BrandnoozMining

Abstract

In diesem Artikel werde ich einige verschiedene Analysen über frei verfügbare Daten einer Social Community vornehmen. Es soll untersucht werden, ob und ggf. welche weiteren Informationen man aus den bereits vorhandenen Daten gewinnen kann.
Inspiriert ist das Ganze von einem großartigen 33c3 Talk namens SpiegelMining des Data Scientists David Kriesel.

Prolog

Ich bin seit geraumer Zeit Abonnent der sogenannten “Brandnooz Classic Box”. Dabei handelt es sich um eine art monatlich verschickte Wundertüte für den Preis von 12.99€, welche neue Produkte und Innovationen im Wert von >= 12.99€ enthält.

Da mein Bedarf an Essig nicht ganz dem entspricht was brandnooz für mich als angemessen ansieht, sah ich mich nach der letzten Box genötigt, einen Blick auf die sonst eher von mir vernachlässigte Webseite zu werfen. Begrüßt wird man mit einem den Newsletter bewerbenden Banner gefolgt von einem Popup für die “Freunde Werben” Funktion. Das passiert bei jedem Aufruf der Startseite.

Auf magische Art und Weise habe ich dann doch irgendwie die Rezensionen zur aktuellen Box gefunden und war sehr erfreut darüber, dass nicht nur ich absolut keinen Bedarf an Essig habe. Dabei ist mir dann auch die Communityfunktion der Webseite aufgefallen. Mit einem Klick auf den Benutzernamen des Rezensenten gelangt man auf dessen Profilseite, welche neben Nickname, Registrierungsdatum, Punktestand und was auch immer auch noch das Geburtsdatum enthält.

An diesem Punkt wurde ich dann sehr schnell sehr aufmerksam und sah mir erstmal mein eigenes Profil an.

© 2017 brandnooz Media GmbH (Andere Nutzerdaten wurden durch mich entfernt und durch Platzhalter ersetzt)

Guck an. Das Geburtsdatum ist öffentlich. Nein es gibt keinen Switch um das auszuschalten. Aber immerhin könnte man wenn es funktionieren würde seine Abzeichen für alle anderen Nutzer verstecken..
Nächster Schritt: Blick in die URL
brandnooz.de/user/999999999 (ID geändert)
Hm. Okay. Sag mal was gibts denn unter der 999999998?
Oh ein Benutzerprofil. Und unter der 999999997?

Ctrl+Shift+N (Neuer Privater Tab)
WTF. Das Profil ist noch immer selbst ohne Login inkl. Geburtsdatum einsehbar „BrandnoozMining“ weiterlesen

Amazon Dash Button zweckentfremden (OHNE ARP!) 1/n

Seit kurzem sind die Amazon Dash Buttons auch in Deutschland verfügbar. Ich habe natürlich direkt zugeschlagen, da mir kein Knopf mit Internet bekannt ist welcher für 5€ zu haben wäre. Selbst Selbstbau scheidet da aus.

Stellt sich nur die Frage wie man den Button für eigene Zwecke nutzt. Leider macht einem das Amazon sehr schwer.

Nicht nur jeder Knopfdruck sondern sogar die Konfiguration benötigt eine bestehende Internetverbindung inkl. Konnektivität zu den echten Amazon Servern, da das ganze über HTTPS läuft und der Button tatsächlich das Zertifikat verifiziert.

„Amazon Dash Button zweckentfremden (OHNE ARP!) 1/n“ weiterlesen

keepassx search entries

Hi, this is Thermi writing. I am a long time friend of Hypfer and author of this post.

Today, pwnedlist notified me, that data of an online service I was using was stolen and they found one of my email addresses in the stolen data, as well as my password. The source of that data was only ominously named as “Large credentials cache”, so it was not immediately clear where it came from. Because I use a password safe, I can search in it for entries, but sadly only for names. So I couldn’t search for the password, but I could export the contents of the database as XML!

„keepassx search entries“ weiterlesen