Mi-a spart un idiot contu de yahoo

ammon06, on Aug 3 2007, 02:25, said:

Pai, daca-mi da asa ceva "Sorry, we do not have enough information to proceed with password recovery for this account." ?!?
Eu imi stiu datele, imi stiu adresa alternativa, si culmea e ca daca merg pe optiunea "I don't know my Yahoo! ID", bag datele si adresa alternativa, primesc acolo confirmare, adica numele, ID-ul care ma faceam ca-l uit...  Deci baza de date lucreaza, dar numai intr-un sens, de-a-ndoaselea!  Pe corect, user-pass, asa NU!  Treaba a fost lucrata frumos.

ammon06, on Aug 3 2007, 02:25, said:

Dovedesc eu, am cum, sunt informatii acolo relevante, dar unde "mail catre yahoo", pe ce adresa?!

ammon06, on Aug 3 2007, 02:25, said:

Poate sti tu mai bine, dar eu ma uit la uplink si downlink, atunci cand fac logari pe diferite site-uri, si cant de info pe uplink e timp de multe secunde de 3-4 ori mai mare decat pe downlink, uneori proportia dureaza chiar minute...  Deci mai intai iti ia info din calc, abia apoi iti da!  Poti sa sti ce blaturi au marile site-uri cu MS, vreau sa zic de ce imi urla AV si NetWatcher cateva sec cand ma loghez pe unele site-uri si ma intrb daca dechid si portu ala si portu ala si portu ala...?! De ce numa unele site-uri deschid 10-15 porturi, altele nici-unul?!

Editat de liv_stef, 03 august 2007 - 02:50.

infernal, on Jul 27 2007, 09:58, said:

bun. eu folosesc yahoo. iti spun id-ul meu, ip-ul sau ip-urile de pe care ma conectez si pe deasupra dau cate clickuri vrei tu pe ce site-uri vrei tu. reusesti sa-mi spargi contul? daca nu, probabil esti idiot....

Eu am intrat pe vreo cateva zeci de conturi de mail. DC++ + multa prostie + mozilla. Asta-i reteta. Multi dau share la tot windowsul pe dc++. Daca folosesc curent mozilla, multi isi stocheaza parolele acolo. Dai un download simplu si in cele mai multe cazuri poti sa intri pe mail prin simpla presupunere ca indivizii folosesc mereu aceleasi 1-2 parole pe care le gasesti in lista mozilla. :D
M-am folosit o singura data de contul unuia, cand am descoperit ca avea 2 amante. Pur si simplu trebuia sa la arat celor doua cu cine au de-a face, asa ca le-am facut fwd la mailuri. :P Cred ca ma-njura si-acum. :lol:

Yahoo e cel mai naspa sistem de mail, care este necriptat si vai mama lui.

Orice cont de Yahoo poate fi spart cu un Cookie Stealer. Cineva iti trimite un mail fara nimic in el cu un script in headerele mailului, si apoi te redirecteaza pe o pagina unde un script php iti preia cookieul. Apoi se foloseste un program de decriptare a acelui cookie si gata, Ti-a aflat si parola si userul si tot.

Asa ca, folositi in continuare Yahoo!!!

M_r, on Jul 27 2007, 14:45, said:

MSN e de 5 miliarde mai bun decat yahoo ... ;) ... oare de ce toata lumea si toate firmele din afara folosesc msn ? ... move on ... yahoo e de rahat ...

mrcalex, on Aug 3 2007, 08:55, said:

Daca un cookie poate fi citit numai de catre domeniul ce l-a plasat acolo (banuiesc ca .yahoo.com), serverul tau nu-l poate citi.
Poate folosi o sare, poate stoca valoarea la cookie in alt camp sql..

cipcip, on Aug 3 2007, 09:29, said:

Instaleaza windows. Click pe E-ul albastru din desktop. Se deschide MSN..
In alta ordine de idei si Internet Explorer este folosit de majoritatea utilizatorilor web, deci trebuie sa fie cel mai bun browser.

mrcalex, on Aug 3 2007, 08:55, said:

Acu vorbesti si tu?, după ce milioane de români au cont la yahoo, mai ales gagicile.
O dată am primit un mail cu mailurile primite de o tipa, careia i-a spart cineva contu si i-a publicat mailurile, le-a trimis la noi toti. Ați ghicit, eram mai mulți după fundu lu aia, si ea ne răspundea foarte fierbinte fiecăruia, iar noi boii nu știam că sîntem mai mulți. Și o dată unu s-o supărat i-o spart contu și ne-o trimis la toți mailurile înapoi, toate mailurile ei primite de la noi toți, la fiecare înapoi. Așa am putut vedea că tipa iubea și coresponda cu vreo 5-6 deodată.
Eeeeeee, contu ăla cum a fost spart? deci se poate.

Editat de Nigel, 03 august 2007 - 08:46.

Quote

Este testata de mine. MERGE!!! + orice cont este pe protocol "http", deci trimite mesaje in clar fara a fi criptate.
Cu orice http sniffer pot fi interceptate mesajele de la yahoo si de la orice mail care nu este pe protocol "https".

Editat de mrcalex, 03 august 2007 - 09:36.

mrcalex, on Aug 3 2007, 10:33, said:

mergea inainte.. cam de 1 luna au rezolvat problema ;)

liv_stef, on Aug 3 2007, 03:41, said:

Stai ca n-am inteles.. daca ti le trimite pe mail-ul alternativ, nu poti sa intri pe el si sa le iei de acolo? Si in plus..ce nu merge cand ii dai recover sttind id-ul de yahoo? N-am inteles ce ai vrut sa zici.. poate reformulezi..

liv_stef, on Aug 3 2007, 03:41, said:

Evident. HTTP este protocol stateless, ceea ce inseamna ca trebuie sa faci cerere ca sa primesti ceva. De asemenea, un protocol stateless nu pastreaza legatura, in alte cuvinte, daca yahoo vrea sa iti afiseze ceva dupa ce tu ai incarcat complet pagina, nu o poate face pana nu faci tu o cerere catre server.

mrcalex, on Aug 3 2007, 10:33, said:

Si cu ce te ajuta asta? Autentificarea se face pe https, deci nu poti sa-mi iei parola. Poti sa citesti doar acele mesaje pe care le citesc eu, si asta in timpul in care eu fac traficul. Si cel mai important... sa-mi faci sniffing? Poate doar daca esti cu mine in retea (si asta doar in anumite cazuri care tin de topologia retelei), ca altfel nu ai cum sa te bagi intre mine si yahoo. Bine.. se poate intr-un fel.. dar e nevoie de un atac de tip DoS si e destul de complicat. Sau poate esti de la SRI si te duci direct la ISP ca sa-mi citesti spamurile?  <_<

Editat de ammon06, 03 august 2007 - 12:38.

ammon06, on Aug 3 2007, 13:34, said:

Pai exact cum am spus, daca merg pe optiunea Recover Pass imi da "Sorry, we do not have enough information to proceed with password recovery for this account."

Dar daca merg pe optiunea "I don't know my Yahoo! ID", bag datele si adresa alternativa, primesc msg pe adr alternativa doar cu ID-ul "uitat", dar de acolo iti da "Continue with Yahoo".  Deci baza de date lucreaza, dar numai intr-un sens, de-a-ndoaselea! Pe corect, sign-in, user-pass, asa NU!

Iar, una peste alta, contul este blocat, inaccesibil!

visez.trance, on Aug 3 2007, 09:40, said:

Daca dupa autentificare ti-ai sterge cookie-ul, atunci sistemul s-ar deloga. Concluzia : cookie pastreaza parola si serverul o citeste permanent ca sa vada ca "esti logat", deci iti poate permite accesul la cont (la citit mesaje sau orice altceva vrei tu).

Cand apesi pe "sign out" serverul comanda stergerea cookie-ului din computerul tau si "stinge lumina" :)

Cat despre Internet Explorer, mai bine mai documenteaza-te in legatura cu Firefox si extensia NoScript (care interzice inclusiv cross-site scriptingul, deci poti da clic pe orice pagina, ca nu mai poate nimeni culege informatii din pagina ta, desi e deschisa in aceeasi sesiune/fereastra, intr-un tab vecin).

IE nu e atat de bun ca FF, nici pe departe. Cel din urma este inca imbunatatit de o masa de useri entuziasti (unii foarte profesionisti), nu ca IE-ul care e facut ca sarcina de serviciu de baietii din Redmond.

O alternativa foarte buna la conturile de email e sa ai inclusiv username-ul mascat. Si asta se poate, insa trebuie sa te si pricepi un picut ....

ammon06, on Aug 3 2007, 01:25, said:

Cam tarziu ma bag in seama si eu dar am dat din greseala peste aceasta discutie. ammon cred ca te iei de om degeaba si esti total pe langa ceea ce inseamna o vulnerabilitate XSS. Spui ca nu afecteaza in niciun fel click-urile pe diferite site-uri? Si daca iti dovedesc ca iti pot fura sesiunea de Yahoo (si nu numai Yahoo) folosind site-ul neogen sau un oarecare alt site, in cazul in care folosesti orice versiune Firefox? Nu ma refer la scamuri, ma refer strict la furtul de cookies ce te ajuta sa capeti acces pentru 24 ore in contul de Yahoo al victimei fara ca aceasta sa "miroasa ceva".
Intr-adevar parola nu se poate schimba fara a sti vechea parola dar foarte multi oameni folosesc aceeasi parola si la alte servicii web. Spre exemplu primul lucru pe care il faci atunci cand ai acces in mailul cuiva folosind doar cookie-urile furate este sa intri pe hi5 si sa dai forgot password folosind mailul victimei. Ai idee ce sanse sunt ca acea persoana sa aiba cont pe hi5 si sa foloseasca aceeasi parola ca si la mail? Iti spun eu: mai mari de 60% pentru utilizatorii din Romania. Daca nu exista contul pe hi5 pur si simplu cauti in mail notificarile primite de la diverse site-uri si folosesti functia "forgot password". Rezultatele sunt uimitoare. O alta problema este click-ul pe un link aflat intr-un mesaj primit in mailul tau sau pe webmessenger (webmessenger.yahoo.com). "Impactul" este devastator. 99% din browsere vor trimite cookie catre atacator si nu va conta daca victima foloseste mail beta sau versiunea normala. Este plin netul de informatii despre aceste metode, chiar si eu am contribuit la developmentul acestora iar tu te iei de om si il faci mincinos fara sa dai inainte un search pe google ;).
Pentru cultura ta generala un exemplu video: http://rapidshare.co...TH_XSS.wmv.html in care am aratat 3 mari vulnerabilitati ale Yahoo!. Pentru a intelege mai bine tehnica si metodele de prevenire iti recomand http://ha.ckers.org (cel mai important site de referinta) si http://sla.ckers.org (forumul ha.ckers.org).
Rog moderatorii sa nu stearga link-urile deoarece nu este prezentat niciun cod malicios ce poate fi folosit de catre useri iar cele 2 site-uri sunt date in toata lumea ca referinta in domeniul Cross Site Scripting.
Daca ai nelamuriri da-mi un mesaj privat sau mail la Nemessis[at]rstzone.org (nu stiu daca am voie sa imi dau mailul dar nu am gasit in regulament nimic legat despre asta).

Editat de NemessisRST, 13 septembrie 2007 - 03:21.

Razvan_m, on Jul 27 2007, 09:49, said:

Mi se pare ca idiotul esti tu nu ala care ti-a spart contul.
Daca sharezi pe DC++ program files si ai arhiva activata pe yahoo. Poate cum se poate sa iti citeasca arhiva poate este un program care daca ai ales sa salvezi parola cand te loghezi pe mess sa iti ia parola. Sa nu imi zici ca esti asa de idiot si ai sharuit program files!

Programe pentru spart conturi de yahoo (mail/Messenger) exista din plin, se fabrica zilnic astfel de programe, doar ca folosirea lor e cam dificila (trebuie liste de cuvinte, liste de proxy)!

si eu am patit asta in urma cu 2 luni.
Atata am trimis la emailuri celor de la google pana s-au convins ca mi-a fost spart contul si mi-au trimis o noua parola.

Succes.

wow wow wow ... cate post'uri ... nu am timp sa le citest pe toate asa ca fac o concluzie. inafara de cookie, site`uri false care iti cere logarea cu id`u de mess, keyloggere, email spam (am reusit sa trimit mail de la [email protected] .. ce mandru sunt .. si sunt inca 'hacer' invatacel ), simplul privit al tastaturii cand esti la sala (deci fiti atent la ce face cel de langa voi), si simplul bruteforce (care acum nu mai merge din cauza restrictiilor puse de catre Yahoo) ... nu vad cum ti-ar putea sparge cineva parola.

Ceea ce puteti face totusi pt a evita asta nu este sa folositi parole cat mai lungi (desi ajuta ... insa nu au toti oamenii tinere de minte din cate am observat in post'urile gen "mi-am uitat parola") ci folosirea unor combinatii ... de exemplu parola ta este "parola" ... puteti s'o schimbati in "ParOlA" . daca aveti cifre si mai bine "parola459" ar putea deveni "ParolA$%)" ... asta nu multi folosesc cookie, iar cei care se uita pe la sala ... isi iau teapa crezand k au vazut parola "parola459" :) . bruteforce'ul chiar daca sunt folosite 10.000 mii de proxy`uri tot nu gaseste o parola de genul "ParolA$%(" (sau daca chiar se straduieste ... poate in 10 luni va reusi ... nush n'am avut rabdarea pt un amarat de id sa stau atata)

cu cookies, site'uri false (phising'ul) si keyloggeru puteti rezolva prin un pachet anti-trojan + anti-virus + anti-identity theft
cat despre email spam ... nu credeti tot ce cititi