Just nu i M3-nätverket
Gå till innehåll

Eforum bugg. Ta över användarkonton.


mindsleep

Rekommendera Poster

En tanke - om du nu känner till ett säkerhetsproblem så borde det ju vara rimligt att anta att du upptäckt detta genom tester. Således har du ju redan utfört försöket ;)

 

Svar: Ja, men inte så mycket att jag skulle kunna dra på mig en polisanmälan ;)

 

Tyvärr för eforum har de "inledande" testerna fungerat. NOTERA...jag har INTE brytit mot några regler vid detta. Varken eforums eller sveriges lag.

 

Vad handlar det om? XSS? Injection? Eller handlar det om andra bakvägar in på servrarna?

 

Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om (eftersom jag inte vill att 100 personer ska börja söka)...men det är faktiskt inte bara 1 sårbarhet som gör en attack möjlig.

 

Det är INTE en DIREKT server attack.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 17:51:41 av mindsleep]

Länk till kommentar
Dela på andra webbplatser

Anjuna Moon
Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om

=D

Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen (du har min mailadress, så chansen finns ju att övertyga mig utan att "bryta mot lagen")

 

 

 

Länk till kommentar
Dela på andra webbplatser

A

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-05 04:37:01 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:19 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:37 av mindsleep]

Länk till kommentar
Dela på andra webbplatser

Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen

 

Du tycker att mitt producerande av "action" eller "fakta" vore en bra idé i en publik tråd på idg? Kanske är det du som borde bli polisanmäld ;)

 

Länk till kommentar
Dela på andra webbplatser

Anjuna Moon skrev:

Jag kan inte rapportera något om jag inte får testa det. Än så länge är det en teori.

 

Hehe, erkänn, ikväll var du "full of shit"

Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat. ;)

 

Citat från tidigare inlägg:

mindsleep skrev:

Ja, har provat någon månad nu att försöka ställa några frågor...

Resultat=Inga svar.

 

Tror knappast att mina obesvarade trådar beror på att jag blivit fullärd... Det är snarare ett bevis på att forumet blivit mindre "kvalificerat"

 

 

Länk till kommentar
Dela på andra webbplatser

Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat.

 

Du får tro vad du vill. Men så är det tyvärr inte.

 

Var nyfiken och ville vara bussig. Det uppskattas tyvärr inte.

 

Lesson learned!

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Länk till kommentar
Dela på andra webbplatser

uppskattas/uppskattas inte? Tycker nog Pontus givit ett klar besked:

Gör det inte på eget bevåg!

Kontakta honom och se vad nästa steg är. Kanske han då, med tekniker bredvid sig, ger dig ett konto att visa vad du kan göra. Eller att du ger en beskrivning av tänkta attacken och de testar det. Tack för att du uppmärksammat det, om det stämmer, kommer du givetvis att få. Annat vore dumt.

 

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

Länk till kommentar
Dela på andra webbplatser

mindsleep skrev:

 

Du får tro vad du vill. Men så är det tyvärr inte.

Du såg min smiley...

 

Seriously, jag tror dig. Och att din intention är 100% ärlig.

 

Ge inte upp forumet bara för detta lilla hinder. Hinder är till för att klivas över.

 

Länk till kommentar
Dela på andra webbplatser

Pontus Jeppsson

Uppdatering i det här ärendet:

 

Jag fick ett mejl igår från Mindspleep med all info om det här, och vidarebefodrade det genast till vår utvecklingsschef. Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

 

Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.

 

Stort tack till Mindsleep som uppmärksammade oss på felet!

 

Jag vill poängtera att vi har inga som helst indikationer på att den här luckan någonsin utnyttjats. Det skulle i så fall leda till att den om egentligen äger medlemskontot inte längre kan logga in. Så om du kan logga in på Eforum utan problem kan du alltså vara säker på att ingen har utnyttjat den här säkerhetsluckan för att få tillgång till ditt konto.

 

Länk till kommentar
Dela på andra webbplatser

Där ser man, då var det bra, att mindsleep, anmälde allt och i rätt ordning, precis som vi önskade att han skulle göra.

En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Länk till kommentar
Dela på andra webbplatser

Pontus Jeppsson
En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Nope, det hade det inte.

 

Länk till kommentar
Dela på andra webbplatser

Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.
Skönt att höra!

 

Tack och poäng till mindsleep! :thumbsup:

 

Länk till kommentar
Dela på andra webbplatser

Anjuna Moon
Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

I stand corrected Mindsleep och jag ber dig om ödmjuk ursäkt för att jag trodde du raljerade. Tumme upp man! :thumbsup:

 

Länk till kommentar
Dela på andra webbplatser

Ja, där fick ni ;)

 

Tack för poäng!

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...