Forwarded from ФZБач
This media is not supported in your browser
VIEW IN TELEGRAM
М - мотивация 🫡
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Кф «На Дерибасовской хорошая погода, или На Брайтон-Бич опять идут дожди.»
Леонид Гайдай
Подписаться на GLUSHILKI
Леонид Гайдай
Подписаться на GLUSHILKI
GLUSHILKI
Вот они ха-ха словили) Подписаться на GLUSHILKI
Улыбнуло)
Но самое смешное было в 24 году, когда мы выложили видео задержания, и нашлось два подписчика тот кого задерживали и тот кто задерживал. Маленький мир🤣
Подписаться на GLUSHILKI
Но самое смешное было в 24 году, когда мы выложили видео задержания, и нашлось два подписчика тот кого задерживали и тот кто задерживал. Маленький мир🤣
Подписаться на GLUSHILKI
Взлом начался с анализа административной панели на домене . По словам хакера, сразу бросилось в глаза, что пароли хешируются с помощью устаревшего алгоритма MD5 прямо на клиентской стороне. Такая реализация сводит защиту на нет — хеш становится равнозначным паролю, если перехватить его при передаче. Это уже выглядело как тревожный сигнал о плохой культуре безопасности. Дополнительно на сайте использовалась технология JSP — Java Server Pages, устаревший подход к разработке веб-приложений, популярный в начале 2000-х.
Дальнейший путь хакера прошёл через популярный инструмент feroxbuster— сканер для обнаружения доступных URL на веб-серверах. С его помощью был проведён анализ двух доменов: и . Именно на втором из них была найдена открытая ссылка .
При переходе по этому адресу сервер возвращал Java Heap Dump — снимок состояния оперативной памяти приложения объёмом около 150 мегабайт. Из прошлых атак хакер знал, что такие дампы часто содержат содержимое HTTP-запросов, включая логины и пароли, особенно если пользователи в этот момент авторизуются.
Так и произошло. Поиск по слову «password» в полученном дампе показал учётные данные случайных пользователей. Одна из комбинаций логина и пароля позволила войти в систему под учётной записью сотрудника Таможенно-пограничной службы США (CBP). Позднее CBP официально подтвердила, что использовала TeleMessage для коммуникации.
Но на этом находки не закончились. В дампе были обнаружены и другие чувствительные данные: текстовые логи переписки, ключи шифрования и учётные записи пользователей. По словам хакера, он даже получил доступ к внутренней переписке сотрудников криптобиржи Coinbase. Представители Coinbase сообщили изданию 404 Media, что не нашли признаков утечки клиентских данных, так как не использовали TeleMessage для передачи seed-фраз, паролей или критичной информации. Однако факт присутствия логов чатов внутри дампа остаётся тревожным.
Разобрав исходный код приложения TM SGNL, исследователи обнаружили, что оно не обеспечивает обещанного сквозного шифрования. Сообщения пересылаются в незашифрованном виде на архивный сервер , прежде чем попадут в корпоративное хранилище заказчика. А этот сервер, как выяснилось, был построен на фреймворке Spring Boot и использовал компонент Actuatorдля мониторинга и отладки. В числе таких функций — эндпоинт , который и оказался доступным без аутентификации.
В официальной документации Spring Boot указывается, что с версии 1.5 (выпущенной в 2017 году) все потенциально опасные эндпоинты, включая , отключаются по умолчанию. Открыты остаются только безопасные и . Однако разработчики TeleMessage либо использовали устаревшую версию Spring Boot, либо вручную включили доступ к дампу — возможно, перенесли настройки с тестовой среды в боевую.
Эксперты по облачной безопасности, такие как компания Wiz, уже называли открытый самым распространённым упущением при развёртывании приложений на Spring Boot. То же мнение высказывал и инженер из Walmart Global Tech ещё в 2020 году, подчёркивая, что любые подобные эндпоинты «никогда не должны быть открыты в продакшене».
Таким образом, хакеру хватило всего нескольких сканов и одной открытой ссылки, чтобы получить контроль над учётными записями пользователей TeleMessage, включая представителей государственных органов. Учитывая, что TM SGNL активно использовался внутри правительственных структур, а TeleMessage — израильская компания, имеющая полный доступ к хранимым данным, этот случай показывает, насколько опасным может быть ложное чувство безопасности, созданное «клонами» защищённых решений.
Дальнейший путь хакера прошёл через популярный инструмент feroxbuster— сканер для обнаружения доступных URL на веб-серверах. С его помощью был проведён анализ двух доменов: и . Именно на втором из них была найдена открытая ссылка .
При переходе по этому адресу сервер возвращал Java Heap Dump — снимок состояния оперативной памяти приложения объёмом около 150 мегабайт. Из прошлых атак хакер знал, что такие дампы часто содержат содержимое HTTP-запросов, включая логины и пароли, особенно если пользователи в этот момент авторизуются.
Так и произошло. Поиск по слову «password» в полученном дампе показал учётные данные случайных пользователей. Одна из комбинаций логина и пароля позволила войти в систему под учётной записью сотрудника Таможенно-пограничной службы США (CBP). Позднее CBP официально подтвердила, что использовала TeleMessage для коммуникации.
Но на этом находки не закончились. В дампе были обнаружены и другие чувствительные данные: текстовые логи переписки, ключи шифрования и учётные записи пользователей. По словам хакера, он даже получил доступ к внутренней переписке сотрудников криптобиржи Coinbase. Представители Coinbase сообщили изданию 404 Media, что не нашли признаков утечки клиентских данных, так как не использовали TeleMessage для передачи seed-фраз, паролей или критичной информации. Однако факт присутствия логов чатов внутри дампа остаётся тревожным.
Разобрав исходный код приложения TM SGNL, исследователи обнаружили, что оно не обеспечивает обещанного сквозного шифрования. Сообщения пересылаются в незашифрованном виде на архивный сервер , прежде чем попадут в корпоративное хранилище заказчика. А этот сервер, как выяснилось, был построен на фреймворке Spring Boot и использовал компонент Actuatorдля мониторинга и отладки. В числе таких функций — эндпоинт , который и оказался доступным без аутентификации.
В официальной документации Spring Boot указывается, что с версии 1.5 (выпущенной в 2017 году) все потенциально опасные эндпоинты, включая , отключаются по умолчанию. Открыты остаются только безопасные и . Однако разработчики TeleMessage либо использовали устаревшую версию Spring Boot, либо вручную включили доступ к дампу — возможно, перенесли настройки с тестовой среды в боевую.
Эксперты по облачной безопасности, такие как компания Wiz, уже называли открытый самым распространённым упущением при развёртывании приложений на Spring Boot. То же мнение высказывал и инженер из Walmart Global Tech ещё в 2020 году, подчёркивая, что любые подобные эндпоинты «никогда не должны быть открыты в продакшене».
Таким образом, хакеру хватило всего нескольких сканов и одной открытой ссылки, чтобы получить контроль над учётными записями пользователей TeleMessage, включая представителей государственных органов. Учитывая, что TM SGNL активно использовался внутри правительственных структур, а TeleMessage — израильская компания, имеющая полный доступ к хранимым данным, этот случай показывает, насколько опасным может быть ложное чувство безопасности, созданное «клонами» защищённых решений.
GLUSHILKI
Взлом начался с анализа административной панели на домене . По словам хакера, сразу бросилось в глаза, что пароли хешируются с помощью устаревшего алгоритма MD5 прямо на клиентской стороне. Такая реализация сводит защиту на нет — хеш становится равнозначным…
Где-то грустит один пользователь айфона в авиарежиме подключенный к Роутеру с изменяемым imei/mac)
This media is not supported in your browser
VIEW IN TELEGRAM
Сейчас в запретграме набирают популярность аккаунты с подобными сейфами, жаль этих добряков, которые купят. Ведь от хорошего технаря их это не спасет. Да и есть иные методы идентификации подобных тайников. И нет, я не про тапик.
Вспоминается случай из практики одного адвоката, где супер крутой и технологичный сейф за 6млн взломали Фомкой за несколько минут.
Вспоминается случай из практики одного адвоката, где супер крутой и технологичный сейф за 6млн взломали Фомкой за несколько минут.
Когда БТнишка попросили включить плейлист
https://www.group-telegram.com/vadresah/3640
https://www.group-telegram.com/vadresah/3640
Telegram
В адресах
После такого караоке шанс второго свидания стремится к нулю