En titt på den "nya" Flashback-databasen

Inledning

Det finns en annan, mycket mer privat dump som härstammar ifrån Flashback. Den kommer faktiskt inte från forumet utan från Flashbacks köp-och säljsajt "popmart.se" som var aktiv runt 2005-2007, alltså samma år som den publika Piscatus-dumpen tycks komma ifrån. Jag har skickat den kompletta dumpen till ledningen på Flashback Forum och fick svaret att den kan härstamma ifrån popmart.se.

Lösenorden är i klartext och uppnår väldigt dålig policy så det är möjligt att det från början var hashar. Dumpen är på lite över 10.000 rader och är sorterade efter UID men den kolumnen är borta.

Det är dock oklart om UID ska representera användarrättigheter eller registreringstid. Dock finns admins och @flashback.se-adresser väldigt högt upp. I vilket fall som helst så är denna dump väldigt känslig eftersom om nu den är sorterad efter UID så bör det vara väldigt enkelt att få reda på vem admins och ledningen är.


Granskning

Syntax: UID(borta);e-postadress;lösenord;

#Hur många rader är dumpen på?
chloe:~# » wc -l Flashback.se.txt

10784 Flashback.se.txt
#Vilket var topp 6 vanligaste lösenord? <.antal> <.lösenord>
chloe:~# » cut -f2 -d";" Flashback.se.txt | sort | uniq -d -c | sort -g | tail -6

     23 popmart
     35 11111111
     46 12345678
     51 qwerty
     62 123456
     75 12345
#Vilka var det längsta respektive kortaste lösenorden?
chloe:~# » cut -f2 -d";" Flashback.se.txt | awk '{print length, $0;}' | sort -nr 

15 KlonBaranVampir
5 00000
#Vilka domäner var vanligaste?
chloe:~# » cut -f1 -d";" Flashback.se.txt | grep -o '@.*' > domains ; sort domains | uniq -c -d | sort -g

     64 @sverige.nu
     66 @hushmail.com
     76 @chello.se
     76 @msn.com
     80 @passagen.se
    136 @bredband.net
    175 @gmail.com
    216 @swipnet.se
    237 @yahoo.com
    349 @home.se
    367 @yahoo.se
    524 @spray.se
    613 @telia.com
   4576 @hotmail.com
  #Kolla hur många användare som även finns i Piscatus-dumpen
  chloe:~# » sort 40k+10k | uniq -c -d | wc -l

  698

Slutsats

Min granskning visar att även det längsta lösenordet uppnådde dålig lösenordspolicy. Detta kan betyda att dumpen från början innehöll hashar eller att sidan inte accepterade lösen längre än 15 tecken.

Det sjätte vanligaste lösenordet var "popmart" vilket är ett bra bevis på att dumpen härstammar ifrån just popmart.se.

Dumpen är ifrån cirka 2007 och en av mina teorier är att när popmart.se hackades så fick man tillgång till Flashback Forum. Detta kallas för "pivot" vilket innebär att man tar sig till andra system efter ett hack.


Bitcoin: 1AQ5R6pjdG92NBZeVR7mErm1TUra3Uh2Xh