Psiconauti

Ciao psiconauti, io sono Kriptikon.

Recentemente sono riuscito a mettere le mie sporche mani su TUTTO il database di psychonaut.com:



Come potete vedere dallo screenshot tutte le credenziali e dati sensibili degli utenti (più di 15000) sono alla portata di tutti.
Più nello specifico intendo:

- combolist di Email-Password (password salvate non in chiaro ma secondo crittografia di vBulletin Forum, in ogni caso facili da decriptare)

- Indirizzi Ip

- Messaggi privati

- Eventuali account social/sitiweb associati ad ogni account

Come mai questo è grave?

Chiunque fosse su quel forum si può considerare deanonimizzato.
Dopo un velocissimo check di alcune email confermo che molti profili facebook di persone reali possono essere associati alle email di registrazione.
Ora avete tutti una faccia, un nome, cognome, indirizzo ip.
Ogni vostra dichiarazione fatta (vi ricordo anche tramite messaggi privati) ora può essere associata a voi.

Decriptare TUTTE le password all'interno di un database che contiene quasi ventimila utenti è sicuramente un impresa lunga.
In ogni caso si possono considerare a rischio compromissione anche eventuali vostri account social, paypal e chi più ne ha più ne metta.
E' consigliabile cambiare password, nell'eventualità voi usiate sempre la stessa su tutti i siti.


DISCLAIMER di Kriptikon:
Fortunatamente io non ho nessuna intenzione di rilasciare pubblicamente e/o rivendere le informazioni ottenute.
In questo caso il database non è neanche stato scaricato per intero o salvato da parte mia.
Non prendetela male, questo mio hack è stato mosso dalla curiosità e da un forte spirito "for the lol"....
Spero di aver sottolineato abbastanza i rischi del caso. Che vi sia di aiuto per la salvaguardia della vostra privacy in futuro!

Se qualcuno ha voglia di parlare con me mi trovate su https://brigaterozze.club

Grande utile come cosa, ci ha fatto capire che non eran sicuri come si pensava?!? Comunque mi interesserebbe far due discorsi con te


Edit ah ma ho visto ora si tratta di psychonaut e non di psiconauti, comunque interessante uguale..

Uno dei motivi principali per cui siamo migrati è che i superadmin francesi non ascoltavano arimane, ben più saggio di loro, che diceva di mettere misure si sicurezza migliori...
Comunque per adesso io sono legalmente al sicuro.

Beh nessun software è mai al sicuro dagli attacchi.
Io sto cercando da tempo chi mi possa aiutare a togliere il logging delle password da phpbb, ma non ho ancora trovato supporto.
Le password sono salted e vabbe', l'email non serve nemmeno la conferma quindi uno può inventarselo e non abbiamo avuto problemi. Però l'IP è un problema.

Non prendetela male, questo mio hack è stato mosso dalla curiosità e da un forte spirito "for the lol"....

Con tutte le cose che si potevano fare, attaccare i siti della monsanto, della bayer, mille altre cose, proprio una community non-profit di prevenzione del danno?
È anche vero che andavano in giro con una versione di vbullettin, terribilmente non aggiornata.

Il loro sysadmin li ha lasciati in balia di loro stessi quando se ne è andato e nessuno di loro è particolarmente a suo agio come sistemista o sviluppatore, finora hanno arrangiato quelli della sezione francese.
Non che noi si sia tanto più capaci, in realtà.

Esatto kripto che senso ha? Dacci anzi una mano se sei così bravo, cioè alla fine non penso di debba essere dei professionisti per attaccare un sito come quello, cioè boh ahahahah

Decriptare TUTTE le password all'interno di un database che contiene quasi ventimila utenti è sicuramente un impresa lunga.

Non sono sicuro di che algoritmo usa, ma se si può decriptarne una con uno scriptino in python si possono decriptare tutte insieme con una semplice iterazione.


Comunque dal momento in cui Kriptikon non rilascerà pubblicamente le informazioni e lo ha fatto come "esercizio" trovo non ci sia molto di male, anzi, fa bene tenere la guardia alta.
Se li informasse dell'iniezione che ha usato sarebbe anche meglio, ma diciamoci la verità: psychonaut gira su un software a source chiusa che anche volendo non potrebbero né patchare né aggiornare perché dovrebbero pagare quelli di Vbulletin.

Sarebbe utile, oltre ad avere un sito sicuro, che gli utenti per primi pensassero a tutelarsi. Non sono un esperto in materia ma ad esempio non usando la propria mail per registrarsi e usando tor in modo da mascherare l'IP e non avere cookie si può stare abbastanza tranquilli.
Correggetemi se ho scritto str*****e.

Kriptikon ha scritto: ↑

mar feb 07, 2017 1:04 pm

Ciao psiconauti, io sono Kriptikon.

se quello che hai sfruttato è un bug recente, è solo un difetto, gravissimo ma un difetto.
se è roba vecchia, hai scoperto come la polizia di mezzo mondo controllava quel sito

bel colpo, ma se dimostri che è una backdoor sei un grande

Sem ha scritto: ↑

mar feb 07, 2017 11:07 pm

Sarebbe utile, oltre ad avere un sito sicuro, che gli utenti per primi pensassero a tutelarsi. Non sono un esperto in materia ma ad esempio non usando la propria mail per registrarsi e usando tor in modo da mascherare l'IP e non avere cookie si può stare abbastanza tranquilli.
Correggetemi se ho scritto str*****e.

No, sono tutte cose giuste. Però siamo tutti esseri umani, è anche vero che senza un aiuto di chi gestisce il sito la vita diventa difficile, credo uno sforzo vada fatto un po' da entrambe le parti. Un sacco di siti hanno captcha per exit node Tor, oppure le bloccano, o magari bannano per IP.
Sono cose che danno enormi di difficoltà, chi gestisce il sito deve andare incontro il più possibile alle necessità di privacy e sicurezza degli utenti, anche perché non si può pretendere che tutti siano iper tecnologici, anzi, per me la gente dovrebbe staccarsi un po' da questi aggeggi.

Usare una connessione SSL è un esempio di cosa semplice ma efficace, non loggare gli IP fin quando possibile, e cosine del genere.

Gli utenti dalla loro anche dovrebbero stare attenti, hai ragione. Credo che già usare Tor e non usare la propria mail aiuti molto. Disattivare gli script credo anche sia importante, sono il buco più grosso in tutto questo ambaradam.

Io ho avvisato i mod e admin di psychonaut dell'attacco ma pare che non abbiano esteso la conoscenza al resto del forum.

Non sono sicuro che sia stata una buona scelta da parte loro.