29. Dezember 2009

Social Hacking für Anfänger

Heute berichtete der 26. Chaos Communication Congress (26C3) in Berlin davon, dass sie eine Flirtplattform für rechtsgesinnte Nutzer gehackt hat. Das gefällt mir. Da habe ich doch gleich mal darüber nachgedacht, was man mit den veröffentlichten Daten so anfangen kann. Was ich dazu bräuchte wäre die Liste aller Nutzer mit E-Mail-Adressen. Die gibt es hier:
http://de.indymedia.org/2009/12/269972.shtml

Um es mir einfacher zu machen, wäre es doch schön auch noch die am häufigsten verwendeten Passwörter zu kennen. Die hat der CCC hier veröffentlicht:

http://events.ccc.de/congress/2009/wiki/Hacked/Ma-flirt.de

Ich mache es Euch noch einfacher. Sie lauten:

1. 123456 (13) (kein Witz, die sind wirklich so blöd!)
2. landser (10)
3. landser88 (8)
3. siegheil (8)
5. 14881488 (6)
5. 888888 (6)
7. skinhead (5)
7. deutsch (5)
7. 123456789 (5)
10. siegheil88 (4)

Mich interessiert die Flirtplattform nicht wirklich. Spannender wären Mailpostfächer. Die Adressen habe ich ja aus der ersten Liste. Jetzt weiß ich natürlich noch nicht, welches Passwort zu welchem Nutzer gehört. Also probiere ich mal die Nutzer, die einen Teil der oben gelisteten Passwörter auch im Namen haben.
Stellen wir uns mal einen Nutzer mit dem Namen "Xx.Xx.xx1488@provider.com". Da es sich um einen braunen Deppen handelt, glaube ich mal, dass er für sein Mailpostfach das gleiche Passwort benutzt, wie für die Flirtplattform. Mehrere könnter er sich vermutlich nicht merken. Also probiere ich "14881488" und voila!

Über den Mailaccount könnte ich jetzt so einiges über den rechten Single herausfinden:

  1. Sein Name lautet S. T. und ich kenne auch die Postadresse.
  2. Ich kenne seinen ebay-Nutzernamen
  3. Ich kenne Nutzername und Passwort für seine Amazonaccount.
  4. Ich weiß, dass er vor einiger Zeit eine Zahlung an Amazon nicht leisten konnte.
  5. Er bestellt Waren bei Versendern von bei Nazis beliebten Waren (Thor Steinar, DS-Versand, Patria-Versand).
  6. Ich habe die E-Mailadressen von etwa 20 seiner Kontakte.
  7. etc,
Damit könnte ich jetzt vortrefflich weiter recherchieren, Mails in seinem Namen zu verschicken oder Waren auf seine Kosten zu bestellen.

Ich vermute, wenn man die Liste mal durch geht, findet man den einen oder anderen braunen Idioten, dessen Passwort sich leicht erraten lässt.

Das war natürlich nur eine theoretische Beschreibung dessen, was man machen könnte. Ich würde das selbstverständlich nie tun.

P.S. Die Flirtplattform ist zurzeit offline.

Dieser Blog macht Pause - fast.

Liebe Leser,
wie Ihr sicherlich gemerkt habt, ist es auf diesem Blog sehr ruhig geworden. Das wird wohl auch erstmal so bleiben, da ich an einem größeren Projekt arbeite, das meine Zeit stark beansprucht.

Trotzdem werde ich hin und wieder ein Posting veröffentlichen, wenn es sich ergibt. So wie gleich, wenn ich Euch erzähle, wie man auch als Laie ohne Kenntnisse im Hacking dem einen oder anderen Rechtsgesinnten einen kleinen Streich spielen kann.

Bis dahin gehabt Euch wohl

Zaphod