Hacka bostadsk

Någon som känner till om bostadskösystemet som används av flera bostadsbolag har några sårbarheter? Skulle behöva öka på min kötid lite

Tänker på det systemet som används av bl.a.

Bostad Västerås (https://www.bostadvasteras.se/User/MyPagesLogin.aspx)
Lunds Kommunala Bostadsbolag, LKF (https://minasidor.lkf.se/User/MyPagesLogin.aspx)
Uddevallahem (https://www.uddevallahem.se/User/MyPagesLogin.aspx)
Torsbybostäder (https://www.torsbybostader.se/User/MyPagesLogin.aspx)
mfl.


Kan inte hitta vad det är för någon tillverkare av systemet, men verkar vara samma som används av många bostadsbolag.

Varför skulle någon vilja sälja sådana sårbarheter till dig?

Om du hade sett efter själv hade du upptäckt att webbplatsen körs på relativt färsk IIS och ASP .NET så det är uppenbarligen någon som håller koll, och det betyder att det antagligen flaggas upp någonstans om du börjar systematiskt trycka in skum data i applikationen så du lär behöva en rejäl uppsättning IP-adresser att palpera ifrån.

Geez, ok farsan. Sen när blev Flashback mer PK än Familjeliv??

FYI, att det "körs på relativt färsk IIS" är ju helt irellevant för hur säker själva appplikationens kod är, de kan ju ha klantat till det rejält och råkat lägga in en kommentar med admininloggning eller liknande i nån JS-fil t.ex.

Och varför skulle de "hålla koll" bara för att servern råkar hållas uppdaterad? Jag tror du gravt överskattar hur lite övervakning normala webbapplikationer har. Denna ser dessutom ut att ha några år på nacken, vilket du hade sett om du hade loggat in och sett efter själv.

Men tack för svaret, det var väldigt meningslöst.

Jag skulle tro att det är Vitec som har levererat systemet. De är rätt så stora på denna marknad.

Inget hack direkt, men någon hade slarvat med GDPR-regler. Skulle registrera mig hos en bovärd, men mitt personnummer var upptaget. Konstigt, tänkte jag, men återställde det via BankID. Poff, 20 års kötid. Fick vilken lägenhet jag än pekade på.

Kontot var från 2002, långt före BankID och GDPR, så jag hade väl en himla flax att de inte gallrade i systemet. Inte vart inne på den bovärden över 15 år.

Räknas väl inte direkt som ett regelrätt hack, utan mer slarv från deras sida som jag hade tur att upptäcka och dra nytta av. Hade de följt GDPR hade jag vart urgallrad för längesen.

edit: Så det kan man ju alltid testa hos gamla bovärdar där man registrerat sig en gång i tiden. Vem vet, kanske fler som har lika tur som jag.

Jag känner till en tidigare historia om en av de där städerna där en hackare bodde, eller möjligtvis fortfarande bor. Personen hade samma tankar som du och lyckades. Hackaren lyckades att hacka hela webbplatsen och nollställa alla köer. Sedan väntade personen tills informationen skulle offentliggöras för att kunna sätta upp en "RSS-feed" när det nya kösystemet skulle uppdateras. När det meddelades att en kollaps hade inträffat i systemet, inväntade personen cirka tio personer som skulle skrivas upp före för att inte verka misstänksam. Personen slapp att vänta i åtta år och blev en av de första som skrevs upp på kölistan efter attacken. Staden där detta hände var Uddevalla.

Hackaren är fortfarande okänd för allmänheten och antas förmodligen bo kvar. Det har gått några år sedan händelsen och jag har inte haft kontakt med personen sedan dess. Det är intressant att notera att även om Uddevallahem har en slogan som lyder "Allmännyttans grundtanke består i att erbjuda bostäder för allas behov och kombinera det med att ta ett samhällsansvar", fick inte alla rättigheten att bo där så därför valde personen att göra på detta viset enligt hen själv.

Finns några artiklar i bohusläningen om detta som skedde runt 2018-2019.

Det sista är inte så dyrt, stormproxies är relativt billigt i sammanhanget.

Man kan få tag på ipv6 ca. gratis.

Har inte läst men för att hacka något system så behöver du ta med dig din dator till deras huvudkontor, väl där får du börja med att hacka deras brandvägg. Genom att va på plats så går du runt VPN.

När du har hackat deras brandvägg är det dags att på något vänster försöka få tag på ip-adresser samt användaruppgifter. Detta kommer vara extremt, tidskrävande.

En snabbare sätt att hacka systemet är att ta en anställda dator samt deras användarnamn och sen gå direkt mot deras databaser och söka efter tabellerna där de har dina personuppgifter, sedan måste du se tabellens koppling och luska ut var köerna ligger, misstänker att dessa köplatser kan vara webbtjänster dvs de tjänster som snackar med andra system, oavsett vad så behöver du minst 10-15 års erfarenhet av att jobba med integrerade system för att få ett hum över hur saker hänger ihop.

Enklaste sättet ragga upp någon som jobbar med deras IT och ge dom en summa pengar om de kan ge ändra på ”time stamp” på tiden du stått i kön, misstänker att algoritmer senare räknar ut antal poäng i alla olika köplatser

Jag tror jag får ta och söka jobb på bostadsbolaget helt enkelt.

Man börjar få tiden emot sig lite i detta scenario, fler och fler tekniker säkerhetklassas numera i samband med att öka rikets cybersäkerhet och motståndskraft. Och en sak som dyker upp är din ekonomi och om du ev kan köpas för pengar (beror troligen lite på vilken nivå du klassas) så det är lika bra att smida medan järnet är varmt om man ska försöka sig på detta.