Ett svenskt cannabisforum Forums Universitetet – Cannabisodling U| Säkerhet VARNING: eventuellt ip fiske via pm (fråga om lowryder frön)

  • Creator
    Discussion
  • #57901

    syndig
    Participant

    Jag fick mail härom dagen från någon som frågade vart man kunde köpa Lowryderfrön :(

    [Sammanfattning]Ett antal användare fick under förra veckan ett PM med rubriken “fråga” och i själva PM:et fanns texten “vet du var man kan köpa low ryder från??? tack”. I detta PM visade det sig att avsändaren lagt in en bildlänk föreställande en smiley, denna bild kom från en extern källa och varje bild hade ett unikt namn för varje mottagare och avsändaren kunde därförmed ett script på så sätt fiska IP-adresser från de mottagare som öppnat PM:et genom att koppla ihop den IP-adress som öppnade den unika bilden för mottagaren med mottagarens nick. En dump med användarnamn och IP-adressen publicerade därefter på siten pastebin.com och en länk till dumpen lades upp på Familjeliv. Då reponsen från Familjelivs medlemmar var (minst sagt) sval, lade fiskaren en timme senare upp länken till dumpen här (efter att ha först fånat sig med att räkna ner från tio i enskilda postningar, dessa ligger nu i soptunnan), och med en insuniation att den skickats vidare till Polisen.

    För att stoppa attacken har därför alla bildlänkar, formateringar och även PM tillfälligt stängts av.

    De användare som använts TOR behöver inte oroa sig även om de finns med på en publicerade listan.

    Vissa användare har efter attacken begärt att få sina nick raderade, men radering av ett konto är fulltständigt meningslöst och kommer inte hjälpa i situationen. Du invaggas enbart i en känsla av falsk säkerhet. Dina inlägg kommer ändå att finnas kvar, och eventuella spår du lämnat efter dig kommer att finnas kvar även om kontot raderas. Och ditt ip finns givetvis fortfarande med på listan om det gör det nu. Vad du kan göra är att editerat bort känslig information ur dina gamla inlägg, men tyvärr har väl google cacheade versioner kvar.

    Denna text finns även på förstasidan.[/Sammanfattning]

    [MOD]Vi följer och läser varje inlägg i den här tråden just nu, så har ni tips till oss moderatorer, tips till andra användare, fler namn på avsändare av det obehagliga PM:et, skriv det här, vi läser.

    Har ni synpunkter, vill ventilera er ilska över det skedda, eller er sorg över er förlusterfarenheter, eller drabbats av eventuellt efterspel med polis/ liknande pga fisket, skriv det här, vi läser.

    Har ni tankar om hur vi ska öka säkerhetstänket hos användare, tips på hur man förbättrar sin egen säkerhet, kod-snuttar som kan vara intressanta att inplementera på forumet som kan öka säkerheten, ja kort sagt, ALLT som gäller säkerheten kring användandet av Swecan så skriv in det här. Vi läser.[MOD]

Page 1 of 15
  • Author
    Replies
  • #607304

    @Syndig wrote:

    Jag fick mail härom dagen från någon som frågade vart man kunde köpa Lowryderfrön :(

    Det fick jag med. :?

  • #607305

    budweisser
    Member

    Skulle kunna vara en som försöker hålla koll på folk med konton
    Smileyn i meddelandet låg inte på swecan, utan på sourceforge.

  • #607306

    dudin
    Member

    och det betyder? Jag fick också pm om LR

  • #607307

    budweisser
    Member

    Sourceforge är ofarligt i sig, en grön sida.

    Men om du länkar en bild från en annan sida (i det här fallet en smiley) så kan du se vilka IP’s som har laddat den bilden.
    Och eftersom den bilden bara skickats i PM till folk på swecan så har nu denne eminente h*n en fin lång lista på IP’s som folk med konton sitter bakom.

    Ska man dra det ännu längre så kan man kopiera samma bild, fast med olika namn, länka en bild per konto, lista vilken bild som blev skickad till vilket konto.
    Sen när du kollar i loggen ser du vilket IP som frågat efter bilden, då kan du enkelt lista ut vilket ip som tillhör vilket konto.

    !OBS! ALLT DETTA ÄR HÖGST TEORETISKT OCH JAG HAR INGA SOM HELST BEVIS FÖR ATT DET JAG SKRIVIT FAKTISKT HÄNT OSS PÅ SWECAN !OBS!

  • #607308

    Har varnat för detta förr.

    Det som händer är att när man öppnar pm:et så laddas bilden (smileyn i detta fall) från en extern server. Kollade URL:en på bilden och den heter icon_ och sedan ett långt nummer.

    Vad dom troligtvis gjort är att skapa en unik bild för varje pm med ett unikt namn. Sen kan dom kolla access loggen på just den bilden och se vilket ip nummer som requestat den bilden och har då IP på den person som öppnat PM:et dvs dom har kopplat ett swecan konto till ett ip nummer.

    Edit: BudWeisser du var snabbare

  • #607309

    Kollade på sourceforge och det verkar som dom inte delar med sig av IP på access loggarna.

    SourceForge.net has a strict Privacy Policy; we consider privacy to be very important. Based on these policies, we have established policies regarding the types of log data we will provide to hosted projects and developers.

    Access Logs: We provide per-project access to access-log data with obfuscated IPs. See the directory /home/logs-project-web/PROJECTNAME.

    Men kan ju vara någon som testar principen innan dom sätter upp en egen server.

    SWECAN: blockera externa bilder i pm!!!!

  • #607310

    Hur blockerar man dom bilderna då? 😮

  • #607311

    @ALT_under_CTRL wrote:

    Hur blockerar man dom bilderna då? 😮

    Min tanke var att admin skulle ändra i forummjukvaran så bilderna i alla fall inte laddas direkt i pm utan man måste klicka på en länk. Går ju då i alla fall att använda sitt sunda förnuft och välja att inte klicka.

    Men så länge kan du använda denna addon i firefox https://addons.mozilla.org/en-US/firefox/addon/requestpolicy/ problemet är ju dock att den blockerar allt som inte ligger på swecan.org dvs dom flesta bilderna i bildbanken osv men du kan whitelista domäner.

    Sen bör man ju oavsett skydda sitt riktiga IP med t.ex. tor.

  • #607312

    ensten
    Member

    @Rikskriminalen wrote:

    @Syndig wrote:

    Jag fick mail härom dagen från någon som frågade vart man kunde köpa Lowryderfrön :(

    Det fick jag med. :?

    jag med!

  • #607313

    @Ensten wrote:

    @Rikskriminalen wrote:

    @Syndig wrote:

    Jag fick mail härom dagen från någon som frågade vart man kunde köpa Lowryderfrön :(

    Det fick jag med. :?

    jag med!

    Verkar som många fått detta kanske har dom scriptat och mass pm:at (en captcha för att skicka pm vore en god idé). Är rätt övertygad att detta är ett försök att kompromettera våran anonymitet.

  • #607314

    cthullu
    Member

    ❗ bryter ut delen som handlar om dessa pm angående LR frön / ipfiskning till en egen tråd.

    ska försöka göra admins uppmärksamma på detta, men som sinsemillan säger använd tor så är man säker mot sådan här trivial ip fiske. (även proxy räcker)

    …och även jag fick detta pm från “pojkmannen”, hjälpsam som man är svarade jag med en länk. Noterade nu att han / botten inte läst svaret -> ännu en indikation på att det verkligen är något fuffens i görningen.

  • #607315

    hur mycket hjälper https mot detta?

  • #607316

    cthullu
    Member

    inte alls. (https krypterar bara trafiken, men han som skickade pm:et ser ju fortfarande t.ex. vilket ip som hämtade iconen även om ingen kan avläsa innehållet)

  • #607317

    teax
    Member

    Jag fick också samma pm, faan! :(

  • #607318

    okej, får man fixa tor asså.. Eventuellt byta konto då.. Känner mig inte säker för 5 öre :s

Page 1 of 15

Log in to reply.