mesajelor ce contin troieni nu stiu rata de conversie dar banuiesc ca macar 1 din 10 persoane downloadeaza respectiva aplicatie atata timp cat mesajul este credibil si cu siguranta atata timp cat insisti in a capata acces asupra contului sau a calculatorului unui individ, sansele tale cresc in functie de tacticile pe care le pui in aplicare. Scam-urile au avut si vor avea intotdeauna efectul scontat asupra utilizatorului incepator.
Nu vreau sa se inteleaga gresit, nu spun ca cele doua celebritati au fost victime colaterale ale celor care au “spart” twitter, dar este o posibilitate ca acest lucru sa se intample in viitor altor persoane. Informatiile sunt acolo si asteapta sa fie extrase de cineva care stie cum sa profite de greselile umane si din cate se vede intotdeauna exista un binevoitor care reuseste sa greseasca.
P.S. – ”unu” lucreaza de ceva timp pe cont propriu si s-a mutat aici.
Leave a Reply