170 replies to this topic

[toyo]

se han semplicemente riutilizzato un cookie legit e quindi lato bnackend quel cookie non e' validato sull'utente/tenant, lol

 

spero paghino tantissimo

[p.nightmare]

SMS appena arrivato
-----

Ti scriviamo per informarti che purtroppo ho. Mobile, come numerose altre aziende, e' rimasta vittima di crimini informatici che si sono intensificati durante la pandemia. Da analisi approfondite, tuttora in corso e in stretta collaborazione con le Autorita' inquirenti, e' emerso che e' stata sottratta illegalmente una parte dei tuoi dati con riferimento solo ai dati anagrafici e dati tecnici della tua SIM. Non c'e' stata alcuna sottrazione di dati di traffico (telefonate, SMS, attivita' web, etc.) ne' di dati bancari o relativi ai tuoi sistemi di pagamento. Abbiamo immediatamente attivato ulteriori e nuovi livelli di sicurezza per mettere tutti i clienti al riparo dalla minaccia di potenziali frodi. Potrai comunque richiedere in qualsiasi momento la sostituzione gratuita della SIM presso i punti vendita autorizzati ho. Mobile. Per maggiori dettagli vai su ho-mobile.it/comunicazione.

idem

[dreadknight]

a me non è arrivato ancora nulla

[entanglement]

si ma quindi hanno preso tutto con l'utenza di una persona qualsiasi che lavora nel centro commerciale x.

in teoria potrebbero pure scoprire chi è stato, visto che nei log spero ci sia qualcosa sul chi ha fatto le request. però dipende anche dalla rotation, magari hanno rubato tutto un mese fa e ormai quei log li hanno persi

che senso ha loggare se poi butti via dopo un mese ?

[dreadknight]

idem

passato a ho 3 giorni fa
ma in teoria sono dump vecchi dai

 

[Futura12]

che senso ha loggare se poi butti via dopo un mese ?

 

sei scemo?

[entanglement]

sei scemo?

cos'è, risparmiano anche sugli hard disk ?

[bjt2]

da quello che e' scritto nell'articolo hanno usato un endpoint con auth via cookie e hanno spooofato tutti gli utenti

 

probabilmente craftandolo a mando o riutilizzando un cookie legit

Ma che coglioni... Persino io sul sitarello del cnr ho messo un session id per utente e l'utente viene sloggato e il session id cancellato se mandi il cookie sbagliato...

[toyo]

non e' questione di sessione ma di claim associati al token/cookie

 

 

edit: a naso, magari sbaglio

Edited by toyo, 04 January 2021 - 14:32.

[bjt2]

non e' questione di sessione ma di claim associati al token/cookie

 

 

edit: a naso, magari sbaglio

Io non so quali siano gli standard attuali. Non uso librerie preconfezionate, faccio tutto il codice a mano.

 

Ho password hash con salting e session id corrente memorizzati nella tabella users.

Quando ti logghi è generato un session id unico che poi viene cancellato se ti logghi con un altro browser o fai logout o tenti di loggarti anche da un altro browser e sbagli password.

 

La versione iniziale, più paranoica, era che il sessionid cambiava continuamente a ogni caricamento pagina, così le lo intercettavano e lo riusavano ti sloggavi tu e loro. Era più sicuro, ma se avevi problemi di rete o aggiornavi la pagina troppo velocemente mandavi il cookie sbagliato e ti sloggavi.

[toyo]

FC? fc

[p.nightmare]

avranno sicuramente mandato a tutti. ho fatto l'attivazione settimana scorsa quindi dopo il dump, prima di allora non avevano sicuramente l'iccid abbinato ai miei dati, si abbina durante l'attivazione.

forse avevano i dati della sim vecchia, ma fc, non ce l'ho più da mesi

[Futura12]

mi sà che hai sculato e fatto in tempo....

[Futura12]

cos'è, risparmiano anche sugli hard disk ?

 

Secondo te tutta questa questione si risolve guardando un fottuto log?

[abcdef]

se han semplicemente riutilizzato un cookie legit e quindi lato bnackend quel cookie non e' validato sull'utente/tenant, lol

 

spero paghino tantissimo

secondo me è proprio questa ahaha

[toyo]

eh rasoio di occam

[abcdef]

anche perchè l'ho visto fare

[toyo]

Secondo te tutta questa questione si risolve guardando un fottuto log?

cosi' trovi l'ip del nodo tor da cui sono usciti

[Futura12]

[p.nightmare]

mi sà che hai sculato e fatto in tempo....

sì ma fc, al massimo cambio sim e bon