Doubleclick - Round 3: la réponse officielle
| Doubleclick Round 5 Devenez un technicien chez Doubleclick Become a tech guy at Doubleclick |
| Doubleclick Round 4 Lisez mes mails, oups..., sur mes lèvres: "nous réparons" Read my mails, oops..., my lips: "we are fixing this mess" |
Doubleclick Round 3 |
| Doubleclick Round 2 Bases de données non protégées Unprotected databases... |
| Doubleclick Round 1 Hacké depuis 2 ans? Hacked for 2 years? |
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
"We are currently in the middle of completing our due diligence pertaining to this situation. We expect this to be completed next week; at which time we will begin to make the necessary changes in order to ensure that the site is secure"
Attention, ce n'est pas une réponse officielle publique. Non, juste une réponse officielle pour ceux qui s'acharnent à demander "dites, c'est vrai que vos serveurs sont pleins de vieux bugs?"
Il va donc leur falloir une semaine pour savoir lire ça et vérifier si leurs serveurs sont vulnérables à ces vieux machins:
http://www.securityfocus.com/advisories/2195
http://www.eeye.com/html/Research/Advisories/AD19990608-3.html
http://www.wiretrip.net/rfp/p/doc.asp?id=57&iface=2
Par ailleurs, Doubleclick indique aux journalistes qui demandent des précisions, que rien n'est exploitable... Bien entendu, les clients de Doubleclick n'ont rien à craindre.
Bien entendu.
Exploiter les vulnérabilités des serveurs de Doubleclick reviendrait à se mettre hors la loi. Nous ne le ferons pas.
Pour ceux que cela intéresse, qui veulent se retrouver devant un tribunal et être condamnés, voici la méthode à suivre pour démontrer que les serveurs de Doubleclick sont vulnérables, que l'on peut y installer des sniffers, et chopper des infos concernant les clients de la boite.
Scannez la classe d'adresse 199.95.206.20, chercher les serveurs Web IIS (et les serveurs NT qui sont visiblement un régal). Testez le bug unicode. Reprenez dans vos archives de Bugtraq le package "Unitools" fourni par Roelof W Temmingh dans un post daté du jeudi 25 janvier 2001. Lancez les scripts... Et voilà... Vous avez sans doute hacké Doubleclick. Uploadez vos t00lz préférés. Dans quelques jours vous disposerez de plein de logins et mots de passe. Dans quelques mois vous serez condamné pour piratage... Mais au moins vous aurez démontré que Doubleclick, si l'on relit bien la réponse officielle, prend tout le monde pour des cons.
:)