![]() |
Hej!
Uppmärksammade detta på IRC nyss: http://209.85.229.132/search?q=cache:F7dRb...v&ct=clnk&gl=se <--- lol, voddler.com har blivit hackade ju (Tack till Spindel som faktiskt upptäckte det) Det är en googlecachning av ett franskt underground-forum, där dom visar kompletta bilder ifrån ett hack utfört mot vår stora nya filmtjänst. (Se nyheten ett par snäpp under denna för faktiska förklaringen av tjänsten) Nyheten nu är även att det finns screenshots på tjänsten! Jag tog mig friheten att dra ner en kopia av tråden, samt köra google translate emot den; Resultat: http://translate.google.com/translate?prev...history_state0= Det är riktigt jävla otroligt, vilken (dålig) säkerhet dom verkar haft. Dåligt saltade MD5's och mycket mycket mer. Servern verkar även blivit hackad, likaså databasen i samband med det. Hackarna har haft FULL kontroll över servern, och databasen och innehållet där till. (15.000st av BBB's kunders mailadresser har också läckt ut - Där i bland MIN EGEN!) Riktigt nederlag för denna nya tjänst måste jag säga... Mvh Jim |
Vore bra om någon som verkligen kan franska kan översätta inläggen, då Google Translate gör ett dåligt jobb på den biten.
Illa som sagt. Tråkigt, då fransmännen verkar tycka att det verkar vara ett lovande och trevligt projekt, bortsett från den dåliga säkerheten på deras hemsida. |
*randomdelete*
|
Citat:
Citat:
|
Vad skall man säga? Pinsamt Voddler...
Nu kanske det är dags att man uppdaterar sina lösenord, eftersom nu har salt & MD5 summa läckt ut... (Japp, är BBB kund och har lämnat mina uppgifter till Voddler) Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker. Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden... http://paste2.org/p/299478 Kod:
|
Citat:
|
För att sammanfatta lite annat verkar det erbjudas HD-kvalité i 720p och i gratisversionen verkar det bara visas 10 sekunders reklam i början av filmen.
|
Citat:
Det har inte med med hashningen eller saltet att göra. 1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen. 2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila! Så tolkar jag det alla fall. |
Citat:
Det är knappt så man kan kalla det hacking :) |
måste vara nå hoax, sådär lätt kan det inte varit =))
|
Citat:
|
Det här var inte bra. Det här kan skada Voddlers möjlighet att hävda sig mot filmbolagen och vad vi behöver är inte ett gäng filmbolag som tror att internet vill dem illa.
|
Citat:
Men men, det är pinsamt... |
Skickade precis mail till Daniel Goldberg på CS/IDG, med hänvisning till denna tråd och som anslutning till hans artikel hos CS om att Voddler haft premiär, det har varit förvånansvärt tyst hos IDG som normalt brukar vara värsta skvallerpressen när det gäller sådant här.
|
Skrämmande.
1. PHP ;) 2. Lösenord i sourcen. Usch. Man blir riktigt mörkrädd |
Mattias Hjelmstedt, medgrundare till Voddler och vice VD:
“Lanseringen kommer inte att fördröjas, det var våran temporära website som man kom igenom på. Inte den som ska gå skarpt. Det har inte heller något med streamingtjänsten och teknologin att göra. Det är självklart lite förarjligt, men det är numera helt tilltäppt och säkerhetsnivån är uppskruvad högt nu.” http://webbsnack.wordpress.com/2009/07/08/...-hackades-igar/ |
Snyggt.. påstår att inga kunduppgifter fåtts ut.. uppenbarligen räknas inte epostadresser som kunduppgifter ^^
|
Citat:
Sen finns det fortfarande säkerhetsbrister på servern. |
Citat:
|
|
Synd att det inte vart mer respons!
Jag mailade IDG, SvD, Techworld Säkerhet (Iof relaterad till IDG), Aftonbladet, Expressen, Nyheter24 och alla andra vanliga tidningar om detta igår kväll, tyvärr tog bara IDG och SvD upp det :( Nåja, tråkigt för Voddler är det väl. Och tråkigt för programmeraren som (förhoppningsvis) inte får jobba kvar :/ (Ren IDIOTI att spara filer som .txt och läta dom vara läsbara ifrån webben!) |
Citat:
En halvtimme senare låg det en artikel uppe med hänvisningar hit. |
Citat:
Jag tycker att det räcker med att någon branschrelaterad sida typ WN (och på sin höjd IDG) tar upp det så att andra i branschen kan lära sig av Voddler-misstagen, men alla är vi olika... Men jag ska tänka på det i framtiden om jag hittar något hål på nån sida som du driver, varenda tidning ska få veta det ;) Det finns i dagsläget hundratals svenska webshoppar som har säkerhetshål som gör att det går att beställa varor utan att betala, jag har aldrig ens tänkt tanken att direkt-rapportera det till nån skvallertidning, det får räcka med att jag informerat webshopsleverantören om detta. :ph34r: |
Tycker att den google-översatta sidan var ganska lätt att förstå. Så även om jag inte förstår franska så vågar jag hävda att trådskaparen antagligen inte är något geni på säkerhetsfronten eftersom han ber om hjälp med att knäcka hashen som han för övrigt tror är antingen sha1 eller md5.
Off topic: Att dömma av bilderna och informationen i tråden så verkar voddler riktigt bra. Hoppas det slår igenom och att det kommer hårdvaruboxar med stöd. |
Citat:
vill ha vill ha. |
Citat:
|
Det finns många som tror dom kan skapa en webbtjänst efter att ha läst en 10 minuters guide till PHP.. ungefär den känslan får jag ibland. För många litar på tekniken.. Allting kan hackas - frågan är bara när och av vem..
|
Citat:
Men man får hoppas att priset hamnar på en lagom nivå. |
Citat:
|
Men ni kan ju verkligen inte räkna med att det enbart kommer vara en 10-sekunders-reklam precis före filmen. Jag kommer ihåg den gamla goda tiden (höhö) hos Spotify då det knappt var en reklamslinga var 30:e minut ens, så Voddler precis som Spotify lär ju börja maxa en massa reklam så fort man fått in en stadig användarbas.
|
Citat:
|
Citat:
http://i42.tinypic.com/2qwk8id.jpg |
Citat:
|
Citat:
|
Citat:
Jag skulle tro att dina 5-6Mbit stämmer bättre för 720p H.264. |
Citat:
Det är inget fel på PHP, så länge den som skriver den har koll på hur man skall göra. Vet man inte hur man skall skriva koden, så är det oerhört lätt att lämna säkerhetshål vidöppna. Citat:
Dina argument är lite som Windows vs Linux, eller PC vs Mac. |
Citat:
Sen får ju ASP.NET, tvåan alltså, rätt mycket skit, välförtjänt, men jag gillar ASP.NET MVC. Enkelt, rent och snyggt. Inte så förbaskat många mystiska monolitiska serverkontroller med vidrigt state, typ CreateUserWizard och vad dom nu heter. |
Citat:
Hade PHP fungerat på samma sätt som .NET hade kampen varit jämnare också. |
|
Citat:
Sedan så tycker jag inte att reklamen i spotify är särskilt irriterande. Visst, den hörs mer ofta nu än förr, men det är långt ifrån irriterande! :) |
Alla tider är GMT +2. Klockan är nu 23:26. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson