“Parler” er godt og grundigt kompromitteret:

Alt om software, sikkerhed, kryptering m.m. Spørg og der er sikkert en der kan hjælpe.
Besvar
Brugeravatar
Refraktorius
Admin
Admin
Indlæg: 18956
Tilmeldt: 23. maj 2006, 11:13
Interesser: Skydning, dimser og alu-bats
Geografisk sted: Århus
Has thanked: 322 times
Been thanked: 2064 times

“Parler” er godt og grundigt kompromitteret:

Indlæg af Refraktorius » 11. jan 2021, 15:31

Alt teknosnakken er over mit niveau, men det ser ud til at nogen har nosset i det big time, og derved muliggjort totalt download af Parler, inklusive brugernes personlige oplysninger.

:shock: (og :popkorn: )
Vedhæftede filer
BEEE79CC-208C-4B89-AD06-A7F566C81B09.png
BEEE79CC-208C-4B89-AD06-A7F566C81B09.png (190.54 KiB) Vist 527 gange
47C26AE8-FD84-4A7B-976E-750567B845A3.png
47C26AE8-FD84-4A7B-976E-750567B845A3.png (97.37 KiB) Vist 527 gange
"Det tager kun 2 minutter at læse opslagene øverst i et forum."

Brugeravatar
Refraktorius
Admin
Admin
Indlæg: 18956
Tilmeldt: 23. maj 2006, 11:13
Interesser: Skydning, dimser og alu-bats
Geografisk sted: Århus
Has thanked: 322 times
Been thanked: 2064 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Refraktorius » 11. jan 2021, 15:35

Det kunne også være et hoax, i hvilket tilfælde det vil gå over i historien som et af de største tilfælde af kollektivt påført myldrebæ.
"Det tager kun 2 minutter at læse opslagene øverst i et forum."

Greyberd63
Platin Member
Platin Member
Indlæg: 1160
Tilmeldt: 17. aug 2017, 19:14
Interesser: Westernskydning og genladning
Geografisk sted: hovedstadsområdet
Has thanked: 302 times
Been thanked: 159 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Greyberd63 » 11. jan 2021, 15:39

Fatter ikke en meter at den tekno snak, men har det noegt at gøre med at apple/amazon og google har lukket dem ned.

https://edition.cnn.com/2021/01/09/tech ... index.html

Mvh
Grey

Brugeravatar
Kleth
This member is
This member is
Indlæg: 5173
Tilmeldt: 27. mar 2013, 15:20
Interesser: Jage,Skyde,Ammo&Historie
Geografisk sted: Nordsjælland
Has thanked: 950 times
Been thanked: 693 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Kleth » 11. jan 2021, 15:42

Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default" :rolf:
Maxim #68: “Negotiating from a position of strength does not mean you shouldn’t also negotiate from a position near the exits.”

Brugeravatar
Marius
Admin
Admin
Indlæg: 4681
Tilmeldt: 3. jun 2004, 22:59
Interesser: jagt, skydning, natur
Geografisk sted: København
Has thanked: 448 times
Been thanked: 419 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Marius » 11. jan 2021, 16:08

Kleth skrev:
11. jan 2021, 15:42
Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default" :rolf:
Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.

Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.
"I prefer dangerous freedom over peaceful slavery." - Thomas Jefferson

Kenned
This member is
This member is
Indlæg: 1803
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 345 times
Been thanked: 245 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Kenned » 11. jan 2021, 18:58

Marius skrev:
11. jan 2021, 16:08
Kleth skrev:
11. jan 2021, 15:42
Hmm det er svært at aflede hvad der er lxrt og lagkage! Men en katastrofal fejl hvis "brugere/administratorer" har rettigheder til infrastrukturen altså Docker . . . . Der ville være noget omkring "seperation of concerns" samt "principle of least privilege" (PoLP) der er gået helt galt for dem! De har i hvert fald så hverken fulgt "Security by Design & Default" eller "Privacy by Design & Default" :rolf:
Det er en sjov historie, men mon ikke blot Amazon/medarbejdere ved Amazon har overtrådt deres beføjelser og tilgået kundedata - enten direkte eller ved 'man in the middle attacks'. Det lyder ihvertfald bedre for AWS at deres kunde var en kæmpe idiot, end at man ikke kan stole på integriteten af deres services.

Edit: ved nærlæsning kunne det faktisk godt være foregået på den beskrevne måde, idet 'hullet' består af Twillio's politk omkring reset af password.
Så det er tale om et crack/hack afhængigt af hvordan man ser på det.
Er helt enig. Når man føler sig nødsaget til at slå grundlæggende sikkerhedsfunktioner fra så kan dette sagtens ske. Som minimum burde de have stoppet muligheden for at oprette alt andet end almindelige brugerkonti.

Hilsen Kenneth
Mit brugernavn er skiftet fra Kenneth Jensen.

Brugeravatar
Refraktorius
Admin
Admin
Indlæg: 18956
Tilmeldt: 23. maj 2006, 11:13
Interesser: Skydning, dimser og alu-bats
Geografisk sted: Århus
Has thanked: 322 times
Been thanked: 2064 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Refraktorius » 11. jan 2021, 19:06

Kombinationen af at have meget travlt og ikke være alt for kvik er som regel en sikker rute ud over kanten.
"Det tager kun 2 minutter at læse opslagene øverst i et forum."

ReneKJ
This member is
This member is
Indlæg: 2265
Tilmeldt: 25. jun 2015, 11:10
Interesser: Våbenrelateret information
Geografisk sted: Jylland
Has thanked: 205 times
Been thanked: 448 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af ReneKJ » 11. jan 2021, 19:13

Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen

Brugeravatar
Raptor357
Platin Member
Platin Member
Indlæg: 6038
Tilmeldt: 26. mar 2010, 23:27
Interesser: At skyde og ramme
Geografisk sted: Stor Kbh
Has thanked: 191 times
Been thanked: 570 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Raptor357 » 11. jan 2021, 21:08

Hvis det passer er det en defekt.
Jeg tror ikke på det, så dumt er det.
Kun mængden af varm luft er begrænsningen på hvor højt politikerne stiger til vejrs

Kenned
This member is
This member is
Indlæg: 1803
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 345 times
Been thanked: 245 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Kenned » 11. jan 2021, 22:04

ReneKJ skrev:
11. jan 2021, 19:13
Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
Læs tekstboksene i post 1 igen :smile:

De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.

Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail :rolf:

Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.

Hilsen Kenneth
Mit brugernavn er skiftet fra Kenneth Jensen.

ReneKJ
This member is
This member is
Indlæg: 2265
Tilmeldt: 25. jun 2015, 11:10
Interesser: Våbenrelateret information
Geografisk sted: Jylland
Has thanked: 205 times
Been thanked: 448 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af ReneKJ » 11. jan 2021, 22:14

Kenneth Jensen skrev:
11. jan 2021, 22:04
ReneKJ skrev:
11. jan 2021, 19:13
Jeg ved ikke, selv om de kunne oprette brugere med uverificerede emails, så syntes jeg stadigt der mangler en forklaring på hvordan de kunne resette passwordet på en eksisterende admin konto.

For det nye password burde blive sendt til den eksisterende emailadresse, og den kan de ikke ændre uden at have adgang til admin kontoen
Læs tekstboksene i post 1 igen :smile:

De havde slået det at der sendes emails ved password skift fra, så man kun skulle kende brugernavnet for at logge ind. Der må dog ligge andet bag - fx at man skulle kende et kontonavn der ikke vises i selve softwaren.

Jeg gætter på at de havde slået funktionen fra fordi deres medlemmer ikke skulle kompromittere sig selv ved at bruge en e-mail :rolf:

Som man siger om skinheads - de har mere hår end hjerne, og man kan sikkert sige noget lignende om disse folk.

Hilsen Kenneth
De skriver at de ikke længere validere email, hvilket jeg tolker som det bekræftelseslink man normalt får når man opretter en konto eller skifter email.

Det kan godt være at de mener at der ikke længere valideres via email når man skifter password, men jeg syntes ikke at det er det der står?

Og det ville også være ufatteligt at tillade det uden nogen form for validering. Så behøver man ikke andet end et brugernavn for at kapre en konto.
Men bevares, nogen gange tages der mærkelige beslutninger.

Brugeravatar
Fast Fumble
Moderator
Moderator
Indlæg: 7396
Tilmeldt: 13. feb 2004, 08:52
Interesser: Pistoler, IPSC, motorsport
Geografisk sted: Nordjylland
Geografisk sted: Aalborg
Has thanked: 269 times
Been thanked: 840 times
Kontakt:

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Fast Fumble » 11. jan 2021, 22:41

Der er i hvert fald nogle der tror det er rigtigt.
Og de er ikke glade.
parler.jpg
Mvh.
Fast Fumble

ReneKJ
This member is
This member is
Indlæg: 2265
Tilmeldt: 25. jun 2015, 11:10
Interesser: Våbenrelateret information
Geografisk sted: Jylland
Has thanked: 205 times
Been thanked: 448 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af ReneKJ » 12. jan 2021, 07:35

Ja, og det er en af de ting der gør det svært at vurdere om det er sandt.

Hvis man siger "hvorfor skulle nogen lyve om det", så er det indlysende svar at man kan skade deres troværdighed i sådan en grad at de bukker under

Kenned
This member is
This member is
Indlæg: 1803
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 345 times
Been thanked: 245 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Kenned » 12. jan 2021, 09:44

Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby" :smile:

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth
Mit brugernavn er skiftet fra Kenneth Jensen.

Brugeravatar
Refraktorius
Admin
Admin
Indlæg: 18956
Tilmeldt: 23. maj 2006, 11:13
Interesser: Skydning, dimser og alu-bats
Geografisk sted: Århus
Has thanked: 322 times
Been thanked: 2064 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Refraktorius » 12. jan 2021, 12:44

Og det var en ung kvinde med grønt hår der gjorde det?
Bare for at føje spot til skade.
:rolf:
"Det tager kun 2 minutter at læse opslagene øverst i et forum."

Kenned
This member is
This member is
Indlæg: 1803
Tilmeldt: 28. mar 2008, 12:52
Interesser: UV-jagt, våben, Teknik
Geografisk sted: København S
Has thanked: 345 times
Been thanked: 245 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Kenned » 12. jan 2021, 14:47

Ja, den del elsker jeg :biggrin: :biggrin: :biggrin:
Mit brugernavn er skiftet fra Kenneth Jensen.

Brugeravatar
Tangloppen
Platin Member
Platin Member
Indlæg: 1466
Tilmeldt: 17. mar 2007, 13:45
Interesser: Dimser der ser i mørket...
Geografisk sted: Odense.
Has thanked: 56 times
Been thanked: 208 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Tangloppen » 12. jan 2021, 16:01

Er det blevet dumpet på nettet?
Lyder til at være noget der ligger lige til højrebenet for WikiLeaks eller tilsvarende...
Rigtige mænd skyder med 76 mm luftgevær!
Spejlhjerne af Guds nåde!

ReneKJ
This member is
This member is
Indlæg: 2265
Tilmeldt: 25. jun 2015, 11:10
Interesser: Våbenrelateret information
Geografisk sted: Jylland
Has thanked: 205 times
Been thanked: 448 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af ReneKJ » 12. jan 2021, 17:35

Kenneth Jensen skrev:
12. jan 2021, 09:44
Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby" :smile:

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth
Hvis det passer så var den første historie vel tæt på at være det rene opspind?
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.

Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?

Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.

Greyberd63
Platin Member
Platin Member
Indlæg: 1160
Tilmeldt: 17. aug 2017, 19:14
Interesser: Westernskydning og genladning
Geografisk sted: hovedstadsområdet
Has thanked: 302 times
Been thanked: 159 times

Re: “Parler” er godt og grundigt kompromitteret:

Indlæg af Greyberd63 » 12. jan 2021, 17:55

ReneKJ skrev:
12. jan 2021, 17:35
Kenneth Jensen skrev:
12. jan 2021, 09:44
Lidt interessant læsning om hackeren og teknikken - som i øvrigt er en Østrisk kvinde der går under navnet "donk_enby" :smile:

https://meaww.com/who-is-parler-hacker- ... iots-Trump

Den sikkerhedsbrist der gjorde at man kunne få fat på data var i pga. et dårligt programmeret plugin der blev brugt på Parler. Det er altså nok mere sløseri end decideret tåbelighed der har resulteret i leaket.

Mvh
Kenneth
Hvis det passer så var den første historie vel tæt på at være det rene opspind?
Jeg syntes dog at det teknisk giver mere mening at de skulle bruge distruberede docker images til at downloade post via et åbent api end den første version om at de skabet millioner af admin kontier. Hvad skulle de dog bruge dem til, og det er heller ikke specielt diskret.

Men når vi er færdig med at grine af Trump-militser der bliver taget i skægget af små grønhårede piger så kunne jeg godt tænke mig at vide hvordan vi stiller os til det etiske og juridiske i det her?
Et privat forum er blevet "hacket" af selvtægtsfolk med politiske motiver, som potentiel kommer i besiddelse af persondata.
Hvis de lægger de data ud som det lægges op til er det vel ikke helt utænkeligt at det starter en heksejagt på nogle personer af diverse internet-selvtægtsgrupper?

Hvis de offentliggør data er det så ikke rent faktisk en ret grov forbrydelse både juridisk og moralsk?
Hvis man har oplysninger om personer som man tror har begået kriminalitet så skal det meldes til myndighederne, ikke bruges til at lave internet-gabestokke.
Jo det er sgu noget møg, private data bør ikke komme i andres hænder, især ikke ved havd jeg vil kalde tvveri

Mvh
Grey

Besvar