BitLiberty (OP)
Jr. Member
 Offline
Activity: 38
Merit: 20
|
 |
November 17, 2013, 05:34:37 PM |
|
Nelle ultime ore è stata scoperta la falla di ypool.net che permette di entrare con account di altre persone sapendo solo l'username. Ne si discuteva stamattina su cipolla. L'autore ha condiviso il programma e ha fatto un tutorial: YouTubeConsiglio? Utilizzate sempre password come #(ò2§+s*s92 che restano e resteranno le più difficili da scoprire. |
|
|
|
|
|
|
|
|
|
|
|
|
|
"This isn't the kind of software where we can leave so many unresolved bugs that we need a tracker for them." -- Satoshi
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
HostFat
Moderator
Legendary
Offline
Activity: 4060
Merit: 1177
I support freedom of choice
|
|
November 17, 2013, 06:06:43 PM |
|
Evitate di fare uso di programmi simili sui vostri computer, a cercare di fare i furbi si trova sempre qualcuno più furbo di voi  |
|
|
|
LordStapy
Member
Offline
Activity: 110
Merit: 94
|
|
November 17, 2013, 06:24:08 PM |
|
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
|
BTC: 1Lord4dwWriXw7T8QoyaNmamYWup8g76Tu
|
|
|
lucolo
Legendary
Offline
Activity: 1064
Merit: 1013
|
|
November 17, 2013, 06:33:56 PM |
|
Domanda che forse sembrerà stupida...
Le password sono state messe in chiaro oppure si entrava senza la necessità che queste fossero conosciute?
|
|
|
|
|
BitLiberty (OP)
Jr. Member
Offline
Activity: 38
Merit: 20
|
|
November 17, 2013, 06:36:53 PM |
|
Non ho capito la domanda
|
|
|
|
|
|
kelpy
|
|
November 17, 2013, 06:39:32 PM |
|
Nelle ultime ore è stata scoperta la falla di ypool.net che permette di entrare con account di altre persone sapendo solo l'username. Ne si discuteva stamattina su cipolla. L'autore ha condiviso il programma e ha fatto un tutorial: YouTubeCosa è sta roba? Che falla sarebbe? Immagino comunque che l'autore del video sia italiano. |
Bitrated user: kelpy.
|
|
|
BitLiberty (OP)
Jr. Member
Offline
Activity: 38
Merit: 20
|
|
November 17, 2013, 06:45:20 PM |
|
La falla è quella di non forzare il login con il protocollo https e non utilizzare captcha, cosa che molti siti hanno.
Comunque si è italiano perché ha presentato il programma su cipolla stamattina
|
|
|
|
|
|
FaSan
|
|
November 17, 2013, 06:49:34 PM |
|
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
Assolutamente daccordo, mi hai tolto le parole di bocca  |
|
|
|
|
BitLiberty (OP)
Jr. Member
Offline
Activity: 38
Merit: 20
|
|
November 17, 2013, 06:56:20 PM |
|
Senza dubbio.
|
|
|
|
|
lucolo
Legendary
Offline
Activity: 1064
Merit: 1013
|
|
November 17, 2013, 06:59:34 PM |
|
Non ho capito la domanda
Non avevo visto il video quindi mi domandavo se l'accesso con l'username venisse ottenuto scoprendo la password oppure senza questa necessità. Vedendo il video ho visto che era un attacco di tipo dizionario e mi sono risposto da solo (si, la password veniva messa in chiaro). |
|
|
|
|
Micio
Legendary
Offline
Activity: 1061
Merit: 1283
|
|
November 17, 2013, 10:14:41 PM |
|
E' solo un buon dictionary attack che invece di lavorare in locale lavora via web. Non male come idea però, bisogna sempre tutelarsi, è sempre meglio avere password lunghe e complesse.
|
|
|
|
|
bertani
Legendary
Offline
Activity: 1022
Merit: 1000
|
|
November 18, 2013, 02:50:49 AM |
|
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
|
|
|
|
|
|
kelpy
|
|
November 18, 2013, 06:37:46 AM |
|
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
Aggiungerei anche la scelta di avere come password "cazzone85"  |
Bitrated user: kelpy.
|
|
|
|
rb1205
|
|
November 18, 2013, 02:30:16 PM |
|
Script kiddies all'attacco!
"OLOLOL buco il sito con il proggo che crakka la password che mi ha passato miocuggino!!!111!!!! H4k3rz 1337 doXXed"
O, in alternativa, mi ricorda il classico amico informaticamente ritardato: "Mi hanno hackerato l'account di facebook!!!!!!" "Azz. Ma avevi una password sicura?" "ma si è quella che uso sempre, password123"
|
|
|
|
Micio
Legendary
Offline
Activity: 1061
Merit: 1283
|
|
November 21, 2013, 10:07:49 PM |
|
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat
|
|
|
|
|
|
FaSan
|
|
November 21, 2013, 10:10:06 PM |
|
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat
Ma sono anni che usate i computer e ancora non avete capito che NON si devono mettere password "da dizionario" ? Basta aggiungere un pò di numeri e vedrai che non ve la trova nessuno, almeno in tempi umani. FaSan |
|
|
|
|
Micio
Legendary
Offline
Activity: 1061
Merit: 1283
|
|
November 21, 2013, 10:18:33 PM |
|
Il problema è stato risolto secondo jh, ma ora rimane il problema delle password gia rubate.
In poche parole (da quello che ho capito) il fondatore del Crypted BD ha rubato tutte le password prendendosi l'username che è libero dalla chat di ypool. In poche parole si è fregato tutti gli account "più importanti" (perché sono i più attivi e quindi anche i più conosciuti della community) e solo dopo ha pubblicato il programma.
Bella mossa.
|
|
|
|
|
|
FaSan
|
|
November 21, 2013, 10:21:05 PM |
|
Chi è autor del proprio male non pianga se stesso ! Qui si passa dalle LIVE su USB con wallet ultracryptato ..zzi e mazzi alla password di 4 lettere sulle Pool. Certo che la gente è proprio strana  |
|
|
|
|
Micio
Legendary
Offline
Activity: 1061
Merit: 1283
|
|
November 21, 2013, 10:22:08 PM |
|
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.
|
|
|
|
|
|
FaSan
|
|
November 21, 2013, 10:39:45 PM |
|
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.
Come no... anche Babbo Natale scende dal camino la notte di natale...  Quella era LA SUA password che ovviamente conosceva e che chiaramente aveva inserito volutamente all' interno del dizionario. E dai... ma quello del video lo chiami un Hacking ? E' una stronzata che sfrutta il livello, davvero a terra, di sicurezza del sito YPOOL. FaSan |
|
|
|
|
|
