Just nu i M3-nätverket
Gå till innehåll
mindsleep

Eforum bugg. Ta över användarkonton.

Rekommendera Poster

mindsleep
En tanke - om du nu känner till ett säkerhetsproblem så borde det ju vara rimligt att anta att du upptäckt detta genom tester. Således har du ju redan utfört försöket ;)

 

Svar: Ja, men inte så mycket att jag skulle kunna dra på mig en polisanmälan ;)

 

Tyvärr för eforum har de "inledande" testerna fungerat. NOTERA...jag har INTE brytit mot några regler vid detta. Varken eforums eller sveriges lag.

 

Vad handlar det om? XSS? Injection? Eller handlar det om andra bakvägar in på servrarna?

 

Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om (eftersom jag inte vill att 100 personer ska börja söka)...men det är faktiskt inte bara 1 sårbarhet som gör en attack möjlig.

 

Det är INTE en DIREKT server attack.

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-04 17:51:41 av mindsleep]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Anjuna Moon
Jag vill faktiskt inte gå in alltför detaljerat vad det handlar om

=D

Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen (du har min mailadress, så chansen finns ju att övertyga mig utan att "bryta mot lagen")

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
mindsleep

A

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

[inlägget ändrat 2009-04-05 04:37:01 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:19 av mindsleep]

[inlägget ändrat 2009-04-05 04:46:37 av mindsleep]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
mindsleep
Jag skall inte pressa dig mer; avslutar mitt deltagande i tråden med att säga att bristen på "action" eller fakta talar för sig själv.

Än en gång, I like you, men jag måste vidhålla att jag anser att du snackar xxx tills jag ser bevis på motsatsen

 

Du tycker att mitt producerande av "action" eller "fakta" vore en bra idé i en publik tråd på idg? Kanske är det du som borde bli polisanmäld ;)

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Avicii
Anjuna Moon skrev:

Jag kan inte rapportera något om jag inte får testa det. Än så länge är det en teori.

 

Hehe, erkänn, ikväll var du "full of shit"

Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat. ;)

 

Citat från tidigare inlägg:

mindsleep skrev:

Ja, har provat någon månad nu att försöka ställa några frågor...

Resultat=Inga svar.

 

Tror knappast att mina obesvarade trådar beror på att jag blivit fullärd... Det är snarare ett bevis på att forumet blivit mindre "kvalificerat"

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
mindsleep
Jag tror mindsleep vill ha uppmärksamhet och att forumet inte längre är tillräckligt kvalificerat.

 

Du får tro vad du vill. Men så är det tyvärr inte.

 

Var nyfiken och ville vara bussig. Det uppskattas tyvärr inte.

 

Lesson learned!

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Monshi

uppskattas/uppskattas inte? Tycker nog Pontus givit ett klar besked:

Gör det inte på eget bevåg!

Kontakta honom och se vad nästa steg är. Kanske han då, med tekniker bredvid sig, ger dig ett konto att visa vad du kan göra. Eller att du ger en beskrivning av tänkta attacken och de testar det. Tack för att du uppmärksammat det, om det stämmer, kommer du givetvis att få. Annat vore dumt.

 

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Avicii
mindsleep skrev:

 

Du får tro vad du vill. Men så är det tyvärr inte.

Du såg min smiley...

 

Seriously, jag tror dig. Och att din intention är 100% ärlig.

 

Ge inte upp forumet bara för detta lilla hinder. Hinder är till för att klivas över.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Pontus Jeppsson

Uppdatering i det här ärendet:

 

Jag fick ett mejl igår från Mindspleep med all info om det här, och vidarebefodrade det genast till vår utvecklingsschef. Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

 

Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.

 

Stort tack till Mindsleep som uppmärksammade oss på felet!

 

Jag vill poängtera att vi har inga som helst indikationer på att den här luckan någonsin utnyttjats. Det skulle i så fall leda till att den om egentligen äger medlemskontot inte längre kan logga in. Så om du kan logga in på Eforum utan problem kan du alltså vara säker på att ingen har utnyttjat den här säkerhetsluckan för att få tillgång till ditt konto.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Laso

Där ser man, då var det bra, att mindsleep, anmälde allt och i rätt ordning, precis som vi önskade att han skulle göra.

En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Pontus Jeppsson
En liten fråga bara, skulle detta säkerhetshål ha kunnat uppstå i den nya plattformen som är på gång?

 

Nope, det hade det inte.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia
Våra tekniker har gjort en snabbfix för att täta luckan omedelbart. Den är ute nu. Samtidigt har vi börjat på en mer grundlig lösning som kommer ut i nästa vecka, som kommer att höja säkerheten ytterligare.
Skönt att höra!

 

Tack och poäng till mindsleep! :thumbsup:

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Anjuna Moon
Mindsleeps teori visade sig stämma, vi hade ett säkerhetshål som om det utnyttjades skulle kunna leda till att en obehörig fick tillgång till andras medlemskonton.

I stand corrected Mindsleep och jag ber dig om ödmjuk ursäkt för att jag trodde du raljerade. Tumme upp man! :thumbsup:

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
mindsleep

Ja, där fick ni ;)

 

Tack för poäng!

 

//MVH Mindsleep

 

I am who i am, you are who you are, i respect that

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...