Bitcoin Forum

Nelle ultime ore è stata scoperta la falla di ypool.net che permette di entrare con account di altre persone sapendo solo l'username.
Ne si discuteva stamattina su cipolla.

L'autore ha condiviso il programma e ha fatto un tutorial:
YouTube (https://www.youtube.com/watch?v=kY5sOLAynEU)

Consiglio? Utilizzate sempre password come #(ò2§+s*s92 che restano e resteranno le più difficili da scoprire.

Evitate di fare uso di programmi simili sui vostri computer, a cercare di fare i furbi si trova sempre qualcuno più furbo di voi ;)

Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate

edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC

Domanda che forse sembrerà stupida...
Le password sono state messe in chiaro oppure si entrava senza la necessità che queste fossero conosciute?

Non ho capito la domanda

Cosa è sta roba? Che falla sarebbe?
Immagino comunque che l'autore del video sia italiano.

La falla è quella di non forzare il login con il protocollo https e non utilizzare captcha, cosa che molti siti hanno.

Comunque si è italiano perché ha presentato il programma su cipolla stamattina

Assolutamente daccordo, mi hai tolto le parole di bocca  :)

Senza dubbio.

Non avevo visto il video quindi mi domandavo se l'accesso con l'username venisse ottenuto scoprendo la password oppure senza questa necessità.
Vedendo il video ho visto che era un attacco di tipo dizionario e mi sono risposto da solo (si, la password veniva messa in chiaro).

E' solo un buon dictionary attack che invece di lavorare in locale lavora via web. Non male come idea però, bisogna sempre tutelarsi, è sempre meglio avere password lunghe e complesse.

Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:

1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah! 


Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.


TLDR; nice try.

Aggiungerei anche la scelta di avere come password  "cazzone85"  ;D

Script kiddies all'attacco!

"OLOLOL buco il sito con il proggo che crakka la password che mi ha passato miocuggino!!!111!!!! H4k3rz 1337 doXXed"

O, in alternativa, mi ricorda il classico amico informaticamente ritardato: "Mi hanno hackerato l'account di facebook!!!!!!" "Azz. Ma avevi una password sicura?" "ma si è quella che uso sempre, password123"

Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat

Ma sono anni che usate i computer e ancora non avete capito che NON si devono mettere password "da dizionario" ? Basta aggiungere un pò di numeri e vedrai che non ve la trova nessuno, almeno in tempi umani.




FaSan

Il problema è stato risolto secondo jh, ma ora rimane il problema delle password gia rubate.

In poche parole (da quello che ho capito) il fondatore del Crypted BD ha rubato tutte le password prendendosi l'username che è libero dalla chat di ypool. In poche parole si è fregato tutti gli account "più importanti" (perché sono i più attivi e quindi anche i più conosciuti della community) e solo dopo ha pubblicato il programma.

Bella mossa.

Chi è autor del proprio male non pianga se stesso !

Qui si passa dalle LIVE su USB con wallet ultracryptato ..zzi e mazzi alla password di 4 lettere sulle Pool. Certo che la gente è proprio strana  :D

la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.

Come no... anche Babbo Natale scende dal camino la notte di natale...  :-X


Quella era LA SUA password che ovviamente conosceva e che chiaramente aveva inserito volutamente all' interno del dizionario.



E dai... ma quello del video lo chiami un Hacking ? E' una stronzata che sfrutta il livello, davvero a terra, di sicurezza del sito YPOOL.




FaSan

In effetti, la pagina login di ypool è senza https, senza controllo per login falliti, senza captcha, senza ban per IP, insomma è come se ti dessero il benvenuto a forzarli