Granskning av den släppta Flashback-dumpen

Om dumpen är äkta så är det ju en hel del badwill för RG att ha så usel säkerhet att 40k personnummer kommer på vift. Kan tänka mig att det inte gärna är något de skyltar med.

Ja, den där tabellen med deras kundregister är i synnerhet fejkad. Eller kanske inte...

Ironin är ju att det enda som är bevisat är att det är de som haft ett intrång och blivit av med data.

Om de kört mejladresserna mot lösenordsåterställningen eller medlemsregistreringen, hur kommer det sig att allt tyder på att mejladresserna faktiskt är sorterade i ordning efter användarnamn på Flashback?

Nej databas betyder där hemsida... en hemsida behöver inte ha en databas den kan vara i html bara Men i lagens mening kallas hemsida för databas...

Jag är 100% säker, ja.

Sen om Piscatus medvetet lagt in felaktig information kan jag inte ge ett rakt svar på, utan det har vi försökt svara på i denna tråd. Min teori är att den är korrekt och vi har bevis som pekar på det, jag väljer hellre att lita på en teori som kan backas upp med fakta än att vara en skeptiker.

Jag började granska dumpen rätt snabbt när den lades ut och jag gjorde det med hjälp av kontoskaparfunktionen på register.php, dock patchades detta dagen efter så jag kunde inte granska alla 40.000 e-postadresser. escape. sade att man kunde köra mot https://www.flashback.org/profile.php?do=editpassword och jag frågade om han kunde testa alla 40.000 e-postadresser för att sedan ge mig resultatet.

Flashback skickade ut 17171 mail, ja. Det fanns ingen medveten fördröjning i skriptet vilket gjorde processen väldigt snabb, lite mer än en timme att gå igenom 40.000 e-postadresser.

My har ingen som helst teknisk kunskap om vare sig databaser eller IT-säkerhet så ett uttalande från henne ska tas som en nypa salt.

Piscatus har hackats två gånger, båda gånger med enkla metoder. Piscatus har sagt att de använt det bästa verktyget på marknaden(OSSEC, en WAF), trots att de tabbat sig rejält med säkerheten, t.ex köra DBA som root. Säger som en vän till mig:

Så mycket pengar som lagts på Piscatus och det hackas som det vore en 12-åring som kodat det? Ja, det är klart att RG nekar ett hack, de skäms.

Det är en bra fråga, och det finns inget svar på detta. Det finns snarare mer bevis som tyder på att de har en databas ifrån 2007 och sedan samkört andra hackade databaser för att få ut personnummer.

Det talar ju för att de faktiskt kommit över hela eller delar av FB´s databas. Är det bekräftat att de uthängda finns med i listan? Läste något i en annan tråd om det.

Va fan, haha. Det var väl inte så förvånande dock.

Men, jag får ändå intrycket av att en specifiering av vad "hemsidan" skall innehålla, när man gör ansökan. M.a.p "tillhandahålls på särskild begäran", i motsats till att man "default" blir godkänd om man ansöker att ha nån djävla databas/"hemsida".

Jag kan tyvärr inte hela praxis men det kanske finns ngn förklarande text på myndighetens hemsida... dela gärna med dig av dina nya kunskaper om du hittar ngt intressant

Var kan man kolla ifall man finns med på listan?

Men ordnad efter användarnamn? Vad jag kan se är flashbacktabellen sorterad efter födelsedatum.

Alltså, användarnamnstabellen är borttagen. Om ditt nick börjar på "a" så finns du i början osv. Detta tycks stämma då vi testat ett tiotal användare och verifierat att det tycks vara så. Exempelvis så hade vi rancor och en annan medlem som påstår ha ett konto som börjar på "r" och dessa finns nära varandra i dumpen.

Det är inte svårt att sortera efter användarnamn och sen lägga in alla personnummer i ordning. Kanske behövs mer stickprov för att verifiera om användarnamnsförslaget stämmer.