Just nu i M3-nätverket
Gå till innehåll

Eforum bugg. Ta över användarkonton.


mindsleep

Rekommendera Poster

En tanke - om du nu känner till ett säkerhetsproblem så borde det ju vara rimligt att anta att du upptäckt detta genom tester. Således har du ju redan utfört försöket ;)

 

Svar: Ja, men inte så mycket att jag skulle kunna dra på mig en polisanmälan ;)

 

Tyvärr för eforum har de "inledande" testerna fungerat. NOTERA...jag har INTE brytit mot några regler vid detta. Varken eforums eller sveriges lag.

 

Vad handlar det om? XSS? Injection? Eller handlar det om andra bakvägar in på servrarna?

 

Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om (eftersom jag inte vill att 100 personer ska börja söka)...men det är faktiskt inte bara 1 sårbarhet som gör en attack möjlig.

 

Det är INTE en DIREKT server attack.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 17:51:41 av mindsleep]

Länk till inlägg
Dela på andra webbplatser
Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om

=D

Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen (du har min mailadress, så chansen finns ju att övertyga mig utan att "bryta mot lagen")

 

 

 

Länk till inlägg
Dela på andra webbplatser

A

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-05 04:37:01 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:19 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:37 av mindsleep]

Länk till inlägg
Dela på andra webbplatser
Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen

 

Du tycker att mitt producerande av "action" eller "fakta" vore en bra idé i en publik tråd på idg? Kanske är det du som borde bli polisanmäld ;)

 

Länk till inlägg
Dela på andra webbplatser
Anjuna Moon skrev:

Jag kan inte rapportera något om jag inte får testa det. Än så länge är det en teori.

 

Hehe, erkänn, ikväll var du "full of shit"

Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat. ;)

 

Citat från tidigare inlägg:

mindsleep skrev:

Ja, har provat någon månad nu att försöka ställa några frågor...

Resultat=Inga svar.

 

Tror knappast att mina obesvarade trådar beror på att jag blivit fullärd... Det är snarare ett bevis på att forumet blivit mindre "kvalificerat"

 

 

Länk till inlägg
Dela på andra webbplatser
Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat.

 

Du får tro vad du vill. Men så är det tyvärr inte.

 

Var nyfiken och ville vara bussig. Det uppskattas tyvärr inte.

 

Lesson learned!

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Länk till inlägg
Dela på andra webbplatser

uppskattas/uppskattas inte? Tycker nog Pontus givit ett klar besked:

Gör det inte på eget bevåg!

Kontakta honom och se vad nästa steg är. Kanske han då, med tekniker bredvid sig, ger dig ett konto att visa vad du kan göra. Eller att du ger en beskrivning av tänkta attacken och de testar det. Tack för att du uppmärksammat det, om det stämmer, kommer du givetvis att få. Annat vore dumt.

 

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

Länk till inlägg
Dela på andra webbplatser
mindsleep skrev:

 

Du får tro vad du vill. Men så är det tyvärr inte.

Du såg min smiley...

 

Seriously, jag tror dig. Och att din intention är 100% ärlig.

 

Ge inte upp forumet bara för detta lilla hinder. Hinder är till för att klivas över.

 

Länk till inlägg
Dela på andra webbplatser
Pontus Jeppsson

Uppdatering i det här ärendet:

 

Jag fick ett mejl igår från Mindspleep med all info om det här, och vidarebefodrade det genast till vår utvecklingsschef. Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

 

Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.

 

Stort tack till Mindsleep som uppmärksammade oss på felet!

 

Jag vill poängtera att vi har inga som helst indikationer på att den här luckan någonsin utnyttjats. Det skulle i så fall leda till att den om egentligen äger medlemskontot inte längre kan logga in. Så om du kan logga in på Eforum utan problem kan du alltså vara säker på att ingen har utnyttjat den här säkerhetsluckan för att få tillgång till ditt konto.

 

Länk till inlägg
Dela på andra webbplatser

Där ser man, då var det bra, att mindsleep, anmälde allt och i rätt ordning, precis som vi önskade att han skulle göra.

En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Länk till inlägg
Dela på andra webbplatser
Pontus Jeppsson
En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Nope, det hade det inte.

 

Länk till inlägg
Dela på andra webbplatser
Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.
Skönt att höra!

 

Tack och poäng till mindsleep! :thumbsup:

 

Länk till inlägg
Dela på andra webbplatser
Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

I stand corrected Mindsleep och jag ber dig om ödmjuk ursäkt för att jag trodde du raljerade. Tumme upp man! :thumbsup:

 

Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu


×
×
  • Skapa nytt...