ALERTE!! Elon Musk s'est fait piraté

Le 16 juillet 2020 à 01:13:18 SpyOunet a écrit :

Le 16 juillet 2020 à 01:12:49 Pounchi a écrit :
Bon vous me fatiguez les troll, en plus YRR donc je vais me coucher bonne nuit les kheys

c'est quel langage ça YRR ?

C'est une framework sous côté de l'API rest qu'une petite entreprise inconnu à creer en 2018 en esperant le vendre à twitter et aux cordovafags

Le 16 juillet 2020 à 01:13:23 ilias300100 a écrit :
https://mobile.twitter.com/KerlZ2/status/1283539939276267521

Récap du hack de ce soir

un bon recap

Le 16 juillet 2020 à 01:13:04 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:12:31 KOL32 a écrit :

Le 16 juillet 2020 à 01:10:33 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:09:52 LightsMotion a écrit :

Le 16 juillet 2020 à 01:09:24 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:08:54 LightsMotion a écrit :
les kheys microsoft est safe ou pas?

J'ai une maj aussi

ALERTE

C'est pas normal j'ai un logiciel qui désactive les maj

N' éteint pas ton ordinateur sinon elle va s' installer automatiquement au redémarrage.....

Je fais comment khey
Tu connais un moyens pour interdire cette maj ?

il faut supprimer systeme 32 et partir sur linux

Le 16 juillet 2020 à 01:13:53 Birdi a écrit :
Mon xiaomi redémarre en boucle depuis 20 minutes il allait très bien cette après midi

Xi-xinping qui lance l’attaque.

Le 16 juillet 2020 à 01:15:07 balancetonban a écrit :
Résumé? Tweet supprimé je viens de me réveiller les clés

https://mobile.twitter.com/KerlZ2/status/1283539939276267521

Le 16 juillet 2020 à 01:15:07 balancetonban a écrit :
Résumé? Tweet supprimé je viens de me réveiller les clés

Le 16 juillet 2020 à 01:12:24 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:08:27 Echapanus a écrit :

Le 16 juillet 2020 à 01:05:05 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:02:49 clemphy a écrit :

Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :

Le 16 juillet 2020 à 00:49:45 clemphy a écrit :

Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :

Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?

Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)

N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...

Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.

T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.

De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structure

Header: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.

Bref, ferme-la.

Https
Mais putain stop ça fait des années que je https be fais plus peur aux hackeurs, nomprote quel débile leur générer un certificat ssl et il y a des méthodes pour les casser

Les token oauth 2 je confirme ils ne contiennent pas de MDP
Le token est juste crée a partir de l'uid et du secret

tu racontes de la merde toi et lui
vous êtes des clowns
Sérieusement vous avez obtenu votre diplôme info dans une pochette surprise ?
Le https en base 32 tu peux l'overcloack en local avec rubis ça fait qu'en séparant la requête sur une liste dans un dd où tu override toutes les requetes entrantes nouvelles pour saturer le serveur quand il est en ligne, tu peux accèder mais seulement si les token sont fire ready

Base 32
Traduire en assembleur ou rien les cucks

Traduire en assembleur?
Traduire en urightureur.

Et sinon vous vous gourez tous les deux parce qu'on est en CSS pas en HTLM.
Bande de clowns.

Base 32 il a dit
BASE 32

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :

Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?

86 pages, c'est un peu trop

En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Le 16 juillet 2020 à 01:14:19 covid2 a écrit :
les hacker vont attaquer le JVC apres vous pensez ?

Nous l' espérons.

D’après une courte analyse, la faille est possiblement dû au SMTP sans chiffrement lors de la création du compte Twitter, si le chiffrement est mal foutu, tu peux aisément contourner la sécurité et accéder a la page initiale de création de compte avant que tu valide ton MPD

Bon faut penser au LDAP histoire de regrouper le plus d’informations possible, et surtout exploiter le code source Java+ (Spécial programmeur), le UDP est trop vulnérable n’empêche
Console virtuel + Linux + Thor, ou rien

Le 16 juillet 2020 à 01:16:58 NY2_Yankees a écrit :
Bon c'était bien marrant, un peu déçu finalement mais ça a occupé ma soirée
Salut les kheys, pensez à naviguer en navigation privée pour être secure

Donc il reste deux possibilités :

- Un accès à un compte dev+ qui n'aurait pas d'actions logs et ils n'auraient pas pu le retracer (mais j'imagine que des comptes comme ça ne peuvent que se connecter sur un réseau local dans leurs sièges)
- ou une faille

donc je pense qu'il s'agit d'une faille vu le temps qu'à mis Twitter à chercher et n'a toujours rien trouvé
sur ce je vais dormir et on verra ce que ça dit dans la semaine

les devs twitter en sueur

Le 16 juillet 2020 à 01:17:06 Kyanite a écrit :
quelqu'un à le nom de l'adresse btc svp flemme de la copier à la main

Elle s'appelle Eric

https://www.blockchain.com/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh?page=1