Tag: twitter

Hasło do twitterowego konta Donalda Trumpa brzmiało tak… (+ brak 2FA) [Update: Twitter oraz Biały Dom dementują]

22 października 2020, 20:05 | W biegu | 0 komentarzy
Hasło do twitterowego konta Donalda Trumpa brzmiało tak… (+ brak 2FA) [Update: Twitter oraz Biały Dom dementują]

maga2020! [patrz jednak aktualizację na końcu newsa – Twitter oraz Biały Dom dementują] Proste do zapamiętania, chwytliwe w razie wycieku czy hacku :-) W każdym razie o haśle maga2020! donoszą m.in. holenderskie portale newsowe. Victor Gevers, który wg doniesień uzyskał dostęp na konto Trumpa, był dodatkowo mocno zdziwiony brakiem włączonego dwuczynnikowego uwierzytelnienia:…

Czytaj dalej »

Ćwierkając w czasie i przestrzeni, czyli analiza geolokalizacji wpisów na Twitterze

22 września 2020, 09:39 | Aktualności | 0 komentarzy
Ćwierkając w czasie i przestrzeni, czyli analiza geolokalizacji wpisów na Twitterze

Dzisiaj chciałbym skupić się na wpisach Twitterowych pod kątem zawartych w nich metadanych. Nie mam tutaj na myśli wyciągania geolokalizacji na podstawie danych EXIF ze zdjęć, bo te są automatycznie usuwane przed ich opublikowaniem, ale o obserwowaniu lokalizacji dodawanej do tweetów oraz czasu, kiedy te są dodawane. Domyślnie w naszym…

Czytaj dalej »

Uwaga, masowe przejmowanie kont na Twitterze: Elon Musk, Bill Gates, duże giełdy kryptowalut. Propagują sprytny scam…

15 lipca 2020, 22:54 | W biegu | komentarzy 6
Uwaga, masowe przejmowanie kont na Twitterze: Elon Musk, Bill Gates, duże giełdy kryptowalut. Propagują sprytny scam…

Zacznijmy od paru zrzutów ekranowych:   Co może być przyczyną – ciężko powiedzieć, choć niektórzy sugerują, że może to być przejęty dostęp do konta jednego z pracowników Twittera: Exclusive : this is likely the panel of the compromised Twitter employee! pic.twitter.com/Nj8E3KhIHV — Under the Breach (@UnderTheBreach) July 15, 2020 Na…

Czytaj dalej »

Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

10 października 2019, 09:26 | W biegu | 1 komentarz
Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

Zapewne wielu z Was zna tę popularną opcję na Twitterze czy Facebooku (i w wielu innych serwisach): aby zalogować się, należy poza loginem i hasłem podać również unikalny kod wysyłany SMS-em do użytkownika. Operacja wymaga wcześniejszego podania serwisowi numeru telefonu, który ma być wykorzystywany tylko w celach zwiększenia bezpieczeństwa. Tymczasem…

Czytaj dalej »

Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

06 października 2019, 21:57 | W biegu | komentarzy 7
Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…

Czytaj dalej »

Rozbił w drobny pył kilkanaście serwerów VPN Twittera. Ominięte dwuczynnikowe uwierzytelnienie, hasła w plaintext i dostęp na root

10 sierpnia 2019, 20:57 | Aktualności | komentarzy 8
Rozbił w drobny pył kilkanaście serwerów VPN Twittera. Ominięte dwuczynnikowe uwierzytelnienie, hasła w plaintext i dostęp na root

A to wszystko za sprawą paru krytycznych podatności w rozwiązaniu Pulse Secure (SSL VPN). Historycznie wyglądało to tak: badacze zgłosili do producenta problemy. Poczekali na patcha, poczekali 30 dni i sprawdzili czy Twitter (i parę innych dużych firm) załatało się. W przypadku Twittera było to 13 serwerów. Uzbrojeni w jeszcze dymiące…

Czytaj dalej »

Za jeden prosty XML zgarnął $10 000

31 lipca 2017, 13:37 | W biegu | komentarze 4

Nagroda w wysokości $10 800 została przyznana niedawno w ramach bug bounty Twittera.  Jeden z serwerów, a dokładnie jedno z API, było podatne na opisywaną przez nas już dwukrotnie podatność XXE. XML wyglądał jak poniżej, a autor badania do oryginalnego XML-a dołożył tylko oznaczone linijki:

Podatność umożliwiała na czytanie…

Czytaj dalej »

Skrypt wyciągający tony (meta)danych z API Twittera – można przeanalizować dowolne konto

30 stycznia 2017, 11:40 | W biegu | 0 komentarzy

Ostatnio pisaliśmy o interfejsie webowym, w którym można uzyskać pewne metadane z dowolnego konta na Twitterze. Dzisiaj ktoś opublikował konkretny skrypt w pythonie, uderzający do API Twittera i wyciągający z niego metadane (można to zrobić na @dowolnym_koncie_twittera). Przykład pojedynczego tweeta (jak widać jest tam więcej niż 140 znaków :P) Oraz fragment wyniku…

Czytaj dalej »

Zbadaj dowolne konto na Twitterze pod względem wycieków – geolokalizacja, używane klienty, metadane w obrazkach…

18 stycznia 2017, 11:45 | W biegu | komentarzy 5

A wszystko za jednym kliknięciem (no dobra, kilkoma), w on-lineowym narzędziu Tinfoleak. Zobaczmy na start jedną z polskich osobistości w świecie showbiznesu. Nie daję pełnego linka do profilu:P Ale jak widać fajnie podróżuje: Mamy też super dokładne koordynaty konkretnych wpisów – z linkem do Google Maps :) Jak ktoś chce…

Czytaj dalej »