Granskning av den släppta Flashback-dumpen

Undrar samma sak.

Enbart om Flashback skulle hackas på nytt, ja. Den mailen jag registrerade mig på Flashback är inte den mailen jag använder nu så skulle Flashback hackas på nytt idag så kommer de hitta en anonym mail. Hade Flashback hackats samma dag som jag registrerade mig så hade det varit möjligt.

Nej, men jag tror att de funnits allvarliga sårbarheter förr i tiden. Eftersom jag inte var aktiv förr så kan jag inte svara på det(för jag hade hittat hålen).

Dagens sårbarheter/buggar är mer missbruk av mjukvaran. Det finns givetvis mer buggar och sårbarheter som jag hittat men dessa kan inte direkt användas för att spåra användare utan mer att komma förbi restriktioner.

Efter att ha studerat varje rad kod och funktion på Flashback så är mitt intryck att det är mycket gammal kod som är blandad med ny. Många delar har jag inte kollat på så som IRC-, DNS-och mail-servern. Travelforum har jag kollat en del på och samma veva där, en hel del som inte är genomtänkt.

Jag vet faktiskt inte. Ledningen har varit väldigt passiv och kanske de har en anledning, idk.

Fin research .Chloe.

Jag kan dock inte låta bli att få lite honey pot-vibbar av den där dumpen. Något man bara kastat ihop lite snabbt efter att man fick påhälsning första gången. Sedan kan man sitta och skratta gott åt paniken på Flashback om man skulle få besök igen...

Har du sett några av de icke-publicerade tabellerna från hacket .Chloe? Jag tycker nämligen det känns lite märkligt att Piscatus skulle hålla all den data (alla OCR:ade offentliga handlingar de begär ut etc.) dom påstår sig sitta på i en webbserver. Jag hade inte utfört den här typen av påstådd kartläggning i en burk så enkelt åtkomlig utifrån. Men jag vet inte hur mer webborienterade människor fungerar så...

Edit: Personligen lutar jag väl åt att datan inte kommer från Flashback. Nån spekulerade i att den kunde komma från CDON-läckan från några år sedan (kan stämma utifrån data jag kunnat kontrollera), men alla länkarna är döda där så jag kan inte samköra.

Dumpen läckte ju samma dag som Aftonbladet började sin granskning. Lite för bra för att vara sant. Jag är ganska säker att den läckts medvetet av Researchgruppen just för att skapa oro. Ett fullt medvetet drag.

Jo, jag har påpekat det tidigare också. Ska man tro ursprungspostaren på swehack.org (som för övrigt även reggade sig där några timmar innan Aftonbladets första publicering...) så har han haft tillgång till piscatus.se en längre tid men först iom Aftonbladets publicering valt att dela med sig av den. .Chloe har dock datumtaggat läckan med 2:a februari på pwnad.pw, vilket är typ en vecka innan publicering. .Chloe kanske vet mer där.

Edit: En annan grej när vi har .Chloe på tråden; det verkar som att pwnad.pw är case-sensitive. Kanske kan vara en idé att (om möjligt) bygga om db:n med alla mail-adresser i lower-case och sedan lower-case på det man fyller i formuläret?

Jag har en enligt mig rimlig teori. Svara gärna om ni tror att jag är helt ute och cyklar, och varför.

Tänk att de har en hypotetiskt databas sammanställd från div. hackade svenska hemsidor med registrerade användare. Där har de massor av mejladresser, användarnamn och personnummer sammankopplade. De kollar vilka av dessa användarnamn samt mejladresser som finns registrerade på Flashback.

1. Det skulle dels ge dem en lista på några mejladresser registrerade på Flashback som de inte känner till användarnamn på (därav utelämnandet av användarnamn i dumpen).
2. Till denna lista har de lagt till användarnamn som finns i deras hypotetiska databas från andra hemsidor, men som också finns registrerade på Flashback. Eftersom de inte vet om dessa användare har använt samma mejladress på Flashback som de har gjort i deras hypotetiska databas, så har de i listan angett den mejladress som är sammankopplat med användarnamnet i den hypotetiska databasen. Det skulle förklara varför flera mejladresser i "Flashback-dumpen" inte finns registrerade på Flashback.
3. Därefter har de sållat ut alla de inte har lyckats hitta något personnummer på. Vissa personnummer är dessutom felaktiga, vilket tyder på att de har en lista med personnummer från en icke-statlig källa, exempelvis en hemsida där det är möjligt att ange ett felaktigt personnummer. De personnummer de har fått rätt kan komma från samkörning med register från någon statlig myndighet som personen har haft kontakt med via mejl, eller så har personen helt enkelt uppgett sitt riktiga personnummer någonstans.

Ovanstående skulle även förklara varför de bara har en lista på 40000 mejladresser, av över 900000 registrerade användare på Flashback.

Fint jobb! .Chloe var det förresten inte du som visade att det gick att hitta identiteter genom att testa en massa epostadresser mot återställningsfunktionen på Flashback? Är det inte möjligt att Piscatus har haft tillgång till stora mängder epostadresser från CDON eller vilken annan källa som helst och bara testat vilka som fanns på Flashback, och sedan på något sätt klurat ut vilket konto som hörde till vilken epost? Eller hur var det du gjorde?

Alltså att det här kanske inte är någon databasdump från Flashback, utan snarare en dump som Piscatus har sammanställt själva utan att forumet nödvändigtvis blivit hackat? Eller finns det något annat som tyder på att detta kommer direkt från Flashback?

Hur många medlemmar finns på Travelforum?
Då jag hittade mig själv i dumpen, men aldrig använt den mailen här utan på mitt mer öppna konto
med annat nick på Travelforum, kan det vara därifrån läckan kommer?

Vad menar du med det här?

Att Flashback har gammal programvara som teknikerna efter eget huvud har byggt på med ny. Det behöver inte vara dåligt, men det är ju uppenbart inte vattentätt i det här fallet, och då menar jag inte dumpen utan de hål som Chloë faktiskt har hittat.

glitch har varit inne i Piscatus sen länge men valde att släppa Piscatus-dumpen samma dag då RG valde att gå ut med Flashback-identiteter, detta enligt hens utsago på swehack.

Ja, den är tyvärr case-sensitive och ska bygga om allting. Det är dock lätt. Gäller bara att ta alla dumpar och göra de till lower-case för att sedan kasta in dem i databasen igen.

Jo, det var jag som skapade den tråden. Det är absolut en teori som jag köper!

Klientkod. Jag har givetvis inte studerat varje funktion på Flashback, det var mer ett uttryck att jag försökt hitta massa buggar under en lång tid.

Du är guld.

Utan några vidare kunskaper inom IT-säkerhet har jag funderat en hel del på olika sätt att pussla fram användarnas identiteter idag. Ett väldigt simpelt sätt som jag kom att tänka på var följande:

Jag antar att det finns en hel del läckta databaser som florerar på nätet. Att roffa åt sig användaruppgifter från ett litet phpBB2-forum i en bortglömd del av internet kanske är en baggis. Och det skulle väl inte uppmärksammas heller. Ett spelforum jag hängde på för några år sedan har 5000 användare, men jag är övertygad om att en överväldigande majoritet av svenskarna inte ens känner till spelet i fråga. Och jag är övertygad om att (nu kommer jag använda termer jag inte bemästrar) lösenorden är krypterade med vanligt md5-hash utan några krusiduller. Om ett sådant forum smälls upp på ett webbhotell efter standardmodell och utan några som helst åtgärder för att öka säkerheten, då är det väl inte så svårt att komma åt användardatabasen eller?

Från mitt lilla spelforum har jag förresten bland annat hittat en administratör som hade samma användarnamn på flashback. Skillnaden var att istället för att promota sitt spel så skrev han "anonymt" på flashback om hur ofta han runkade på sommaren.

Min tes är hur som helst att man med hjälp av dessa "smådatabaser" kan söka efter användarnamn som återfinns på både flashback och de databaser man har tillgång till. Hittar man användarnamn som finns på flashback + en annan databas, då har man plötsligt en mailadress som potentiellt går till en flashbackare. Och finns dessutom den mailadressen i en annan databas - såsom den läckta från CDON - då har man ett potentiellt personnummer att knyta till flashbackaren. Skulle man kunna knyta inlägg från en flashback-läkare till ett personnummer som tillhör en läkare, ja då kan man vara hyfsat säker på att man dessutom hittat rätt.

---

Med det sagt: Det jag tror är inte att de gjort på detta sätt. Jag tror att de kommit över en gammal dump på något sätt jag inte begriper mig på. Jag kan ju som sagt inte det här med IT-säkerhet. Det är inte konstigt att jag är en av de 40 000.