C'est une faille sur le site de référence du groupe moviebox, qui donne accès à de nombreux sites pornos comme t8premium, pornhub, tub8, ... Toutes les connexions passent apparemment via une API centrale, API qui a trouvé cela bon de stocker un log des tentatives avec à chaque fois toutes les informations du compte.
On y retrouve du coup le nom d'utilisateur, l'email, ... et le mot de passe de l'utilisateur en MD5. Il est donc simplissime de pouvoir récupérer le mot de passe, ce que nous avons tenté pour quelques comptes avec succès (NDA: non, bande pervers, on ne vous les donnera pas ). Les données étaient accessibles et indexées sur Google, et ce depuis au moins le mois de novembre soit de longs mois à révéler les mots de passe de tous les coquins...
On y retrouve du coup le nom d'utilisateur, l'email, ... et le mot de passe de l'utilisateur en MD5. Il est donc simplissime de pouvoir récupérer le mot de passe, ce que nous avons tenté pour quelques comptes avec succès (NDA: non, bande pervers, on ne vous les donnera pas ). Les données étaient accessibles et indexées sur Google, et ce depuis au moins le mois de novembre soit de longs mois à révéler les mots de passe de tous les coquins...
Plus d'actualités dans cette catégorie
Commentaires
lolzim:
Des milliers de comptes de sites pornos accessibles
MD5 simplissime à retourner?!?
blietaer:
Des milliers de comptes de sites pornos accessibles
Pas à _retourner_ (c'est un hash, cela ne se retourne pas), mais sans SALT, c'est facile à _comparer_ avec une rainbow table
ovh:
Des milliers de comptes de sites pornos accessibles
Question subsidiaire : il n'y a pas de source à cette news, devons-nous en déduire que c'est notre Roy qui a trouvé ça en faisant une recherche google, disons spécialisée ?
antp:
Des milliers de comptes de sites pornos accessibles
zion:
Des milliers de comptes de sites pornos accessibles
C'est en effet une source interne
Et oui, c'est facile à récupérer un pass hashé en MD5, blietaer a justifié le mot, c'est fait en 30 secondes sur la toile. Testé et approuvé
Et oui, c'est facile à récupérer un pass hashé en MD5, blietaer a justifié le mot, c'est fait en 30 secondes sur la toile. Testé et approuvé
NaGa:
Des milliers de comptes de sites pornos accessibles
ahhahaha excellent !
didix:
Des milliers de comptes de sites pornos accessibles
Un travail de pro(n)
Clandestino:
Des milliers de comptes de sites pornos accessibles
La méthode scientifique recommande de multiples vérifications de tout phénomène observé. Dans l'intérêt de la connaissance et du partage, je recommande que l'observateur partage ses données et son protocole d'analyse avec d'autres expérimentateurs afin de valider les fondements de son expérience.
nicoda:
Des milliers de comptes de sites pornos accessibles
Testé avec une dizaine de compte : Incorrect username or password. Please try again.
zion:
Des milliers de comptes de sites pornos accessibles
On les a prévenu de la faille la semaine passée, en principe ils ont (ou vont) corriger, faut pas rire