July 4th, 2009
Today I was catching up with the Full Disclosure mailing list and read a conversation that was both funny and worrying at the same time.
A man requested for the user name and password of both his wife’s and daughters of their facebook, email and myspace accounts on the mailing list. The reply that came on the request was hilariously.
“Why not just ask her?
Hope you don’t mind: I forwarded your mail to email_at_yahoo.com”
So now his wife knew he was asking people to hack her account.
Then the worrying part came in to play. One of the guys on the list googled his name ( the dumb ass had given his real name ) and found a police report which stated that he was suspected of violating a restraining order. A reverse lookup of his IP address revealed he was indeed located in the city the restraining order was issued. Luckily they reported the incident to the local police through a web form.
But what if he had not been that ignorant, and he had found a forum where people had helped him? He then could have access to their online agenda and known where his wife and child would go to all the time.
This lead me to think: He might also be searching for them on the internet. Adding them on facebook or other social communities with another name.
He may have had a restraining order in real life, but how to restrain someone from stalking on the Internet?
Tags: linkedin
Posted in General | No Comments »
July 4th, 2009
I have had a bit of downtime yesterday.
The other night my server crashed with a kernel panic ( still investigating why that happened?) so unfortunately my website had been down a few hours.
Sorry for the inconvenience.
Posted in General, Personal | No Comments »
July 1st, 2009
Laatst wilde mijn vriendin iets bestellen op internet, iets wat regelmatig gebeurt in ons huishouden. Ze had net twee dingen in haar “winkelmandje” gedaan toen ze een javascript error kreeg en mij vroeg er even naar te kijken. De website zag er nogal brak uit, dus besloot ik de HTML broncode maar eens door te worstelen. Al bij het eerste formulier was het raak. Prijzen stonden verborgen in de website en werden meegestuurd. Dus, na aanpassing van de prijs in de code, werd iets van 10 euro voor 1 euro in het winkelwagentje geplaatst. De zoek knop bevatte een sql injectie, en een variabele in de URL was vatbaar voor een XSS aanval. En het ergste is nog, dit is niet het werk van een simpele hobbyist, het is het werk van een hobbyist die er zijn werk van gemaakt heeft. Hij/zij verkoopt deze webshop als service en heeft op de website van zijn bedrijf een mooi overzicht geplaatst van al zijn klanten, die dus allemaal vatbaar zijn voor dezelfde lekken.
Ik kan mijn inziens niet zelf dit bedrijf benaderen. Door mijzelf er van overtuigd te hebben dat die website niet deugd heb ik hem feitelijk gehacked ook al heb ik geen schade aangericht.
Daarom heb ik besloten dat er een meldpunt moet komen voor brakke website die een gevaar vormen voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Aankomende maanden zal ik me gaan verdiepen in hoe ik dit het best kan aanpakken, en of het uberhaupt mogelijk is. Misschien dat dit meldpunt qua rechten gelijk staat aan een rechtspersoon, en dus zou het meldpunt ook vervolgd kunnen worden en kan ik me zelf de moeite besparen van het oprichten van een meldpunt en gewoon zelf een bedrijf inlichten….
Update: Een vlugge zoek opdracht in google levert al ruw weg 45.000 resultaten op, alleen in nederland! Dit lijkt toch wel een probleem te zijn.Dit zegt overigens nog niet dat alle gevonden websites kwetsbaar zijn, maar wel dat ze brak zijn.
Tags: linkedin
Posted in Dutch, Security | No Comments »
June 26th, 2009
According to their press release Gemalto launched a new product which can read your TAN code from the website with a small device.
It works like this:
- The user goes to the website of his bank;
- The user inserts his card in to the device;
- The user enters his PIN, which is then verified by the device;
- The user points the device at his computerscreen, and is asked to verify the the transaction / login procedure on the device;
- When verified, the device responds with a OTP ( one-time-password );
- The user can login or authorise the transaction with his Username and the OTP.
I do not see what is new to me, as a user of online banking. I already have such a device, which does exactly the same thing except for the fact I do not have to point my device at my screen prior to logging in!
It would’t work for me either because my desk is unfortunatly, turned away from the window so sometimes the sun shines directly on my screen. I am pretty sure I won’t be logging in to my bank with that device until sunset…
Tags: linkedin
Posted in Personal, Security | No Comments »
June 24th, 2009
Yesterday, the Dutch anti-piracy foundation BREIN has summoned The Pirate Bay founders to appear in court for their part in the file-sharing activities of the users of The Pirate Bay.
Today, hackers have performed a Denial Of Service (DOS) attack on the website of BREIN ( www.anti-piracy.nl) which brought the complete website down.
According to a spokeswoman of BREIN they plan to have the website up and running as soon as possible. She also added to say, that such an attack is highly exceptional.
Well, I have seen this coming. The Pirate Bay is one of the biggest torrent sites around, and summoning them for court probably has pissed a lot of people off…
Tags: linkedin
Posted in General | No Comments »