WN

WN (https://www.wn.se/forum/index.php)
-   Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)
-   -   Voddler hackat, av fransmänn! (https://www.wn.se/forum/showthread.php?t=37778)

Jine 2009-07-07 21:52

Hej!

Uppmärksammade detta på IRC nyss:
http://209.85.229.132/search?q=cache:F7dRb...v&ct=clnk&gl=se <--- lol, voddler.com har blivit hackade ju (Tack till Spindel som faktiskt upptäckte det)

Det är en googlecachning av ett franskt underground-forum, där dom visar kompletta bilder ifrån ett hack utfört mot vår stora nya filmtjänst.
(Se nyheten ett par snäpp under denna för faktiska förklaringen av tjänsten)

Nyheten nu är även att det finns screenshots på tjänsten!

Jag tog mig friheten att dra ner en kopia av tråden, samt köra google translate emot den;
Resultat: http://translate.google.com/translate?prev...history_state0=

Det är riktigt jävla otroligt, vilken (dålig) säkerhet dom verkar haft.
Dåligt saltade MD5's och mycket mycket mer.

Servern verkar även blivit hackad, likaså databasen i samband med det.
Hackarna har haft FULL kontroll över servern, och databasen och innehållet där till. (15.000st av BBB's kunders mailadresser har också läckt ut - Där i bland MIN EGEN!)
Riktigt nederlag för denna nya tjänst måste jag säga...

Mvh Jim

Spindel 2009-07-07 21:56

Vore bra om någon som verkligen kan franska kan översätta inläggen, då Google Translate gör ett dåligt jobb på den biten.

Illa som sagt. Tråkigt, då fransmännen verkar tycka att det verkar vara ett lovande och trevligt projekt, bortsett från den dåliga säkerheten på deras hemsida.

Jine 2009-07-07 22:00

*randomdelete*

KarlRoos 2009-07-07 22:07

Citat:

Originally posted by Jine@Jul 7 2009, 22:00
Hoppas nån kan franska
Snabböversättning av första meddelandet:

Citat:

Hej alla!
Jag har gjort en tråd för er för att visa er Voddler betan: *länk*. För de som inte vet vad det är så är det ungefär som Spotify fast för filmer och serier. Jag registrerade mig för betan men fick ett mail om att betan är stängd och att jag skulle vara tvungen att vänta. Jag bläddrade omkring en stund och råkade komma över en .txt fil, jag förstod direkt vad man kunde göra med den.
Inkompetens hos deras webmaster kan man säga...

Inlägg #1000 :)

Jonas 2009-07-07 22:19

Vad skall man säga? Pinsamt Voddler...

Nu kanske det är dags att man uppdaterar sina lösenord, eftersom nu har salt & MD5 summa läckt ut... (Japp, är BBB kund och har lämnat mina uppgifter till Voddler)

Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:

 
  public function encryptPassword($plain){
          $password = '';
 mt_srand((double)microtime()*1000000);
 
  for ($i=0; $i<10; $i++) {
    $password .= mt_rand();
  }
       
  $salt = substr(md5($password), 0, 2);
       
  $password = md5($salt . $plain) . ':' . $salt;
       
  return $password;
  }


Jine 2009-07-07 22:35

Citat:

$Mail_SMTP_Config = array(
'auth' => 'login',
'username' => 'martin.lundberg+ideasofsweden.se',
'password' => 'pxxxxxxr',
'port' => 26
);

Ansvarig utvecklare?

Spindel 2009-07-07 22:43

För att sammanfatta lite annat verkar det erbjudas HD-kvalité i 720p och i gratisversionen verkar det bara visas 10 sekunders reklam i början av filmen.

SimonP 2009-07-07 22:50

Citat:

Originally posted by Jonas@Jul 7 2009, 21:19
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:

* *
 * *public function encryptPassword($plain){
 * *        $password = '';
 *mt_srand((double)microtime()*1000000);
 *
 * * for ($i=0; $i<10; $i++) {
 * * * *$password .= mt_rand();
 * * }
       
 * * $salt = substr(md5($password), 0, 2);
       
 * * $password = md5($salt . $plain) . ':' . $salt;
       
 * * return $password;
 * *}


Du verkar inte förstå vad som gått snett :D
Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

Jawn 2009-07-07 22:55

Citat:

Ursprungligen postat av SimonP
Citat:

Ursprungligen postat av Jonas
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:

* *
 * *public function encryptPassword($plain){
 * *        $password = '';
 *mt_srand((double)microtime()*1000000);
 *
 * * for ($i=0; $i<10; $i++) {
 * * * *$password .= mt_rand();
 * * }
       
 * * $salt = substr(md5($password), 0, 2);
       
 * * $password = md5($salt . $plain) . ':' . $salt;
       
 * * return $password;
 * *}


Du verkar inte förstå vad som gått snett :D
Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

+1

Det är knappt så man kan kalla det hacking :)

bya 2009-07-07 23:31

måste vara nå hoax, sådär lätt kan det inte varit =))

Jine 2009-07-07 23:39

Citat:

Originally posted by bya@Jul 7 2009, 22:31
måste vara nå hoax, sådär lätt kan det inte varit =))
Källkoden finns på rapidshare, det är inte fejkat iaf.

htiawe 2009-07-08 08:20

Det här var inte bra. Det här kan skada Voddlers möjlighet att hävda sig mot filmbolagen och vad vi behöver är inte ett gäng filmbolag som tror att internet vill dem illa.

Jonas 2009-07-08 08:30

Citat:

Originally posted by SimonP@Jul 7 2009, 22:50
Du verkar inte förstå vad som gått snett
Det har inte med med hashningen eller saltet att göra.
1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.
2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila
Så tolkar jag det alla fall.

Jag fattade det som KarlRoos, översatte. Att han hittade en txt-fil och därmed kom in den vägen...

Men men, det är pinsamt...

Jonas 2009-07-08 09:19

Skickade precis mail till Daniel Goldberg på CS/IDG, med hänvisning till denna tråd och som anslutning till hans artikel hos CS om att Voddler haft premiär, det har varit förvånansvärt tyst hos IDG som normalt brukar vara värsta skvallerpressen när det gäller sådant här.

rikardottosson 2009-07-08 09:27

Skrämmande.
1. PHP ;)
2. Lösenord i sourcen.

Usch. Man blir riktigt mörkrädd

radioaktivitet 2009-07-08 10:56

Mattias Hjelmstedt, medgrundare till Voddler och vice VD:
“Lanseringen kommer inte att fördröjas, det var våran temporära website som man kom igenom på. Inte den som ska gå skarpt. Det har inte heller något med streamingtjänsten och teknologin att göra. Det är självklart lite förarjligt, men det är numera helt tilltäppt och säkerhetsnivån är uppskruvad högt nu.”

http://webbsnack.wordpress.com/2009/07/08/...-hackades-igar/

Deity 2009-07-08 11:47

Snyggt.. påstår att inga kunduppgifter fåtts ut.. uppenbarligen räknas inte epostadresser som kunduppgifter ^^

SimonP 2009-07-08 12:12

Citat:

"våran temporära website som man kom igenom på..."
Både beta.voddler.com och www.voddler.com pekar till samma server, så får man root spelar det ingen roll om det en alfa, beta eller gamma site :(
Sen finns det fortfarande säkerhetsbrister på servern.

Jonas 2009-07-08 12:27

Citat:

På det svenska forumet Webmaster Network har det talats om att 15 000 kunder hos Bredbandsbolaget, som har ett samarbete med Voddler, fått sina uppgifter spridda. Hjelmstedt säger dock att det inte stämmer, och att dessa kunder ligger i en helt annan miljö än där intrånget skett.
Länk till IDG

rocky 2009-07-08 14:44

SvD

SvD har skrivit en artikel och hänvisar hit :)

Jine 2009-07-08 20:02

Synd att det inte vart mer respons!
Jag mailade IDG, SvD, Techworld Säkerhet (Iof relaterad till IDG), Aftonbladet, Expressen, Nyheter24 och alla andra vanliga tidningar om detta igår kväll, tyvärr tog bara IDG och SvD upp det :(

Nåja, tråkigt för Voddler är det väl.
Och tråkigt för programmeraren som (förhoppningsvis) inte får jobba kvar :/
(Ren IDIOTI att spara filer som .txt och läta dom vara läsbara ifrån webben!)

Jonas 2009-07-08 20:04

Citat:

Originally posted by Jine@Jul 8 2009, 20:02
Jag mailade IDG, SvD, Techworld Säkerhet (Iof relaterad till IDG), Aftonbladet, Expressen, Nyheter24 och alla andra vanliga tidningar om detta igår kväll, tyvärr tog bara IDG och SvD upp det
Jag mailade en person direkt (han som skrev om dess premiär på IDG) och fick svar om att han skulle kontakta en annan journalist om detta.
En halvtimme senare låg det en artikel uppe med hänvisningar hit.

SimonP 2009-07-08 22:34

Citat:

Originally posted by Jine@Jul 8 2009, 19:02
Synd att det inte vart mer respons!
Jag mailade IDG, SvD, Techworld Säkerhet (Iof relaterad till IDG), Aftonbladet, Expressen, Nyheter24 och alla andra vanliga tidningar om detta igår kväll, tyvärr tog bara IDG och SvD upp det :(

Varför tycker du att det viktigt att så många tidningar som möjligt tar upp det? Är du någon konkurrent till dom som vill ge dom så mkt negativ press som möjligt?

Jag tycker att det räcker med att någon branschrelaterad sida typ WN (och på sin höjd IDG) tar upp det så att andra i branschen kan lära sig av Voddler-misstagen, men alla är vi olika...

Men jag ska tänka på det i framtiden om jag hittar något hål på nån sida som du driver, varenda tidning ska få veta det ;)

Det finns i dagsläget hundratals svenska webshoppar som har säkerhetshål som gör att det går att beställa varor utan att betala, jag har aldrig ens tänkt tanken att direkt-rapportera det till nån skvallertidning, det får räcka med att jag informerat webshopsleverantören om detta. :ph34r:

rhuse 2009-07-08 23:50

Tycker att den google-översatta sidan var ganska lätt att förstå. Så även om jag inte förstår franska så vågar jag hävda att trådskaparen antagligen inte är något geni på säkerhetsfronten eftersom han ber om hjälp med att knäcka hashen som han för övrigt tror är antingen sha1 eller md5.

Off topic: Att dömma av bilderna och informationen i tråden så verkar voddler riktigt bra. Hoppas det slår igenom och att det kommer hårdvaruboxar med stöd.

BarateaU 2009-07-09 00:38

Citat:

Originally posted by rhuse@Jul 8 2009, 23:50


Off topic: Att dömma av bilderna och informationen i tråden så verkar voddler riktigt bra. Hoppas det slår igenom och att det kommer hårdvaruboxar med stöd.

Håller med där, ser riktigt nice ut.
vill ha vill ha.

Jonas 2009-07-09 00:46

Citat:

Ursprungligen postat av BarateaU
Citat:

Ursprungligen postat av rhuse
Off topic: Att dömma av bilderna och informationen i tråden så verkar voddler riktigt bra. Hoppas det slår igenom och att det kommer hårdvaruboxar med stöd.

Håller med där, ser riktigt nice ut.
vill ha vill ha.

Helt klart... Är det [5|6|7].1 ljud (DD,DTS,THX mm) i strömmen också och enbart 10 sek reklam innan filmen så kommer detta att ersätta mitt Lovefilm abonnemang direkt... (Och ligger priset som Spotify eller under Lovefilm så får dom gärna mina pengar)

taz76 2009-07-09 12:56

Det finns många som tror dom kan skapa en webbtjänst efter att ha läst en 10 minuters guide till PHP.. ungefär den känslan får jag ibland. För många litar på tekniken.. Allting kan hackas - frågan är bara när och av vem..

SimonP 2009-07-09 13:11

Citat:

Originally posted by Jonas@Jul 8 2009, 23:46
Helt klart... Är det [5|6|7].1 ljud (DD,DTS,THX mm) i strömmen också och enbart 10 sek reklam innan filmen så kommer detta att ersätta mitt Lovefilm abonnemang direkt... (Och ligger priset som Spotify eller under Lovefilm så får dom gärna mina pengar)
Jag tycker också det verkar intressant, men tjänsten lär nog dra rejält med bandbredd om man ska streama 720p till tusentals kunder. Nån som orkar räkna på det kan dra i mbit/s ? :)

Men man får hoppas att priset hamnar på en lagom nivå.

Spindel 2009-07-09 13:12

Citat:

Ursprungligen postat av SimonP
Citat:

Ursprungligen postat av Jonas
Helt klart... Är det [567].1 ljud (DD,DTS,THX mm) i strömmen också och enbart 10 sek reklam innan filmen så kommer detta att ersätta mitt Lovefilm abonnemang direkt... (Och ligger priset som Spotify eller under Lovefilm så får dom gärna mina pengar)

Jag tycker också det verkar intressant, men tjänsten lär nog dra rejält med bandbredd om man ska streama 720p till tusentals kunder. Nån som orkar räkna på det kan dra i mbit/s ?
Men man får hoppas att priset hamnar på en lagom nivå.

Voddler använder ju p2p också, så där sänker de ju kostnaderna rejält också.

kalasboll 2009-07-09 13:33

Men ni kan ju verkligen inte räkna med att det enbart kommer vara en 10-sekunders-reklam precis före filmen. Jag kommer ihåg den gamla goda tiden (höhö) hos Spotify då det knappt var en reklamslinga var 30:e minut ens, så Voddler precis som Spotify lär ju börja maxa en massa reklam så fort man fått in en stadig användarbas.

SimonP 2009-07-09 13:50

Citat:

Originally posted by Spindel@Jul 9 2009, 12:12
Voddler använder ju p2p också, så där sänker de ju kostnaderna rejält också.
Ok, ja det hjälper en del i alla fall. Synd att dom inte har mer teknisk info ute på sidan.

Jonas 2009-07-09 13:50

Citat:

Originally posted by SimonP@Jul 9 2009, 13:11
Jag tycker också det verkar intressant, men tjänsten lär nog dra rejält med bandbredd om man ska streama 720p till tusentals kunder. Nån som orkar räkna på det kan dra i mbit/s ?
Men man får hoppas att priset hamnar på en lagom nivå.

På denna bilden så står det bara "2.5MBit", måste vara en grym komprimering, då dom flesta 720p filmer jag har i 720p ligger 5-6 Mbit i bitrate... (har nollkoll på om bitrate i filmer o internet kan jämföras)
http://i42.tinypic.com/2qwk8id.jpg

design.se 2009-07-09 14:08

Citat:

Originally posted by rikardottosson@Jul 8 2009, 09:27
Skrämmande.
1. PHP ;)
2. Lösenord i sourcen.

Usch. Man blir riktigt mörkrädd

Vad har PHP med saken att göra? bara en undran för en som just beställt en PHP kod...

rikardottosson 2009-07-09 14:14

Citat:

Ursprungligen postat av design.se
Citat:

Ursprungligen postat av rikardottosson
Skrämmande.
1. PHP ;)
2. Lösenord i sourcen.

Usch. Man blir riktigt mörkrädd

Vad har PHP med saken att göra? bara en undran för en som just beställt en PHP kod...

Det var ett litet skämt. Jag tycker PHP känns lite som ASP Classic, dvs lite B. Men det är bara min personliga åsikt som är klart vinklad. I och med att hela världen och dess farmor kör PHP så kan det ju inte vara nått större fel på det, eller hur?

Clarence 2009-07-09 16:11

Citat:

Ursprungligen postat av Jonas
Citat:

Ursprungligen postat av SimonP
Jag tycker också det verkar intressant, men tjänsten lär nog dra rejält med bandbredd om man ska streama 720p till tusentals kunder. Nån som orkar räkna på det kan dra i mbit/s ?
Men man får hoppas att priset hamnar på en lagom nivå.


På denna bilden så står det bara "2.5MBit", måste vara en grym komprimering, då dom flesta 720p filmer jag har i 720p ligger 5-6 Mbit i bitrate... (har nollkoll på om bitrate i filmer o internet kan jämföras)
http://i42.tinypic.com/2qwk8id.jpg

Att de kräver 2.5MBit för sin stream med lägst upplösning (och ljudkvalité) säger inget om hur mycket bandbredd som krävs för deras 720p stream. I princip alla streaming-tjänster börjar på ungefär 2MBit som påstått krav, men kräver mer för att deras spelare ska växla till en ström med högre upplösning.

Jag skulle tro att dina 5-6Mbit stämmer bättre för 720p H.264.

Jonas 2009-07-09 21:16

Citat:

Ursprungligen postat av design.se
Vad har PHP med saken att göra? bara en undran för en som just beställt en PHP kod...


Det är inget fel på PHP, så länge den som skriver den har koll på hur man skall göra.
Vet man inte hur man skall skriva koden, så är det oerhört lätt att lämna säkerhetshål vidöppna.

Citat:

Ursprungligen postat av rikardottosson
Det var ett litet skämt. Jag tycker PHP känns lite som ASP Classic, dvs lite B. Men det är bara min personliga åsikt som är klart vinklad. I och med att hela världen och dess farmor kör PHP så kan det ju inte vara nått större fel på det, eller hur?

I mina ögon är PHP ljusår framför ASP Classic, men lite efter när det kommer till ASP.NET, dock börjar man gå in på ramverk till PHP som Zend mm så är det det väldigt jämnt.

Dina argument är lite som Windows vs Linux, eller PC vs Mac.

rikardottosson 2009-07-09 21:31

Citat:

Originally posted by Jonas@Jul 9 2009, 21:16
I mina ögon är PHP ljusår framför ASP Classic, men lite efter när det kommer till ASP.NET
Ska jag vara helt ärlig så är nog detta en beskrivning jag kan hålla med om.

Sen får ju ASP.NET, tvåan alltså, rätt mycket skit, välförtjänt, men jag gillar ASP.NET MVC. Enkelt, rent och snyggt. Inte så förbaskat många mystiska monolitiska serverkontroller med vidrigt state, typ CreateUserWizard och vad dom nu heter.

Jonas 2009-07-09 23:27

Citat:

Ursprungligen postat av rikardottosson
Citat:

Ursprungligen postat av Jonas
I mina ögon är PHP ljusår framför ASP Classic, men lite efter när det kommer till ASP.NET

Ska jag vara helt ärlig så är nog detta en beskrivning jag kan hålla med om.
Sen får ju ASP.NET, tvåan alltså, rätt mycket skit, välförtjänt, men jag gillar ASP.NET MVC. Enkelt, rent och snyggt. Inte så förbaskat många mystiska monolitiska serverkontroller med vidrigt state, typ CreateUserWizard och vad dom nu heter.

MEN något som jag inte skrev tidigare. Anledningen till att PHP är efter ASP.NET beror till 99% enligt mig att VB.NET & C# existerar. Det är språk som är till mer än bara webben, det har mognat mer också pga detta.

Hade PHP fungerat på samma sätt som .NET hade kampen varit jämnare också.

Spindel 2009-07-10 19:31

Börjar dyka upp fler skärmdumpar på Voddler nu:
http://www.component.se/docs/img/09/voddler_1.jpg

http://www.component.se/docs/img/09/voddler_2.jpg

http://www.component.se/docs/img/09/voddler_3.jpg

http://www.component.se/docs/img/09/voddler_4.jpg

http://www.component.se/docs/img/09/voddler_5.jpg

BoXon 2009-07-12 03:07

Citat:

Originally posted by kalasboll@Jul 9 2009, 13:33
Men ni kan ju verkligen inte räkna med att det enbart kommer vara en 10-sekunders-reklam precis före filmen. Jag kommer ihåg den gamla goda tiden (höhö) hos Spotify då det knappt var en reklamslinga var 30:e minut ens, så Voddler precis som Spotify lär ju börja maxa en massa reklam så fort man fått in en stadig användarbas.
Så länge dom lyckas undgå ett TV4 upplägg så är jag nöjd.

Sedan så tycker jag inte att reklamen i spotify är särskilt irriterande. Visst, den hörs mer ofta nu än förr, men det är långt ifrån irriterande! :)


Alla tider är GMT +2. Klockan är nu 23:26.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson