WN
Sidan 1 av 5 1 23 Sista »
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)
-   -   Voddler hackat, av fransmänn! (https://www.wn.se/forum/showthread.php?t=37778)

Jine 2009-07-07 21:52
Hej!

Uppmärksammade detta på IRC nyss:
http://209.85.229.132/search?q=cache:F7dRb...v&ct=clnk&gl=se <--- lol, voddler.com har blivit hackade ju (Tack till Spindel som faktiskt upptäckte det)

Det är en googlecachning av ett franskt underground-forum, där dom visar kompletta bilder ifrån ett hack utfört mot vår stora nya filmtjänst.
(Se nyheten ett par snäpp under denna för faktiska förklaringen av tjänsten)

Nyheten nu är även att det finns screenshots på tjänsten!

Jag tog mig friheten att dra ner en kopia av tråden, samt köra google translate emot den;
Resultat: http://translate.google.com/translate?prev...history_state0=

Det är riktigt jävla otroligt, vilken (dålig) säkerhet dom verkar haft.
Dåligt saltade MD5's och mycket mycket mer.

Servern verkar även blivit hackad, likaså databasen i samband med det.
Hackarna har haft FULL kontroll över servern, och databasen och innehållet där till. (15.000st av BBB's kunders mailadresser har också läckt ut - Där i bland MIN EGEN!)
Riktigt nederlag för denna nya tjänst måste jag säga...

Mvh Jim

Spindel 2009-07-07 21:56
Vore bra om någon som verkligen kan franska kan översätta inläggen, då Google Translate gör ett dåligt jobb på den biten.

Illa som sagt. Tråkigt, då fransmännen verkar tycka att det verkar vara ett lovande och trevligt projekt, bortsett från den dåliga säkerheten på deras hemsida.

Jine 2009-07-07 22:00
*randomdelete*

KarlRoos 2009-07-07 22:07
Citat:
Originally posted by Jine@Jul 7 2009, 22:00
Hoppas nån kan franska
Snabböversättning av första meddelandet:

Citat:
Hej alla!
Jag har gjort en tråd för er för att visa er Voddler betan: *länk*. För de som inte vet vad det är så är det ungefär som Spotify fast för filmer och serier. Jag registrerade mig för betan men fick ett mail om att betan är stängd och att jag skulle vara tvungen att vänta. Jag bläddrade omkring en stund och råkade komma över en .txt fil, jag förstod direkt vad man kunde göra med den.
Inkompetens hos deras webmaster kan man säga...
Inlägg #1000 :)

Jonas 2009-07-07 22:19
Vad skall man säga? Pinsamt Voddler...

Nu kanske det är dags att man uppdaterar sina lösenord, eftersom nu har salt & MD5 summa läckt ut... (Japp, är BBB kund och har lämnat mina uppgifter till Voddler)

Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:
 
  public function encryptPassword($plain){
          $password = '';
 mt_srand((double)microtime()*1000000);
 
  for ($i=0; $i<10; $i++) {
    $password .= mt_rand();
  }
       
  $salt = substr(md5($password), 0, 2);
       
  $password = md5($salt . $plain) . ':' . $salt;
       
  return $password;
  }

Jine 2009-07-07 22:35
Citat:
$Mail_SMTP_Config = array(
'auth' => 'login',
'username' => 'martin.lundberg+ideasofsweden.se',
'password' => 'pxxxxxxr',
'port' => 26
);
Ansvarig utvecklare?

Spindel 2009-07-07 22:43
För att sammanfatta lite annat verkar det erbjudas HD-kvalité i 720p och i gratisversionen verkar det bara visas 10 sekunders reklam i början av filmen.

SimonP 2009-07-07 22:50
Citat:
Originally posted by Jonas@Jul 7 2009, 21:19
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:
* *
 * *public function encryptPassword($plain){
 * *        $password = '';
 *mt_srand((double)microtime()*1000000);
 *
 * * for ($i=0; $i<10; $i++) {
 * * * *$password .= mt_rand();
 * * }
       
 * * $salt = substr(md5($password), 0, 2);
       
 * * $password = md5($salt . $plain) . ':' . $salt;
       
 * * return $password;
 * *}
Du verkar inte förstå vad som gått snett :D
Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.

Jawn 2009-07-07 22:55
Citat:
Ursprungligen postat av SimonP
Citat:
Ursprungligen postat av Jonas
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.

Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...

http://paste2.org/p/299478
Kod:
* *
 * *public function encryptPassword($plain){
 * *        $password = '';
 *mt_srand((double)microtime()*1000000);
 *
 * * for ($i=0; $i<10; $i++) {
 * * * *$password .= mt_rand();
 * * }
       
 * * $salt = substr(md5($password), 0, 2);
       
 * * $password = md5($salt . $plain) . ':' . $salt;
       
 * * return $password;
 * *}
Du verkar inte förstå vad som gått snett :D
Det har inte med med hashningen eller saltet att göra.

1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.

2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!

Så tolkar jag det alla fall.
+1

Det är knappt så man kan kalla det hacking :)

bya 2009-07-07 23:31
måste vara nå hoax, sådär lätt kan det inte varit =))


Alla tider är GMT +2. Klockan är nu 04:19.
Sidan 1 av 5 1 23 Sista »
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson