• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

_JR_

Passwords desprotegidas no BTuga?!!

19 mensagens neste tópico

Originally posted by _JR_
Torrents BTuga

<martini-man@btuga.net> to me

More options Sep 5 (16 hours ago)

Viva _JR_,

Antes de mais informo os seus dados actuais:

Utilizador: _JR_

Password: PASSWORD

[etc].

Certamente já receberam este mail do MM. Não acharam estranho receberem a vossa pass? As pass aquando do registo, supostamente são enviadas para o mail e criptadas na base de dados do forum.

Ora se fossem criptadas estas nunca poderiam agora aparecer no mail, porque não eram recuperáveis.

Ora permitir que as pass sejam vistas por qualquer um com acesso a bd não é nada seguro. Acho que começo a entender o porquê do reset às pass's quando o btuga foi hackeado...

Sabendo que muita gente usa a mesma password para o seu email, para vários forums assim como para outros sites é melhor começarem a pensar na vossa segurança online ao aderirem a este tipo de sites inseguros neste aspecto.

ver:

http://pt.wikipedia.org/wiki/MD5

http://pt.wikipedia.org/wiki/Criptografia

http://www.btuga.info/viewthread.php?tid=111669&page=1

O exemplo aplica-se ao btuga, mas até pode servir para outros sites.

E

OMFG a thread foi bloqueda com esta justificação:

Antes de encriptada e inserida na base de dados a password é envia por e-mail...

É tudo automatico...

by Martini-Man

Atenção que este email não foi enviada aquando do registo, mas sim muito tempo depois...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Se isto se vier a confirmar, como assim o parece, este é um caso muito grave! :nono:

E isto pode ter reprecursões legais...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

neon_prannock, no meio de tanta asneira e tanta ilegalidade que vai para aquelas bandas achas mesmo que vão ser as passes ? :P

Sem ofensa mas eu já nem ponho os pés no BTuga à uns tempos valentes e não estou arrependido... neste momento já ouvi falar de passes, keyloggers, editar programas e torna-los dele, etc... etc.. etc...

Essa das passes foi justificada muito mal mesmo... a do keylogger idem aspas apesar de um pouco mais plausivel...

Podem achar que é tudo para deitar abaixo o BTuga mas esse MartiniMan já é um gajo bastante podre nesta sociedade, e não é tanto para deitar abaixo o BTuga que não tenho nada contra, cada um faz o que quiser, mas sim deitar abaixo o MM imho...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Desses aí apenas o keylogger a mim não se confirmou. Ei de experimentar com o wine essa coisa :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

eu nunca pos até porque ja tenho conhecimentos da historia do personagem por tras dessa coisa... que não merece nada do que tem.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Qualquer site onde nos tenhamos registado, os administradores sabem a nossa "pass"...

Sinceramente não vejo qual é o problema, já me registei em muitos sites e no fim eles mandam um mail a confirmar o "user" e a "pass"!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Qualquer site onde nos tenhamos registado, os administradores sabem a nossa "pass"...

Sinceramente não vejo qual é o problema, já me registei em muitos sites e no fim eles mandam um mail a confirmar o "user" e a "pass"!

Não sabem não (a não ser que também estejam desprotegidos).

Aquando do registo acontece o seguinte. Metes a tua pass, a tua pass é enviada para o teu mail e depois é criptada na bd ficando na bd algo do género "39539c4072ac6d7eed3d113d31fa501b18bdaa1e". Mesmo que vás a bd não sabes a pass que o user pôs.

Acontece que no btuga foi enviado os dados de login com a pass de registo agora a dois dias, o que significa que as pass não estavam criptadas como deve ser e que podiam sempre ser vistas pelo admin.

vê os links:

http://pt.wikipedia.org/wiki/MD5

http://pt.wikipedia.org/wiki/Criptografia

"O MD5 (Message-Digest algorithm 5) é um algoritmo de hash de 128 bits unidirecional desenvolvido pela RSA Data Security, Inc., descrito na RFC 1321, usado por softwares com protocolo ponto-a-ponto (P2P), verificação de integridade e logins.

Por ser um algoritmo unidirecional uma hash md5 não pode ser transformada novamente na password (ou texto) que lhe deu origem, o método de verificação é, então, feito pela comparação das duas hash (uma da base de dados, e a outra da tentativa de login)."

Logo as pass eram irrecuperáveis se estivessem bem protejidas.

Alguem que perceba muito bem do assunto que confirma sff.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Exacto! Atenção que já existem algoritmos melhores que o MD5 para este efeito, pois está provado que existem colisões de chaves. :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Qualquer site onde nos tenhamos registado, os administradores sabem a nossa "pass"...

Sinceramente não vejo qual é o problema, já me registei em muitos sites e no fim eles mandam um mail a confirmar o "user" e a "pass"!

Sou administrador de outro fórum com o SMF e GARANTO-TE que nem por queries SQL à BD consigo descobrir a password dos utilizadores do meu fórum. O máximo que posso fazer é alterar a password desses utilizadores, mas isto não me faz ficar a saber a password que eles usavam. O SMF até tem como segurança a alteração de email por parte de um admin, se eu quiser alterar o teu email para o meu para pedir a TUA password, o SMF OBRIGA-ME a alterar essa tua password também, logo nem assim consigo ter acesso à password do utilizador.

O pessoal que faz estes fóruns e sites não anda para brincaderias :P

Agora ontopic, não conheço o BTuga, não uso porque não gosto de torrents e sinceramente nem conheço o MM, mas de facto já ouvi falar (até demais) nele..., e quando há muito fumo...

Sobre essa da password..., quanto tempo depois te foi enviada? Questão de horas ou dias? Se foi em questão de horas pode mesmo ser problemas do MX do servidor deles, de dias o caso já muda de figura...

abraços, HecKel

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o  btuga desde a uns tempos para ca, tem tado a perder bue qualidade.

quanto a isso da pass, aquilo deve tar mesmo mal....

a mim, quando foi implementado o sistema de registo, nao recebi nada.

ele deve ter recebido aquilo dias depois, que a data do mail ta la, e dia 5 de setembro, e no forum diz q a data de registo dele foi a 27-6-2005...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

há vários serviços de email (e não só) que permitem recuperar a password através de uma pergunta secreta ou onde podem pedir para a enviar para um determinado email. não é só nesse site que é possível recuperar a password...

agora não sei é se os administradores do site são de confiança (nunca o usei...).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pois... Eu não sou nenhum administrador de fóruns por isso acredito no que vocês dizem.

Agora certo é que já recebi muitos mails de quando me registo em sites e o conteúdo do mail não é muito difrente do quie mandou o MM.

Uns sites mandam um link para confirmar a activação do registo, outros mandam o nome do user e a passe.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sobre essa da password..., quanto tempo depois te foi enviada? Questão de horas ou dias? Se foi em questão de horas pode mesmo ser problemas do MX do servidor deles, de dias o caso já muda de figura...

abraços, HecKel

Nem questão de dias nem de horas, secalhar é melhor falarmos em termos de anos.... A mim por exemplo...

Pois... Eu não sou nenhum administrador de fóruns por isso acredito no que vocês dizem.

Agora certo é que já recebi muitos mails de quando me registo em sites e o conteúdo do mail não é muito difrente do quie mandou o MM.

Uns sites mandam um link para confirmar a activação do registo, outros mandam o nome do user e a passe.

Isso é diferente porque te mandam a password, ANTES de ser criptada e inserida na base de dados

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas!

Sobre a mensagem que aparece..., depende muito! Visto que o P@P também usa SMF posso-vos garantir que os admins se quiserem podem mudar a mensagem que vai para o mail, basta editar o ficheiro destinado a tal, logo isso não é justificação para a potencial insegurança!

Sobre o envio da password antes de ser encriptada..., como pensam que é feita a validação de login? É à base da comparação das keys de encriptação, se eu pretender obter a minha palavra pass o mail manda-me a password desencriptada, assim que fazes o registo a password é encriptada e só depois é enviado o mail, isto tudo para garantir a segurança do site/fórum.

Sobre isso de ser passados anos..., e se o mail não foi requerido pelo utilizador..., é pá um administrador minimamente sensato iria justificar o porquê disso ter acontecido, pois isso só levanta mais dúvidas sobre a credibilidade da administração! De facto é bastante suspeito, iria-te sugerir que o contactasses para tentares esclarecer a situação, mas já vi que o tentaste fazer e obtiveste uma resposta "ligeiramente" incorrecta...

Não quero lançar lenha na fogueira, apenas estou a dar-te a minha opinião pessoal pelos dados que aqui estão a ser colocados!

abraços, HecKel

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

eles podem e tambem ter criado o seu algoritmo de encriptacao proprio, do qual têm o decriptador,...

e isso que acontece em muitos dos casos...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas!

Sobre a mensagem que aparece..., depende muito! Visto que o P@P também usa SMF posso-vos garantir que os admins se quiserem podem mudar a mensagem que vai para o mail, basta editar o ficheiro destinado a tal, logo isso não é justificação para a potencial insegurança!

Sobre o envio da password antes de ser encriptada..., como pensam que é feita a validação de login? É à base da comparação das keys de encriptação, se eu pretender obter a minha palavra pass o mail manda-me a password desencriptada, assim que fazes o registo a password é encriptada e só depois é enviado o mail, isto tudo para garantir a segurança do site/fórum.

Sobre isso de ser passados anos..., e se o mail não foi requerido pelo utilizador..., é pá um administrador minimamente sensato iria justificar o porquê disso ter acontecido, pois isso só levanta mais dúvidas sobre a credibilidade da administração! De facto é bastante suspeito, iria-te sugerir que o contactasses para tentares esclarecer a situação, mas já vi que o tentaste fazer e obtiveste uma resposta "ligeiramente" incorrecta...

Não quero lançar lenha na fogueira, apenas estou a dar-te a minha opinião pessoal pelos dados que aqui estão a ser colocados!

abraços, HecKel

Pois eu devia ter incluido o mail todo no inicio do post. Não foi um mail com os dados e isso é que deve ter gerado a confusão. Foi um mail onde se falava do novo Btuga Revolution. Mas esses dados vinham logo no inicio.

Mail:

Viva _JR_,

Antes de mais informo os seus dados actuais:

Utilizador: _JR_

Password: zzz

Para melhorar a vida dos utilizadores lancei mais

uma versão do BTuga Revolution. Esta nova versão

faz o login automaticamente quando inicia o

programa e quando o IP muda enquanto este está

ligado. Basta só fazer o login no programa uma vez

e fica tudo a funcionar automaticamente. (É

necessário reiniciar o programa quando se realiza

o primeiro login no mesmo.)

O programa encontra-se disponível na página dos

programas. Para instalar basta desligar o BTuga

Revolution 2.1.7 se estiver em funcionamento e

instalar por cima. Não é necessário proceder a uma

desinstalação. Não perderá nenhum ficheiro nem o

histórico dos mesmos.

A página do BTuga.pt passou a funcionar por

cookies. Visando facilitar a vida dos utilizadores

que apenas tem de fazer login uma única vez.

Atenção: O login no programa é obrigatório para o

mesmo funcionar

Obrigado por manter o BTuga vivo!

Cumprimentos.

eles podem e tambem ter criado o seu algoritmo de encriptacao proprio, do qual têm o decriptador,...

e isso que acontece em muitos dos casos...

Era preciso serem uns crânios...

No entanto falei com o Martini-Man e segundo ele era um bug do XMB mas entretanto ficou tudo resolvido a partir daí e as passwords já estão encriptada na bd e etc etc...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Era um bug? :P

...

Pelo que ele disse... Mas um bug que durava à anos.... Não era um bug que se notava simplesmente com uma visualização na base de dados? :|

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora