Hej!

Uppmärksammade detta på IRC nyss:
http://209.85.229.132/search?q=cache:F7dRb...v&ct=clnk&gl=se <--- lol, voddler.com har blivit hackade ju (Tack till Spindel som faktiskt upptäckte det)

Det är en googlecachning av ett franskt underground-forum, där dom visar kompletta bilder ifrån ett hack utfört mot vår stora nya filmtjänst.
(Se nyheten ett par snäpp under denna för faktiska förklaringen av tjänsten)

Nyheten nu är även att det finns screenshots på tjänsten!

Jag tog mig friheten att dra ner en kopia av tråden, samt köra google translate emot den;
Resultat: http://translate.google.com/translate?prev...history_state0=

Det är riktigt jävla otroligt, vilken (dålig) säkerhet dom verkar haft.
Dåligt saltade MD5's och mycket mycket mer.

Servern verkar även blivit hackad, likaså databasen i samband med det.
Hackarna har haft FULL kontroll över servern, och databasen och innehållet där till. (15.000st av BBB's kunders mailadresser har också läckt ut - Där i bland MIN EGEN!)
Riktigt nederlag för denna nya tjänst måste jag säga...

Mvh Jim

Vore bra om någon som verkligen kan franska kan översätta inläggen, då Google Translate gör ett dåligt jobb på den biten.

Illa som sagt. Tråkigt, då fransmännen verkar tycka att det verkar vara ett lovande och trevligt projekt, bortsett från den dåliga säkerheten på deras hemsida.

*randomdelete*

Snabböversättning av första meddelandet:

Inlägg #1000 :)

Vad skall man säga? Pinsamt Voddler...

Nu kanske det är dags att man uppdaterar sina lösenord, eftersom nu har salt & MD5 summa läckt ut... (Japp, är BBB kund och har lämnat mina uppgifter till Voddler)

Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478

Ansvarig utvecklare?

För att sammanfatta lite annat verkar det erbjudas HD-kvalité i 720p och i gratisversionen verkar det bara visas 10 sekunders reklam i början av filmen.

Du verkar inte förstå vad som gått snett :D
Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

+1

Det är knappt så man kan kalla det hacking :)

måste vara nå hoax, sådär lätt kan det inte varit =))

Källkoden finns på rapidshare, det är inte fejkat iaf.

Det här var inte bra. Det här kan skada Voddlers möjlighet att hävda sig mot filmbolagen och vad vi behöver är inte ett gäng filmbolag som tror att internet vill dem illa.

Jag fattade det som KarlRoos, översatte. Att han hittade en txt-fil och därmed kom in den vägen...

Men men, det är pinsamt...

Skickade precis mail till Daniel Goldberg på CS/IDG, med hänvisning till denna tråd och som anslutning till hans artikel hos CS om att Voddler haft premiär, det har varit förvånansvärt tyst hos IDG som normalt brukar vara värsta skvallerpressen när det gäller sådant här.

Skrämmande.
1. PHP ;)
2. Lösenord i sourcen.

Usch. Man blir riktigt mörkrädd

Mattias Hjelmstedt, medgrundare till Voddler och vice VD:
“Lanseringen kommer inte att fördröjas, det var våran temporära website som man kom igenom på. Inte den som ska gå skarpt. Det har inte heller något med streamingtjänsten och teknologin att göra. Det är självklart lite förarjligt, men det är numera helt tilltäppt och säkerhetsnivån är uppskruvad högt nu.”

http://webbsnack.wordpress.com/2009/07/08/...-hackades-igar/

Snyggt.. påstår att inga kunduppgifter fåtts ut.. uppenbarligen räknas inte epostadresser som kunduppgifter ^^

Både beta.voddler.com och www.voddler.com pekar till samma server, så får man root spelar det ingen roll om det en alfa, beta eller gamma site :(
Sen finns det fortfarande säkerhetsbrister på servern.

SvD

SvD har skrivit en artikel och hänvisar hit :)

Synd att det inte vart mer respons!
Jag mailade IDG, SvD, Techworld Säkerhet (Iof relaterad till IDG), Aftonbladet, Expressen, Nyheter24 och alla andra vanliga tidningar om detta igår kväll, tyvärr tog bara IDG och SvD upp det :(

Nåja, tråkigt för Voddler är det väl.
Och tråkigt för programmeraren som (förhoppningsvis) inte får jobba kvar :/
(Ren IDIOTI att spara filer som .txt och läta dom vara läsbara ifrån webben!)

Jag mailade en person direkt (han som skrev om dess premiär på IDG) och fick svar om att han skulle kontakta en annan journalist om detta.
En halvtimme senare låg det en artikel uppe med hänvisningar hit.

Varför tycker du att det viktigt att så många tidningar som möjligt tar upp det? Är du någon konkurrent till dom som vill ge dom så mkt negativ press som möjligt?

Jag tycker att det räcker med att någon branschrelaterad sida typ WN (och på sin höjd IDG) tar upp det så att andra i branschen kan lära sig av Voddler-misstagen, men alla är vi olika...

Men jag ska tänka på det i framtiden om jag hittar något hål på nån sida som du driver, varenda tidning ska få veta det ;)

Det finns i dagsläget hundratals svenska webshoppar som har säkerhetshål som gör att det går att beställa varor utan att betala, jag har aldrig ens tänkt tanken att direkt-rapportera det till nån skvallertidning, det får räcka med att jag informerat webshopsleverantören om detta. :ph34r:

Tycker att den google-översatta sidan var ganska lätt att förstå. Så även om jag inte förstår franska så vågar jag hävda att trådskaparen antagligen inte är något geni på säkerhetsfronten eftersom han ber om hjälp med att knäcka hashen som han för övrigt tror är antingen sha1 eller md5.

Off topic: Att dömma av bilderna och informationen i tråden så verkar voddler riktigt bra. Hoppas det slår igenom och att det kommer hårdvaruboxar med stöd.

Håller med där, ser riktigt nice ut.
vill ha vill ha.

Helt klart... Är det [5|6|7].1 ljud (DD,DTS,THX mm) i strömmen också och enbart 10 sek reklam innan filmen så kommer detta att ersätta mitt Lovefilm abonnemang direkt... (Och ligger priset som Spotify eller under Lovefilm så får dom gärna mina pengar)

Det finns många som tror dom kan skapa en webbtjänst efter att ha läst en 10 minuters guide till PHP.. ungefär den känslan får jag ibland. För många litar på tekniken.. Allting kan hackas - frågan är bara när och av vem..

Jag tycker också det verkar intressant, men tjänsten lär nog dra rejält med bandbredd om man ska streama 720p till tusentals kunder. Nån som orkar räkna på det kan dra i mbit/s ? :)

Men man får hoppas att priset hamnar på en lagom nivå.

Voddler använder ju p2p också, så där sänker de ju kostnaderna rejält också.

Men ni kan ju verkligen inte räkna med att det enbart kommer vara en 10-sekunders-reklam precis före filmen. Jag kommer ihåg den gamla goda tiden (höhö) hos Spotify då det knappt var en reklamslinga var 30:e minut ens, så Voddler precis som Spotify lär ju börja maxa en massa reklam så fort man fått in en stadig användarbas.

Ok, ja det hjälper en del i alla fall. Synd att dom inte har mer teknisk info ute på sidan.

På denna bilden så står det bara "2.5MBit", måste vara en grym komprimering, då dom flesta 720p filmer jag har i 720p ligger 5-6 Mbit i bitrate... (har nollkoll på om bitrate i filmer o internet kan jämföras)
http://i42.tinypic.com/2qwk8id.jpg

Vad har PHP med saken att göra? bara en undran för en som just beställt en PHP kod...

Det var ett litet skämt. Jag tycker PHP känns lite som ASP Classic, dvs lite B. Men det är bara min personliga åsikt som är klart vinklad. I och med att hela världen och dess farmor kör PHP så kan det ju inte vara nått större fel på det, eller hur?

Att de kräver 2.5MBit för sin stream med lägst upplösning (och ljudkvalité) säger inget om hur mycket bandbredd som krävs för deras 720p stream. I princip alla streaming-tjänster börjar på ungefär 2MBit som påstått krav, men kräver mer för att deras spelare ska växla till en ström med högre upplösning.

Jag skulle tro att dina 5-6Mbit stämmer bättre för 720p H.264.

Det är inget fel på PHP, så länge den som skriver den har koll på hur man skall göra.
Vet man inte hur man skall skriva koden, så är det oerhört lätt att lämna säkerhetshål vidöppna.

I mina ögon är PHP ljusår framför ASP Classic, men lite efter när det kommer till ASP.NET, dock börjar man gå in på ramverk till PHP som Zend mm så är det det väldigt jämnt.

Dina argument är lite som Windows vs Linux, eller PC vs Mac.

Ska jag vara helt ärlig så är nog detta en beskrivning jag kan hålla med om.

Sen får ju ASP.NET, tvåan alltså, rätt mycket skit, välförtjänt, men jag gillar ASP.NET MVC. Enkelt, rent och snyggt. Inte så förbaskat många mystiska monolitiska serverkontroller med vidrigt state, typ CreateUserWizard och vad dom nu heter.

MEN något som jag inte skrev tidigare. Anledningen till att PHP är efter ASP.NET beror till 99% enligt mig att VB.NET & C# existerar. Det är språk som är till mer än bara webben, det har mognat mer också pga detta.

Hade PHP fungerat på samma sätt som .NET hade kampen varit jämnare också.

Börjar dyka upp fler skärmdumpar på Voddler nu:
http://www.component.se/docs/img/09/voddler_1.jpg

http://www.component.se/docs/img/09/voddler_2.jpg

http://www.component.se/docs/img/09/voddler_3.jpg

http://www.component.se/docs/img/09/voddler_4.jpg

http://www.component.se/docs/img/09/voddler_5.jpg

Så länge dom lyckas undgå ett TV4 upplägg så är jag nöjd.

Sedan så tycker jag inte att reklamen i spotify är särskilt irriterande. Visst, den hörs mer ofta nu än förr, men det är långt ifrån irriterande! :)