Komentarai Prisijungti
Viršuje: Seniausi | Naujausi
HardAxe 2021-02-17 15:10
kas turit dump`ą parašykit pm
Niemand 2021-02-17 15:49
Užsiregistruok ir parsisiųsi
https://raidforums.com/Thread-CityBee-L ... d-Download
HardAxe 2021-02-17 18:46
ten reikia virtualiu pinigeliu uzsidirbti arba nusipirkti.
conjurer 2021-02-18 00:01
Slaptažodžiai md5 unsalted. Nėra sunku kažkam susigeneruoti krūvos md5 hash'ų iš standartinio slaptažodžių žodyno, ir patikrinti kas tokius naudoja.
Ok esu senamadiškas, tai jau buvo padaryta, ir yra didžiulės duombazės, kur galima daryti reverse search.
Įvedate tą md5 eilutę, ir spaudžiate "Find it".
Jei sugrąžino tą patį tekstą, kuris buvo įvestas generatoriuje, slaptažodis savaime yra nesaugus, ir jis bus lengvai atkoduotas. Jei gaunate "1020", tai jo nėra toje konkrečioje duombazėje. Nesiūlau to daryti su savo slaptažodžiu, ir jei visgi padarėt ir jį atrado, nesiūlau toliau naudoti to slaptažodžio.
Niemand 2021-02-18 10:07
Iš kur tokios žinios? Nesinorėtu tikėti, kad ju appsą indusai programino
HardAxe 2021-02-18 10:16
aš kažkur užmačiau, kad sha1 unsalted. Didelio skirtumo tai nesudaro.
Galonas 2021-02-18 10:22
Tai, kad ne MD5, o SHA1. Pasiūlytas finderis turbūt ieško ir per SHA1 įrašus jei pavyko kažką rast.
Šitą greičiausiai NFQ sukodino, bent jau prieš 3 metus jie kodino, tai nemanau, kad pakeitė kažką nuo to laiko, o kas sugalvojo bazės kopiją įkelt į Azure blob'ą, tai tam tikrai dabar rūgštu subinėj.
immortallt 2021-02-18 10:36
Man tik keista, koks šaršalas kilo dėl citybee, ir kaip visiems buvo px ir nulis viešai informacijos apie tai, kai VU, E-sveikata, savivaldybių duomenys nutekėjo.
VU duomenis pavogė, įskaitant mano slaptažodį, su kuriuo pavyko jiems rasti kur gali prisijungti. (ne nesu VU studentas). Niekas nei pranešė, nei ką. Po policijos tyrimo tik buvo išsiaiškinta, kad duomenis pavogė iš VU.
Vėlgi, VU nuostolių neatlygino, net pranešimo nebuvo, kad pavogė ir pasikeisti psw reiktų. Čia kažkas kiša pinigus, kad Modus susilpninti ir savo pozicijas sustiprinti?
HardAxe 2021-02-18 10:39
duokit man tą bazę, aš irgi noriu paieškot.
Niemand 2021-02-18 11:30
Nu tai į pasteBin'ą netilpo
P.S. tiems, kurie nelabai supranta - paprastai tariant duomenų bazės atsarginė kopija buvo įkelta į viešą "web puslapį", kuris tipiškai naudojamas web puslapių viešo turinio saugojimui, pvz., paveiksliukai, vieši parsisiuntimai ir pan. Todėl techniškai niekas niekur neįsilaužė, tiesiog rado viešumoje besimėtančius duomenis.
conjurer 2021-02-18 13:16
Na jei taip, tai VU yra blogiau nei citybee. Geriau pranešti apie problemą, kad paskyrų savininkai galėtų reaguoti, nei tylėt ir laukti kol silpnų slaptažodžių turėtojai nukentės.
Sakyčiau jei kažkas tyli, ir nepraneša, jį reikia patraukti atsakomybėn, kaip nusikaltimo bendrininką.
Aišku gali būti problema, kai nelaužtos sistemos savininkas net nežino apie tai. Bet esame to požiūrio, kad nežinojimas neatleidžia nuo atsakomybės.
immortallt 2021-02-18 13:19
Įtariu tai buvo ne įmonės politika, o kažkurio darbuotojo sprendimas perdarinėjant sistemą... Tas žmogus dabar turbūt jau pardavinėja skubotai turtą ir slepia viską Šveicarijoje ar Karibuose
Niemand 2021-02-18 13:53
Spėju, čia buvo eksperimentas. Azure blob servisas yra pigus būdas saugoti daug duomenų ir vienas iš pagrindinių panaudojimo būdų yra big data analitika ("data lake"). Greičiausiai eksperimentavo su tuo, ką gali išspausti iš savo duomenų, o paskui tiesiog nukrito kiti darbai ir tą eksperimentą banaliai pamiršo.
Po0 2021-02-18 13:57
https://www.reddit.com/r/lithuania/comm ... baz%C4%97/
Girdėjot naujienas?
Niemand 2021-02-18 13:58
Gandais labai pasitikėti neverta, netikiu, kad būtų be druskos, o su druska net MD5 nelabai iššifruosi, geriausiu atveju gausi tūkstančius galimų slaptažodžio variantų viena hash'ui.
conjurer 2021-02-18 14:06
Jei turi druską, ir žinai kur ją dėti, gali susigeneruoti savo slaptažodžių lentelę. Kad md5 unsalted parašė tas kuris buvo įdėjąs visą duombazę.
Niemand 2021-02-18 17:10
Beprasmiška, druska kiekvienam slaptažodžiui skirtinga, "pigiau" gaunasi bruteforce'inti.
conjurer 2021-02-18 17:15
Priklauso nuo implementacijos. Argon2id atveju taip, bet kažkas gali tiesiog sukurti globalų kintamąjį iš 16 atsitiktinių simbolių, ir hashinti $static_salt + $password stringą. Ir net toks variantas bus geriau, nes jam reikia generuotis naują slaptažodžių lentelę.
HardAxe 2021-02-18 17:33
Jeigu jau taip tinginys suėmęs, tai hash($name+hash($pass+$email))?
Ar elementariai, pass+email?
Realiai jokio overhead`o programuojant, o slaptažodžio hashas nieko gero nerodys, reikės viską bruteforcinti.
Niemand 2021-02-18 17:36
.NET standartinėje implementacijoje druska randominė (insertinant). Nelabai įsivaizduoju, kas ir kodėl galėtų "implementuoti" kitaip, vėlgi, nebent legacy sistema, bet citybee pernelyg naujas reikalas.
Komentuoti gali tik registruoti lankytojai.
Neregistruotiems lankytojams komentavimas uždraustas siekiant sumažinti
paviršutiniškų, beverčių ir įžeidinėjančių žinučių kiekį.
„CityBee“ skelbia rekomendacijas klientams, nukentėjusiems nuo duomenų vagystės