“Parler” er godt og grundigt kompromitteret:

[Refraktorius]

Alt teknosnakken er over mit niveau, men det ser ud til at nogen har nosset i det big time, og derved muliggjort totalt download af Parler, inklusive brugernes personlige oplysninger.

(og )

[Refraktorius]

Det kunne også være et hoax, i hvilket tilfælde det vil gå over i historien som et af de største tilfælde af kollektivt påført myldrebæ.

[Greyberd63]

Fatter ikke en meter at den tekno snak, men har det noegt at gøre med at apple/amazon og google har lukket dem ned.

https://edition.cnn.com/2021/01/09/tech ... index.html

Mvh
Grey

[Kleth]

Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"

[Marius]

Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"

Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.

Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.

[Kenned]

Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default"

Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.

Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.

Er helt enig. Når man føler sig nødsaget til at slå grundlæggende sikkerhedsfunktioner fra så kan dette sagtens ske. Som minimum burde de have stoppet muligheden for at oprette alt andet end almindelige brugerkonti.

Hilsen Kenneth

[Refraktorius]

Kombinationen af at have meget travlt og ikke være alt for kvik er som regel en sikker rute ud over kanten.

[ReneKJ]

Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen

[Raptor357]

Hvis det passer er det en defekt.
Jeg tror ikke på det, så dumt er det.

[Kenned]

Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen

Læs tekstboksene i post 1 igen

De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.

Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail

Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.

Hilsen Kenneth

[ReneKJ]

Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen

Læs tekstboksene i post 1 igen

De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.

Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail

Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.

Hilsen Kenneth

De skriver at de ikke længere validere email, hvilket jeg tolker som det bekræftelseslink man normalt får når man opretter en konto eller skifter email.

Det kan godt være at de mener at der ikke længere valideres via email når man skifter password, men jeg syntes ikke at det er det der står?

Og det ville også være ufatteligt at tillade det uden nogen form for validering. Så behøver man ikke andet end et brugernavn for at kapre en konto.
Men bevares, nogen gange tages der mærkelige beslutninger.

[Fast Fumble]

Der er i hvert fald nogle der tror det er rigtigt.
Og de er ikke glade.

[ReneKJ]

Ja, og det er en af de ting der gør det svært at vurdere om det er sandt.

Hvis man siger "hvorfor skulle nogen lyve om det", så er det indlysende svar at man kan skade deres troværdighed i sådan en grad at de bukker under

[Kenned]

Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth

[Refraktorius]

Og det var en ung kvinde med grønt hår der gjorde det?
Bare for at føje spot til skade.

[Kenned]

Ja, den del elsker jeg

[Tangloppen]

Er det blevet dumpet på nettet?
Lyder til at være noget der ligger lige til højrebenet for WikiLeaks eller tilsvarende...

[ReneKJ]

Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth

Hvis det passer så var den første historie vel tæt på at være det rene opspind?
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.

Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?

Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.

[Greyberd63]

Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby"

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth

Hvis det passer så var den første historie vel tæt på at være det rene opspind?
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.

Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?

Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.

Jo det er sgu noget møg, private data bør ikke komme i andres hænder, især ikke ved havd jeg vil kalde tvveri

Mvh
Grey