Pages:
Author

Topic: Hackers bucano ypool.net e condividono il programma (Read 1764 times)

legendary
Activity: 1061
Merit: 1283
In effetti, la pagina login di ypool è senza https, senza controllo per login falliti, senza captcha, senza ban per IP, insomma è come se ti dessero il benvenuto a forzarli
hero member
Activity: 658
Merit: 502
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.


Come no... anche Babbo Natale scende dal camino la notte di natale...  Lips sealed


Quella era LA SUA password che ovviamente conosceva e che chiaramente aveva inserito volutamente all' interno del dizionario.



E dai... ma quello del video lo chiami un Hacking ? E' una stronzata che sfrutta il livello, davvero a terra, di sicurezza del sito YPOOL.




FaSan

legendary
Activity: 1061
Merit: 1283
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.
hero member
Activity: 658
Merit: 502
Chi è autor del proprio male non pianga se stesso !

Qui si passa dalle LIVE su USB con wallet ultracryptato ..zzi e mazzi alla password di 4 lettere sulle Pool. Certo che la gente è proprio strana  Cheesy
legendary
Activity: 1061
Merit: 1283
Il problema è stato risolto secondo jh, ma ora rimane il problema delle password gia rubate.

In poche parole (da quello che ho capito) il fondatore del Crypted BD ha rubato tutte le password prendendosi l'username che è libero dalla chat di ypool. In poche parole si è fregato tutti gli account "più importanti" (perché sono i più attivi e quindi anche i più conosciuti della community) e solo dopo ha pubblicato il programma.

Bella mossa.
hero member
Activity: 658
Merit: 502
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat


Ma sono anni che usate i computer e ancora non avete capito che NON si devono mettere password "da dizionario" ? Basta aggiungere un pò di numeri e vedrai che non ve la trova nessuno, almeno in tempi umani.




FaSan
legendary
Activity: 1061
Merit: 1283
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat
hero member
Activity: 797
Merit: 1017
Script kiddies all'attacco!

"OLOLOL buco il sito con il proggo che crakka la password che mi ha passato miocuggino!!!111!!!! H4k3rz 1337 doXXed"

O, in alternativa, mi ricorda il classico amico informaticamente ritardato: "Mi hanno hackerato l'account di facebook!!!!!!" "Azz. Ma avevi una password sicura?" "ma si è quella che uso sempre, password123"
hero member
Activity: 640
Merit: 500
Archduke of Criptoaerica, vassal of WallStreetCafe
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:

1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah! 


Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.


TLDR; nice try.

Aggiungerei anche la scelta di avere come password  "cazzone85"  Grin
legendary
Activity: 1022
Merit: 1000
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:

1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah! 


Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.


TLDR; nice try.
legendary
Activity: 1061
Merit: 1283
E' solo un buon dictionary attack che invece di lavorare in locale lavora via web. Non male come idea però, bisogna sempre tutelarsi, è sempre meglio avere password lunghe e complesse.
legendary
Activity: 1092
Merit: 1021
Non ho capito la domanda

Non avevo visto il video quindi mi domandavo se l'accesso con l'username venisse ottenuto scoprendo la password oppure senza questa necessità.
Vedendo il video ho visto che era un attacco di tipo dizionario e mi sono risposto da solo (si, la password veniva messa in chiaro).
jr. member
Activity: 38
Merit: 20
Senza dubbio.
hero member
Activity: 658
Merit: 502
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate

edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC


Assolutamente daccordo, mi hai tolto le parole di bocca  Smiley
jr. member
Activity: 38
Merit: 20
La falla è quella di non forzare il login con il protocollo https e non utilizzare captcha, cosa che molti siti hanno.

Comunque si è italiano perché ha presentato il programma su cipolla stamattina
hero member
Activity: 640
Merit: 500
Archduke of Criptoaerica, vassal of WallStreetCafe
Nelle ultime ore è stata scoperta la falla di ypool.net che permette di entrare con account di altre persone sapendo solo l'username.
Ne si discuteva stamattina su cipolla.

L'autore ha condiviso il programma e ha fatto un tutorial:
YouTube


Cosa è sta roba? Che falla sarebbe?
Immagino comunque che l'autore del video sia italiano.
jr. member
Activity: 38
Merit: 20
Non ho capito la domanda
legendary
Activity: 1092
Merit: 1021
Domanda che forse sembrerà stupida...
Le password sono state messe in chiaro oppure si entrava senza la necessità che queste fossero conosciute?
member
Activity: 110
Merit: 94
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate

edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
staff
Activity: 4270
Merit: 1209
I support freedom of choice
Evitate di fare uso di programmi simili sui vostri computer, a cercare di fare i furbi si trova sempre qualcuno più furbo di voi Wink
Pages:
Jump to: