

Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.Kleth skrev: ↑11. jan 2021, 15:42Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"![]()
Er helt enig. Når man føler sig nødsaget til at slå grundlæggende sikkerhedsfunktioner fra så kan dette sagtens ske. Som minimum burde de have stoppet muligheden for at oprette alt andet end almindelige brugerkonti.Marius skrev: ↑11. jan 2021, 16:08Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.Kleth skrev: ↑11. jan 2021, 15:42Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"![]()
Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.
Læs tekstboksene i post 1 igenReneKJ skrev: ↑11. jan 2021, 19:13Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
De skriver at de ikke længere validere email, hvilket jeg tolker som det bekræftelseslink man normalt får når man opretter en konto eller skifter email.Kenneth Jensen skrev: ↑11. jan 2021, 22:04Læs tekstboksene i post 1 igenReneKJ skrev: ↑11. jan 2021, 19:13Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.
For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen![]()
De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.
Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail![]()
Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.
Hilsen Kenneth
Hvis det passer så var den første historie vel tæt på at være det rene opspind?Kenneth Jensen skrev: ↑12. jan 2021, 09:44Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"![]()
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
Jo det er sgu noget møg, private data bør ikke komme i andres hænder, især ikke ved havd jeg vil kalde tvveriReneKJ skrev: ↑12. jan 2021, 17:35Hvis det passer så var den første historie vel tæt på at være det rene opspind?Kenneth Jensen skrev: ↑12. jan 2021, 09:44Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"![]()
https://meaww.com/who-is-parler-hacker- ... iots-Trump
Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.
Mvh
Kenneth
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.
Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?
Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.