Jump to content

Recommended Posts

Che poi anche avendo l'algoritmo più sicuro del mondo se l'email, come spesso accade, viaggia per la rete in plaintext serve a poco, non escluderei un MITM.

Share this post


Link to post
Share on other sites
Che poi anche avendo l'algoritmo più sicuro del mondo se l'email, come spesso accade, viaggia per la rete in plaintext serve a poco, non escluderei un MITM.

 

A quello ti serve l'IP inserito nell'hash del codice che generi, non sarà chissaché sicuro, ma almeno un minimo il suo lo fa...

 

Altra cosa che mi è venuta in mente per il recupero pwd per "riconoscere" in qualche modo il sender è chiedere in fase di recupero pwd l'inserimento di una stringa per poi inserirla nell'hash del link e richiederla in fase di recupero pwd se gli altri check sono ok.

 

Se poi hai il pc con keylogger e ti sei fatto beccare la pwd dell'email, meriti forse che ti radano al suolo l'account di ovh... e forse quello è anche l'ultimo dei tuoi problemi :D

Edited by Antonio

Share this post


Link to post
Share on other sites

A parte quello per cui mi sono già lamentato mille volte (anche perchè poi quando arrivano in eng/ita, sono tradotti con google translator).

 

Ok il buco sul recupero password. Ma premesso che il NIC-HANDLE non ce l'abbiamo stampato in fronte... Come hanno fatto ad associare IP->NIC? Non vedo motivo per cui 4 proprietari di server relativi a bitcoin dovessero pubblicarlo in giro.

Share this post


Link to post
Share on other sites
Mi chiedo quando, nel 2013, impareranno a fare comunicati in inglese, visto che il loro business è internazionale.

 

basta alzare la cornetta e chiamare il numero di telefono italiano per parlare con persona madrelingua italiana...

 

prova a farlo con rackspace, godaddy o amazon (che vendono in tutto il mondo e non solo in UK o US) ;)

Share this post


Link to post
Share on other sites
A parte quello per cui mi sono già lamentato mille volte (anche perchè poi quando arrivano in eng/ita, sono tradotti con google translator).

 

Ok il buco sul recupero password. Ma premesso che il NIC-HANDLE non ce l'abbiamo stampato in fronte... Come hanno fatto ad associare IP->NIC? Non vedo motivo per cui 4 proprietari di server relativi a bitcoin dovessero pubblicarlo in giro.

 

Basta sapere l'indirizzo email se non erro.

 

Francese o inglese sono troppo stanco per leggerlo. Aspetto un riassunto su Twitter.

 

TL;DR : Yes, we had a security vulnerability allowing a password change using some complex brute-force procedure. We advise all clients running critical services to limit access to the manager from some IP only. Yes, 3 clients of the bitcoin community have been impacted by this security flaw. It is very important to read the emails that ovh sends automatically, especially the notification of password change emails, when they aren't initiated by you. If you see a request for a password change that you haven't initiated, you should call our incident support 24/24 which will block your account until everything is clear. No, our clients database hasn't been compromised. No, there was no impact on other clients than these 3.

Share this post


Link to post
Share on other sites

Da quanto ho capito con il mio scarso francese loro generavano una stringa di 21 caratteri concatenando 3 stringhe di 7 caratteri generate tramite 3 funzioni random diversi.

 

Il problema è che 2/3 di quelle funzioni non erano realmente random, quindi era possibile trovare l'URL unico per cambiare la psw tramite bruteforce.

 

Dicono che il problema era nella funzione rand(), ma possibile che sia così tanto pseudorandom?

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×