Posted by bursali | Posted in Scene, World | Posted on 29.12.2011 @ 22:30:04
3
Guten Abend.
In einem ausländischen Internetforum berichtet ein User bzw. ein Hacker von einer extremen Sicherheitslücke einer Bank.
(Aus Sicherheits- und Datenschutzgründen werde ich in den folgenden Screenshots einige Daten zensieren.)
Userpost - #1
Wie man aus seinem Text entnehmen kann, arbeiten die Hacker gerade an einem Deface der Bank, was allem Anschein nach nicht sehr einfach zu werden scheint.
Bei einem weiteren Beitrag veröffentlicht der Hacker einen Datensatz deutscher Kreditkartendaten und begründet dies mit dem Satz:
"Nein, wir tun es weil wir es können - und wenn Banken Euer Geld nicht absichern können, wer dann?"
Userpost - #2
Hier ein Auszug aus seiner Veröffentlichung:
CC Dump
In dem Datensatz befinden sich mehr als 3000 Kreditkarten deutscher Personen.
Ich werde den CC Dump an die Kreditkartenunternehmen weiterleiten und um eine Sperrung bitten, ich hoffe dieses Mal hören die Kreditkartenunternehmen auf Mails..
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in .Blog News, Allgemeines | Posted on 24.12.2011 @ 10:18:39
4
Guten Morgen.
Ich wünsche Euch allen frohe Weihnachten und eine schöne Zeit mit Euren Freunden und Verwandten. 
Lasst Euch reichlich beschenken und genießt die Feiertage.
Schönen Samstag,
~bursali
Posted by bursali | Posted in XSS | Posted on 23.12.2011 @ 13:59:10
0
Huhu.
Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.
Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.
Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.
Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting
Wünsche Euch noch einen schönen Freitag,
~bursali
Posted by bursali | Posted in XSS | Posted on 10.12.2011 @ 19:41:25
4
Guten Abend.
Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner.
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.
Genau SO einen Gesprächspartner wünscht man sich!
Zu der Vuln geht es hierlang:
bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting
Mit freundlichen Grüßen,
~bursali
