1. Dator och IT
  2. IT-säkerhet

Hackat större e-handel, hur berätta för ägaren?

Svara
2012-11-02, 13:18
  #25
herrgris
Medlem
Citat:
Ursprungligen postat av Nr77
it säk som hobby och frågar hur man skickat ett anonymt mail

Jag har väl för helvete aldrig frågat hur man skickar ett mail anonymt. Min fråga handlade om moralen i det hela + erfarenheter från andra som har vart i liknande situation. Jag vill helt enkelt veta vad man kan förvänta sig för reaktioner på denna typ av handling.
Citera
2012-11-02, 13:20
  #26
svampdamp
Medlem
svampdamps avatar
Citat:
Ursprungligen postat av Farbror Fazer
Du har inte förstått vad TS frågade efter eller?

Det framgår ganska tydligt

Citat:
Nu har jag hackat en - stor - svensk webbshop och har dumpar av alla deras databaser. Moralen säger att jag borde berätta för företaget att de har ett säkerhetshål.
Hur gör man detta på ett lämpligt sätt?

Det ändrar inte faktumet att med TS kunskap bör man utan problem finna olika metoder.
TS bör se det som att annonymt hyra en målvakt som lämnar ett paket vid någons dörr och sedan försvinner från platsen. Målvakten i det här fallet kan representeras som en leverantör som tillhandahåller e-post tjänster.

Ta en fattig leverantör i något underutvecklat land, registrera med tor(för skojjs skull välj en slutnod i exempelvis Ryssland), skicka mailet. Glöm bort att det skett.
Citera
2012-11-02, 13:21
  #27
herrgris
Medlem
Citat:
Ursprungligen postat av UltraMind
Varför sitter du och hackar gratis?

Måste ju vara mängder med företag som betalar för att bli hackade.

Jag hade bara skitit i allt, finns ju ingen uppsida alls att delge info i det här läget.

Som jag skrev tidigare. Det är bara en tidsfråga innan någon annan hittar hålet och förstör. Är inte det uppsida tillräckligt att berätta för webbplatsens ägare?
Citera
2012-11-02, 13:39
  #28
AbdullahSvensson
Medlem
AbdullahSvenssons avatar
Ring och säg att du vill förhandla. Det finns alltid pengar att tjäna.
Du måste komma ihåg att de här företagen vill ha en stabil webbshop till varje pris.
Det är bara att säga att du har hittat ett major problem och kan peka ut allt för en rimlig ersättning.

De kommer ju inte stämma dig.

Ett tips är att du besöker deras huvudkontor så tas det på större allvar.
Så länge du bara pekar ut var potentiella fel finns så behöver du inte oroa dig för en stämning.
__________________
Senast redigerad av AbdullahSvensson 2012-11-02 kl. 13:43.
Citera
2012-11-02, 13:41
  #29
Fliinch
Medlem
Fliinchs avatar
Citat:
Ursprungligen postat av herrgris
Jag har väl för helvete aldrig frågat hur man skickar ett mail anonymt. Min fråga handlade om moralen i det hela + erfarenheter från andra som har vart i liknande situation. Jag vill helt enkelt veta vad man kan förvänta sig för reaktioner på denna typ av handling.

Höll på en del med "It-säkerhet" när jag var yngre.

En av sidorna jag tog mig in på hette typ "sorc eller zorc?". Var en community som gjorde reklam i Metro.

Skickade ett mail och pekade ut luckorna (sql-injections).

Borde väl skickat mailet via proxy men blev inte så den gången.
Fick senare ett tack-mail från admin.

Tycker, som påpekats tidigare, att du ska skicka ett anonymt mail.
Är det en förnuftig admin uppskattas det!
Citera
2012-11-02, 13:52
  #30
Farbror Fazer
Medlem
Farbror Fazers avatar
Citat:
Ursprungligen postat av svampdamp
Det framgår ganska tydligt



Det ändrar inte faktumet att med TS kunskap bör man utan problem finna olika metoder.
TS bör se det som att annonymt hyra en målvakt som lämnar ett paket vid någons dörr och sedan försvinner från platsen. Målvakten i det här fallet kan representeras som en leverantör som tillhandahåller e-post tjänster.

Ta en fattig leverantör i något underutvecklat land, registrera med tor(för skojjs skull välj en slutnod i exempelvis Ryssland), skicka mailet. Glöm bort att det skett.

Om du läser tråden så anser jag att det framgår väldigt tydligt att TS INTE frågar hur man gör för att kontakta någon anonymt.
Citera
2012-11-02, 14:20
  #31
Koreanskbot
Medlem
Koreanskbots avatar
Citat:
Ursprungligen postat av moore
Jag ser inte din problematik så länge du har vidtagit alla åtgärder för att vara anonym. Då är det bara att maila dem informationen. Om det nu verkligen är det du vill och inte bara skriva lite om det här.

Är du inte säker på det, hade jag bara låtit det bero och bara se det som ett lyckat "bus".

Om han nu har lyckats komma över personers konton, personnummer, kreditkort m.m så är det viktigt att han meddelar företaget så att de kan täppa till hålet innan någon annan missbrukar det på ett dåligt sätt. Nu har han inte nämnt vad det är han har kommit över men ändå.
Citera
2012-11-02, 14:49
  #32
speeder
Medlem
Kan du inte baka en jättestor tårta? I tårtan placerar du en inhyrd polack eller estländare utklädd till cowboy som håller i en låtsas-pistol,
Pistolen är en sådan typ som när man trycker på avtryckaren så kommer det ut en flagga med texten; "Ni har ett säkerhetsproblem!" ?

Vore inte det ett kraftfullt sätt att kontakta dom?

Eller?

Citera
2012-11-02, 15:00
  #33
Joomla
Medlem
Joomlas avatar
Om du nämner dumpar på en gång borde väl sannolikheten att de vill polisanmäla vara större. Istället kontaktar du de på valfritt sätt (lättast via anonym mejl så kan ni föra dialog) och berättar att du, som säkerhetsintresserad, har hittar luckor i deras system. Sen ser du vad du får för svar. Om de bemöter dig otrevligt eller dåligt tycker jag att du däremot skickar ett utdrag ur deras databas utan att beskriva luckorna, och bryter kommunikationen efter det.
Citera
2012-11-02, 15:45
  #34
detaljerdetaljer
Medlem
detaljerdetaljers avatar
Citat:
Ursprungligen postat av herrgris
Hej!

Jag har IT-säkerhet som hobby och brukar "busa" en del på kvällstid. Jag har inget behov av att förstöra för andra, utan är av den typen som gör för att bevisa för mig själv att jag kan.

Nu har jag hackat en - stor - svensk webbshop och har dumpar av alla deras databaser. Moralen säger att jag borde berätta för företaget att de har ett säkerhetshål.

Hur gör man detta på ett lämpligt sätt? Funderade på att dra iväg ett mail via tormail till dem som förklarar att de har ett hål + skicka med "bevis" (exempel på dumpar).

Nu är ju vad jag har gjort olagligt, och jag antar att den stackars IT-chefen kommer att känna sig kränkt och kommer därmed vilja polisanmäla mig.

Finns det något annat sätt att berätta för dom? Någon annan som har vart i liknande situation?

Utsatte mig för en liknande sitvation där jag råka få admin rättigheter på en box som dom körde webhotell på. Efter att jag insett att jag borde informera dom tog jag kontakt med skyddat nummer från kontant-mobilen, fick omgående tag på adminen och förklara att jag inte ville berätta vem jag var men att jag rootat en av hans boxar. Han lät som han trodde att jag trolla han tills jag berätta vilken burk jag hackat, och erbjöd att maila han alla säkerhetshål jag hittat. Självklart reggade jag en ny epost, via proxy som jag skickade all info från.

Mitt enda råd är att alltid se till att du kan undkomma om han skulle göra en 180 på dig, keep safe helt enkelt.
Citera
2012-11-02, 16:23
  #35
Skid-mask
Medlem
Skid-masks avatar
defacea sidan och skriv ett roligt meddelande
Citera
2012-11-02, 16:34
  #36
drole
Medlem
droles avatar
Citat:
Ursprungligen postat av Skid-mask
defacea sidan och skriv ett roligt meddelande...
...och sabba för hela företaget och skämma ut sig själv som skiddie.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in