А які у вас найкурйозніші випадки дрібного хакерства?

Розповім про смішний випадок, який стався під час однієї з подій на нашій платформі ⬇️

Передісторія:

Ми з командою розвиваємо платформу для спільнот і подій Kommunity (аналог Meetup та Eventbrite). Для всіх наших організаторів ком’юніті ми також створили інший продукт, про який і піде мова, — платформа для трансляції KLive.

Зазвичай, доступ до платформи KLive є лише у ком’юніті, які розміщаються на Kommunity, тому що відбувається валідація учасників через реєстрацію у події.

Але, від однієї класної української конференції отримали запит на платформу із зовнішньою базою учасників і вирішили, що можна попрацювати в такому ключі теж, адже конференція вже реалізовувала свої квитки на іншому сервісі і шукала саме сервіс трансляції.

Запит був наступний: доступ лише учасникам зі списка організаторів (основне) та щоб вони не могли ділитися посиланням на трансляцію (конференція платна).

Було вирішено: створити подію на Kommunity, але з правом долучитися до неї лише учасникам зі списку організатора.

Ми додавали списки учасників в ручному режимі (поки немає авто завантаження, але вже пишемо) напередодні події і у день події, якщо хтось купив квиток. Тому ми особисто контролювали, які акаунти мають доступ до події.

Все йшло добре, поки наш менеджер не отримала дуже дивне повідомлення від організатора, що хтось пише повідомлення в чаті трансляції від його імені 😳

Виключили можливість доступу до нашої бази даних та пішли перевіряти активніть акаунту:

  1. ми побачили, що користувач увійшов у систему за допомогою google (це означало, що на нашій платформі акаунт не має створеного паролю і просто маючи email користувача зайти неможливо). Тож проблему зламу саме через Kommunity відкинули.
  2. нові токени продовжували створюватися, навіть попри те, що ми скасовували їх дійсність
  3. ми побачили, що користувач намагається отримати нові токени доступу за допомогою оновлення
  4. було змінено електронну адресу облікового запису, щоб зберегти доступ.
  5. користувач міг отримати токен доступу на облікових записах Gmail або Kommunity, що залишилися відкритими на публічних девайсах. На прохання організатора ми очистили весь слід користувача

Про зламаний Gmail акаунт організатора ми, звісно, повідомили.

Але сюрпризом у цій ситуації для нашої команди стало навіть не те, що хтось зламав Gmail акаунт, щоб не платити 35 долларів за конференцію, а те, що зламник дійсно сподівався залишитись непомічений, ставлячи питання від організатора 😅

Бережіть свої Gmail акаунти та діліться, які у вас були найкурйозніші випадки дрібного хакерства?

👍НравитсяПонравилось3
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Подавался онлайн на визу через рашкинский визовый центр (было еще до 2014 и в Украине не было ни посольства той страны, ни посредников), случайно обнаружил у них URL по которому можно было посмотреть сканы паспортов всех их клиентов делающих визы через них. Ну как обнаружил, у них там было url в стиле
blahblah.ru/status/id/6432

Как вы понимаете, 6432 это ID клиента, начинается с 1, никакой аутентификации

Когда писала юнит-тесты на логику, которая делает конвертацию валют, обнаружила вот что:

— если переводить 1 грн в USD то получится 4 цента
minfin.com.ua/...​y/converter/1-uah-to-usd
— если переводить 10 грн в USD то получится 37 центов
minfin.com.ua/...​/converter/10-uah-to-usd
— если переводить 1000 грн в USD то получится 36.83 USD
minfin.com.ua/...​converter/100-uah-to-usd

Получается, если 1000 грн переводить в доллары как 1000 конвертаций по 1 грн, то в итоге у тебя будет 40 долларов, а если одной транзакцией — то 36.83 доллара. Согласитесь, разница немаленькая, а на миллионах будет еще существеннее. Но не спешите радоваться и бежать менять деньги по 1й гривне в доллары, мне обьяснили что банк заблокирует тебя за fraud.

В банках курс покупки і продажу сильно відрізняються

При обміні великих сум використовують 4 і більше знаків після точки

В деяких мовах потрібно робити свій decimal тип

Здесь нет «покупки и продажи» здесь просто 2 метода покупки — переводить в USD по 1 гривне 1000 транзакций, или по 1000 грн одна транзакция. Поэтому без разницы какой курс продажи, в первом случае у вас $40 а во втором $36.83

Как мне потом обьяснили — это реально, если программисты банка об этом не знали и не учли, и есть реальные истории когда люди этой «особенностью округления» пользовались www.bbc.com/news/technology-24984797

это реально, если программисты банка об этом не знали и не учли

Це байка ще з часів cobol
Ця дірка описана GoS, Hackers, Matrix і тд

Вирішення

decimal тип

з потрібною кількістю знаків після точки

и что вы будете давать (заводить на счет) человеку за 1 грн — 0.03683 доллара? Да хоть 100 чисел после точки — 0.03683735743573457435 — при маленькой сумме приходится округлять к центам и иногда это округление в пользу пользователя, а не банка.

У дюка енаржі.
Знайшов на сайті баг
Був у мене купон на 5 доларів.
Виявилося шо якшо не перевищувати 5 доларів в замовленні цей купонинерозмінна монета. 2 ящика ледових лампочок. Пвдня кнопив по одній. Через тиждень прикрили. Лампочки прислали

В університеті, під час лабораторної роботи від нічого робити почав дивитись, що є в мережевому оточенні. Знайшов комп’ютер замдекана. Спробував підключитись до диска, отримав діалог для вводу пароля. Ввів 123456. Отримав повний доступ. Документів не читав, нічого не редагував.

шоб меня потом посадили?

Можно не то, что вы делали, а то, что происходило с вами, например 😅 как мы в статье :)

Как-то раз унылым осенне-зимним вечером шарился по сайтам стран третьего мира (Занзибар, Индонезия и т.д.) с помощью shodan.io

Захожу на один, видимо тестовый сайт, у которого даже доменного имени не было, только голый IP, а там на главной странице крупным шрифтом по центру написано:
Login: такой-то (набор букв)
Password: такой-то (набор букв и цифр)

Решил, проверить — реально ли это рабочие креды или кто-то просто так прикололся.
Залогинился с ними, пошарился по платформе, не нашел ничего интересного и ушел, ничего не тронув)
Хотя очень подмывало сменить как минимум пароль этому общедоступному юзеру)

Я бы сменил. И ещё добавил кой-чего для тех, кто эти креды введёт — в частности, захват рыла с видеокамеры, выводом оного на экран и кнопочкой «УДОЛИ!!!»

А вообще все шансы, что это honeypot.

Через прокрастинацію під час проходження обов’язкового онлайн курса по комп’ютерній безпеці на одному освітньому ресурсі вирішив перевірити мережевий обмін в браузері. Та випадково разом із статистикою знайшов там імена, імейли та результати проходження поточних (і не тільки) тестів для усього корпоративного екаунта.

наш менеджер отримала дуже дивне повідомлення від організатора, що хтось пише повідомлення в чаті трансляції від його імені

А що писав то?

Як не дивно, ставив запитання спікерам 😂 використовував доступ на максимум, так сказати

То треба було зіграти в соціальну інженерію, спровокувати на деанонімізацію наживо. Наприклад, показовим ігнором та зневагою від спікера.

Там помітили пізніше :) Було кілька потоків і питання вже було поставлене модератором до того, як організатор помітив, що воно прийшло від нього

*Вычислил по айпи* — У бывшей в бородатые года, кто-то из *близких* заходил толи на страницу, толи в акаунт ВК. И нужно было узнать кто, зная только айпи адрес. Узнал принадлежность айпи адреса конкретному провайдеру (повезло Вега не оч распространённый). Отсеяли тех, у кого известно что Воля(года лохматые, DOSICS, ADSL были в полный рост у обывателей). Позвонили подозреваемым с вопросом: *а какой у тебя интернет? а то, что-то укртелеком тупит.* После чего осталось 3 адреса. Звоним в провайдер, *мы хотели бы сменить тариф, можем сказать айпишник или адрес где подключение, на кого договор не знаем* по самому вероятному подозреваемому. И тут снова повезло 8)

Социальная инженерия — страшная штука, даже на таком примитивном уровне.
И немножко везения с белым айпи.

Однажды я случайно два сервера

Подписаться на комментарии