Voddler hackat, av fransmänn!

Jine · 2009-07-07, 21:52

Hej!

Uppmärksammade detta på IRC nyss:
http://209.85.229.132/search?q=cache:F7dRb...v&ct=clnk&gl=se <--- lol, voddler.com har blivit hackade ju (Tack till Spindel som faktiskt upptäckte det)

Det är en googlecachning av ett franskt underground-forum, där dom visar kompletta bilder ifrån ett hack utfört mot vår stora nya filmtjänst.
(Se nyheten ett par snäpp under denna för faktiska förklaringen av tjänsten)

Nyheten nu är även att det finns screenshots på tjänsten!

Jag tog mig friheten att dra ner en kopia av tråden, samt köra google translate emot den;
Resultat: http://translate.google.com/translate?prev...history_state0=

Det är riktigt jävla otroligt, vilken (dålig) säkerhet dom verkar haft.
Dåligt saltade MD5's och mycket mycket mer.

Servern verkar även blivit hackad, likaså databasen i samband med det.
Hackarna har haft FULL kontroll över servern, och databasen och innehållet där till. (15.000st av BBB's kunders mailadresser har också läckt ut - Där i bland MIN EGEN!)
Riktigt nederlag för denna nya tjänst måste jag säga...

Mvh Jim

Spindel · 2009-07-07, 21:56

Vore bra om någon som verkligen kan franska kan översätta inläggen, då Google Translate gör ett dåligt jobb på den biten.

Illa som sagt. Tråkigt, då fransmännen verkar tycka att det verkar vara ett lovande och trevligt projekt, bortsett från den dåliga säkerheten på deras hemsida.

Jine · 2009-07-07, 22:00

*randomdelete*

KarlRoos · 2009-07-07, 22:07

Citat:

Originally posted by Jine@Jul 7 2009, 22:00
Hoppas nån kan franska

Snabböversättning av första meddelandet:

Citat:

Hej alla!
Jag har gjort en tråd för er för att visa er Voddler betan: *länk*. För de som inte vet vad det är så är det ungefär som Spotify fast för filmer och serier. Jag registrerade mig för betan men fick ett mail om att betan är stängd och att jag skulle vara tvungen att vänta. Jag bläddrade omkring en stund och råkade komma över en .txt fil, jag förstod direkt vad man kunde göra med den.
Inkompetens hos deras webmaster kan man säga...

Inlägg #1000

Jonas · 2009-07-07, 22:19

Vad skall man säga? Pinsamt Voddler...

Nu kanske det är dags att man uppdaterar sina lösenord, eftersom nu har salt & MD5 summa läckt ut... (Japp, är BBB kund och har lämnat mina uppgifter till Voddler)

Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478

Kod:

  
  public function encryptPassword($plain){
  	$password = '';
 mt_srand((double)microtime()*1000000);
 
   for ($i=0; $i<10; $i++) {
    $password .= mt_rand();
   }
	
   $salt = substr(md5($password), 0, 2);
	
   $password = md5($salt . $plain) . ':' . $salt;
	
   return $password;
  }

Jine · 2009-07-07, 22:35

Citat:

$Mail_SMTP_Config = array(
'auth' => 'login',
'username' => 'martin.lundberg+ideasofsweden.se',
'password' => 'pxxxxxxr',
'port' => 26
);

Ansvarig utvecklare?

Spindel · 2009-07-07, 22:43

För att sammanfatta lite annat verkar det erbjudas HD-kvalité i 720p och i gratisversionen verkar det bara visas 10 sekunders reklam i början av filmen.

SimonP · 2009-07-07, 22:50

Citat:

Originally posted by Jonas@Jul 7 2009, 21:19
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478

Kod:

* * * *public function encryptPassword($plain){ * * $password = ''; *mt_srand((double)microtime()*1000000); * * * for ($i=0; $i<10; $i++) { * * * *$password .= mt_rand(); * * } * * $salt = substr(md5($password), 0, 2); * * $password = md5($salt . $plain) . ':' . $salt; * * return $password; * *}

Du verkar inte förstå vad som gått snett

Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

Jawn · 2009-07-07, 22:55

Citat:

Ursprungligen postat av SimonP

Citat:

Ursprungligen postat av Jonas

Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478

Kod:

 * *
 * *public function encryptPassword($plain){
 * *	$password = '';
 *mt_srand((double)microtime()*1000000);
 *
 * * for ($i=0; $i<10; $i++) {
 * * * *$password .= mt_rand();
 * * }
	
 * * $salt = substr(md5($password), 0, 2);
	
 * * $password = md5($salt . $plain) . ':' . $salt;
	
 * * return $password;
 * *}

Du verkar inte förstå vad som gått snett

Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

+1

Det är knappt så man kan kalla det hacking

bya · 2009-07-07, 23:31

måste vara nå hoax, sådär lätt kan det inte varit =))