Nerd - Agorà system security team

Kaya · July 15, 2024, 7:14am

Si ma lui lo ha trovato per caso, l’ha segnalato subito e si è beccato una denuncia

SkyLinx · July 15, 2024, 6:06pm

not to brag, but also yes why not

confermati altri due report per $13K

Trovato una IDOR (Insecure Direct Object Reference) che mi permette di vedere informazioni di altri utent, and una BFLA (Broken Function Level Authorization) che mi permette di fare privilege escalation e eseguire alcune funzioni come ruolo piu’ alto.

All’inizio sembrava non possibile fare exploit di queste perche’ l’app usa UUIDs invece di normali ID che possono essere indovinati facilmente, ma poi ho trovato che la funzione di invite fa leak degli UUIDs delle persone che invito, quindi problema risolto.

mtt · July 15, 2024, 6:52pm

https://www.wsj.com/business/deals/google-near-23-billion-deal-for-cybersecurity-startup-wiz-622edf1a

SkyLinx · July 15, 2024, 7:00pm

Questa non e’ una bella notizia :(

bollo · July 15, 2024, 9:22pm

Cristo santo tu non sai che fatica faccio a convincere “architetti” a spendere un attimo di tempo in più per esporre uuid e non id incrementali o peggio ancora codici facili da desumere (tipo vin per i veicoli). La gente ha la sabbia in testa certe volte. Fai bene a guadagnarli facili sti soldi ma li investissero in sviluppatori e sopratutto architetti meno incapaci dio de dio

Nyarlathothep · July 19, 2024, 7:40am

Nyarlathothep · July 19, 2024, 7:44am

laughs in Linux

N3uro · July 19, 2024, 8:06am

quindi niente acher cinesi bensì una patch che speccia e va in bsod aoe? nice
enjoy your friday nerds

Diocrin0 · July 19, 2024, 8:13am

Bene, anzi no, visto che l’azienda si sta prostrando con tutti i servizi solo su Azure, perchè “è più sicuro e ridondante”

Nyarlathothep · July 19, 2024, 8:15am

Se il servizio è down, non è accessibile nemmeno a malintenzionati. Crowdstrike sta facendo forward thinking.

bollo · July 19, 2024, 5:00pm

Ero venuto per postarla. Ma che coglionazzi…

mtt · July 25, 2024, 9:11pm

Fortunatamente il Santech di Montex è salvo

mtt · August 12, 2024, 10:05am

https://x.com/kaepora/status/1822884292596224393

Kaldais · August 13, 2024, 8:11pm

https://www.conchovalleyhomepage.com/news/data-of-3-billion-people-exposed-in-one-of-the-largest-data-breaches-in-history-heres-what-you-need-to-know/?ref=troyhunt.com

È altamente probabile che ci siete dentro

Jopi · August 13, 2024, 8:52pm

“They claimed it contained 2,900,000,000 records on United States citizens”

tutt’apposto dotto’!

Kaldais · August 13, 2024, 9:31pm

Penso che la popolazione degli US sia leggermente inferiore a quel numero

Jopi · August 13, 2024, 10:06pm

Puo’ essere.
Ma 2,900,000,000 sono i " records" , non i records su 2,900,000,000 di cittadini

Kaldais · August 13, 2024, 10:28pm

Ti ripeto, che non riguarda solo la popolazione US, lo spiega bene anche qua: Troy Hunt: Inside the "3 Billion People" National Public Data Breach

Comunque se ti fa sentire al sicuro continua a pensarlo, io, aimè, pur vivendo qui in Italia ci son rimasto sotto

Jopi · August 13, 2024, 10:46pm

Ma l’immagine di mr. Bean non basta per far capire il mio pensiero?

E poi ho tradotto l’inglese, nient’altro ed il totale segnalato da haveibeenpwned e’ di 133k, non 2 miliardi e spazza

Io cmq ho 1 email che compare in 13 data breach e questo non c’e’ che culo

jac · August 13, 2024, 10:51pm

Idem, io sono in 12 ma qui nulla.

Kaldais, hai mai mandato CV ad aziende USA?