“Parler” er godt og grundigt kompromitteret:
- Refraktorius
- Admin
- Indlæg: 21720
- Tilmeldt: 23. maj 2006, 11:13
- Interesser: Skydning, dimser og alu-bats
- Geografisk sted: Århus
- Has thanked: 465 times
- Been thanked: 2370 times
“Parler” er godt og grundigt kompromitteret:
Alt teknosnakken er over mit niveau, men det ser ud til at nogen har nosset i det big time, og derved muliggjort totalt download af Parler, inklusive brugernes personlige oplysninger.
(og )
(og )
- Vedhæftede filer
-
- BEEE79CC-208C-4B89-AD06-A7F566C81B09.png (190.54 KiB) Vist 3980 gange
-
- 47C26AE8-FD84-4A7B-976E-750567B845A3.png (97.37 KiB) Vist 3980 gange
"Det tager kun 2 minutter at læse opslagene øverst i et forum."
- Refraktorius
- Admin
- Indlæg: 21720
- Tilmeldt: 23. maj 2006, 11:13
- Interesser: Skydning, dimser og alu-bats
- Geografisk sted: Århus
- Has thanked: 465 times
- Been thanked: 2370 times
Re: “Parler” er godt og grundigt kompromitteret:
Det kunne også være et hoax, i hvilket tilfælde det vil gå over i historien som et af de største tilfælde af kollektivt påført myldrebæ.
"Det tager kun 2 minutter at læse opslagene øverst i et forum."
-
- Platin Member
- Indlæg: 2118
- Tilmeldt: 17. aug 2017, 19:14
- Interesser: Westernskydning og genladning
- Geografisk sted: hovedstadsområdet
- Has thanked: 475 times
- Been thanked: 312 times
Re: “Parler” er godt og grundigt kompromitteret:
Fatter ikke en meter at den tekno snak, men har det noegt at gøre med at apple/amazon og google har lukket dem ned.
https://edition.cnn.com/2021/01/09/tech ... index.html
Mvh
Grey
https://edition.cnn.com/2021/01/09/tech ... index.html
Mvh
Grey
- Kleth
- Platin Member
- Indlæg: 5290
- Tilmeldt: 27. mar 2013, 15:20
- Interesser: Jage,Skyde,Ammo&Historie
- Geografisk sted: Nordsjælland
- Has thanked: 971 times
- Been thanked: 725 times
Re: “Parler” er godt og grundigt kompromitteret:
Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"
Maxim #28: “If the price of collateral damage is high enough, you might be able to get paid for bringing ammunition home with you.”
- Marius
- Admin
- Indlæg: 5601
- Tilmeldt: 3. jun 2004, 22:59
- Interesser: jagt, skydning, natur
- Geografisk sted: København
- Has thanked: 667 times
- Been thanked: 596 times
Re: “Parler” er godt og grundigt kompromitteret:
Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.Kleth skrev: ↑11. jan 2021, 15:42Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"
Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.
"I prefer dangerous freedom over peaceful slavery." - Thomas Jefferson
-
- Platin Member
- Indlæg: 2229
- Tilmeldt: 28. mar 2008, 12:52
- Interesser: UV-jagt, våben, Teknik
- Geografisk sted: København S
- Has thanked: 463 times
- Been thanked: 352 times
Re: “Parler” er godt og grundigt kompromitteret:
Er helt enig. Når man føler sig nødsaget til at slå grundlæggende sikkerhedsfunktioner fra så kan dette sagtens ske. Som minimum burde de have stoppet muligheden for at oprette alt andet end almindelige brugerkonti.Marius skrev: ↑11. jan 2021, 16:08Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.Kleth skrev: ↑11. jan 2021, 15:42Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"
Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.
Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner
- Refraktorius
- Admin
- Indlæg: 21720
- Tilmeldt: 23. maj 2006, 11:13
- Interesser: Skydning, dimser og alu-bats
- Geografisk sted: Århus
- Has thanked: 465 times
- Been thanked: 2370 times
Re: “Parler” er godt og grundigt kompromitteret:
Kombinationen af at have meget travlt og ikke være alt for kvik er som regel en sikker rute ud over kanten.
"Det tager kun 2 minutter at læse opslagene øverst i et forum."
-
- This member is
- Indlæg: 3139
- Tilmeldt: 25. jun 2015, 11:10
- Interesser: Våbenrelateret information
- Geografisk sted: Jylland
- Has thanked: 323 times
- Been thanked: 674 times
Re: “Parler” er godt og grundigt kompromitteret:
Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
- Raptor357
- Platin Member
- Indlæg: 7568
- Tilmeldt: 26. mar 2010, 23:27
- Interesser: At skyde og ramme
- Geografisk sted: Stor Kbh
- Has thanked: 451 times
- Been thanked: 909 times
Re: “Parler” er godt og grundigt kompromitteret:
Hvis det passer er det en defekt.
Jeg tror ikke på det, så dumt er det.
Jeg tror ikke på det, så dumt er det.
Kun mængden af varm luft er begrænsningen på hvor højt politikerne stiger til vejrs
-
- Platin Member
- Indlæg: 2229
- Tilmeldt: 28. mar 2008, 12:52
- Interesser: UV-jagt, våben, Teknik
- Geografisk sted: København S
- Has thanked: 463 times
- Been thanked: 352 times
Re: “Parler” er godt og grundigt kompromitteret:
Læs tekstboksene i post 1 igenReneKJ skrev: ↑11. jan 2021, 19:13Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.
Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail
Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.
Hilsen Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner
-
- This member is
- Indlæg: 3139
- Tilmeldt: 25. jun 2015, 11:10
- Interesser: Våbenrelateret information
- Geografisk sted: Jylland
- Has thanked: 323 times
- Been thanked: 674 times
Re: “Parler” er godt og grundigt kompromitteret:
De skriver at de ikke længere validere email, hvilket jeg tolker som det bekræftelseslink man normalt får når man opretter en konto eller skifter email.Kenneth Jensen skrev: ↑11. jan 2021, 22:04Læs tekstboksene i post 1 igenReneKJ skrev: ↑11. jan 2021, 19:13Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.
Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail
Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.
Hilsen Kenneth
Det kan godt være at de mener at der ikke længere valideres via email når man skifter password, men jeg syntes ikke at det er det der står?
Og det ville også være ufatteligt at tillade det uden nogen form for validering. Så behøver man ikke andet end et brugernavn for at kapre en konto.
Men bevares, nogen gange tages der mærkelige beslutninger.
- Fast Fumble
- Moderator
- Indlæg: 8877
- Tilmeldt: 13. feb 2004, 08:52
- Interesser: Pistoler, IPSC, motorsport
- Geografisk sted: Nordjylland
- Geografisk sted: Aalborg
- Has thanked: 354 times
- Been thanked: 1158 times
- Kontakt:
Re: “Parler” er godt og grundigt kompromitteret:
Der er i hvert fald nogle der tror det er rigtigt.
Og de er ikke glade.
Og de er ikke glade.
Football, tennis and golf, requires only one ball. Racing requires two.
Slava Ukraini!
Slava Ukraini!
-
- This member is
- Indlæg: 3139
- Tilmeldt: 25. jun 2015, 11:10
- Interesser: Våbenrelateret information
- Geografisk sted: Jylland
- Has thanked: 323 times
- Been thanked: 674 times
Re: “Parler” er godt og grundigt kompromitteret:
Ja, og det er en af de ting der gør det svært at vurdere om det er sandt.
Hvis man siger "hvorfor skulle nogen lyve om det", så er det indlysende svar at man kan skade deres troværdighed i sådan en grad at de bukker under
Hvis man siger "hvorfor skulle nogen lyve om det", så er det indlysende svar at man kan skade deres troværdighed i sådan en grad at de bukker under
-
- Platin Member
- Indlæg: 2229
- Tilmeldt: 28. mar 2008, 12:52
- Interesser: UV-jagt, våben, Teknik
- Geografisk sted: København S
- Has thanked: 463 times
- Been thanked: 352 times
Re: “Parler” er godt og grundigt kompromitteret:
Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner
- Refraktorius
- Admin
- Indlæg: 21720
- Tilmeldt: 23. maj 2006, 11:13
- Interesser: Skydning, dimser og alu-bats
- Geografisk sted: Århus
- Has thanked: 465 times
- Been thanked: 2370 times
Re: “Parler” er godt og grundigt kompromitteret:
Og det var en ung kvinde med grønt hår der gjorde det?
Bare for at føje spot til skade.
Bare for at føje spot til skade.
"Det tager kun 2 minutter at læse opslagene øverst i et forum."
-
- Platin Member
- Indlæg: 2229
- Tilmeldt: 28. mar 2008, 12:52
- Interesser: UV-jagt, våben, Teknik
- Geografisk sted: København S
- Has thanked: 463 times
- Been thanked: 352 times
Re: “Parler” er godt og grundigt kompromitteret:
Ja, den del elsker jeg
Jeg er multi-religiøs - jeg tror lige lidt på alle religioner
- Tangloppen
- Platin Member
- Indlæg: 2029
- Tilmeldt: 17. mar 2007, 13:45
- Interesser: Dimser der ser i mørket...
- Geografisk sted: Odense.
- Has thanked: 59 times
- Been thanked: 337 times
Re: “Parler” er godt og grundigt kompromitteret:
Er det blevet dumpet på nettet?
Lyder til at være noget der ligger lige til højrebenet for WikiLeaks eller tilsvarende...
Lyder til at være noget der ligger lige til højrebenet for WikiLeaks eller tilsvarende...
Rigtige mænd skyder med 76 mm luftgevær!
Spejlhjerne af Guds nåde!
Spejlhjerne af Guds nåde!
-
- This member is
- Indlæg: 3139
- Tilmeldt: 25. jun 2015, 11:10
- Interesser: Våbenrelateret information
- Geografisk sted: Jylland
- Has thanked: 323 times
- Been thanked: 674 times
Re: “Parler” er godt og grundigt kompromitteret:
Hvis det passer så var den første historie vel tæt på at være det rene opspind?Kenneth Jensen skrev: ↑12. jan 2021, 09:44Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.
Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?
Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.
-
- Platin Member
- Indlæg: 2118
- Tilmeldt: 17. aug 2017, 19:14
- Interesser: Westernskydning og genladning
- Geografisk sted: hovedstadsområdet
- Has thanked: 475 times
- Been thanked: 312 times
Re: “Parler” er godt og grundigt kompromitteret:
Jo det er sgu noget møg, private data bør ikke komme i andres hænder, især ikke ved havd jeg vil kalde tvveriReneKJ skrev: ↑12. jan 2021, 17:35Hvis det passer så var den første historie vel tæt på at være det rene opspind?Kenneth Jensen skrev: ↑12. jan 2021, 09:44Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.
Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?
Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.
Mvh
Grey