API tools faq
paste
Advertisement
AnonyPwnies

LEAKS NEED THIS MUCH VOLUME

AnonyPwnies
Oct 31st, 2011
5,486
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 4.54 KB | None | 0 0
raw download clone embed print report
  1. # ######
  2. # # # # #### # # # # # # # # # # # ###### #####
  3. # # ## # # # ## # # # # # # # ## # # # #
  4. # # # # # # # # # # # ###### # # # # # # ##### ####
  5. ####### # # # # # # # # # # # ## # # # # # # #
  6. # # # ## # # # ## # # ## ## # ## # # # #
  7. # # # # #### # # # # # # # # # ###### ####
  8.  
  9.  
  10. One more time for the last time
  11. One more time for release
  12. One more time for the very last time
  13. Everyone wants to believe
  14.  
  15. Wir hatten noch paar Sachen laufen vor der Auflösung und die Lulz/Drama/Datensicherheitsaufklärung wollten wir euch nicht vorenthalten.
  16. Die Firma "appia.com", die Shoplösungen für Smartphone-Software programmiert (btw schäbig) und für bekannte Portale wie Chip.de, Inside-Handy.de, Gamesload.com, Dell.com, Samsung.com, Opera.com hostet, scheint es nicht ganz so ernst zu meinen was den Datenschutz und die Reaktionsfreudigkeit auf Responsible-Disclosure angeht.
  17.  
  18. 2 Wochen lang blieb eine Reaktion auf eine SQL-Injection aus:
  19.  
  20. http://www.sicherheit-online.org/Aktuelle-Themen/Sicherheitslucke-bei-mobile2day.de-wird-ignoriert.html
  21.  
  22. Als wir das lasen, entschieden wir uns selbst nach der Lücke zu suchen und kamen mit 40GB SQL Backups, 2 GB PHP Scripten, 2 Rootserver Passwörtern, 2 Paypal Accounts und rund 100 GB Android/Windows Mobile/Symbian Apps zurück (Die vielleicht auf TPB landen, wer weiß :) ). Die 40GB SQL Backups beeinhalten private Daten und Kontoverbindungen von Entwicklern und bekannten Firmen wie Avira, Kaspersky, VITO, Brightpoint, Palm sowie rund 1,2 Mio Kunden aus aller Welt, die irgendwann einmal bei einem Shop von appia.com eingekauft haben, gemeinsamen Datenbankservern sei Dank.
  23. Die erste Lücke zu finden ging erstaunlich schnell, paar Stunden sqlmap und sie war gefunden und der spaßige und kreative Teil konnte anfangen. So durchsuchten wir erstmal die Datenbank nach nützlichen Passwörtern, womit wir unseren Zugang zu weiteren internen Seiten eskalierten. Zum Glück nutzte der Admin den Vornamen seiner Freundin als Passwort und so kamen wir in den Kundensupportbereich. Dort gabs ne coole Funktion mit der man E-Mails inklusive Dateianhang versenden konnte, roch stark nach Arbitrary File Upload und so hatten wir schonmal eine PHP-Shell in ./mail/attachments/001.php, stets ein Meilenstein!
  24. Wir durchsuchten den gesamten Webserver und das Glück war uns hold: Eine einsame excell Datei mit Root Passwörtern! Gleich mal eingeloggt, /var/log nach /dev/null gelinkt und die MYSQL Datenbank und die Handy Apps gesichert. Paar Tage später bemerkten wir, dass die excell Datei auch eine zweite Seite hatte (seriously, wer schaut auf die zweite Seite?) und wir konnten unseren Augen nicht trauen, was die Essenz der inkompetenten Datensicherung uns dort beschert hat: 2 Paypal Accounts inklusive Passwörtern! Gleich mal mit deutschem Proxy eingeloggt und Guthaben gecheckt, rund 5000 €, ziemlich wenig. Wie jeder weiß ist es unmöglich Geld von einem Paypal Account abzuheben, da Paypal alles und jeden einfriert.
  25.  
  26. Wir haben versucht mobile2day.com zu erreichen, aber anstatt eine Antwort zu bekommen wurde unser Wegwerf-Email-Account bei freenet.de, von wo unsere Mails kamen, dauerhaft gesperrt, wahrscheinlich wegen einer Beschwerde durch mobile2day.com.
  27.  
  28. Wir wollen nicht so weit gehen müssen alles zu releasen, deshalb fangen wir mit den Sourcecodes an, auf denen die Shops laufen, viel Spaß beim Suchen nach Sicherheitslücken, schließlich nutzen namhafte Portale diese Software!
  29.  
  30. Wir empfehlen mobile2day.com sich auf ein Gespräch mit uns einzulassen, ansonsten müssen wir die Betroffenen auf den unangenehmen, direkten Weg informieren. (Natürlich zensiert, damit die Kunden nicht die Geschädigten sind, kennt uns ja ;) )
  31. Mobile2Day, ihr könnt uns unter der euch bekannten Hush.ai Mail erreichen, bzw melden wir uns erneut bei euch.
  32.  
  33.  
  34.  
  35. Happy Nightmare Night!
  36. --------------------------------
  37. Also Pipsqueak:
  38. (Look at this adorable badass!)
  39.  
  40. http://bit.ly/uEREcM
  41. .
  42.  
  43. Loot:
  44.  
  45. Das sind die Sourcecodes der Shopsoftware, inklusive .cfg's wo MYSQL und andere auswärtige Accounts versteckt sind :)
  46. Außerdem sind dort API-Keys von Zahlungsabwicklern, vllt kann jemand damit was anfangen, who knows.
  47.  
  48. 2,2GB als TAR entpackt
  49. 157MB als 7Zip gepackt
  50.  
  51. http://www.multiupload.com/3PNJ778B81
  52. MD5: 7b7084b9ac2c61069f12cb137c6f0ffb
  53.  
  54. http://www.multiupload.com/ABVCSXC9J6
  55. MD5: ae602b04ae68875e6cd8bfe78f178140
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!