Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- # ######
- # # # # #### # # # # # # # # # # # ###### #####
- # # ## # # # ## # # # # # # # ## # # # #
- # # # # # # # # # # # ###### # # # # # # ##### ####
- ####### # # # # # # # # # # # ## # # # # # # #
- # # # ## # # # ## # # ## ## # ## # # # #
- # # # # #### # # # # # # # # # ###### ####
- One more time for the last time
- One more time for release
- One more time for the very last time
- Everyone wants to believe
- Wir hatten noch paar Sachen laufen vor der Auflösung und die Lulz/Drama/Datensicherheitsaufklärung wollten wir euch nicht vorenthalten.
- Die Firma "appia.com", die Shoplösungen für Smartphone-Software programmiert (btw schäbig) und für bekannte Portale wie Chip.de, Inside-Handy.de, Gamesload.com, Dell.com, Samsung.com, Opera.com hostet, scheint es nicht ganz so ernst zu meinen was den Datenschutz und die Reaktionsfreudigkeit auf Responsible-Disclosure angeht.
- 2 Wochen lang blieb eine Reaktion auf eine SQL-Injection aus:
- http://www.sicherheit-online.org/Aktuelle-Themen/Sicherheitslucke-bei-mobile2day.de-wird-ignoriert.html
- Als wir das lasen, entschieden wir uns selbst nach der Lücke zu suchen und kamen mit 40GB SQL Backups, 2 GB PHP Scripten, 2 Rootserver Passwörtern, 2 Paypal Accounts und rund 100 GB Android/Windows Mobile/Symbian Apps zurück (Die vielleicht auf TPB landen, wer weiß :) ). Die 40GB SQL Backups beeinhalten private Daten und Kontoverbindungen von Entwicklern und bekannten Firmen wie Avira, Kaspersky, VITO, Brightpoint, Palm sowie rund 1,2 Mio Kunden aus aller Welt, die irgendwann einmal bei einem Shop von appia.com eingekauft haben, gemeinsamen Datenbankservern sei Dank.
- Die erste Lücke zu finden ging erstaunlich schnell, paar Stunden sqlmap und sie war gefunden und der spaßige und kreative Teil konnte anfangen. So durchsuchten wir erstmal die Datenbank nach nützlichen Passwörtern, womit wir unseren Zugang zu weiteren internen Seiten eskalierten. Zum Glück nutzte der Admin den Vornamen seiner Freundin als Passwort und so kamen wir in den Kundensupportbereich. Dort gabs ne coole Funktion mit der man E-Mails inklusive Dateianhang versenden konnte, roch stark nach Arbitrary File Upload und so hatten wir schonmal eine PHP-Shell in ./mail/attachments/001.php, stets ein Meilenstein!
- Wir durchsuchten den gesamten Webserver und das Glück war uns hold: Eine einsame excell Datei mit Root Passwörtern! Gleich mal eingeloggt, /var/log nach /dev/null gelinkt und die MYSQL Datenbank und die Handy Apps gesichert. Paar Tage später bemerkten wir, dass die excell Datei auch eine zweite Seite hatte (seriously, wer schaut auf die zweite Seite?) und wir konnten unseren Augen nicht trauen, was die Essenz der inkompetenten Datensicherung uns dort beschert hat: 2 Paypal Accounts inklusive Passwörtern! Gleich mal mit deutschem Proxy eingeloggt und Guthaben gecheckt, rund 5000 €, ziemlich wenig. Wie jeder weiß ist es unmöglich Geld von einem Paypal Account abzuheben, da Paypal alles und jeden einfriert.
- Wir haben versucht mobile2day.com zu erreichen, aber anstatt eine Antwort zu bekommen wurde unser Wegwerf-Email-Account bei freenet.de, von wo unsere Mails kamen, dauerhaft gesperrt, wahrscheinlich wegen einer Beschwerde durch mobile2day.com.
- Wir wollen nicht so weit gehen müssen alles zu releasen, deshalb fangen wir mit den Sourcecodes an, auf denen die Shops laufen, viel Spaß beim Suchen nach Sicherheitslücken, schließlich nutzen namhafte Portale diese Software!
- Wir empfehlen mobile2day.com sich auf ein Gespräch mit uns einzulassen, ansonsten müssen wir die Betroffenen auf den unangenehmen, direkten Weg informieren. (Natürlich zensiert, damit die Kunden nicht die Geschädigten sind, kennt uns ja ;) )
- Mobile2Day, ihr könnt uns unter der euch bekannten Hush.ai Mail erreichen, bzw melden wir uns erneut bei euch.
- Happy Nightmare Night!
- --------------------------------
- Also Pipsqueak:
- (Look at this adorable badass!)
- http://bit.ly/uEREcM
- .
- Loot:
- Das sind die Sourcecodes der Shopsoftware, inklusive .cfg's wo MYSQL und andere auswärtige Accounts versteckt sind :)
- Außerdem sind dort API-Keys von Zahlungsabwicklern, vllt kann jemand damit was anfangen, who knows.
- 2,2GB als TAR entpackt
- 157MB als 7Zip gepackt
- http://www.multiupload.com/3PNJ778B81
- MD5: 7b7084b9ac2c61069f12cb137c6f0ffb
- http://www.multiupload.com/ABVCSXC9J6
- MD5: ae602b04ae68875e6cd8bfe78f178140
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement