Lulz Security

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

17.06.2011 - 12:03

Zitat von NeM
Wie kommt man bitte an solche Passwortlisten?

Ich frag natürlich rein interessehalber..... (ganz im Ernst)

Was du willst sind keine Passwörter sondern Rainbow Tables .. aber die will ja eh jeder

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 4965

17.06.2011 - 12:21

Zitat von Hornet331
http://www.youtube.com/watch?v=udcnlLXUh8E

wtf am I watching...

What the **** happened there?

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

17.06.2011 - 12:28

das is imho so ne art newsroom, mit animierten beiträgen und auf mandarin oder japanisch (hört sich imho mehr nach japanisch an, kommt aber scheinbar aus taiwan und dorch wird mehr mandarin gesprochen)

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

17.06.2011 - 13:01

Zitat von Obermotz
Was du willst sind keine Passwörter sondern Rainbow Tables .. aber die will ja eh jeder

nein, die passwörter waren ja im klartext abgespeichert, weshalb also dem umweg über gehashten klartext in form von rainbow-tables?

es gibt viele wege wie man an die passwörter kommt, es hat sich wie gesagt um eine klartext file/tabelle gehandelt, die irgendwo im dateisystem abgelegt wird und nur von bestimmten systembenutzern ausgelesen werden kann.
im schlimmsten fall hatten sie root rechte durch den exploit und konnten sie einfach wegkopieren. dass eine solche menge per sql-injection ausgelesen wurde, glaub ich eher nicht. durch die injection ist natürlich eine privilege escalation denkbar -> ein normaler user erhält z.b. admin rechte im backend und macht dann einen sql dump oder ähnliches.
aber das sind alles mutmaßungen, vielleicht habens einfach nur einen admin-account auf einem kompromittierten rechner gefunden und konnten somit direkt ohne exploit einsteigen.

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11343

17.06.2011 - 18:37

Zitat von Smut
gizmodo hat eine abfrage eingerichtet, die anzeigt ob man betroffen ist oder nicht

Hm, das bringt mich auf eine Idee für Social Engineering.

Erstmal behaupten, dass ganz viele Passwörter geklaut wurden und dann eine Webseite einrichten: "Bitte geben Sie hier Ihren Usernamen und Ihr Passwort ein, um zu kontrollieren, ob Sie betroffen sind"

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

17.06.2011 - 18:46

Zitat von that
Hm, das bringt mich auf eine Idee für Social Engineering.

Erstmal behaupten, dass ganz viele Passwörter geklaut wurden und dann eine Webseite einrichten: "Bitte geben Sie hier Ihren Usernamen und Ihr Passwort ein, um zu kontrollieren, ob Sie betroffen sind"

nennt sich phishing und gibts schon. ausserdem will gizmodo ja nur die email

BlueAngel

Silencer

Registered: Jun 2002
Location: Center of ÖO
Posts: 4755

17.06.2011 - 18:50

na, wenigstens haben sie dann gültige Emails nach der Abfrage.

issue

Rock and Stone, brother!

Registered: Feb 2003
Location: Linz
Posts: 3670

17.06.2011 - 19:55

statement
http://pastebin.com/HZtH523f

22zaphod22

chocolate jesus

Registered: Sep 2000
Location: earth, mostly ha..
Posts: 7182

17.06.2011 - 21:49

Zitat von IsSuE
statement
http://pastebin.com/HZtH523f

haben sie sich das von charlie sheen schreiben lassen ?

ich find den text peinlich ... das hätte hier: http://www.imdb.com/title/tt0113243/ vielleicht noch reingepasst ... 1985 ... nicht 2011

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

18.06.2011 - 08:30

der Text ist genau das was man von ihnen erwarten kann, trotzdem haben sie mit den ersten beiden absätzen recht - das wenigste wird veröffentlicht. Und sorry wenn ich mir ansehe wie Sony udgl 2011 nicht mal passwörter hashen, dann benötigt es wohl solche Angriffe.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

20.06.2011 - 13:15

ganz interessant:
http://lulzsecexposed.blogspot.com/

infos zu den mitgliedern.

fatmike182

Agnotologe

Registered: Oct 2005
Location: VIE
Posts: 4223

20.06.2011 - 13:45

Zitat von BlueAngel
na, wenigstens haben sie dann gültige Emails nach der Abfrage.

nach einem pron-hack hätte man dann ale pron-email-adressen (was dann wg den .govs lustig wäre)

LuszSec segelt jetzt mit Anonymous für AntiSec gegen US Regierung & Banken http://pastebin.com/9KyA0E5v

edit:
@ Smut
mah, sind die echt so blöd & verwenden die gleichen Usernamen bei mehreren solchen Aktionen… nein, oder?
Street cred ist eh super, aber in dem Fall bissal dumm.

Bearbeitet von fatmike182 am 20.06.2011, 14:04

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

20.06.2011 - 19:14

Lol das könnte man sicher gut verfilmen. Der Plot gefällt mir!

Anima

OC Addicted

Registered: Aug 2005
Location: Pannonia
Posts: 1726

20.06.2011 - 19:16

Zitat von Burschi1620
Lol das könnte man sicher gut verfilmen. Der Plot gefällt mir!

Wenn Hacker Hacker hacken

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15867

20.06.2011 - 19:18

crash gegen burn

Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	17.06.2011 - 12:03 Zitat von NeM Wie kommt man bitte an solche Passwortlisten? Ich frag natürlich rein interessehalber..... (ganz im Ernst) Was du willst sind keine Passwörter sondern Rainbow Tables .. aber die will ja eh jeder
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 4965	17.06.2011 - 12:21 Zitat von Hornet331 http://www.youtube.com/watch?v=udcnlLXUh8E wtf am I watching... What the **** happened there?
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	17.06.2011 - 12:28 das is imho so ne art newsroom, mit animierten beiträgen und auf mandarin oder japanisch (hört sich imho mehr nach japanisch an, kommt aber scheinbar aus taiwan und dorch wird mehr mandarin gesprochen)
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	17.06.2011 - 13:01 Zitat von Obermotz Was du willst sind keine Passwörter sondern Rainbow Tables .. aber die will ja eh jeder nein, die passwörter waren ja im klartext abgespeichert, weshalb also dem umweg über gehashten klartext in form von rainbow-tables? es gibt viele wege wie man an die passwörter kommt, es hat sich wie gesagt um eine klartext file/tabelle gehandelt, die irgendwo im dateisystem abgelegt wird und nur von bestimmten systembenutzern ausgelesen werden kann. im schlimmsten fall hatten sie root rechte durch den exploit und konnten sie einfach wegkopieren. dass eine solche menge per sql-injection ausgelesen wurde, glaub ich eher nicht. durch die injection ist natürlich eine privilege escalation denkbar -> ein normaler user erhält z.b. admin rechte im backend und macht dann einen sql dump oder ähnliches. aber das sind alles mutmaßungen, vielleicht habens einfach nur einen admin-account auf einem kompromittierten rechner gefunden und konnten somit direkt ohne exploit einsteigen.
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11343	17.06.2011 - 18:37 Zitat von Smut gizmodo hat eine abfrage eingerichtet, die anzeigt ob man betroffen ist oder nicht Hm, das bringt mich auf eine Idee für Social Engineering. Erstmal behaupten, dass ganz viele Passwörter geklaut wurden und dann eine Webseite einrichten: "Bitte geben Sie hier Ihren Usernamen und Ihr Passwort ein, um zu kontrollieren, ob Sie betroffen sind"
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	17.06.2011 - 18:46 Zitat von that Hm, das bringt mich auf eine Idee für Social Engineering. Erstmal behaupten, dass ganz viele Passwörter geklaut wurden und dann eine Webseite einrichten: "Bitte geben Sie hier Ihren Usernamen und Ihr Passwort ein, um zu kontrollieren, ob Sie betroffen sind" nennt sich phishing und gibts schon. ausserdem will gizmodo ja nur die email
BlueAngel Silencer Registered: Jun 2002 Location: Center of ÖO Posts: 4755	17.06.2011 - 18:50 na, wenigstens haben sie dann gültige Emails nach der Abfrage.
issue Rock and Stone, brother! Registered: Feb 2003 Location: Linz Posts: 3670	17.06.2011 - 19:55 statement http://pastebin.com/HZtH523f
22zaphod22 chocolate jesus Registered: Sep 2000 Location: earth, mostly ha.. Posts: 7182	17.06.2011 - 21:49 Zitat von IsSuE statement http://pastebin.com/HZtH523f haben sie sich das von charlie sheen schreiben lassen ? ich find den text peinlich ... das hätte hier: http://www.imdb.com/title/tt0113243/ vielleicht noch reingepasst ... 1985 ... nicht 2011
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	18.06.2011 - 08:30 der Text ist genau das was man von ihnen erwarten kann, trotzdem haben sie mit den ersten beiden absätzen recht - das wenigste wird veröffentlicht. Und sorry wenn ich mir ansehe wie Sony udgl 2011 nicht mal passwörter hashen, dann benötigt es wohl solche Angriffe.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	20.06.2011 - 13:15 ganz interessant: http://lulzsecexposed.blogspot.com/ infos zu den mitgliedern.
fatmike182 Agnotologe Registered: Oct 2005 Location: VIE Posts: 4223	20.06.2011 - 13:45 Zitat von BlueAngel na, wenigstens haben sie dann gültige Emails nach der Abfrage. nach einem pron-hack hätte man dann ale pron-email-adressen (was dann wg den .govs lustig wäre) LuszSec segelt jetzt mit Anonymous für AntiSec gegen US Regierung & Banken http://pastebin.com/9KyA0E5v edit: @ Smut mah, sind die echt so blöd & verwenden die gleichen Usernamen bei mehreren solchen Aktionen… nein, oder? Street cred ist eh super, aber in dem Fall bissal dumm. Bearbeitet von fatmike182 am 20.06.2011, 14:04
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	20.06.2011 - 19:14 Lol das könnte man sicher gut verfilmen. Der Plot gefällt mir!
Anima OC Addicted Registered: Aug 2005 Location: Pannonia Posts: 1726	20.06.2011 - 19:16 Zitat von Burschi1620 Lol das könnte man sicher gut verfilmen. Der Plot gefällt mir! Wenn Hacker Hacker hacken
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15867	20.06.2011 - 19:18 crash gegen burn

Lulz Security

Forum Index > Digital Life > Internet & Provider

Obermotz

dio

watchout

Smut

that

AdRy

BlueAngel

issue

22zaphod22

Smut

Smut

fatmike182

Burschi1620

Anima

userohnenamen