Domanda Email hackerata, in quale database o forum è possibile trovare informazioni ?

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
V

vponticelli

Utente Bronze
7 Novembre 2017
20
11
0
32
Ultima modifica:
Salve a tutti ragazzi, ho da poco scoperto questo sito web 'Have i been pwned?' ed è proprio qui che ho scoperto che due delle mie e-mail sono state hackerate rispettivamente da: Lifeboat e Edmodo. Dopo una prima fase di spavento e dopo aver cambiato tutte le password, mi è sorta una curiosità: in che modo, o meglio, in che forum gli hacker pubblicano queste informazioni ? In cho modo posso trovare le password di e-mail o di username ?
Messaggio unito automaticamente:

Ho trovato informazioni su Collection #1, ovvero la collezione con più di 770 Mln di e-mail rubate. Sapete dove trovarla o dove consultarla ?
 
Il metodo e semplice per trovarli sniffer/scanner/etc ad esempio qui c’è un botter che posta 24 su 24 i dati degli utenti con password ed email...copia un indirizzo email con la password ed incollalo su google e vedi che ti compare il sito dove lo ha preso, non bisogna esser certo un hacker per trovare certi dati da un sito a volte basta un semplice software che scansiona un sito con tutto ciò che c’è dentro (molti siti hanno protezioni per accedere ad una directory)i file di solito sono in txt (li chiamiamo logs) grandi anche 5gb. Non li chiamo hacker, figurati se un hacker si interessi a cercare questi dati che non servono a nulla, ma per cose molto più importanti tipo spiare i politici, governi etc. (Questi sono chiamati hacker) tutto il resto sono dei lamer che una volta trovato i dati non se ne fanno niente e li postano sui siti, rendendosi importanti (è una mia opinione, ognuno è libero di chiamarli come vuole). Da usare sempre il proxy “doppio”.
 
hck2009 ha detto:
per trovare certi dati da un sito a volte basta un semplice software che scansiona un sito con tutto ciò che c’è dentro (molti siti hanno protezioni per accedere ad una directory)i file di solito sono in txt (li chiamiamo logs) grandi anche 5gb.
Clicca per espandere...
Collezioni di credenziali di accesso nei file di log? No, non è così che funziona, nessun programma scritto decentemente salverebbe una password in un log, figurati tutte le password di tutti gli utenti, e i log di solito non sono accessibili ad un utente qualunque perché sono salvati in cartelle non accessibili dal browser, salvo la presenza di vulnerabilità come LFI che ti lascerebbero accedere a quelle cartelle, ma che comunque non ti permetterebbe di aprire file al di fuori dei diritti del server daemon (www-data), come i log, visto che sono necessari privilegi alti per aprirli.

Le collezioni così grandi come quelle accumulate su Have I Been Pwned sono estratte direttamente dai database dei siti attaccati, la maggior parte dei casi grazie a una vulnerabilità SQL Injection che da accesso al database agli attaccanti e che quindi possono esportarne tutti i dati, inclusi indirizzi email, nomi utente, e password, che dovrebbero essere sempre sotto forma di hash ma purtroppo certi siti ancora non si preoccupano della sicurezza dei propri utenti, che è allucinante.

Database dump del genere non vengono di certo postati da lamerozzi su forum pubblici, sono rilasciati in marketplace illegali a pagamento così da far fare qualche soldo agli attaccanti, ed è per questo che spesso ci vogliono mesi se non anni prima di scoprire che un sito grande come quelli è stato vittima di un leak, perché cos'è del genere tendono a volare ben fuori dai radar. Trovarli per te non è semplice, spesso impossibile, visto che molto raramente sono file pubblici.
 
  • Mi piace
Reazioni: Deus Ex Machina, 0xbro, vponticelli e altri 2
Baud ha detto:
Collezioni di credenziali di accesso nei file di log? No, non è così che funziona, nessun programma scritto decentemente salverebbe una password in un log, figurati tutte le password di tutti gli utenti, e i log di solito non sono accessibili ad un utente qualunque perché sono salvati in cartelle non accessibili dal browser, salvo la presenza di vulnerabilità come LFI che ti lascerebbero accedere a quelle cartelle, ma che comunque non ti permetterebbe di aprire file al di fuori dei diritti del server daemon (www-data), come i log, visto che sono necessari privilegi alti per aprirli.

Le collezioni così grandi come quelle accumulate su Have I Been Pwned sono estratte direttamente dai database dei siti attaccati, la maggior parte dei casi grazie a una vulnerabilità SQL Injection che da accesso al database agli attaccanti e che quindi possono esportarne tutti i dati, inclusi indirizzi email, nomi utente, e password, che dovrebbero essere sempre sotto forma di hash ma purtroppo certi siti ancora non si preoccupano della sicurezza dei propri utenti, che è allucinante.

Database dump del genere non vengono di certo postati da lamerozzi su forum pubblici, sono rilasciati in marketplace illegali a pagamento così da far fare qualche soldo agli attaccanti, ed è per questo che spesso ci vogliono mesi se non anni prima di scoprire che un sito grande come quelli è stato vittima di un leak, perché cos'è del genere tendono a volare ben fuori dai radar. Trovarli per te non è semplice, spesso impossibile, visto che molto raramente sono file pubblici.
Clicca per espandere...
Sei come Tommaso xd tutto è possibile, ne ho testati credimi, poi ogni sito ha la sua configurazione ( non sono tutti uguali.
 
hck2009 ha detto:
Sei come Tommaso xd tutto è possibile, ne ho testati credimi, poi ogni sito ha la sua configurazione ( non sono tutti uguali.
Clicca per espandere...
Non ho mai visto una configurazione in cui i log sono accessibili da utenti a caso senza privilegi alti, hai un esempio da mostrarmi? Potrei anche capire trovare informazioni in file di backup che si trovano sul server, ma nei log? Va contro ogni logica e buon senso per la sicurezza, poi i dati di accesso di un sito dovrebbero essere salvati sempre e solo in un database, non localmente, tantomeno in file temporanei... per questo mi pare molto difficile da credere.
 
Baud ha detto:
Non ho mai visto una configurazione in cui i log sono accessibili da utenti a caso senza privilegi alti, hai un esempio da mostrarmi? Potrei anche capire trovare informazioni in file di backup che si trovano sul server, ma nei log? Va contro ogni logica e buon senso per la sicurezza, poi i dati di accesso di un sito dovrebbero essere salvati sempre e solo in un database, non localmente, tantomeno in file temporanei... per questo mi pare molto difficile da credere.
Clicca per espandere...
Ci sono certi "stupidi" che lasciano le cartelle senza protezione, non tutti i siti sono protetti, dipende da chi lo ha creato, se è stato creato con il database mysql, li forse non si può fare molto. E si dovrebbe aggirare con qualche altro sistema. Credimi però che esistono i log, che registrano la data di accesso, e tutte le info per poter accedere con i dati altrui (alcuni usano l’id ed altri tramite email). Si vede che non hai avuto abbastanza esperienza nella vita per andare oltre, ma seguendo solite guide del cavolo ormai un copia ed incolla.....usa la testa e studia di più sulle cose, mettiti a cercare i bug, se no che senso ha la vita se non usi la tua testa, ma quella degli altri <<
 
hck2009 ha detto:
Ci sono certi "stupidi" che lasciano le cartelle senza protezione, non tutti i siti sono protetti, dipende da chi lo ha creato, se è stato creato con il database mysql, li forse non si può fare molto. E si dovrebbe aggirare con qualche altro sistema. Credimi però che esistono i log, che registrano la data di accesso, e tutte le info per poter accedere con i dati altrui (alcuni usano l’id ed altri tramite email). Si vede che non hai avuto abbastanza esperienza nella vita per andare oltre, ma seguendo solite guide del cavolo ormai un copia ed incolla.....usa la testa e studia di più sulle cose, mettiti a cercare i bug, se no che senso ha la vita se non usi la tua testa, ma quella degli altri <<
Clicca per espandere...
Perchè invece di dirmi che non studio, che seguo guide da quattro soldi, e che non uso la testa non mi rispondi dandomi un esempio di configurazione che potrebbe causare il problema che descrivi, come avevo gentilmente chiesto sopra?

Questa tua aria di superiorità di certo non ti fa fare una bella figura, soprattutto quando non seguo quelle guide da te accennate perché la mia è una passione vera in cui io impiego molto tempo e impegno da anni, quindi se faccio una domanda è perchè sono veramente curioso e sempre ben felice di poter imparare qualcosa di nuovo, cosa che sapresti se mi conoscessi un minimo invece di fare due pregiudizi veloci sul mio conto. Io rimango ad aspettare un esempio, così magari scopro qualcosa di interessante.
 
  • Mi piace
Reazioni: Psychonaut, ~}ĜẪƧ{~™ e 0xbro
vponticelli ha detto:
in che forum gli hacker pubblicano queste informazioni ? In cho modo posso trovare le password di e-mail o di username ?
Clicca per espandere...
Volendo rispondere alla tua domanda ritorno IT.
I "dump", quindi le collezioni di username e password, vengono sharati solitamente in torrent e condivisi poi dagli account twitter di chi effettua l'attacco (basti vedere i vari "anonymous").
In alternativa, se ne trovano spesso nei pastebin (qui su inforge abbiamo un bot che li intercetta).
Altri ancora li vendono, spesso rifilando sole pazzesche.
 
Baud ha detto:
Perchè invece di dirmi che non studio, che seguo guide da quattro soldi, e che non uso la testa non mi rispondi dandomi un esempio di configurazione che potrebbe causare il problema che descrivi, come avevo gentilmente chiesto sopra?

Questa tua aria di superiorità di certo non ti fa fare una bella figura, soprattutto quando non seguo quelle guide da te accennate perché la mia è una passione vera in cui io impiego molto tempo e impegno da anni, quindi se faccio una domanda è perchè sono veramente curioso e sempre ben felice di poter imparare qualcosa di nuovo, cosa che sapresti se mi conoscessi un minimo invece di fare due pregiudizi veloci sul mio conto. Io rimango ad aspettare un esempio, così magari scopro qualcosa di interessante.
Clicca per espandere...
Se te lo dicessi, molti saprebbero come fixxare prima di tutto! Come ad esempio dico come bypassare una protezione... il giorno successivo lo fixxano, come è successo già. Quale hacker ti direbbe come bypassare le protezioni? Darti informazioni, etc. A meno che non vi scambiate qualche info alla pari. Ognuno trova un modo, non c’è bisogno di rilevare, se no tutto il mondo di inforge farebbe cose illegali una volta capito, per questo dico che dovresti studiare con la tua testa per arrivarci, non è che non voglio, ma parliamo di cos’è troppo grandi, dove si rischia una causa penale e/o carcere. Studia ed una volta capito la falla la usi a tuo rischio.
 
hck2009 ha detto:
Se te lo dicessi, molti saprebbero come fixxare prima di tutto! Come ad esempio dico come bypassare una protezione... il giorno successivo lo fixxano, come è successo già.
Clicca per espandere...
E non è forse quello l'obiettivo della sicurezza informatica? Quello di trovare problemi nella sicurezza di un sistema per migliorarlo e renderlo più sicuro? Tenere un'informazione sensibile all'oscuro mette solo a rischio chi ne è afflitto, e se il tuo scopo è quello di tenere le persone all'oscuro di questi difetti per un tornaconto personale allora neanche te sei un hacker, sei semplicemente un criminale.

hck2009 ha detto:
Quale hacker ti direbbe come bypassare le protezioni? Darti informazioni, etc. A meno che non vi scambiate qualche info alla pari.
Clicca per espandere...
Hai mai letto il jargon file? Mai sentito parlare di etica, condivisione, e passione comune? Un hacker condivide le proprie scoperte con i suoi contatti e "colleghi", non siamo più negli anni dove gli appassionati di sicurezza si ritrovano solo su chat IRC nelle ore notturne, con tutti i milioni di appassionati di sicurezza al mondo c'è un flusso costante di informazioni che vengono scambiate liberamente online e di persona con il motivo di rendere la community più ricca e di condividere conoscenza, perchè le persone a cui interessa questa materia sono aperte mentalmente e felici di condividere i risultati delle loro ricerche con chi li sa apprezzare e con chi ha il potere di costruirci sopra una difesa migliore.

hck2009 ha detto:
non è che non voglio, ma parliamo di cos’è troppo grandi, dove si rischia una causa penale e/o carcere. Studia ed una volta capito la falla la usi a tuo rischio.
Clicca per espandere...
Nessuno può andare in galera per documentare un problema di sicurezza trovato in un programma accessibile al pubblico, potresti tranquillamente scaricartelo su una macchina tua, trovare e replicare il problema localmente in perfetta legalità, documentando il funzionamento della falla e spiegando come un attaccante possa sfruttarla in un vero attacco, come pensi sia possibile rilasciare exploit e migliaia su migliaia di blog su di essi senza che nessuno degli autori vada in galera?

Dai, smettiamola di prenderci in giro, dopotutto quello che avevi scritto all'inizio era letteralmente:

hck2009 ha detto:
Il metodo e semplice per trovarli sniffer/scanner/etc [...] a volte basta un semplice software che scansiona un sito con tutto ciò che c’è dentro (molti siti hanno protezioni per accedere ad una directory)i file di solito sono in txt (li chiamiamo logs) grandi anche 5gb
Clicca per espandere...
A parte gli sniffer che non so cosa c'entrino con l'argomento, quindi tutto quello che mi serve per trovare questi log pieni di credenziali di accesso è un programma come wfuzz, dirb, dirbuster, gobuster, o burp, eppure se è un problema così diffuso come dici tu al punto di essere il modo più semplice per fare dump di password mi stupisco di non averne mai sentito parlare in nessuno libro di pentesting o articolo sull'enumerazione web. Quindi, te lo chiedo di nuovo, hai qualche link di riferimento dove almeno si accenna a qualcosa del genere, oppure non abbiamo manco una singola prova concreta nell'intera community? Non chiedo che sia scritto da te, ma voglio qualcosa, qualsiasi cosa, che evidenzi l'esistenza di questo tipo di file.
 
  • Mi piace
Reazioni: Psychonaut, ~}ĜẪƧ{~™, Adriapp e un'altra persona
hck2009 ha detto:
Il metodo e semplice per trovarli sniffer/scanner/etc [...] a volte basta un semplice software che scansiona un sito con tutto ciò che c’è dentro (molti siti hanno protezioni per accedere ad una directory)i file di solito sono in txt (li chiamiamo logs) grandi anche 5gb.
Clicca per espandere...

Cos, i logs pubblici? Quale webserver in tutto l'universo metterebbe mai dei log pubblici?? I database mica sono accessibili da chiunque, se basterebbe visitare sitodellavittima.it/database/utenti/password nessun sito sarebbe sicuro... Probabilmente qualche cracker è entrato e si è preso tutte le password non hashate o saltate e le ha condivise con il mondo intero.
 
Abbandono l’argomento, perché quando uno non capisce, meglio evitare. Ho detto anche fin troppo e c’è chi è riuscito qui (finalmente qualcuno ha capito come fare)...dormite è meglio! =) bb
 
Baud ha detto:
E non è forse quello l'obiettivo della sicurezza informatica? Quello di trovare problemi nella sicurezza di un sistema per migliorarlo e renderlo più sicuro? Tenere un'informazione sensibile all'oscuro mette solo a rischio chi ne è afflitto, e se il tuo scopo è quello di tenere le persone all'oscuro di questi difetti per un tornaconto personale allora neanche te sei un hacker, sei semplicemente un criminale.


Hai mai letto il jargon file? Mai sentito parlare di etica, condivisione, e passione comune? Un hacker condivide le proprie scoperte con i suoi contatti e "colleghi", non siamo più negli anni dove gli appassionati di sicurezza si ritrovano solo su chat IRC nelle ore notturne, con tutti i milioni di appassionati di sicurezza al mondo c'è un flusso costante di informazioni che vengono scambiate liberamente online e di persona con il motivo di rendere la community più ricca e di condividere conoscenza, perchè le persone a cui interessa questa materia sono aperte mentalmente e felici di condividere i risultati delle loro ricerche con chi li sa apprezzare e con chi ha il potere di costruirci sopra una difesa migliore.


Nessuno può andare in galera per documentare un problema di sicurezza trovato in un programma accessibile al pubblico, potresti tranquillamente scaricartelo su una macchina tua, trovare e replicare il problema localmente in perfetta legalità, documentando il funzionamento della falla e spiegando come un attaccante possa sfruttarla in un vero attacco, come pensi sia possibile rilasciare exploit e migliaia su migliaia di blog su di essi senza che nessuno degli autori vada in galera?

Dai, smettiamola di prenderci in giro, dopotutto quello che avevi scritto all'inizio era letteralmente:


A parte gli sniffer che non so cosa c'entrino con l'argomento, quindi tutto quello che mi serve per trovare questi log pieni di credenziali di accesso è un programma come wfuzz, dirb, dirbuster, gobuster, o burp, eppure se è un problema così diffuso come dici tu al punto di essere il modo più semplice per fare dump di password mi stupisco di non averne mai sentito parlare in nessuno libro di pentesting o articolo sull'enumerazione web. Quindi, te lo chiedo di nuovo, hai qualche link di riferimento dove almeno si accenna a qualcosa del genere, oppure non abbiamo manco una singola prova concreta nell'intera community? Non chiedo che sia scritto da te, ma voglio qualcosa, qualsiasi cosa, che evidenzi l'esistenza di questo tipo di file.
Clicca per espandere...
Concordo pienamente (se non di più) con ciò che ha detto @Baud
Complimenti per questi commenti e buona schiarita di idee :)
 
Adriapp ha detto:
Cos, i logs pubblici? Quale webserver in tutto l'universo metterebbe mai dei log pubblici??
Clicca per espandere...
http://www.palmviewsanibel.com/logs/
http://www.novenovesei.it/logs/
http://mtc-kob.dyndns.org/logs/

Potrei continuare, ma penso che questi tre esempi vadano bene per mostrarti che non tutti i file di logs sono protetti dai malintenzionati.
Riguardo invece ai dati sensibili degli utenti presenti nei file di logs, sono pienamente d'accordo con voi, è impossibile trovarli.
 
remtiger ha detto:
http://www.palmviewsanibel.com/logs/
http://www.novenovesei.it/logs/
http://mtc-kob.dyndns.org/logs/

Potrei continuare, ma penso che questi tre esempi vadano bene per mostrarti che non tutti i file di logs sono protetti dai malintenzionati.
Riguardo invece ai dati sensibili degli utenti presenti nei file di logs, sono pienamente d'accordo con voi, è impossibile trovarli.
Clicca per espandere...

Non riesco a capire quanti litri di vodka si è bevuto il sysadmin per mettere i logs pubblici, NESSUNA persona con un minimo di cervello metterebbe mai dei logs pubblici [emoji44]

remtiger ha detto:
http://www.palmviewsanibel.com/logs/
http://www.novenovesei.it/logs/
http://mtc-kob.dyndns.org/logs/

Potrei continuare, ma penso che questi tre esempi vadano bene per mostrarti che non tutti i file di logs sono protetti dai malintenzionati.
Riguardo invece ai dati sensibili degli utenti presenti nei file di logs, sono pienamente d'accordo con voi, è impossibile trovarli.
Clicca per espandere...

Ho controllato bene, gli ultimi 2 siti hanno i logs appositamente pubblici. Il primo invece è solo fatto col cul0 xD
 
Buongiorno

le chiedo se la vostra agenzia può fornirmi un servizio, ho bisogno di hackerare 2 profili instagram è possibile? i costI? sto valutando vari preventiv
 
francy45 ha detto:
Buongiorno

le chiedo se la vostra agenzia può fornirmi un servizio, ho bisogno di hackerare 2 profili instagram è possibile? i costI? sto valutando vari preventiv
Clicca per espandere...
Mi fa piacere dirti che in questo forum non si può cercare servizi per hacking, primo perchè è illegale l'hacking e secondo perchè la cosa più possibile è essere truffati! ATTENZIONE!
 
francy45 ha detto:
ok puoi scrivermi in pvt qualcuno di cui mi possa fidare
grazie
Clicca per espandere...
No forse non hai capito... in questo forum è vietato vendere servizi di hacking e chiedere servizi hacking... se non hai capito cosa intendo, ma anche se lo hai capito rinuncia a questa stupidaggine
Prima cosa hackerare un account instagram è illegale (come hackerare qualsiasi cosa che non sia tua ovviamente)
Secondo (come ho già scritto in precedenza) si è quasi sicuramente sempre truffati
Se vuoi prendere questo rischio mi sa che devi cambiare forum :)
Spero di aver chiarito adesso
 
francy45 ha detto:
ok puoi scrivermi in pvt qualcuno di cui mi possa fidare
grazie
Clicca per espandere...
Non ti fidare di NESSUNO, nemmeno se ti promettono di portare a termine qualcosa che richiedi.
Come ha detto @~}ĜẪƧ{~™, su Inforge è severamente vietata la richiesta e la vendita di qualsiasi servizio di hacking.
Ti sconsiglio caldamente di procedere in questo tuo intento, perchè potresti trovare in una brutta situazione e molto probabilmente perdere anche un bel po' di soldi.
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

0
Discussione Ufficiale I migliori canali YouTube per imparare e approfondire la Sicurezza Informatica
  • Release
  • In evidenza
  • 30
  • 12K
30
12K
Sicurezza Informatica
TheWorm91
0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
D
Discussione Articolo Tutti i giochi in uscita a Giugno 2023 su PC, PS4 e PS5, XBOX, Nintendo Switch
  • Bumped
  • 1
  • 637
1
637
Videogiochi
DjCanigia
0
Guida Cosa studiare per imparare l'Hacking e diventare un Ethical Hacker
  • In evidenza
  • 20
  • 13K
20
13K
Pentesting e Ethical Hacking Guide e Tools
Explosssive
D
Guida Calcolare la lunghezza in bytes di una funzione in C/C++ e difficoltà varie
  • 5
  • 624
5
624
C / C++
JunkCoder
Top Bottom
Indietro