Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Twitter hacker kitálalt

2009.01.07. 12:32 | buherator | 6 komment

A Wired interjút készített a hackerrel, aki nem rég feltörte többek között Barack Obama, Britney Spears és a FOX News Twitter fiókját. Hétfőn összesen 33 Twitter fiókból érkeztek olyan üzenetek a nészerű oldal üzenőfalára, melyet nem a gazdájuk küldött. A törést magára vállaló, 18 éves GMZ egy kis programot írt, amely - kihasználva, hogy a Twitter nem korlátozza a belépési próbálkozások maximális számát -  egy szótárba gyűjtött összes szót kipróbálta a megadott felhasználó jelszavaként. A kis szkriptet először a YouTube-on használta, Miley Cyrus fiókjának feltörésére, majd miután kitiltották az IP-jét, úgy döntött, hogy bepróbálkozik a Twitternél is.

GMZ első kiszemelt célpontja egy Crystál nevű felhasználó volt, akire pusztán azért esett az ifjú titán választása, mert viszonylag aktívnak tűnt. Mint kiderült, Crystal a Twitter egyik kezelője volt, így lehetősége nyílt megváltoztatni a többi felhasználó jelszavát, innentől kezdve pedig gyerekjáték volt bejutni tetszőleges mikroblogba.

Az infót - miután saját maga nem akarta felhasználni -  kitette a Digital Gangster fórumára, ahol állítása szerint öt embernek adta ki a megszerzett adatokat, mielőtt hozzászólásait törölték volna. GMZ szerint tehát a botrányt kavaró üzeneteket nem ő küldte ki.

A tanúlság talán az, hogy választhatunk akármilyen jó jelszót, ha a fölöttünk atyáskodó adminok nem elég körültekintőek.

Címkék: incidens twitter

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.01.07. 13:43:46

"A tanúlság talán az, hogy választhatunk akármilyen jó jelszót, ha a fölöttünk atyáskodó adminok nem elég körültekintőek."

Tehát ha a jelszavam \Q^i

|Z| 2009.01.07. 13:45:48

@zoli20: Akkor most az előző poszt újra, kacsacsőrök nélkül:

Tehát ha a jelszavam \Q^i53DdEM{%8/N, akkor az benne van egy "jó nagy" script-kiddiek által használt szótárban?

Rácz Lehel 2009.01.07. 14:36:41

@zoli20: nem. épp ez a lényeg, hogy hiába van neked brutál jelszód, ha az adminnak nincs.

M@x 2009.01.07. 14:37:08

Nem, de ha az adminnak a jelszava blah1234, akkor az nagy valoszinuseggel benne van.

Nema erto olvasas.

aTs 2009.01.07. 15:16:05

Halkan jegyzem meg, ha nem korlátozzák a belépési próbálkozásokat, akkor tökmindegy milyen brutál jelszód van. Nagyon könnyű feltörni. A jelszó: Brute Force.

buherator · http://buhera.blog.hu 2009.01.07. 17:10:18

@aTs
Azért az exponencialitás ereját nem szabad lebecsülni! Ráadásul távolról dolgozva a hálózat sebessége is komoly tényező a törés sebességében + minden egyes próbálkozásnál várnod kell a túl oldal alkalmazására, webszerverére, oprendszerére.