ALERTE!! Elon Musk s'est fait piraté
Le 16 juillet 2020 à 01:09:01 NY2_Yankees a écrit :
Le 16 juillet 2020 à 01:08:30 MONOZOM a écrit :
YKK ou YRR ?YRR à part l'odeur de pets dans les bureaux de twitter cette nuit
Et quelques licenciements 
Le 16 juillet 2020 à 01:01:07 hammavapeurette a écrit :
Le 16 juillet 2020 à 00:57:05 Nooooo0b a écrit :
Le 16 juillet 2020 à 00:52:57 hammavapeurette a écrit :
Le 16 juillet 2020 à 00:51:28 vincentisback2 a écrit :
Le 16 juillet 2020 à 00:48:45 hammavapeurette a écrit :
Le 16 juillet 2020 à 00:47:40 LePlusBeauKhey a écrit :
mais sinon oubliez vos failles
c'est juste un compte dev avec accès à un panel admin qui a été downTout est une question de fréquence HFOPS 00
Tu oublies de prendre en compte l'offset du firewall vis à vis des intrusions qui peut parfois mettre plus de 10 secondes à se déclencher à cause des lenteurs de l'API rest et des adwaring JS.
Depuis tout à l'heure je m'évertue à dire que c'est les pare feux HUIJ et personne ne m'écoute.
Content de voir que quelqu'un est d'accord avec moi
En même temps c'était évident qu'il fallait booster l'API.
so 2019 tout ce que tu baragouines faut se mettre à jour mon vieux
ils ont bruteforce les logs de l'admin pour avoir un meilleur accès à l'API rest via une application tiers
une fois la faille récupéré rien de plus simple ils ont détruit le pare-feu IUH et a eux les comptes twittersC'est toi qui racontes n'importe quoi.
Ils peuvent pas avoir bruteforce si l'API est actif, et s'ils l'avaient éteint ça voudrait dire que twitter ne pourrait plus spiner.
Pour l'application tier ça demande un CGUH de niveau 4, seulement la NASA y a accès et encore ça marche mal.
Pour les pare feux IUH je veux bien y croire mais ça veut dire qu'ils sont bien en CSS et pas en GHUI.
c'est la base des bases ils ont émuler un APH pour le faire passer pour L'API pour que twitter continue a spiner .gif ":)")
le CGUH ils ont du le chopper sur le darkweb ou ils ont contourner la base de donnée de la NASA à l'aide d'un HENYX302 pour y avoir accès à l'instant du hack via des tockens temporaires
pour les pare-feu je te laisse réflechir un peu quand même 
Le 16 juillet 2020 à 01:09:24 Luther_N-02 a écrit :
Le 16 juillet 2020 à 01:08:54 LightsMotion a écrit :
les kheys microsoft est safe ou pas?
J'ai une maj aussi
ALERTE 
Le 16 juillet 2020 à 01:08:02 hammavapeurette a écrit :
Le 16 juillet 2020 à 01:06:27 Takshashila a écrit :
Double bifurcation du TCPIP en transaction collusive sous HTML à double spirale vectorielle
Bien les ingéslaves de twitter qui ne savent pas corriger un bug pareil ?
J'avoue
Normalement si tu boost les infrastek 90 en même temps que les CBGR c'est fini en 5 minutes.
N'importe quoi, ça voit que t'as jamais reverse engineered l'injection IAT et que tu connais rien au stacker XSS 
Le 16 juillet 2020 à 01:08:17 jaguaraouw a écrit :
vous imaginez Trump qui tweet "j'ai ordonné le tir de 50 missiles nucléaires sur tout les pays suivant : pays 1 ; pays 2, ... si vous voulez que j'annule les frappes. Veuillez faire un don en bitcoin à cette adresse. Objectif 10 milliards sous 24h"
Le 16 juillet 2020 à 01:05:25 CleanCodeur a écrit :
Le 16 juillet 2020 à 01:03:44 LePlusBeauKhey a écrit :
Le 16 juillet 2020 à 01:01:26 CleanCodeur a écrit :
Le 16 juillet 2020 à 01:00:00 LePlusBeauKhey a écrit :
Le 16 juillet 2020 à 00:58:14 banni90 a écrit :
Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :
Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :
[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.This
C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd
tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod
non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide
oui un compte dev peut avoir accès à toutes les fonctionnalités et à un pannel permettant de gérer les comptes c'est tout à fait plausible
après de là a avoir accès à la bdd non mais des features pour poster, supprimer etc c'est tout à fait logiqueSauf que j'imagine que dans leur logs ils ont un système de log / action event, et qu'ils voient qui a fait quoi. Et si ça avait été ça la faille, le compte admin aurait été désactivé en quelques minutes et pas en 1h30.
Donc je pense plutôt à un bug côté API.
ça clairement ça doit être loggé pour éviter les abus d'employés
à part si c'est vraiment un compte dev+ mais j'imagine que c'est impossible qu'il se retrouve entre les mains d'inconnusImpossible en effet, j'ai bossé chez un gros site français et on logguait toutes les actions BO. Ce genre de bug ça aurait été détecté en quelques minutes.
Et un dev dans une grosse boite comme ça il a accès à rien en prod. Chez les très grosses boites les secrets de production ne sont pas transmis aux équipes de dev. Seule l'exploitation / dev ops y ont accès.
Chez Twitter c'est impossible. Par contre j'te garantis que chez des boîtes dont le métier de base n'est pas l'informatique il y a des aberrations en terme de sécurité. J'ai même eu l'occasion de bosser pour une mutuelle qui pèse plusieurs milliards dont l'API métier était une passoire. Tu pouvais librement accéder, depuis internet, même pas besoin de t'authentifier auprès du serveur, encore moins d'être connecté via l'intranet, aux endpoints. Et t'avais accès à toutes les infos sur les clients, les contrats, les documents scannés par l'éditique... Un scandale. 
Résumé ? 
86 pages, c'est un peu trop
Bitcoin + VPN, surement des hackers chinois 
Ils ont fire en synchronisation post delay sous SSH boosté à l'opium
Surement depuis une PS4 pro moddé avec accélérateur à particules
Probablement un agent infiltré du CERN, de rien
Le 16 juillet 2020 à 01:08:27 Echapanus a écrit :
Le 16 juillet 2020 à 01:05:05 Irelia_v3 a écrit :
Le 16 juillet 2020 à 01:02:49 clemphy a écrit :
Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :
Le 16 juillet 2020 à 00:49:45 clemphy a écrit :
Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :
Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...
Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structureHeader: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.Bref, ferme-la.
Https
Mais putain stop ça fait des années que je https be fais plus peur aux hackeurs, nomprote quel débile leur générer un certificat ssl et il y a des méthodes pour les casserLes token oauth 2 je confirme ils ne contiennent pas de MDP
Le token est juste crée a partir de l'uid et du secrettu racontes de la merde toi et lui
vous êtes des clowns
Sérieusement vous avez obtenu votre diplôme info dans une pochette surprise ?
Le https en base 32 tu peux l'overcloack en local avec rubis ça fait qu'en séparant la requête sur une liste dans un dd où tu override toutes les requetes entrantes nouvelles pour saturer le serveur quand il est en ligne, tu peux accèder mais seulement si les token sont fire ready
Vous êtes vraiment des ahuris.
C'est le CSS qui est rompu, ça veut dire que les pare feux MPGHEIXN ont été violés alors qu'ils étaient en PLK00.
Le 16 juillet 2020 à 01:09:52 LightsMotion a écrit :
Le 16 juillet 2020 à 01:09:24 Luther_N-02 a écrit :
Le 16 juillet 2020 à 01:08:54 LightsMotion a écrit :
les kheys microsoft est safe ou pas?
J'ai une maj aussi
ALERTE
C'est pas normal j'ai un logiciel qui désactive les maj 
Le 16 juillet 2020 à 01:09:59 clemphy a écrit :
Le 16 juillet 2020 à 01:05:25 CleanCodeur a écrit :
Le 16 juillet 2020 à 01:03:44 LePlusBeauKhey a écrit :
Le 16 juillet 2020 à 01:01:26 CleanCodeur a écrit :
Le 16 juillet 2020 à 01:00:00 LePlusBeauKhey a écrit :
Le 16 juillet 2020 à 00:58:14 banni90 a écrit :
Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :
Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :
[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.This
C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd
tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod
non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide
oui un compte dev peut avoir accès à toutes les fonctionnalités et à un pannel permettant de gérer les comptes c'est tout à fait plausible
après de là a avoir accès à la bdd non mais des features pour poster, supprimer etc c'est tout à fait logiqueSauf que j'imagine que dans leur logs ils ont un système de log / action event, et qu'ils voient qui a fait quoi. Et si ça avait été ça la faille, le compte admin aurait été désactivé en quelques minutes et pas en 1h30.
Donc je pense plutôt à un bug côté API.
ça clairement ça doit être loggé pour éviter les abus d'employés
à part si c'est vraiment un compte dev+ mais j'imagine que c'est impossible qu'il se retrouve entre les mains d'inconnusImpossible en effet, j'ai bossé chez un gros site français et on logguait toutes les actions BO. Ce genre de bug ça aurait été détecté en quelques minutes.
Et un dev dans une grosse boite comme ça il a accès à rien en prod. Chez les très grosses boites les secrets de production ne sont pas transmis aux équipes de dev. Seule l'exploitation / dev ops y ont accès.
Chez Twitter c'est impossible. Par contre j'te garantis que chez des boîtes dont le métier de base n'est pas l'informatique il y a des aberrations en terme de sécurité. J'ai même eu l'occasion de bosser pour une mutuelle qui pèse plusieurs milliards dont l'API métier était une passoire. Tu pouvais librement accéder, depuis internet, même pas besoin de t'authentifier auprès du serveur, encore moins d'être connecté via l'intranet, aux endpoints. Et t'avais accès à toutes les infos sur les clients, les contrats, les documents scannés par l'éditique... Un scandale.
Un dev de chez jvc pour nous éclairer ? 
Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?
86 pages, c'est un peu trop
87*)
Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?86 pages, c'est un peu trop
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP 
Le 16 juillet 2020 à 01:10:23 hammavapeurette a écrit :
Le 16 juillet 2020 à 01:08:27 Echapanus a écrit :
Le 16 juillet 2020 à 01:05:05 Irelia_v3 a écrit :
Le 16 juillet 2020 à 01:02:49 clemphy a écrit :
Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :
Le 16 juillet 2020 à 00:49:45 clemphy a écrit :
Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :
Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...
Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structureHeader: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.Bref, ferme-la.
Https
Mais putain stop ça fait des années que je https be fais plus peur aux hackeurs, nomprote quel débile leur générer un certificat ssl et il y a des méthodes pour les casserLes token oauth 2 je confirme ils ne contiennent pas de MDP
Le token est juste crée a partir de l'uid et du secrettu racontes de la merde toi et lui
vous êtes des clowns
Sérieusement vous avez obtenu votre diplôme info dans une pochette surprise ?
Le https en base 32 tu peux l'overcloack en local avec rubis ça fait qu'en séparant la requête sur une liste dans un dd où tu override toutes les requetes entrantes nouvelles pour saturer le serveur quand il est en ligne, tu peux accèder mais seulement si les token sont fire readyVous êtes vraiment des ahuris.
C'est le CSS qui est rompu, ça veut dire que les pare feux MPGHEIXN ont été violés alors qu'ils étaient en PLK00.
J'ajouterais à cela que le MILM a été hijacké et que la version du overflower 1.2.103 est outdated, il faut appeler les DNS pour solve le cache MSG
Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :
Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?86 pages, c'est un peu trop
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP
Ca se tient
Données du topic
- Auteur
- Wouldnot98
- Date de création
- 15 juillet 2020 à 22:33:53
- Nb. messages archivés
- 2132
- Nb. messages JVC
- 2132