1. Dator och IT
  2. IT-säkerhet

gawker - källkod och databas (användarnamn och lösenord)

Svara
2010-12-13, 08:38
  #13
Läskig
Medlem
Läskigs avatar
Helt obegripligt hur så stora sidor kan ha så otroligt dålig säkerhet, speciellt sidor som riktar in sig på IT/Teknik, riktigt pinsamt...

Här går det se om man är drabbad för övrigt: http://www.google.com/fusiontables/D...?dsrcid=350662
Citera
2010-12-13, 09:38
  #14
Cazero
Medlem
Cazeros avatar
Jävlar, nu börjar det hända saker!
Citera
2010-12-13, 13:20
  #15
Rews
Medlem
Rewss avatar
TPB länknen är död, någon som vet vart det finns en mirror?

edit hitta en!: http://www.btloft.com/download/Gawkm...rows_..torrent
__________________
Senast redigerad av Rews 2010-12-13 kl. 13:32.
Citera
2010-12-13, 13:48
  #16
Alfredsen
Medlem
Alfredsens avatar
Citat:
Ursprungligen postat av anwes1
Hehe, sitter här med 7 nya spel
Hur lyckades du med det? Har testat att logga in på ett flertal hotmails och yahoo konton men inga fungerade. Även ftp adresserna.
Citera
2010-12-13, 15:51
  #17
zappBrannigan
Medlem
zappBrannigans avatar
Märkligt att torrenten är borta från piratebay. Stoltserar inte dem med att de aldrig tar bort något?
Här är en magnetlänk som fungerar:
magnet:?xt=urn:btih:LM5IOEUCAID4XQICJFTVIAGPLUCDFP HB (ta bort eventuella mellanslag som FB stoppar in)

Där finns 188k knäckta lösen, hela dumpen är på 1,2mill rader men jag tror bara det är ca 500k med en hash / epost. Det jag lurar på är hur hashen har skapats. Det sägs att det bara är DES men som jag förstår det skijler sig hashar som skall vara samma lösen, så vad för salt har använts?
Citera
2010-12-13, 16:23
  #18
Ettan1
Medlem
Ettan1s avatar
Citat:
Ursprungligen postat av Läskig
Helt obegripligt hur så stora sidor kan ha så otroligt dålig säkerhet, speciellt sidor som riktar in sig på IT/Teknik, riktigt pinsamt...

Här går det se om man är drabbad för övrigt: http://www.google.com/fusiontables/D...?dsrcid=350662

Vem vet, deras säkerhet kanske var riktigt bra men det var någon/några som lyckades klura ut ett sätt att ta sig runt ändå. Ingenting är omöjligt, som Gunde Svan sa!
Citera
2010-12-13, 17:23
  #19
anwes1
Medlem
Citat:
Ursprungligen postat av Alfredsen
Hur lyckades du med det? Har testat att logga in på ett flertal hotmails och yahoo konton men inga fungerade. Även ftp adresserna.
Var snabb nog på hotmail adresserna Fick mig en liten "egen" lista.

Folk är ju dumma nog att ha samma lösen på diverse saker..
Citera
2010-12-13, 21:08
  #20
of lot 49
Medlem
Torrent-filen heter Gawkmedia source code + database release (1,300,000 rows).

Dessa filer i torrenten ska innehålla lösenord i klarspråk:

02. database/parsed_db.txt [9MB]
03. database/dumb_passwords.txt [133KB]

Det här tror jag är readme-filen:

http://pastebay.com/111830

Mer information:

http://www.reddit.com/r/programming/...uses/?sort=new
Citera
2010-12-14, 15:54
  #21
[complex]
Medlem
[complex]s avatar
The hashes are generated by Unix's crypt(3). Brute forcing it is just a matter of massaging the data into the right format and running it through John the Ripper:
$ gawk -F":::" '$2 !~ /NULL/ { print $1 ":" $2 ":::" $NF }' full_db.log | sed -e 's/ //g' > hashes.txt
$ john hashes.txt

...
Dom använder DES för hash. Nån som pallar bruteforca och se hur långt ni kommer? Kanske själv försöker mig på detta sen. Ska bara ta reda på lite mer info...
Tar tid att sortera listorna rätt.

editz:
http://seclists.org/nmap-dev/2010/q4/674
__________________
Senast redigerad av [complex] 2010-12-14 kl. 15:57.
Citera
2010-12-14, 19:39
  #22
Uppjagad
Medlem
Citat:
Ursprungligen postat av pidget
Citat:
Ursprungligen postat av Nytt-konto
Någon som har lite bakgrunds fakta?

Vad är det för sida som vart hackad? Varför bråkade 4chan med dom och tvärtom? osv

http://pastebin.com/9rRmf6W5

Jag undrar det också, länken funkar inte längre, någon som har lite info?
Citera
2010-12-14, 20:14
  #23
of lot 49
Medlem
Citat:
Ursprungligen postat av Uppjagad
Jag undrar det också, länken funkar inte längre, någon som har lite info?

Kort sagt har Gawker skrivit illa om 4chan i flera artiklar, bl.a. i samband med att 4chan hängde ut och trakasserade en ung flicka. Man kan läsa er om det här.

Den här hackningen har dock inte med "anon" eller 4chan att göra. Det förklarar gruppen bakom hacket, Gnosis, i den här intervjun:
Citat:
What motivated you to hack Gawker? Did you have something against Denton, Gawker or the its writers? Or all of them?

T: We were motivated by the sheer arrogance of the Gawker group of bloggers. We are a technologically minded group of people, and we enjoy a challenge.

When we got in, we were shocked by the apparent lack of any layers of security, setting off a chain, leading to compromise.

N: As for the question about if this is a thing against its writers, I personally have nothing against them, they have built what they call an “empire” and I respect that. So no, it is nothing personal.

So this had nothing to do with the 4chan/Gawker spat many months ago? Are you saying it’s unrelated?

N: Completely.

I [wrongly] assumed the two incidents were connected?

N: We read about these as they happened and thought nothing of them but a member brought it up and we decided to see if we could get inside Gawker but the large gap was because we didn’t really care at the time.

But after a quick pentest we discovered how truly arrogant they were, which makes more sense if you know the levels of security within Gawker.
Personligen vet jag inte vilken grupp jag ogillar mest - de 15-åriga tjockisarna på 4chan eller Gawkers dryga, kvinnomisshandlande hipster-"journalister"
Citera
2010-12-15, 00:33
  #24
of lot 49
Medlem
Gawkers hantering av det här är ju så pinsam. Inte nog med att de har krypterat lösenorden så illa, och därmed satt sina användares säkerhet på spel, i hacket finns också IM-konversationer mellan Gawker-anställda som öppet konstaterar att de skiter i om några konton har hamnat på drift. De har skickat ut ett mejl till samtliga användare med en varning nu, men detta var först efter några dagar, och efter att en annan grupp (hint.io) på eget bevåg mejlade alla vars lösenord läckt ut och varnade.

Jag har kollat igenom torrenten nu, och det finns gott om både .gov-adresser och svenska användare, både i parsed_db.txt, som innehåller lösenord i klartext, och i full_db.log, som innehåller samtliga lösenord, men hashade.

En diskussion om hacket pågår också på XKCD:s forum, och enligt dessa ska inte hela lösenord ha läckt ut om ens lösenord var längre än åtta bokstäver:
Citat:
Some technical details: Gawker uses an ancient function called crypt() which uses LM hash, an old broken hash algorithm based on DES. They use it without a salt. That makes these passwords stupid easy to crack. Sans rainbow tables, an LM hash can be brute-forced in a matter of minutes - if that.

What this means: there is good news. If you have a Gawker account and your password is greater than 8 characters, you need to change it (though you'll notice you can log in with only the first 8 chars) but if you used it on other sites you're okay because LM hash only hashes 8 characters. There is also bad news: if you have a Gawker account and your password is less than or equal to 8 characters and you use it on other sites, you're fucked. Go change it now.
Jag är analfabet när det gäller datorsäkerhet, hashar, MD5 och allt vad det heter, men vad säger ni som är lite mer kunniga? Stämmer det personen ovan hävdar? Och hur skulle man cracka de hashar som kommit ut, med brute force eller?

Även om man inte kan få ut mer än lösenordets åtta första bokstäver är det ändå ganska integritetskränkande, man kan ju t.ex. via e-postadresserna, som lagrats i klartext, enkelt koppla samman en person med ett Gawker-konto. Byt bara ut username i länken här mot användarnamnet från torrenten . . .

http://gawker.com/people/username/

. . . så får man se alla kommentarer kopplade till en viss e-postadress. Det har redan gett en del intressanta resultat för mig - folk på stora skivbolag, reklambyråer, myndigheter och så vidare som skamlöst, och under alias, har pluggat sina egna verksamheter.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in