Od piątku, na Wykopie trwa “aferabotowa”. Użytkownicy serwisu zauważyli, że niektóre ze znalezisk, w ciągu kilku minut są wykopywane przez setki kont. Część z wykopujących twierdzi, że oni sami, świadomie, nie wykopali danego znaleziska. Ktoś musiał więc zrobić to za nich. Ale jak?

O możliwych hipotezach pisaliśmy w sobotę rano na naszym wykopowym mikroblogu. Przywołajmy ten, lekko poprawiony wpis:

1. Pozyskanie loginów i haseł części kont

A. Przez kradzież (były pracownik, backupy, etc.) — byłaby duża skala

B. Przez włamanie (SQLi i łamanie haszy) — wtedy “botami” tylko Mirki o słabych hasłach, przynajmniej na początku.

C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc — wtedy ofiarami Mirki które mia…y hasło takie samo jak w innym serwisie (nieunikatowe)

D. Przez phishing lub zewnętrzną aplikację — wtedy Mirki musiały by się dać nabrać na lewą stronę logowania lub lewą apkę mobilną (fałszywe lub zbackdoorowane rozszerzenie do przeglądarki mające dostęp do domeny wykop.pl albo inny dodatek dotyczący Wykopu wymagający podania hasła). Ale przecież Mirki ain’t no idiots! ;)

2. Wykonanie ataku MITM:

A. Przez sniffing tokenów sesyjnych — wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika

B. Przez rewrite żądania http — wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie “ataku”, bezczynny Mirek nie zostałby ubotowiony)

3. Atak CSRF i/lub XSS

A. Przez źle zaimplementowane tokeny antycsrf — Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)

B. Przez XSS na Wykopie — gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk).

4. Inny błąd w API/serwisie

A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference, takie błędy też już były na Wykopie)

B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji

4,76 Korwin

5. Spisek! Nawet bordo to boty – ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)

6(66). Szatan