Moinsen,

Ich wollte heute mein Projekt porn-reactor.bz auf seine neue Domain freexxx.to transferieren. Dazu gehörte auch ein Umzug der Daten auf einen anderen Webspace.
Da ich keine wirklich schnelle Internetverbindung habe und das Backup der Seite ca. 1 GB groß ist wollte ich den Support von blazingfast.io bitten den Inhalt vom porn-reactor.bz Webspace auf den neuen Webspace zu transferieren.

Das taten sie freundlicherweise auch.

Das Problem: Ich bin weder der Besitzer vom Webspace noch von der Domain der porn-reactor.bz Seite.

Ich habe einfach via Support gefragt ob die den Content transferieren. Hab nur gesagt das ist mein Projekt und zack war ein Backup drüben.

Was soll ich davon halten?

So hat man sicher auch die Server beim Usenet-Bust gespiegelt. Skandal!

Cannonau

LOL. Vermutlich.

Es ist denk ich nicht besonders toll wenn man einfach fremde Webseiten "übernehmen" kann indem man sagt sie gehört einem.

Hä, dein Projekt? Wie hast du dem Support geschrieben? Dazu brauchst doch einen Account bei Blazingfast?
Heißt doch hattest Zugriff auch den Account vom Besitzer?

In dem Fall ist das dann auch keine Sicherheitslücke sondern Diebstahl indem du das Vertrauen das Besitzers hintergangen hast.
Denke kaum das Blazingfast einfach so mal eben alles macht ohne zu überprüfen ob man auch der Inhaber ist.

Sobald man Zugriff auf den Account hat kann man immer alles machen...

porn-reactor.bz Webspace: nicht meiner
freexxx.to Webspace: meiner


Denke kaum das Blazingfast einfach so mal eben alles macht ohne zu überprüfen ob man auch der Inhaber ist.


Scheinbar doch. :emoji51:

Du hast aber anscheinend Zugriff auf den porn-reactor.bz Account?
Woher hast du sonst die Infos das Backup 1GB groß ist. Sowas kann man nicht einfach mal eben raten.

Beantworte einfach die Frage: Besteht Zugriff auf den porn-reactor.bz Account bei Blazingfast?

Es geht nicht darum, dass er eigentlich Legitimierung/Zugriff auf beides hat. Das Problem scheint darin zu bestehen, dass das seitens von BF nicht geprüft wurde, ob die Anfrage legitim ist.

Sobald ich als jemanden dem der Account bei BF gehört, Zugriff auf diesen BF Account gewäre, zB. ihn als Techadmin arbeiten zu lassen brauch BF die Anfrage garnicht als legitim zu prüfen.
Das ist dann in dem Fall Schuld des Besitzers der damit rechnen muss wenn er ihm einen 3ten Zugang zu dem Account bei BF gibt das der 3te dann seine Rechte missbraucht.

Dann wäre es in dem Fall auch keine Sicherheitslücke sondern schlicht und einfach Diebstahl.

Sobald ich als 3ter irgendwo auf einen fremden Account bin könnte ich machen was ich will, wie soll BF da bitte oder ein anderer Hoster noch die Anfrage als unlegitim einstufen?

Zudem bietet fast jeder Hoster die Möglichkeit Rechte für 3te einzuschränken, damit sowas nicht passiert.

https://www.szenebox.org/images/_imported/2017/11/11.jpg

Es geht, wenn ich ihn richtig verstehe, nicht um die Accounts.
Account A fragt an, ob er Daten von Account B in seinen Account bekommen kann. In dem Fall hatte er zufällig Zugriff auf beide Accounts. Blazingfast hat diesen Umstand allerdings wohl nicht überprüft. Das legt nahe, dass er die Daten einer beliebigen Seite (zu der er keinerlei Beziehungen hat) hätte anfragen können.

Ich schreibe jetzt mal dreist den Support an und frage mal nach ob sie mir mal Seite xy auf meinen Webspace schieben.
Antwort folgt dann.

Viel Erfolg.

Genau. Also.

Ich habe Zugriff auf den Cpanel Account der Domain porn-reactor.bz da das quasi auch mein Projekt ist.
Aber ich habe keinen Zugriff auf den Client Panel Account von diesem Webspace. (Das Panel bei blazingfast über das die Buchungen laufen und Support Tickets geschrieben werden)

Ich habe von meinem Account eine kleine Anfrage an Blazingfast geschrieben ob es möglich wäre den Inhalt von dem anderen Webspace auf den neuen der mir zugeordnet ist zu schieben.
Meine Annahme war das sie mich darum bitten das der Owner des porn-reactor.bz Webspaces denen ein Support Ticket schreibt das dieser Vorgang ok ist.

Zurück kam ich soll es doch selbst machen da ich ja via Cpanel ein Backup laden kann. Ich erwiderte das mein Internet lahm ist und ob es da keine Möglichkeit gebe. Plötzlich informierte mich VTK das man sich ein Backup laden kann. Und tatsächlich unter freexxx.to lag eine .tar mit dem Backup der Seite.

omfg

Ich hacke jetzt da auch nicht weiter nach, aber wie es aussieht wollen sie von mir einen Link zum Backup von Space B um es auf Space A zu laden.
Würde gerne mal Sponges Ticket in einer zensierten Version sehen um zu sehen ob da wirklich eine Lücke herrscht.

https://www.szenebox.org/images/_imported/2017/11/12.jpg

Ich werde dem da jetzt auch nicht weiter nachgehen, da ich logischerweise kein Zugriff auf den Account habe wo das Backup liegen würde.
Aber eigentlich müsste denen jetzt schon auffallen das die Domain garnicht mit meinen Account verknüpft ist.

Eventuell ist mein übelst krasses Englisch schuld? :emoji33:

Ich


Hi,

thanks for enable SSL and disable DDOS Page.

My page (porn-reactor.bz) is on another BlazingFast Account.
I want to ask if its possible for you to copy the content from the other webspace to this webspace?

greetings


Er

Nikolay Butov / Support Engineer

Hello,

you can do it manually with FTP client (copy files to your home PC and then to another webspace).

Best regards,
Blazingfast Team

Ich

Hello,

i have limited internet connection speed. so down and ! upload of gb of iles will take many time

Er

We uploaded archive with your files in public_html folder.
You can extract it now.


Best regards,
Blazingfast Team

Ja ich weiß englisch gut! :emoji44:

Okay, mein English ist auch nicht das beste deswegen hacke ich da auch nicht weiter nach weiß nämlich nicht wie ich das formulieren soll damit sie mir abkaufen das ein fremdes Projekt auf einen fremden Space mir gehört :D
Aber wenn du Zugriff aufs cPanel hattest warum hast du dann das Backup nicht einfacher auf den anderen Account gespielt. Bietet das cPanel doch an via FTP.
https://www.szenebox.org/images/_imported/2017/11/13.jpg

Oi! Wusste gar nicht das sowas geht.

Ich dachte nur so down & upload von x GB nö! Also hab ich den Support angehauen. Sollen mal was tun für ihr Geld :D

Das Problem ist ja, das Sicherheitsproblem hinter dem Sicherheitsproblem.

Die Nulpen haben das Archiv so hochgeladen das es direkt via Browser bei Aufruf der Domain freexxx.to erreichbar war. Jeder der Zugriff auf die Domain hatte hätte sich das Skript laden können. Maybe ist mein Projekt Baby jetzt public und wird demnächst verkauft. Dann gibt es mal wieder Qualitätsware xD

Es ging ihm mehr darum, das sie es übernehmen, da er eine langsame Internetleitung hat. Weil Runterladen wäre vielleicht nicht das Problem, aber der Upload ist ja wenn man 1GB hochlädt, nicht bei jedem sehr schnell

Alter, welchen Fusel trinken die? :D

Ich

Hey thanks,

one little question!

I'm not the owner of the webspace that contains porn-reactor.bz. (of the project yes but not of the webspace)
so, how you have checked that i have rights to use that content?

greetings?

Die

Nikolay Butov / Support Engineer

We inform you if we will receive the abuses.


Best regards,
Blazingfast Team

Ich

you misunderstanding me ;)

i mean ...

Webspace with porn-reactor.bz Script & Database: not mine
This webspace (freexxx.to): mine

YOU copy the content (script etc) from the webspace a (that is not mine) to this webspace (that is mine)

That is possible a security hole ;)

Die



Hello,
Please, provide us access to porn-reactor.bz so we can copy it to your site.
If this is your site - contact us from account that has this site. <------------ das hätte ich erwartet


Best Regards,
Dmitriy Kaluzhniy

ICH

What the heck?

Nikolay Butov has already copy the content from webspace a to webspace b.
I want to know how he has checked that i have rights to use a backup of a foreign webspace

Vermutlich kann Nikolay sich jetzt nen neuen Job suchen :D

Also wir haben zwei Möglichkeiten

1.) Mein englisch ist grottig
2.) Deren Englisch ist grottig

Antwort auf die letzte Nachricht.


Nikolay Butov / Support Engineer

I copied files with correct rights, same as they are before.
You shouldn't change anything.


Best regards,
Blazingfast Team

Meine Annahme war das sie mich darum bitten das der Owner des porn-reactor.bz Webspaces denen ein Support Ticket schreibt das dieser Vorgang ok ist.

Vielleicht haben sie es ja gemacht und du hast es bloß nicht mitbekommen.
Falls hier jemand besseres englisch kann der kann ja mal versuchen eine BF-Seite zu bekommen.

Vielleicht haben sie es ja gemacht und du hast es bloß nicht mitbekommen.

Definitiv nicht. Davon müsste der Webspace Owner ja wissen.

Einigen wir uns darauf das es vermutlich nur ein Ausrutscher vom Support Guy war. ^^ :emoji10:

Dann würde ich es aber auch nicht als "Sicherheitslücke", sondern eher als Leichtgläubigkeit der BF Leute, bezeichnen.
Vllt können die von BF auch kaum englisch und haben dann etwas ganz anderes aus Sponges Text entnommen, als das, was Sponge haben wollte, es aber kaum in Schriftform hinbekommen hat... waaahhh, ist ja quasi Übersetzungs-Inception :D

Hatte da mal ein vergleichbares Thema. Hatte regelmäßigen Kontakt per ICQ/Jabber/Skype mit dem Support und konnte so anhand der IP-Adresse einfach Server rebooten, stornieren, etc.

@Dunkel Naja .. der Support kann aucht deutsch sprechen von BF

@SpongeBob Schwammkopf .. naja ich hatte in deine Falle eine RDP gekauft beim z.B snthostings.com(3€ pro mlt & Nulled Member) habe da mit immer Videos reupload .. / Die RDPs habe da ein 1/GB leitug und stimmt auch .. bzw Server sind von LeaseWeb Netherlands B.V.

einfacher von der Server das backup downloand und wieder hochlande via FTP ..

@Dunkel Naja .. der Support kann aucht deutsch sprechen von BF
Hatte mein erstes Support-Ticket bei BF in deutsch verfasst. Als Antwort kam: (englisch)Um Missverständnisse zu vermeiden, bitte kein deutsch sondern Russisch oder english

Kommt immer drauf an, wen man erwischt. Einige scheinen dort recht gut deutsch zu sprechen. Hatte es oft, dass ich ohne drüber nachzudenken auf deutsch geschrieben habe und problemlos deutsche Antworten bekam.