Topic: Hackers bucano ypool.net e condividono il programma (Read 1717 times)
In effetti, la pagina login di ypool è senza https, senza controllo per login falliti, senza captcha, senza ban per IP, insomma è come se ti dessero il benvenuto a forzarli
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.
Come no... anche Babbo Natale scende dal camino la notte di natale...
Quella era LA SUA password che ovviamente conosceva e che chiaramente aveva inserito volutamente all' interno del dizionario.
E dai... ma quello del video lo chiami un Hacking ? E' una stronzata che sfrutta il livello, davvero a terra, di sicurezza del sito YPOOL.
FaSan
la password come vedi dal video è (se si può dire) cazzone85 e non è una password tanto semplice come si dice.
Chi è autor del proprio male non pianga se stesso !
Qui si passa dalle LIVE su USB con wallet ultracryptato ..zzi e mazzi alla password di 4 lettere sulle Pool. Certo che la gente è proprio strana
Qui si passa dalle LIVE su USB con wallet ultracryptato ..zzi e mazzi alla password di 4 lettere sulle Pool. Certo che la gente è proprio strana
Il problema è stato risolto secondo jh, ma ora rimane il problema delle password gia rubate.
In poche parole (da quello che ho capito) il fondatore del Crypted BD ha rubato tutte le password prendendosi l'username che è libero dalla chat di ypool. In poche parole si è fregato tutti gli account "più importanti" (perché sono i più attivi e quindi anche i più conosciuti della community) e solo dopo ha pubblicato il programma.
Bella mossa.
In poche parole (da quello che ho capito) il fondatore del Crypted BD ha rubato tutte le password prendendosi l'username che è libero dalla chat di ypool. In poche parole si è fregato tutti gli account "più importanti" (perché sono i più attivi e quindi anche i più conosciuti della community) e solo dopo ha pubblicato il programma.
Bella mossa.
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat
Ma sono anni che usate i computer e ancora non avete capito che NON si devono mettere password "da dizionario" ? Basta aggiungere un pò di numeri e vedrai che non ve la trova nessuno, almeno in tempi umani.
FaSan
Ne stanno parlando su ypool, dicono che centinaia di account sono stati rubati, seguite quello che dice jh00 in chat
Script kiddies all'attacco!
"OLOLOL buco il sito con il proggo che crakka la password che mi ha passato miocuggino!!!111!!!! H4k3rz 1337 doXXed"
O, in alternativa, mi ricorda il classico amico informaticamente ritardato: "Mi hanno hackerato l'account di facebook!!!!!!" "Azz. Ma avevi una password sicura?" "ma si è quella che uso sempre, password123"
"OLOLOL buco il sito con il proggo che crakka la password che mi ha passato miocuggino!!!111!!!! H4k3rz 1337 doXXed"
O, in alternativa, mi ricorda il classico amico informaticamente ritardato: "Mi hanno hackerato l'account di facebook!!!!!!" "Azz. Ma avevi una password sicura?" "ma si è quella che uso sempre, password123"
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
Aggiungerei anche la scelta di avere come password "cazzone85"
Divertente il video. L'autore sicuramente è italiano essenzialmente per 2 motivi:
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
1- non sa un'"h" in inglese. Ci sono errori assurdi che mi han fatto rotolare, insomma non sono stati 8 minuti buttati, ringrazio l'autore per lo sforzo
2- contenuto informativo nullo. Non è una falla di ypool, https non c'entra proprio nulla. Al massimo potremmo dire che in ypool ci si potrebbe anche degnare di mettere, come è normale fare di solito, una soglia sul request rate in modo da impedire non solo queste cosette, ma anche ddos e altro. Probabilmente anche gli autori di ypool sono italiani, yeah!
Ci sono molte altre osservazioni che potrebbe essere fatte ma sto giusto ora finendo di ridere, torno a fare altro.
TLDR; nice try.
E' solo un buon dictionary attack che invece di lavorare in locale lavora via web. Non male come idea però, bisogna sempre tutelarsi, è sempre meglio avere password lunghe e complesse.
Non ho capito la domanda
Non avevo visto il video quindi mi domandavo se l'accesso con l'username venisse ottenuto scoprendo la password oppure senza questa necessità.
Vedendo il video ho visto che era un attacco di tipo dizionario e mi sono risposto da solo (si, la password veniva messa in chiaro).
Senza dubbio.
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
Assolutamente daccordo, mi hai tolto le parole di bocca
La falla è quella di non forzare il login con il protocollo https e non utilizzare captcha, cosa che molti siti hanno.
Comunque si è italiano perché ha presentato il programma su cipolla stamattina
Comunque si è italiano perché ha presentato il programma su cipolla stamattina
Nelle ultime ore è stata scoperta la falla di ypool.net che permette di entrare con account di altre persone sapendo solo l'username.
Ne si discuteva stamattina su cipolla.
L'autore ha condiviso il programma e ha fatto un tutorial:
YouTube
Ne si discuteva stamattina su cipolla.
L'autore ha condiviso il programma e ha fatto un tutorial:
YouTube
Cosa è sta roba? Che falla sarebbe?
Immagino comunque che l'autore del video sia italiano.
Non ho capito la domanda
Domanda che forse sembrerà stupida...
Le password sono state messe in chiaro oppure si entrava senza la necessità che queste fossero conosciute?
Le password sono state messe in chiaro oppure si entrava senza la necessità che queste fossero conosciute?
Più che una falla di ypool a me sembra un semplice attacco a dizionario/brute force.
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
Poi il fatto che ypool in quanto a sicurezza sia un po' scarsino, beh è un altro paio di maniche... ce ne sono di modi per rendere sicuro un sito da questo tipo di programmini, per esempio la verifica in 2 passaggi o il ban dell'IP dopo un tot di password errate
edit: concordo con HostFat, io non lo eseguirei sul mio pc, e sicuramente non lo pagherei 1 BTC
Evitate di fare uso di programmi simili sui vostri computer, a cercare di fare i furbi si trova sempre qualcuno più furbo di voi 
Jump to: