Sok false hír, mindig validáljunk

Hát hogy miért, az sose fog kiderülni de gondolom egy automata bot láttam hogy régi a CMS és jelzett neki aztán ennyi. Nem hiszem hogy nagy rocket science volt.
Az hogy milyen adatok az szerintem gyorsan kiderül. Hát szinte tuti hogy nem közvetlen a kormányzati login adatok (ha csak nem használja ugyanezt a jelszót ott is).
Teljesen vegyesen van benne minden domain a freemailtől, a gov-on át a hellokitty.com-on át minden. Viszont ilyenkor beszédesek szoktak lenni a jelszavak. Az egy bevett szokás embereknél hogy használnak egy nagyon bonyolult jelszót pl: 'ji refpFASß$ß!' és ehhez csak hozzáfűznek vagy elé raknak egy karatert hogy ne feledjék el melyik szolgáltatáshoz tartozik.
Ergo gmail: 'ji refpFASß$ß!gmail'
Ergo free: 'ji refpFASß$ß!freemail'
Ergo hup: 'ji refpFASß$ß!hup'
etc.. etc..
Így ebben az esetben is ezeket szokás megnézni, így elég gyorsan találunk egész sok jelszót aminek a tartalmában benne van az hogy "brux". Érdekes nekem ebből még nem esik le melyik oldalról lehet szó viszont mikor talál az ember olyan jelszót ami: 'TesztBruxInfo2017' akkor azonnal kiderül melyik az a honlap. Szóval nagy valószínűséggel innen jöhettek az adatok.
Na de hogy ment be az emberke? Megnyitottam az oldalt és látom Drupalon megy illetve publikusan elérhető a changelog-ja ami ugye default minden drupalnal. Ha esetleg nincs meg ez akkor ott a drupal.js és abból elég jól ki lehet következtetni pl HUP esetében is.
Szóval az Ő esetükben ez a release van fent 2016 februárból. (most sokan fejükhöz kapnak)

Részlet a leakből:

És hogy ki lehetett mögötte? A leakben van egy megjegyzés hogy "PAWNED BY 1n73ct1on". Ilyenkor google és megnézki ki Ő és miket csinált. Annyira sok info nem lesz róla.
Egy régebbi blogon amiben benne van az Ő neve látok maximum egy html-t ahol:

Persze ez most nem egy egyértelmű evedence vagy semmi hasonló, ez csak érdekesség hogy miért van pont egy olyan domainen pont egy ilyen file ami pont hacker csapatokra vonatkozik.
Innen ugye már van több infónk hisz van egy facebook+név, egy csapat név, és egy lokáció.
A Facebook már meg lett szüntetve szóval az felesleges de google-be bedobhatjuk hisz ha ennyire hírdette a facebookját akkor talán másol is meg lehet találni. És így is van, google azonnal feldobja pár oldalon.

Az egyik deface-nél a deface contentet mintha nem feltört oldalon tárólták volna:

Ehhez a whois alapján már van email cím meg teloszám persze lehet hogy teljesen fake. Az email alapján található is egy kamu facebook. Telefonszám alapján 15 domain van regisztrálva, email cím alaján viszont csak ez az egy.

A lényeg hogy a végére kiderült hogy az ég adta világon semmi köze kományzati sérülékenységhez mint ahogy a cikk írta. Ebben az esetben is mint sokszor volt egy oldal akik nem tudták mi az hogy security és hogy létezik egyáltalán. Illetve voltak akik ide regisztrálta a cégs email címmel ami megint fail.
És akkor az még csak rátesz hogy nincs password policy hogy legyen X hosszúság, legyen benne XY karakter. Miért van olyan jelszó benne hogy 'frakk'? Bár eleve a user is miért ilyet használ ugye.
Na és az oldal miért plain textben tárolja ezeket? Nem értem. miért nem jár ezért büntetés hogy nem felelnek meg semilyen security szabványnak?
Majd még lehet szórakozok vele hátha találok valami infot mert egyenlőre elég vékony jégen áll az eleje.