Jump to content

Recommended Posts

Vedi che a pensar male si fa sempre bene? :stordita:

 

Il 18 di questo mese avevo segnalato un grave episodio capitato nel manager di OVH. Mentre facevo un pagamento ho potuto visualizzare il NIC-handle, l'indirizzo email ed altri dati di una persona a me ignota compresi i dettagli del suo server (scadenza, licenze, IP...). Lì per lì non mi è venuto in mente di mettermi a leggere tutto e mi sono limitato a fare uno screenshot della parte della pagina che mi interessava per segnalare l'accaduto in un ticket. Per alcuni istanti ho avuto in un certo senso il server di questo tizio sotto il mio controllo mentre il mio era sparito chissà dove. Dopo aver chiesto invano per ben 3 volte una spiegazione logica ho lasciato perdere e cambiato tutte le password. Tra parentesi secondo il manager di OVH avrei rinnovato il server di questo tizio anzichè il mio :)

Edited by revhosting

Share this post


Link to post
Share on other sites

Da quello che c'è scritto sembrerebbe un qualche bug nel sistema di "recupero password", ma per ora non ci sono annunci ufficiali quindi di preciso non si può sapere.

 

Accedendo al pannello potrebbero fare tutto quello che puoi fare tu compreso quindi un reinstall o peggio un reboot in rescue mode per accedere ai files, ecc.

Share this post


Link to post
Share on other sites

attendiamo le news che Oles ha promesso su twitter a grg

 

i 5 account che gestiscono per fortuna sono tutti ok... ammetto però che non ci entro quasi mai nel manager... solo per rinnovare o aggiungere servizi... una cosa che mi è successa strana nei giorni scorsi è stata questa:

assurdo: IP routed verso altro server? - Forum OVH

 

ed anche in quel caso era a dir poco PREOCCUPANTE la situazione...

 

la risposta ricevuta dal supporto mi è rimasta oscura (<<problema dovuto ad una operazione su ip loadbalancing, migrato erroneamente su infrastruttura failover>>)... che siano coinvolte le API? boh

Share this post


Link to post
Share on other sites

A leggere quello che raccontano è come se avessero in qualche modo capito come sono generati i link di recupero password, perchè le persone ricevono le email di recupero e si trovano la password cambiata senza che nessuno abbia toccato la casella email.

 

Boh.

 

Quando beccate la mail per favore la pubblicate qui? Solo dio sa dove Oles la manderà.

Share this post


Link to post
Share on other sites
A leggere quello che raccontano è come se avessero in qualche modo capito come sono generati i link di recupero password, perchè le persone ricevono le email di recupero e si trovano la password cambiata senza che nessuno abbia toccato la casella email.

 

Boh.

 

Quando beccate la mail per favore la pubblicate qui? Solo dio sa dove Oles la manderà.

 

E' uno dei metodi più comuni di attacco al modulo di recupero passwd, solitamente la prima cosa che si fa è vedere se nel recupero pwd si usa un semplice hash md5/sha1 dell'username (in questo caso il nic-handle) o robe simili; per questo solitamente si genera un codice exnovo slegato dai dati utente, ma questo implica anche salvarsi da qualche parte quel codice, cosa che per svogliatezza spesso non si fa.

 

Per abbassare di molto la possibilità di attacchi di questo, tipo senza stare lì a salvarsi un codice random, basterebbe già generare il codice usando hash sha1/256 di un codice fisso + nichandle + eventualialtreinfo + IPrichiedente. Se la richiesta di cambio pwd era stata eseguita da 123.123.123.123 e la conferma arriva da 12.12.12.12 direi che al 99% è un attaccante e possiamo mandarlo a quel paese...

Edited by Antonio

Share this post


Link to post
Share on other sites

Eh però se gli utenti ricevevano le mail di recupero password, immagino che in qualche modo ci fosse necessità di fare ciò, e che quindi servisse per far salvare i valori temporanei da qualche parte.

 

E immagino che IP richiedente / IP conferma fossero gli stessi essendo appunto l'attaccante a farne richiesta.

Share this post


Link to post
Share on other sites
Eh però se gli utenti ricevevano le mail di recupero password, immagino che in qualche modo ci fosse necessità di fare ciò, e che quindi servisse per far salvare i valori temporanei da qualche parte.

 

E immagino che IP richiedente / IP conferma fossero gli stessi essendo appunto l'attaccante a farne richiesta.

 

E' uno dei tanti check che fai, in questo caso usi anche l'ip richiedente per evitare che, chi ti buca la casella email, ti resetta la pwd al posto tuo.

In questo caso sarebbe stato utile, invece, usare altro per generare il codice, come il salt per la password utente che già hai memorizzato nel db.

 

Se generi un codice con: "robaACasoFissa" + "username/email" + "pwdsaltUtente" + IP sfido chiunque a rigenerare link da 0 funzionanti :)

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×