ALERTE!! Elon Musk s'est fait piraté

Le 16 juillet 2020 à 01:00:00 LePlusBeauKhey a écrit :

Le 16 juillet 2020 à 00:58:14 banni90 a écrit :

Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :

Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :

[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.

This

C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd

tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod

non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide

oui un compte dev peut avoir accès à toutes les fonctionnalités et à un pannel permettant de gérer les comptes c'est tout à fait plausible
après de là a avoir accès à la bdd non mais des features pour poster, supprimer etc c'est tout à fait logique

non c'est impossible ca pourrait s'expliquer pour supprimer des tweet mais jamais t'as une fonction d'un super admin pour poster un tweet sur tous les compte

Le 16 juillet 2020 à 00:59:45 Jetdego3 a écrit :

[00:55:44] <SpyOunet>
Le pare-feu WSPTK qui a du céder suite à une vague DDOS qui passe par le code-crypté 4B6 du langage HJCI

Mais tu as capte pour le kryptodeck en BA13x ? Pck si tu es en base drrX86 t'es pas bon dans le codec ...

ça dépend si tu prends en compte les SATA6GO avant de rentrer dans la matrice plug'n'peer

Le 16 juillet 2020 à 01:00:17 Haddock-Tunning a écrit :

Le 16 juillet 2020 à 00:58:49 GentilReveur a écrit :
Vous êtes sérieux les kheys qui baratine en langage informatique ou vous inventez tout ?

Non, c'est un langage technique très sérieux.

Le CHP+ du GTXFORCE a créé une faille dans le data center du HP principal de Twitter qui n'a pas supporté que le système Water Cooling adopte un processus en HTTPS.

Si vous voulez mon avis.

Le 16 juillet 2020 à 00:58:14 banni90 a écrit :

Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :

Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :

[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.

This

C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd

tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod

non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide

Hum je pense que si 🤗 il y a obligatoirement un compte qui a accès à tous

[01:02:01] <Heldarion[3]>
Je ne distingue même pas les trolls des pisseurs sérieux

L'élite est partout même chez le back end de Amazon

Le 16 juillet 2020 à 01:00:13 banni90 a écrit :
L'année 2020 bordel :

Destruction de l'amazonie
Plus grosse pandemie de l'histoire
plus gros hack de l'histoire

El famoso plus grosse pandémie de l’histoire...

Le 16 juillet 2020 à 01:02:31 Jetdego3 a écrit :

[01:02:01] <Heldarion[3]>
Je ne distingue même pas les trolls des pisseurs sérieux

L'élite est partout même chez le back end de Amazon

Le 16 juillet 2020 à 01:02:22 SPlisken4 a écrit :
Vous aussi votre blog myspace est down ?

Mon skyblog est tombé

Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :

Le 16 juillet 2020 à 00:49:45 clemphy a écrit :

Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :

Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?

Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)

N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...

Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.

T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.

De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structure

Header: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.

Bref, ferme-la.

Le 16 juillet 2020 à 00:59:45 Jetdego3 a écrit :

[00:55:44] <SpyOunet>
Le pare-feu WSPTK qui a du céder suite à une vague DDOS qui passe par le code-crypté 4B6 du langage HJCI

Mais tu as capte pour le kryptodeck en BA13x ? Pck si tu es en base drrX86 t'es pas bon dans le codec ...

Non non il parle des CSS

T'as raison si t'es en base drrX86 le codec n'est pas fonctionnel à cause du depertek viral interne des HTLM.

Le 16 juillet 2020 à 01:01:55 Jetdego3 a écrit :

[01:01:07] <hammavapeurette>

Le 16 juillet 2020 à 00:57:05 Nooooo0b a écrit :

Le 16 juillet 2020 à 00:52:57 hammavapeurette a écrit :

Le 16 juillet 2020 à 00:51:28 vincentisback2 a écrit :

Le 16 juillet 2020 à 00:48:45 hammavapeurette a écrit :

Le 16 juillet 2020 à 00:47:40 LePlusBeauKhey a écrit :
mais sinon oubliez vos failles
c'est juste un compte dev avec accès à un panel admin qui a été down

Tout est une question de fréquence HFOPS 00

Tu oublies de prendre en compte l'offset du firewall vis à vis des intrusions qui peut parfois mettre plus de 10 secondes à se déclencher à cause des lenteurs de l'API rest et des adwaring JS.

Depuis tout à l'heure je m'évertue à dire que c'est les pare feux HUIJ et personne ne m'écoute.

Content de voir que quelqu'un est d'accord avec moi

En même temps c'était évident qu'il fallait booster l'API.

so 2019 tout ce que tu baragouines faut se mettre à jour mon vieux
ils ont bruteforce les logs de l'admin pour avoir un meilleur accès à l'API rest via une application tiers
une fois la faille récupéré rien de plus simple ils ont détruit le pare-feu IUH et a eux les comptes twitters

C'est toi qui racontes n'importe quoi.

Ils peuvent pas avoir bruteforce si l'API est actif, et s'ils l'avaient éteint ça voudrait dire que twitter ne pourrait plus spiner.

Pour l'application tier ça demande un CGUH de niveau 4, seulement la NASA y a accès et encore ça marche mal.

Pour les pare feux IUH je veux bien y croire mais ça veut dire qu'ils sont bien en CSS et pas en GHUI.

CAP 120 pour un CPA en 333mhz tu passes par le firewall iZi si tu freq bien ton délire ...

Pour un CPA en 333mhz, je suis désolé mais ça doit au moins être compatible avec du fiv 2.0, et je pense pas que Twitter accepte ça.....

Le 16 juillet 2020 à 01:00:36 3Virgule141592 a écrit :

Le 16 juillet 2020 à 00:59:45 Jetdego3 a écrit :

[00:55:44] <SpyOunet>
Le pare-feu WSPTK qui a du céder suite à une vague DDOS qui passe par le code-crypté 4B6 du langage HJCI

Mais tu as capte pour le kryptodeck en BA13x ? Pck si tu es en base drrX86 t'es pas bon dans le codec ...

Tu penses vraiment que le cardinal du langage UYGB# ne peut pas avoir un accès via un token API externe ?

Les desco qui comprennent pas la topologie singulière des framework PZK boosté au 8-14

Le 16 juillet 2020 à 01:01:45 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:00:00 LePlusBeauKhey a écrit :

Le 16 juillet 2020 à 00:58:14 banni90 a écrit :

Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :

Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :

[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.

This

C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd

tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod

non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide

oui un compte dev peut avoir accès à toutes les fonctionnalités et à un pannel permettant de gérer les comptes c'est tout à fait plausible
après de là a avoir accès à la bdd non mais des features pour poster, supprimer etc c'est tout à fait logique

Dans ma boîte les comptes dev ont un panel mais n'ont pas accès aux comptes.
Par contre un dev peut patch via l'API le MDP de nomprote qui (donc se connecter sur son compte)

Ce n'est pas très CNIL comme on dit

oui c'est surement pareil ici une faille dans l'api twitter

[01:02:44] <Wouldnot98>

Le 16 juillet 2020 à 01:02:31 Jetdego3 a écrit :

[01:02:01] <Heldarion[3]>
Je ne distingue même pas les trolls des pisseurs sérieux

L'élite est partout même chez le back end de Amazon

Tu veux des bites coing gratuient ?

Le 16 juillet 2020 à 01:00:13 banni90 a écrit :
L'année 2020 bordel :

Destruction de l'amazonie
Plus grosse pandemie de l'histoire
plus gros hack de l'histoire

Et nous ne sommes qu' à la moitié de l' année, WW3 en septembre, Big Crunch en décembre.