ALERTE!! Elon Musk s'est fait piraté

Le 16 juillet 2020 à 01:15:46 hammavapeurette a écrit :

Le 16 juillet 2020 à 01:12:24 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:08:27 Echapanus a écrit :

Le 16 juillet 2020 à 01:05:05 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:02:49 clemphy a écrit :

Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :

Le 16 juillet 2020 à 00:49:45 clemphy a écrit :

Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :

Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?

Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)

N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...

Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.

T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.

De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structure

Header: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.

Bref, ferme-la.

Https
Mais putain stop ça fait des années que je https be fais plus peur aux hackeurs, nomprote quel débile leur générer un certificat ssl et il y a des méthodes pour les casser

Les token oauth 2 je confirme ils ne contiennent pas de MDP
Le token est juste crée a partir de l'uid et du secret

tu racontes de la merde toi et lui
vous êtes des clowns
Sérieusement vous avez obtenu votre diplôme info dans une pochette surprise ?
Le https en base 32 tu peux l'overcloack en local avec rubis ça fait qu'en séparant la requête sur une liste dans un dd où tu override toutes les requetes entrantes nouvelles pour saturer le serveur quand il est en ligne, tu peux accèder mais seulement si les token sont fire ready

Base 32
Traduire en assembleur ou rien les cucks

Traduire en assembleur?
Traduire en urightureur.

Et sinon vous vous gourez tous les deux parce qu'on est en CSS pas en HTLM.
Bande de clowns.

Base 32 il a dit
BASE 32

BASE 32

On se sent compétent

BASE 32

Le 16 juillet 2020 à 01:17:11 AMGouRien a écrit :
depuis la maj windows de ce soir j'arrive plus a me co a rockstar

J'ai couper la maj au cas ou

Le 16 juillet 2020 à 01:13:23 ilias300100 a écrit :
https://mobile.twitter.com/KerlZ2/status/1283539939276267521

Récap du hack de ce soir

"please give me my money back"
Les pauvres

Le 16 juillet 2020 à 01:17:33 3Virgule141592 a écrit :

Le 16 juillet 2020 à 01:17:06 Kyanite a écrit :
quelqu'un à le nom de l'adresse btc svp flemme de la copier à la main

Elle s'appelle Eric

https://www.blockchain.com/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh?page=1

C'est encore en attente

Le 16 juillet 2020 à 01:15:07 balancetonban a écrit :
Résumé? Tweet supprimé je viens de me réveiller les clés

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Si tu préshot au spawn c' est impossible que ça se produise.

Le 16 juillet 2020 à 01:18:56 KOL32 a écrit :

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Si tu préshot au spawn c' est impossible que ça se produise.

Si il était full armure il a très bien pu éviter de se faire one-shot

Le 16 juillet 2020 à 01:19:57 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:17:21 FdpDeRevendeur a écrit :
D’après une courte analyse, la faille est possiblement dû au SMTP sans chiffrement lors de la création du compte Twitter, si le chiffrement est mal foutu, tu peux aisément contourner la sécurité et accéder a la page initiale de création de compte avant que tu valide ton MPD

Bon faut penser au LDAP histoire de regrouper le plus d’informations possible, et surtout exploiter le code source Java+ (Spécial programmeur), le UDP est trop vulnérable n’empêche
Console virtuel + Linux + Thor, ou rien

On se sent SI

Le 16 juillet 2020 à 01:20:12 SpyOunet a écrit :

Le 16 juillet 2020 à 01:18:56 KOL32 a écrit :

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Si tu préshot au spawn c' est impossible que ça se produise.

Si il était full armure il a très bien pu éviter de se faire one-shot

Si il a de meilleurs binds oui.

Le 16 juillet 2020 à 01:17:29 LePlusBeauKhey a écrit :
Donc il reste deux possibilités :

- Un accès à un compte dev+ qui n'aurait pas d'actions logs et ils n'auraient pas pu le retracer (mais j'imagine que des comptes comme ça ne peuvent que se connecter sur un réseau local dans leurs sièges)
- ou une faille

donc je pense qu'il s'agit d'une faille vu le temps qu'à mis Twitter à chercher et n'a toujours rien trouvé
sur ce je vais dormir et on verra ce que ça dit dans la semaine

les devs twitter en sueur

ah et une troisième :
- c'est un employé twitter assez bien placé depuis le début qui s'amuse

Le 16 juillet 2020 à 01:20:12 SpyOunet a écrit :

Le 16 juillet 2020 à 01:18:56 KOL32 a écrit :

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :
En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Si tu préshot au spawn c' est impossible que ça se produise.

Si il était full armure il a très bien pu éviter de se faire one-shot

Avec une armure enchanté, aucun risque de se faire toucher

Le 16 juillet 2020 à 01:15:27 clemphy a écrit :

Le 16 juillet 2020 à 01:15:07 balancetonban a écrit :
Résumé? Tweet supprimé je viens de me réveiller les clés

https://mobile.twitter.com/KerlZ2/status/1283539939276267521

Aaya

Le 16 juillet 2020 à 01:21:20 Fit1 a écrit :
Putain mais en gros le hackeur a juste fait une injection SQL ?

mais tg

Le 16 juillet 2020 à 01:21:16 AirBnbRUSSlA a écrit :
Ils se font pas énormément d'argent avec un hack pourtant de grande ampleur.

On est sur du 500k $ quand même, un demi million.

Sincèrement les hackeur avait pas un meilleur moyen de gagner de largent ?

Parce que hacker des compte aussi gros c'est une mine or