Przejęcie haseł?
Moderatorzy: Moderatorzy WBP, Moderatorzy wiatrówkowi, Moderatorzy CP
- Precess
- Zarejestrowany użytkownik
- Reactions:
- Posty: 310
- Rejestracja: 07 września 2008, 14:39
- Tematy: 29
- Lokalizacja: Trzecia planeta od Słońca
- Grupa: Zarejestrowani użytkownicy
Przejęcie haseł?
Dostałem dziś powiadomienie z Google, że moje hasło zostało do forum zostało przejęte i ujawnione w internecie. Wiadomość przyszła na pewno z Google. Nawet nie wiedziałem, że jest tam taka funkcjonalność.
Czy wiadomo coś o jakimś włamaniu do forum?
Czy wiadomo coś o jakimś włamaniu do forum?
- ImTheOne
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1007
- Rejestracja: 29 maja 2012, 22:10
- Tematy: 20
- Lokalizacja: KS Garda
- Grupa: Zarejestrowani użytkownicy
- Mumin_
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1209
- Rejestracja: 24 marca 2019, 16:15
- Tematy: 12
- Lokalizacja: między Polską a Czechami
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Google ostrzega, jeśli gdziekolwiek publicznie pojawiła się para login-hasło. Chrome porównuje to z zapamiętanymi w przeglądarce i jeśli pasują, to ostrzega.
Edit: sprawdziłem przed chwilą, wystarczy, że samo hasło jest spalone, login może być dowolny.
I oraz:
Edit: sprawdziłem przed chwilą, wystarczy, że samo hasło jest spalone, login może być dowolny.
I oraz:
Włamanie na forum nie ujawni haseł. Poczytaj o funkcji skrótu (hash).
My od lat już gawędzimy o Maryni i to nawet - szczerze mówiąc - nie o całej
Слава Україні!
Слава Україні!
- mgmg
- Zarejestrowany użytkownik
- Reactions:
- Posty: 172
- Rejestracja: 05 kwietnia 2018, 13:18
- Tematy: 0
- Lokalizacja: podkarpacie
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
A nie używasz tego samego hasła tez na aliexpres? Tam był chyba ostatnio wyciek.
- Wiedzmin
- Zarejestrowany użytkownik
- Reactions:
- Posty: 847
- Rejestracja: 03 sierpnia 2020, 11:05
- Tematy: 0
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Nie będę się rozpisywał na temat technologii. W każdym razie bez https to każdy może sobie z logów wyciągnąć to Wasze hasło. Radzę używać dla tego forum jakiegoś losowego hasła i nie używać go w innych miejscach.
BLACK GUNS MATTER
- Precess
- Zarejestrowany użytkownik
- Reactions:
- Posty: 310
- Rejestracja: 07 września 2008, 14:39
- Tematy: 29
- Lokalizacja: Trzecia planeta od Słońca
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Dzięki za wyjaśnienia. Dobrze czasem posłuchać bardziej ogarniętych w temacie
Konta na Ali w ogóle nie mam. Pewnie zacznę używać jakiegoś manadżera haseł, bo jak spamiętać te wszystkie różne hasła na różne portale...
Konta na Ali w ogóle nie mam. Pewnie zacznę używać jakiegoś manadżera haseł, bo jak spamiętać te wszystkie różne hasła na różne portale...
- sql
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1324
- Rejestracja: 03 listopada 2014, 21:00
- Tematy: 19
- Lokalizacja: Łom-Janki
- Grupa: Zarejestrowani użytkownicy
- Kontakt:
Re: Przejęcie haseł?
To jest oczywiście bardzo dobra, uniwersalna rada - na wszystkie serwisy, nie tylko to forum...
...jesteśmy niegrzeczne chłopaki, pójdziemy siedzieć do paki...
- Prince i Bowie
- Zarejestrowany użytkownik
- Reactions:
- Posty: 276
- Rejestracja: 17 października 2019, 14:15
- Tematy: 3
- Grupa: Zarejestrowani użytkownicy
-
- Zarejestrowany użytkownik
- Reactions:
- Posty: 56
- Rejestracja: 03 kwietnia 2019, 11:08
- Tematy: 0
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
@Wiedzmin
Jakie logi masz na myśli? Bez https hasło można wyciągnąć, ale nie z logów tylko z transmisji – https to jest szyfrowanie transmisji. Logi na serwerze zapisują to co się im karze i zawsze w formie odszyfrowanej – przecież serwer musi odszyfrować dane żeby móc z nimi cokolwiek zrobić.
Do tego żeby podsłuchiwać ruch trzeba mieć dostęp do łącza pomiędzy użytkownikiem a serwerem na którym jest forum. Czyli być częścią ścieżki, czyli albo się jakoś wpiąć pomiędzy podmioty które przekazują sobie ruch (nie takie proste jeśli się np. nie włamało do skrzynki dostawcy w budynku gdzie siedzi użytkownik) albo shackować dostawcę internetu i podsłuchiwać ruch jego klientów.
Jakie logi masz na myśli? Bez https hasło można wyciągnąć, ale nie z logów tylko z transmisji – https to jest szyfrowanie transmisji. Logi na serwerze zapisują to co się im karze i zawsze w formie odszyfrowanej – przecież serwer musi odszyfrować dane żeby móc z nimi cokolwiek zrobić.
Do tego żeby podsłuchiwać ruch trzeba mieć dostęp do łącza pomiędzy użytkownikiem a serwerem na którym jest forum. Czyli być częścią ścieżki, czyli albo się jakoś wpiąć pomiędzy podmioty które przekazują sobie ruch (nie takie proste jeśli się np. nie włamało do skrzynki dostawcy w budynku gdzie siedzi użytkownik) albo shackować dostawcę internetu i podsłuchiwać ruch jego klientów.
- Wiedzmin
- Zarejestrowany użytkownik
- Reactions:
- Posty: 847
- Rejestracja: 03 sierpnia 2020, 11:05
- Tematy: 0
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Logi z access pointa, z firewall, ze switcha - generalnie z całej siatki łączącej serwer z naszym komputerem. Podsłuchać zwykłego kowalskiego jest bardzo łatwo i bez wpinania się w sieć, wystarczy po wifi zrobić deauth, zakłócić jego sieć macierzystą i podsunąć jedną z zaufanych zrzucając sobie pakiety.
BLACK GUNS MATTER
-
- Zarejestrowany użytkownik
- Reactions:
- Posty: 56
- Rejestracja: 03 kwietnia 2019, 11:08
- Tematy: 0
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Access pointy, switche i firewalle nie logują "treści" ruchu, a więc tego fragmentu gdzie lecą hasła. Co najwyżej source IP, source port, destination IP, destination port, czas i tym podobne metadane o połączeniu. Gdyby było tak jak Ci się wydaje to oglądając film z Netflixa który np. ma 3GB musiałbyś mieć na każdym z tych urządzeń dysk zdolny pomieścić ten film i wszystko inne co przez nie przelatuje. Metadane zajmują dużo mniej miejsca, a i tak takie informacje są logowane tylko przez urządzenia klasy enterprise i tylko jeśli administrator to skonfiguruje (i najczęściej zrzucane na osobny serwer logów, a nie trzymane na urządzeniu), domowe urządzenia najczęściej nawet nie mają takiej funkcjonalności.
Co do deauth i podstawienia własnego fałszywego APka, to jak najbardziej masz rację. Ale w ten sposób własnie wcinasz się w kanał transmisyjny i robisz to o czym napisałem w poprzednim poście: "trzeba mieć dostęp do łącza pomiędzy użytkownikiem a serwerem". W tym momencie stajesz się elementem tego łącza, acz faktycznie w prostszy sposób niż hackowanie dostawcy internetu (ale z kolei znacząco ogranicza Cię odległość od celu, więc jest to dobre na ataki celowane, gdybym np. chciał tak shackować użytkowników tego forum musiał bym to robic jeden po jednym i dla każdego musiał bym najpierw wiedzieć gdzie mieszka, a potem być blisko).
Co do deauth i podstawienia własnego fałszywego APka, to jak najbardziej masz rację. Ale w ten sposób własnie wcinasz się w kanał transmisyjny i robisz to o czym napisałem w poprzednim poście: "trzeba mieć dostęp do łącza pomiędzy użytkownikiem a serwerem". W tym momencie stajesz się elementem tego łącza, acz faktycznie w prostszy sposób niż hackowanie dostawcy internetu (ale z kolei znacząco ogranicza Cię odległość od celu, więc jest to dobre na ataki celowane, gdybym np. chciał tak shackować użytkowników tego forum musiał bym to robic jeden po jednym i dla każdego musiał bym najpierw wiedzieć gdzie mieszka, a potem być blisko).
- Mumin_
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1209
- Rejestracja: 24 marca 2019, 16:15
- Tematy: 12
- Lokalizacja: między Polską a Czechami
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Bo to trzeba emacsem przez sendmail...
My od lat już gawędzimy o Maryni i to nawet - szczerze mówiąc - nie o całej
Слава Україні!
Слава Україні!
-
- Zarejestrowany użytkownik
- Reactions:
- Posty: 178
- Rejestracja: 19 listopada 2015, 00:43
- Tematy: 2
- Lokalizacja: Warszawa
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Baza tego forum wyciekła (co nie jest jakimś specjalnym zaskoczeniem skoro wdrożenie SSLa nie może się od lat dokonać). Zacząłem dziś dostawać spam na adres e-mail który został użyty *wyłącznie* do rejestracji na tym forum. Jeśli ktoś używa na tym forum takiego samego hasła jak w innych serwisach to sugeruję je na biegu zmieniać.
Przypominam o obowiązkach jakie RODO nakłada na administratora danych osobowych w takiej sytuacji.
Przypominam o obowiązkach jakie RODO nakłada na administratora danych osobowych w takiej sytuacji.
.22 / .223 / 7,62x39 / 9x18 / 9x19 / 12GA
-
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1129
- Rejestracja: 17 marca 2019, 10:45
- Tematy: 12
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
Raczej przez fora i komunikatory najwięcej danych wycieka, bo sami ludzie piszą, ale cała baza wyciekła? Co my tam właściwie podawaliśmy przy rejestracji?
- Mumin_
- Zarejestrowany użytkownik
- Reactions:
- Posty: 1209
- Rejestracja: 24 marca 2019, 16:15
- Tematy: 12
- Lokalizacja: między Polską a Czechami
- Grupa: Zarejestrowani użytkownicy
Re: Przejęcie haseł?
To ma być dowód na wyciek danych? Ja regularnie dostaję spam na adresy, których nigdy nigdzie nie użyłem...
Na szczęście forum nie wymaga podawania żadnych danych osobowych...
My od lat już gawędzimy o Maryni i to nawet - szczerze mówiąc - nie o całej
Слава Україні!
Слава Україні!