• XSS.stack #1 – первый литературный журнал от юзеров форума

угон акка XSS

Отслеживать

B14ckH00D

CD-диск
Пользователь
Регистрация
15.05.2025
Сообщения
16
Реакции
7
Депозит
0.01
всем привет) хотел поделиться историей с угоном акка, в кратце... пользовался аккаунтом больше 3х лет (точно уже не помню сколько), но в один недавний момент понял что не могу зайти в свою учетку.
сначала подумал может форум лагает или еще что, но все оказалось проще) кому то понадобился мой аккаунт на форуме, депозита там не было, да и репутации\сообщений не так много, но сам факт того, что не можешь зайти на свою учетку был не очень приятным)

подумав как это произошло, решил написать возможно банальную и всем известную информацию, но все же, с кем не бывает )
итак все банально просто) некоторые электронные почты, когда долго не заходишь, могут удалить твою учетку, тем самым освобождая твой логин для рега другого пользователя. так и произошло со мной. почту удалили, кто то зарегал новую почту с тем же логином, скинул пасс от форума и лишил меня доступа)

да-да все всё знают, всё просто, я сам виноват и прочее, но суть поста не в этом, суть в том чтобы напомнить нашим дорогим форумчанам о том что порой стоит проверить свою почту, особенно если регали ее спецом только для рега на форуме
ну и не ленитесь поставить 2фа)

отдельная благодарность админам за быструю и адекватную реакцию на мою ситуацию ))) вы лучшие

ps тем, кто использует onionmail.org посвещается особенно)
 
B14ckH00D сказал(а):
почту удалили, кто то зарегал новую почту с тем же логином
А откуда угонщик узнал связку login:mail ? Откуда угонщик узнал какой мэйл соответствует какому твоему логину на дамаге?
 
А вообще есть такие которые освобождают юзернейм? Большинство же при дезактивации/блокировки, просто делают сам юзернейм тоже больше недоступным.
P/S я сейчас не говорю о всяких очень малоизвестных решениях
 
Последнее редактирование:
diletant сказал(а):
никто не освобождает юзернеймы. всё более прагматично. ты протроянился
тогда угнали бы не только форум, поверь там много чего поинтересней можно было бы увести)

in_fant сказал(а):
А откуда угонщик узнал связку login:mail ? Откуда угонщик узнал какой мэйл соответствует какому твоему логину на дамаге?
логин и юзернейм на почту\форум были одинаковые только с припиской @onionmail.org
 
B14ckH00D сказал(а):
логин и юзернейм на почту\форум были одинаковые только с припиской @onionmail.org
Раз аккаунт всё равно угнали, покажи пароль, который стоял на акке и на почте. Академический интерес.
 
in_fant сказал(а):
Раз аккаунт всё равно угнали, покажи пароль, который стоял на акке и на почте. Академический интерес.
Скрытый контент для пользователей: in_fant.

такое врятли сбрутят)
 
Аккаунты угоняют при помощи брута, фишинга, протроянивания. Например, на сегодняшний день в публичных облаках логов ~1300 наших аккаунтов.
001.png

Это очень много.
 
admin сказал(а):
Аккаунты угоняют при помощи брута, фишинга, протроянивания. Например, на сегодняшний день в публичных облаках логов ~1300 наших аккаунтов.
Посмотреть вложение 107400
Это очень много.
как иронично
 
admin сказал(а):
Аккаунты угоняют при помощи брута, фишинга, протроянивания. Например, на сегодняшний день в публичных облаках логов ~1300 наших аккаунтов.
Посмотреть вложение 107400
Это очень много.
а сидели бы все на линуксе, было бы 0, но нет многие предпочитают винду даже юзер френдли дистрибутивам)
 
uzu сказал(а):
а сидели бы все на линуксе, было бы 0, но нет многие предпочитают винду даже юзер френдли дистрибутивам)
будто вари нету под линь ) все есть, причем последние годы тенденция растет. У людей нету понятия "рабочая" машина и домашняя машина, от сюда и все проблемы.
 
LongNight сказал(а):
будто вари нету под линь ) все есть, причем последние годы тенденция растет. У людей нету понятия "рабочая" машина и домашняя машина, от сюда и все проблемы.
лично я ни разу не натыкался, в том же aur насколько я помню последний раз вредоносный пакет провисел ~2 часа и был не популярен. Аверейдж юзеру случайно/впервые попавшему на этот форум для белых целей есть огромное количество софта из надежных источников, тот же флатпак, а если что то экзотичное нужно - вероятно у тебя есть некоторые технические навыки, и ты сможешь сам проверить что ставишь в свою систему. Вероятность словить малварь в привычном ее представлении на линуксе близится к нулю, на мой взгляд. Главное для подозрительных приложений типо антиков использовать виртуалки/rdp, но это скорее чтобы телеметрию не собирали)
 
uzu сказал(а):
лично я ни разу не натыкался, в том же aur насколько я помню последний раз вредоносный пакет провисел ~2 часа и был не популярен. Аверейдж юзеру случайно/впервые попавшему на этот форум для белых целей есть огромное количество софта из надежных источников, тот же флатпак, а если что то экзотичное нужно - вероятно у тебя есть некоторые технические навыки, и ты сможешь сам проверить что ставишь в свою систему. Вероятность словить малварь в привычном ее представлении на линуксе близится к нулю, на мой взгляд. Главное для подозрительных приложений типо антиков использовать виртуалки/rdp, но это скорее чтобы телеметрию не собирали)
бизнес поголовно сидит на различных оболочках линя, там оленей хватает
 
LongNight сказал(а):
бизнес поголовно сидит на различных оболочках линя, там оленей хватает
и что теперь, на винду всем пересесть?) Для домашнего пользования линукс это маст хэв, за исключением тех, кому нужны драйвера из под винды/зависимости которых нет в лине
 
uzu сказал(а):
и что теперь, на винду всем пересесть?) Для домашнего пользования линукс это маст хэв, за исключением тех, кому нужны драйвера из под винды/зависимости которых нет в лине
да это тут причем, ты пишешь будто сидеть на лине = безопасно, но это не так. Гигиена должна быть на любой системе, под эпл тоже есть софт и он работает успешно, любая ось не безопасна, особенно если юзер идиот
 
LongNight сказал(а):
да это тут причем, ты пишешь будто сидеть на лине = безопасно, но это не так. Гигиена должна быть на любой системе, под эпл тоже есть софт и он работает успешно, любая ось не безопасна, особенно если юзер идиот
от изначальной темы отошли, я очень сомневаюсь, что если человек например, работает с логами - столкнется с проблемой случайного запуска билда) Если ты не корпоративный пользователь, скорее всего жертвой атаки никогда и не станешь. Правда, неумелое обращение может привести к неприятным последствиям, но как правило далёким от какой-либо атаки, можно случайно удалить что-нибудь, или сломать загрузчик (частая проблема после обновления на арч)
да и в целом полезная практика, если какой нибудь софт идет только на винду - тебе приходится использовать дедик, да и сейчас даже новичку совсем не сложно сделать себе пару виртуалок под разные задачи - а все важное, менеджеры паролей, мессенджеры (((((токс))))) - держать на хосте.
 
LongNight сказал(а):
да это тут причем, ты пишешь будто сидеть на лине = безопасно, но это не так. Гигиена должна быть на любой системе, под эпл тоже есть софт и он работает успешно, любая ось не безопасна, особенно если юзер идиот
говорю как человек который более 2 лет сидит исключительно на линуксе, опыт с dualboot еще дольше
 
admin сказал(а):
Аккаунты угоняют при помощи брута, фишинга, протроянивания. Например, на сегодняшний день в публичных облаках логов ~1300 наших аккаунтов.
Посмотреть вложение 107400
Это очень много.
А если прибавить к этим учеткам в комплект еще и почты без двуфакторки, то получается несколько сотен мультов и разводил в тележке. Очень печально господа(((
 
Cryptoinstalls сказал(а):
А если прибавить к этим учеткам в комплект еще и почты без двуфакторки, то получается несколько сотен мультов и разводил в тележке. Очень печально господа(((
Они все давно забанены. Мы ищем и лочим. Часто помогают адекватные владельцы облаков логов и других подобных сервисов, представленных на рынке. За что им огромная благодарность. Но тем не менее. Просто порядок цифр.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх