Just nu i M3-nätverket
Jump to content

Eforum bugg. Ta över användarkonton.


mindsleep

Recommended Posts

Innan jag går vidare.

 

Så skulle jag vilja fråga eforums administratörer om jag kan få problem om jag "hackar" er lite men INTE förstör (bara för att kolla upp en teori).

 

Blir ni sura om jag gör det? OBS...jag kommer inte ta över andras konton...bara något eget konto (som bevisar teorin).

 

Får jag tillåtelse att göra det? Jag kommer självklart posta vad jag hittar, självklart inte hur jag gör. Men visa vad ni eventuellt borde fixa.

 

Jag tror nämligen jag har hittat ett problem hos er där jag kan ta över andras användarkonton helt och hållet (byta lösenord osv).

 

Får jag tillåtelse att prova?

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Link to comment
Share on other sites

Stefan Eklinder

 

Tycker att du ska rapportera den sårbarheten till chefen Pontus Jeppsson.

Du hittar hans epostadress längst ned i vänsterspalten.

 

Sen tror jag inte det är så uppskattat om du ger dig på att hacka konton härinne. IDG vet inte att det bara är ett test av din teori.

 

Rapportera det därför direkt istället.

 

---

C:\Eforum\Stefan Eklinder>|

 

"Man kan inte kämpa ihjäl en skugga, den dödar man med ljus."

 

- Sigfrid Siwertz.

[inlägget ändrat 2009-04-03 16:39:05 av Stefan Eklinder]

Link to comment
Share on other sites

Instämmer, mejla Pontus först. Det är i alla fall direkt olämpligt en fredag när alla som kan åtgärda eventuella problem du åstadkommer har gått hem för helgen.

 

Link to comment
Share on other sites

Jag kan inte rapportera något om jag inte får testa det. Än så länge är det en teori.

 

Som jag sa så kommer jag inte förstöra något eller ställa till med någon oreda. Allt jag kommer göra är att ta över ett konto som jag eventuellt kan skapa själv.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Link to comment
Share on other sites

Det är just nu inte frågan om att rapportera ett problem till Pontus utan du behöver mejla honom för att få besked om det är acceptabelt att du provar.

 

Link to comment
Share on other sites

Håller med övriga här, tycker att det är direkt olämpligt att du mindsleep försöker dig på detta, gör som Cecilia och Stefan säger, kontakta Pontus, fullt möjligt att han läser sina mail även om det blir helg, då kan han förbereda dina åsikter och dina misstankar.

En av riskerna är att du gör något "fel", så något händer som du inte har räknat med, och då kan du få det "hett om öronen", så tipset är att du tar kontakt med Pontus först, och i så fall frågar han om "lov" först, men tvivlar på att han ger tillåtelse till detta.

 

Link to comment
Share on other sites

Mindsleep - om du nu tänker göra ngt dumt skapa då ett eget sekundärt konto och "hacka" det.... inte mitt, inte någon annans utan bara ditt.

 

Saken är ju den, hackar du mitt konto kommer du väl även in i IDGs system och kan göra köp av PDF-filer och prenumerationer i mitt namn samt även ändra uppgifter som adress och liknande. Dvs ett hål här är ett hål in i hela IDGs system antar jag.

 

 

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

Link to comment
Share on other sites

Alltså...ännu en gång. Jag tänker bara hacka ett eget konto. Tanken är inte att förstöra eller på något sätt jävlas.

 

Bara kolla upp en teori. Men jag tror jag skiter i allt och så får väll IDG ta hand om problemet då någon "black hat" hackare upptäcker buggen.

 

Jag hade tänkt göra det för att vara bussig.

 

Hade jag villa jävlas så hade jag satt mig bakom x antal proxies och genomfört attacken utan att skapa denna tråd och kört på alla konton jag känner till.

 

Men det var inte tanken. Tanken var att stilla min egen nyfikenhet och att vara schysst och informera om problem. Du vet, sånt som man får betala DYRA pengar för hos "hackar konsulter".

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Link to comment
Share on other sites

Anjuna Moon
Jag kan inte rapportera något om jag inte får testa det. Än så länge är det en teori.

Hehe, erkänn, ikväll var du "full of shit" =)

 

Du är en webbutvecklare Mindsleep, ingen hacker Du kan inte hacka IDG mer än du kan skriva en mikrokodsloop ;)

Däremot är du en bra NASA-polare och snart nog kan vi NASATV:a med nästa Fuglesang-resa =)

 

Link to comment
Share on other sites

Jag förstår, mindsleep, att du inte vill förstöra eller jävlas, men jag vill inte ta ansvaret utan jag vill att det är förankrat i IDGs organisation för det går utanför mitt ansvarsområde som huvudmoderator. Jag hoppas att du kan förstå det. Då kanske det är möjligt att du kan få prata med en webbutvecklare och ni kan spåna idéer ihop också.

 

Link to comment
Share on other sites

Jag förstår också mindsleep, men det måste väl ändå vara bättre att vänta några dagar, och ta kontakt med Communitychefen Pontus Jeppsson och tala om för honom vad du misstänker, så kan han skicka dig vidare till rätt person, och du kan lägga fram dina teorier, och vad du kanske tror man kan göra åt det hela, IDG lär nog bli lika glada för det ändå, så slipper du "äventyra" något om det "kanske blir fel".

Finns ingen moderator här som varken kan eller bör/får godkänna en sådan sak som du vill "pröva", både moderatorerna och huvudmoderatorn kan få "på pälsen" om ett sådant godkännande.

Alltid bättre att gå "rätt väg" med en sådan här sak.

 

Link to comment
Share on other sites

Pontus Jeppsson

God kväll!

 

Om du har upptäckt en misstänkt säkerhetslucka i vårt system vill jag att du tar kontakt med mig. Så kan vi tillsammans reda ut om det är en faktisk lucka eller inte, och så kan jag låta våra tekniker fixa problemet. Mejla mig på pontus@idg.se och beskriv vad det gäller, så går vi vidare efter helgen (om det inte är så akut att något måste göras omedelbart).

 

Att försöka hacka sajten eller kringgå våra säkerhetssystem är olagligt. Det är dataintrång och är ett mycket allvarligt brott. Att du gör det av välvilja och att du inte har för avsikt att orsaka någon skada förändrar inte det faktum att det är en brottslig handling.

 

Jag kan inte vara nog tydligt på den här punkten: alla försök att hacka våra system polisanmäls.

 

Någon annan hållning från IDG:s sida vore orimlig, och jag hoppas du förstår det.

 

Men som sagt - jag ser väldigt allvarligt på alla säkerhetsfrågor och vill veta mer om dina misstankar. Men gärna mejlledes och inte i en publik forumtråd.

 

Link to comment
Share on other sites

Anjuna Moon

Mindsleep - jag ger dig mandat att hacka dig in och ta över mitt användarkonto. Eforums övriga stammisar vet att vi båda raljerar så mycket att vi lika gärna kan göra det under en och samma signatur =D

 

[inlägget ändrat 2009-04-03 23:41:33 av Anjuna Moon]

Link to comment
Share on other sites

Hehe, erkänn, ikväll var du "full of shit" =)

 

Absolutely NOT!

 

Du är en webbutvecklare Mindsleep, ingen hacker Du kan inte hacka IDG mer än du kan skriva en mikrokodsloop ;)

 

Det finns mycket du inte vet om mig. Jag har gjort "white hacking" jobb tidigare (då på uppdrag). Jag har en del "meriter". Men gör aldrig "sabotage" jobb.

 

Däremot är du en bra NASA-polare och snart nog kan vi NASATV:a med nästa Fuglesang-resa =)

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 00:39:28 av mindsleep]

Link to comment
Share on other sites

Mindsleep - jag ger dig mandat att hacka dig in och ta över mitt användarkonto. Eforums övriga stammisar vet att vi båda raljerar så mycket att vi lika gärna kan göra det under en och samma signatur =D

 

Uppenbarligen får jag tydligen inte det av admin.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Link to comment
Share on other sites

God kväll!

 

Om du har upptäckt en misstänkt säkerhetslucka i vårt system vill jag att du tar kontakt med mig. Så kan vi tillsammans reda ut om det är en faktisk lucka eller inte, och så kan jag låta våra tekniker fixa problemet. Mejla mig på pontus@idg.se och beskriv vad det gäller, så går vi vidare efter helgen (om det inte är så akut att något måste göras omedelbart).

 

Vad tycker du själv? Är det akut om jag påstår att jag kan ta över användares konton?

 

Tycker det är skittrist att jag inte ens får prova ta över ett eget konto som jag kan skapa. Supertrist faktiskt.

 

Så jag mailar er om problemet. Ni fixar det och säger till mig...Nääää, det var inget problem. Var e det roliga i det?

 

Tror jag skiter i hela grejen. Jag har annat jag kan lägga min tid på. Era tekniker får väll titta och se om det hittar något.

 

Det är en teori...jag får ju tyvärr inte bevisa den. Tror inte jag kommer bemöda mig att skriva ett A4 om problemet (kräver en del steg)...vore ju trist om det visade sig vara en felaktig teori (vilket jag inte tror det är)....roligare att engagera mig om jag vet att det verkligen fungerar.

 

Ett litet tillägg:

Alla som någon gång gjort något "hacknings jobb" vet att det är sällan en rak linje utan att man kanske kommer förbi steg 1 men måste anpassa steg 2 och steg 3 pga av situationer som man inte förutsett. Så om jag nu skickar iväg en beskrivning så ser ni bara den linje jag stakat ut. Ni kanske ser att steg 1 fungerade men inte som jag beskrivit steg 2 och 3...vilket gör att ni avslår det hela som ett "skämt". Medans om jag fick tillåtelse att göra det och jag såg att steg 2 och steg 3 INTE fungerar som jag planerat utan istället anpassar mig och kommer förbi steg 2 och 3...ja, ni förstår poängen.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

[inlägget ändrat 2009-04-04 01:22:57 av mindsleep]

Link to comment
Share on other sites

Anjuna Moon
Det finns mycket du inte vet om mig.

Jo tack, det är så jag lyckas sova om nätterna ;)

(observera smileyn, you know I like you)

 

Hursomhelst - jag synar dina kort av den enkla anledningen att vi i det gamla gardet aldrig skulle gå ut öppet och påstå saker om säkerhetshål och hur vi skulle kunna/vilja knäcka dessa (sådant brukar åtföljas av en doft av wannabe/newbie ;)

 

Penetrationer gjorde vi i tysthet och när vi kände för det så upplyste vi respektive om säkerhetsproblemen (obs! vid sexuell dito var motparten oftast upplyst i förväg ;)

 

 

Link to comment
Share on other sites

Hursomhelst - jag synar dina kort av den enkla anledningen att vi i det gamla gardet aldrig skulle gå ut öppet och påstå saker om säkerhetshål och hur vi skulle kunna/vilja knäcka dessa (sådant brukar åtföljas av en doft av wannabe/newbie ;)

 

Hehe. Kanske är det så. Har du inte läst om varför folk håller på med vit hackning? Roligt och engagerande då man lyckas med något som ingen annan tänkt på (eller lyckats med). Lite euforisk känsla ;)

 

Penetrationer gjorde vi i tysthet och när vi kände för det så upplyste vi respektive om säkerhetsproblemen (obs! vid sexuell dito var motparten oftast upplyst i förväg ;)

 

Vad är det roliga att vara i det tysta? Jag skapade en tråd för allmän upplysning (precis som det görs överallt...speciellt i OpenSource communityn). Notera dock att jag aldrig skulle publicera hur jag skulle bära mig åt...som jag sa, jag är inte ute efter att förstöra.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 01:13:22 av mindsleep]

[inlägget ändrat 2009-04-04 01:32:58 av mindsleep]

Link to comment
Share on other sites

Uppenbarligen får jag tydligen inte det av admin.

Nej, verkligen inte, du har ju fått svar både från oss och från Eforums högsta chef, så då vet du ju vad som gäller.

Och då kan ju ingen annan ge dig mandat att i praktiken BRYTA MOT LAGEN, vore ju oerhört dumt, eller hur!

.

 

Link to comment
Share on other sites

Nej, verkligen inte, du har ju fått svar både från oss och från Eforums högsta chef, så då vet du ju vad som gäller.

Och då kan ju ingen annan ge dig mandat att i praktiken BRYTA MOT LAGEN, vore ju oerhört dumt, eller hur!

 

Och därför har jag inte gjort något.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Link to comment
Share on other sites

Anjuna Moon
Och då kan ju ingen annan ge dig mandat att i praktiken BRYTA MOT LAGEN

Inte för att vara petig eller vilja uppmuntra någon till något, men det är knappast ett lagbrott tills du blivit dömd för något uppsåtligt i samband med ett intrång/hack. I princip kan du ju faktiskt av misstag ta dig in i ett dåligt skyddat system genom att slinta på tangentbordet. Jag gillar inte riktigt dessa Henrik Pontén-liknande uttalanden jag hör här som försöker vrida och vända på folks uppfattning om hur vårt rättsamhälle ser ut.

 

 

 

 

[inlägget ändrat 2009-04-04 01:44:13 av Anjuna Moon]

Link to comment
Share on other sites

Inte brukar man väl fråga om lov för sånt? Skulle jag testa det skulle jag göra det anonymt.

 

I slutändan tjänar alla på resultatet.

 

[inlägget ändrat 2009-04-04 06:04:48 av lizardKng]

Link to comment
Share on other sites

Inte brukar man väl fråga om lov för sånt? Skulle jag testa det skulle jag göra det anonymt.

 

I slutändan tjänar alla på resultatet.

 

Jo, om man har goda intentioner så frågar man om lov. Dessutom vill jag ju självklart inte bli polisanmäld. Eller ens ta risken att bli polisanmäld. Jag antar att om jag började koppla upp mig mot en rad proxies så blir det tufft. Men...varför ta risken? Min nyfikenhet är inte sååååå stor.

 

Men, jag kommer nog att strunta i hela projektet och lägga det på is. IDG tycker det är bättre att någon som kanske inte har goda intentioner hittar buggen före jag (som har goda intentioner).

 

Dom vill i alla fall att det här ska ske på deras villkor. "Maila mig efter helgen", "Ring mig efter helgen". Kanske dom kan övertala elaka hackare att hacka dem endast på kontorstid och säga till vad de ska göra i förväg. Men jag fungerar inte riktigt så. Jag tänkte vara schysst och lägga ner lite tid och engagemang på att se om teorin går förverkliga men då vill jag göra det.

 

Jag kan förstå att de är rädda att jag ska slå ut någon server eller sänka någon databas. Men det är INTE ett sånt hack. Jag kommer inte behöva gå sådanna vägar. Bara använda de webbsidor som finns på själva webbplatsen och bara använda de webbsider som man har tillgång till när man är inloggad användare (ej alltså någon admin sidor).

 

Därför får vi se om jag har tid, lust eller engagemang efter helgen.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 11:48:38 av mindsleep]

Link to comment
Share on other sites

Anjuna Moon

En tanke - om du nu känner till ett säkerhetsproblem så borde det ju vara rimligt att anta att du upptäckt detta genom tester. Således har du ju redan utfört försöket ;)

 

Vad handlar det om? XSS? Injection? Eller handlar det om andra bakvägar in på servrarna?

[inlägget ändrat 2009-04-04 13:19:41 av Anjuna Moon]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...