Per Hellqvist om IT-säkerhet och sånt

Ibland får jag spännande reaktioner på mina blogginlägg och dagens inlägg om Ziinga och ph4.cc är inget undantag. Jag har redigerat bort lite i mejlet nedan, men inte av oartighet, utan för att det handlade om “snok-attacker” mot sajten och det är inget jag uppmuntrar. Har dessutom kortat ned det något. Publicering och nedkortning har skett i samförstånd med avsändaren.

Så här skriver signaturen dellnull:

Hej,

Jag tillhör de som fick sms:et. Naturligtvis genomskådade jag det som ett bedrägeriförsök, men liksom du blev jag nyfiken på vad som skulle hända om man lät sig luras. [SNIPP] Jag hade dock vunnit en Ipad3 istället för en Iphone5, men i slutändan hamnade jag hos Ziinga jag med. Lite obehagligt var det med denna bedrägeri, då jag gissar att rätt många låter sig förföras av detta lockbete.

Jag googlade också på ziinga och precis som du kom jag fram till att det är rena rama bedrägerierna, det räckte med att googla på namnet, behövde inte ens klicka vidare på länkarna för att förstå att detta är ett enormt bedrägeri i miljardklassen. De har 7,9 miljoner användare sedan 2009 i sin databas. För att avsluta sitt medlemskap måste man betala motsvarande 380 kr annars fortlöper abonemanget med dragning från paypal/visa/liknande med ca 700kr/månad. Så enbart värdet på missnöjda kunder som omedelbart säger upp sitt medlemsskap är en bra bit över 3 miljarder.

Jag blev mycket nyfiken på att veta om de hade någon sårbarhet, och det hade de. [SNIPP]

Att lista alla deras databaser,tabeller och kolumner var inga problem. Redan i strukturen i databer såg man att de dessutom kör med fusk. Det finns t.ex 500 konton som är “bud-bottar” för att trissa fram fler bud i deras öresauktion. Kontokort, csv2-kod och auth-kod för kontokort sparades också rakt upp och ner i databasen (med kortnummer och expire date , visserligen i olika tabeller, men inte svårt att mappa ett kortnummer med rätt csv2 + auth-kod.

Användarnas lösenord var konstigt nog hashade med salt+sha-1 (salt okänt än så länge). Tyvärr stängdes denna sqli ner innan jag hann hämta tillräckligt med information. Jag är dock övertygad om att det finns fler sårbarheter, men jag överlåter det till de som är intresserade :-)

Detta är verkligen en miljardindustri, det är inga klåpare som ömsom blåster folk på blocket, ömsom lurar folk att anmäla sig på öresauktioner. Det är företag bakom, med VD:ar, styrelse mm, men affärsidén är att blåsa folk, och det är i industriell skala. Bara det borde ju trigga till åtal tycker man ju. [SNIP]

Med Vänliga Hälsningar

dellnull

Ja, var inte det där intressant så vet jag inte vad. Har lagt ned en stor del av dagen att gräva i detta och det är verkligen intressanta saker som dyker upp. Bedrägerierna från “Samir Kocchar” är verkligen både djup- och längsgående. Fulauktionerna från Ziinga är bland de största och smutsigaste jag sett, om än kanske lagliga. Grävandet fortsätter.

Vet du något mer? Tipsa mig gärna på per_hellqvist@symantec.com

Taggar: Bedrägerier, Intressant, Läsvärt

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.