Varför skulle de kunna veta vad du skrev i PM för att de har en databas som innehåller användarnamn och epostadresser?

De säger att de har Flashbacks databas. Den innehåller inte bara användarnamn och epostadresser utan även användarnas pm.

Researchgruppens agerande är en avledande manöver, målet är att få Flashbacks servrar utkastade från en viss serverhall. Det verkar pågå en stark lobby att få serverhallens ägare att ta detta beslut.

En viss person intill skelettkvinnan plus en sur modell verkar ha teamat upp ihop med RG och när jag sen läser här på flashback ser jag också att det är ett mycket stort intresse från Lexbase (Jonas Häger/Magnus Gröndal och nyinvalde advokaten Hans Backman) som är inne här och kommenterar flitigt under sina hemliga alias, vilket 1:06 förbjuder mig att precisera, men deras intresse och kommentarer pekar direkt på att de är involverade i RG:s senaste utspel.

Hur nu dessa har fått ihop det och vem som tjänar vad på denna attack överlåter jag åt er att gräva vidare i, att några SD:are åkte ur partiet blev bara bonus för RG som har som huvudmål att sänka Flashback, och det lär säkert finnas fler aktörer som inte avslöjats än.

Alltså ska ni inte enbart titta på SD och Afa som aktörer, det skönjs ekonomiska intressen här också.
Gräv på !

Researchgruppens påstående att de skulle ha tillgång till Flashbacks databas faller på sin egen orimlighet. Orsakerna är följande:

1. Första gången Researchgruppen hävdade att de hade databasen var för över ett halvår sedan. Det är en helt orimlig tanke att de skulle ha suttit på en sådan godbit så länge utan att det lett till en enda publicering.

Researchgruppens påstående att de skulle ha tillgång till Flashbacks databas faller på sin egen orimlighet. Orsakerna är följande:

1. Första gången Researchgruppen hävdade att de hade databasen var för över ett halvår sedan. Det är en helt orimlig tanke att de skulle ha suttit på en sådan godbit så länge utan att det lett till en enda publicering.

2. Researchgruppen skulle åtminstone ha spritt lite uppgifter ur databasen på Twitter då och då i syfte att skryta om sitt kap och skrämma folk. Så höll de på hela tiden under perioden de arbetade med att identifiera personer som kommenterat med Disqus.

3. Researchgruppen har tidigare publicerat uppgifter som påståtts komma ur databasen, men som visat sig inte stämma. Se admins inlägg här. Om de faktiskt hade databasen hade uppgifterna varit korrekta.

4. Admin har bett Researchgruppen presentera bevis för att de har databasen, men inte fått något sådant.

Slutsatsen blir att Researchgruppen har gjort sig skyldiga till en fräck bluff och lurat varenda större tidning i Sverige. Nu gäller det bara att avslöja bluffen offentligt så har Researchgruppen förintat sin trovärdighet hos den svenska journalistkåren (det vill säga deras kunder) för överskådlig tid framåt.

Bäst vore förstås om admin själv nu kunde agera med kraft för att försvara sina forumanvändare, som ständigt skräms upp och trakasseras av dessa otäcka typer. Det är lätt gjort. Admin bör höra av sig till alla tidningar som trott på Researchgruppen med ett genmäle, där han utmanar Researchgruppen att presentera bevis för sitt påstående. Han bör också uppmana journalisterna som skrivit om det här att ställa Researchgruppen mot väggen och kräva bevis.

Men du som vanlig Flashbackanvändare kan förstås också agera! Maila, ring, eller twittra till Researchgruppen och be dem bevisa att de har databasen genom att exempelvis göra något av följande: 1) berätta vilken epost du använt när du registrerade ditt konto, 2) uppge något ipnummer som du skrivit inlägg från eller 3) citera något pm som du skickat.

Skriv sedan i tråden och berätta vad ni får för svar.

Något annat som kan göras är att höra av sig till de journalister som skrivit om detta, påpeka att Researchgruppen sannolikt bluffar och uppmana journalisterna ifråga att göra sitt jobb, det vill säga ta reda på om det här stämmer eller inte istället för att okritiskt publicera lösa rykten.

Skriv gärna i tråden om ni har fler idéer om hur Researchgruppens bluff kan synas.

Nu vet jag att bilden som postats på dumpen är fejk, men jag vill ändå tillägga att misstaget de gjorde var ju att censurera mejladresser då man kan kontrollera om de finns i databasen eller ej. Admin kan säkert också verifiera detta genom att kolla om adresserna stämmer överens.

Alla seriösa aktörer använder rikligt med salt och peppar på hashen så även om ditt lösen är "12345" så kommer det vara en jävla plåga att bruta fram det.

Så det man kan ha gjort är att parsa alla medlemmar(detta har jag gjort, inte svårt) och lagt till en mailadress från någon privat dump för att sedan seeda random till en phpBB3-hashfunktion.

Man ger sedan denna dump till RG, sedan frågar RG: "men hur ska vi veta lösenorden?" och hackern svarar "Lycka till för 512-bitars statiskt salt har använts", därför kan aldrig RG verifiera att uppgifterna faktiskt stämmer, allt de vet med största sannolikhet är att username och regdate stämmer medan mailadressen och hashen kan stämma.

Anledningen till att det skulle vara en satans plåga att bruta flashbacks hashar beror på att servern aldrig mottager klartext utan en MD5:a. Det betyder att det finns totalt 2^127 olika kombinationer som flashback har i sin databas.

Om vi nu skulle ponera att dumpen är äkta så skulle hashvägen kunna se ut så här om Flashback har halvtaskig säkerhet:
phpBB3(salt(md5))

Så när du tagit dig förbi phpBB3-hashen så återstår en MD5:a med ett salt där du inte vet saltordningen eller saltmängd.

Möjligt att RG lyckas ta sig in på konton även om de hade databasen?
Nej.

Nu vet jag att bilden som postats på dumpen är fejk, men jag vill ändå tillägga att misstaget de gjorde var ju att censurera mejladresser då man kan kontrollera om de finns i databasen eller ej. Admin kan säkert också verifiera detta genom att kolla om adresserna stämmer överens.

Alla seriösa aktörer använder rikligt med salt och peppar på hashen så även om ditt lösen är "12345" så kommer det vara en jävla plåga att bruta fram det.

Så det man kan ha gjort är att parsa alla medlemmar(detta har jag gjort, inte svårt) och lagt till en mailadress från någon privat dump för att sedan seeda random till en phpBB3-hashfunktion.

Man ger sedan denna dump till RG, sedan frågar RG: "men hur ska vi veta lösenorden?" och hackern svarar "Lycka till för 512-bitars statiskt salt har använts", därför kan aldrig RG verifiera att uppgifterna faktiskt stämmer, allt de vet med största sannolikhet är att username och regdate stämmer medan mailadressen och hashen kan stämma.

Anledningen till att det skulle vara en satans plåga att bruta flashbacks hashar beror på att servern aldrig mottager klartext utan en MD5:a. Det betyder att det finns totalt 2^127 olika kombinationer som flashback har i sin databas.

Om vi nu skulle ponera att dumpen är äkta så skulle hashvägen kunna se ut så här om Flashback har halvtaskig säkerhet:
phpBB3(salt(md5))

Så när du tagit dig förbi phpBB3-hashen så återstår en MD5:a med ett salt där du inte vet saltordningen eller saltmängd.

Möjligt att RG lyckas ta sig in på konton även om de hade databasen?
Nej.