Deep Dive
How did the caller in Australia manage to get free internet for three years?
The caller discovered that a major Australian internet provider ships modems with default SSIDs and passwords. The default password is always an 8-digit number. By capturing a Wi-Fi handshake through sniffing or a deauth attack, converting it to a format readable by Hashcat, and using the program to brute-force the password, the caller could access free internet anywhere in Australia.
What is the significance of the default password structure used by the Australian internet provider?
The default password structure is significant because it is always an 8-digit number with no characters, symbols, or uppercase letters. This simplicity makes it easier to brute-force using tools like Hashcat, which can process millions of password combinations in minutes.
What was the Canadian caller's method for exploiting a grocery store's loyalty points system?
The Canadian caller exploited a grocery store's loyalty points system by submitting multiple online complaints for missing points, which equated to $10 increments. Initially, the system lacked a captcha, allowing the caller to spam claims overnight. Later, the system changed to auto-approve claims under $10 if the account had spent $10. The caller then created multiple accounts and linked them to cycle the $10 claims, effectively creating an unlimited money glitch.
How much money did the Canadian caller accumulate through the loyalty points exploit?
The Canadian caller accumulated just under $10,000 Canadian in one year by exploiting the loyalty points system, completing 996 transactions in the process.
What security flaw did the caller discover in the PeopleSpy app?
The caller discovered that the PeopleSpy app stored metadata, including social security numbers, in plain text files on the device. This allowed anyone with access to the device to view sensitive personal information without any encryption or protection.
What did the high school student exploit in the EBS program at his school?
The high school student exploited the EBS program by gaining access to the teacher's login credentials, which provided unrestricted access to the school's computer network. He discovered that all quiz questions and answers were stored in unencrypted text files, allowing him to download the software and access all the answers, which he then shared with his classmates.
- Exploiting default modem credentials for free internet access in Australia
- Using deauth attack and Hashcat to crack default passwords
- Prevalence of vulnerable modems from a major Australian ISP
Shownotes Transcript
让我们一起庆祝吧。电话涉及杂货积分系统、澳大利亚互联网提供商等等。想分享你的故事吗?请访问hotlinehacked.com。Hotline Hacked由DeleteMe为您呈现。注册DeleteMe,掌控您的数据,保护您的隐私。现在,我们的听众可以享受特别折扣:今天,访问joindeleteme.com/HACKED并使用促销代码HACKED结账,即可享受DeleteMe计划20%的折扣。了解更多关于您的广告选择。访问podcastchoices.com/adchoices</context> <raw_text>0 感谢您致电Hotline Hacked。在听到提示音后,请分享您关于技术、真实黑客行为或电脑自白的奇特故事。大家好,我刚从澳大利亚打来电话。我想说我真的很喜欢你们的节目,你们做得非常棒。过去几年听你们讲述各种精彩的故事,真是太棒了。所以感谢你们所做的一切。我听到一个来自布里斯班的家伙的故事,布里斯班在我悉尼所在地的北部。
他讲述的是,你知道的,默认凭据的故事,那种你经常听到的标准内容,标准的黑客行为。我想,我希望自己也有个故事可以讲,但我是一个很烂的黑客。我没有什么故事可以讲。这可能是我应该说的地方,如果你不介意的话,你可以跳过我的声音。在过去三年左右的时间里,我一直在澳大利亚各地免费上网。
我偶然发现了这个漏洞,我认为它在澳大利亚的黑客社区中一定是众所周知的,但我从未听说过有人谈论它。所以我肯定我不是第一个意识到这一点的人,但这是我发现的一个很酷的事情,这里有一个大型互联网提供商,可能是最受欢迎的一个,如果你需要的话,你可以屏蔽他们的名字。它是……
所以,当你使用这家互联网提供商注册一个计划时,他们会给你寄一个调制解调器,而这个调制解调器有一个默认的SSID,也就是你的网络名称和默认密码。默认网络ID是Wi-Fi加四个十六进制值,默认密码总是八个数字。所以它不是……
没有字符,没有符号,没有大写,小写,每次都是八个数字。所以我想,你知道的,最初,也许三年前,这可能被认为足够安全。但我发现你可以通过嗅探或Deauth攻击来捕获握手。一旦你有了握手,你可能需要暂停播客并解释一下,因为我相信你会比我做得更好。
一旦你有了握手,你可以将其转换为Hashcat可以读取的格式。Hashcat是一个很棒的程序,它使用计算机的GPU来非常快速地将哈希密码与你捕获的哈希进行比较。你可以在几分钟内处理一百万个密码。太神奇了。
结果是,无论你在澳大利亚的哪个地方,你都可以进行Wi-Fi扫描,基本上打开Wi-Fi扫描,你就会看到你的车辆中有Wi-Fi加四个十六进制值。这是****的默认SSID。我相信他们可能正在使用默认密码,对吧?所以你可以运行,从该SSID捕获握手,运行Hashcat,大约两分半钟后,你就可以在澳大利亚任何地方免费上网了。
是的,这太棒了,真的,真的很好。有趣的是,我以为我没有故事,然后我想,哦,这是一个相当不错的事情。也许这符合标准。我去查找你们的号码,我通过了五个合法的途径向应该向你们报告此事的组织报告此事。但我却在向你们讲述这个故事。是的。
我希望你们喜欢它。再次感谢你们所做的一切。嗯,感谢你的好意,并抽出时间向我们讲述你的故事。与你可以报告的五个合法组织相比,你直接去了消息来源hotline,hack.com。它醒了。这是一个来电节目,你可以分享你关于技术、真实黑客行为、电脑自白的奇特故事,以及……
包括你如何获得免费互联网。这让我想起了我们做的第一集,或者甚至在我们录制之前,你只是解释……
斯科特,你多年来想出的各种免费上网的方法。是的。我们确实讨论过这个。我们讨论过这个。但现在我想谈谈我们的赞助商Delete Me,他们为我们带来了Hotline Hacked。如果没有他们,我们每个月就不会有这些剧集了。所以感谢Delete Me。我们将来会更多地谈论他们。但现在,让我们回到故事上来。
是的。我们在Flipper Zero的事情中讨论过这个,因为Flipper Zero尤其擅长Deauth攻击和嗅探握手。
所以你可以从它那里获得模块和附加物来访问Wi-Fi。Sasquatch,我认为他和一些其他创作者有这些漂亮的大型LED屏幕附件,它们连接到GPIO引脚,专门用于大规模Deauth和记录握手,然后将其通过Hashcat并提取出来。所以这是……
我喜欢你已经确定了大型ISP中的这样一个基础设施问题。
而且由于它们非常普遍,你就可以随时随地访问。对于任何不知道的人来说,这个小东西有几个不同的成分。来电者已经准备好了。第一个是Wi-Fi D off攻击,对于任何不知道这是什么的人来说。当然。所以本质上,你正在向Wi-Fi路由器发送D off数据包,这会导致它终止与事物的连接。
所以你基本上是在把东西从互联网上踢出去。想想看,你基本上就是在把设备从互联网上踢出去。所以你伪造了该设备的MAC地址,然后你基本上告诉无线接入点你不想再连接到它了。所以它会取消你的授权。它只是把你踢出去。嗯。有趣。然后真正的尝试重新连接,因为它刚刚被踢出去了。
这就是他正在记录的握手。嗯?如果这说得通的话。他记录的东西是哈希化的。所以他然后使用这个hashcat工具来根据它找出密码是什么。是的。是的。是的。所以hashcats本质上是一个大型密码暴力破解器。
所以它只是,它是定制编写的,可以使用高性能GPU,比如你的NVIDIA显卡等,来能够处理更快的数据。所以通常会有字典攻击。就像我们在密码问题中讨论过的那样。我记得这个。它就像你有一个哈希。当你解析握手时,你基本上会得到密码的加密版本。然后你可以像本质上一样使用字典或随机的东西来暴力破解它。
随机生成的哈希。嗯。他能够做到这一点,因为他提到……
对于这家大型澳大利亚ISP来说,密码总是只有八个数字,重要的是,没有字符。这使得你更容易暴力破解猜测,因为它只是一组较小的事情。你在这里只处理数字。是的,字典文件,就像我可以编写一个Python脚本来生成一样。实际上,对不起,ChachiPT可以编写一个Python脚本来生成该字典文件。我不再编写东西了。非常感谢。我有一个机器人帮我做这件事。
是的,就是这样。所以ChatGPT可以为你构建一个脚本,该脚本将生成一个字典文件,每行只有一个这样的组合,并且它会在瞬间生成该文件。然后你就可以将其用作暴力破解的字典了。如果你知道它是八位数字,那很容易获胜。是的。
嗯。我想因为它是标准化的,所以你可以。我喜欢这个开头,我是一个很烂的黑客,然后继续解释一些在我看来一点也不烂的东西。就像,我认为你把这个东西彻底破解了,来电者。我只是觉得,这就像,我该怎么说呢?这就像一个功能性黑客。是的。就像这个人正在节省,我不知道你的互联网账单是多少,但我的家庭互联网账单每年大约是1300美元到1400美元。
这个人通过说,这些都在我的附近,节省了大约5000美元。或者如果你住在公寓或共管公寓大楼里,你去咖啡馆。如果他们是如此普遍的ISP,他们会在任何地方。你只需要花几分钟时间运行你的DIA脚本,读取握手,解析它,暴力破解它,然后砰的一声,你就上线了。是的,我想我……我想我没有想到他们能够在家做到这一点,我想到的是,哦,你在外面,你想连接到某些东西,就是这样,但我想你可以像活在刀刃上一样,一直使用这个被黑客入侵的互联网。嗯,如果……
当我来到我们的办公室并运行Wi-Fi扫描仪以查看可用的内容时,实际上,我昨天做了。我的办公桌范围内有360个无线网络。
所以,就像,而且很多都是我们普遍的ISP之一。我可以看到这一点。所以,如果我知道如何进入其中任何一个,我只是选择连接值最高的那个,然后我会暴力破解它并跳到上面。当我还是个十几岁的时候,我第一次拥有自己的电脑,不是放在桌子上的那种家庭电脑,而是我得到了一台笔记本电脑,
它有Wi-Fi,但我们的房子没有Wi-Fi,因为我们为什么需要Wi-Fi呢?我们有一台电脑,它插在墙上。有一年半的时间里,我只是连接到我邻居的无密码Wi-Fi连接。我已经很久没有想过这件事了。比这技术含量低得多。
嗯,当Wi-Fi出现时,它就像狂野的西部。它被安装了。不仅仅是你可以免费访问人们的Wi-Fi。而是所有Wi-Fi路由器,没有人将它们从默认的管理员密码更改。
所以你可以从Reddit下载,就像现在Reddit帖子一样。但那时就像会在BBS或新闻组中分享的东西。它将只是每种型号的无线和网络路由器,默认情况下是管理员凭据。所以你可以从字面上在附近巡逻。巡逻?是的。连接到每个房子的无线网络,
登录他们的路由器,更改权限,做任何你想做的事情,然后去他们的邻居那里做同样的事情。它简直就是狂野的西部。我们已经设法制作了115个这样的东西,但我从未听说过“巡逻”这个词。它实际上就是你所描述的,搜索Wi-Fi无线网络以及蜂窝塔的行为,通常是从移动车辆中进行的。我想到的是《疯狂的麦克斯:狂暴之路》中,他们有带人在杆子上的汽车。是的。
这几乎是一样的。我敢打赌是的。它绝对不是一群十几岁的书呆子坐在一辆破旧的汽车里,膝盖上放着笔记本电脑四处驾驶。是的,有一个战争男孩在你试图连接到你不应该连接的Wi-Fi网络时在电吉他上演奏。是的,我认为更像是在售后CD播放器中播放Wu-Tang CD。这很好。
我认为你听说过“巡逻”这个词。我很确定Talking Sasquatch和我讨论过巡逻,因为这基本上是他们现在为Flipper Zeros构建的东西。它就像这些带有屏幕的大型天线阵列,它们都设置为进行MAC地址克隆和Deauth以及所有其他操作。所以它就像它们几乎是为这些东西而设计的。那一集有一个评论
因为它变得更技术化了,有人说,我理解了三分之二的内容,我玩得很开心。嗯,我也理解了大约三分之二的内容。它玩得很开心。所以那可能是当时发生的事情。它显然也在与马修·布罗德里克一起的《战争游戏》中出现过。所以这里有一些传说,我需要……我需要自己了解一下。哦,我可能需要给你一份圣诞节的书单。也许我会在亚马逊上给你一些老式的黑客书籍。
我可能可以做一个小型读书俱乐部。这很有趣。一个2025年的小型读书俱乐部。哦,你知道我们应该做什么吗?我们应该做一个黑客档案。我们应该购买hacked.archive并建立一个……找到所有旧的杂志。因为过去黑客亚文化曾经是……有一些关键的杂志,比如……比如……以及2600,以及曾经购买这些小巧的……你知道的,18页的小册子。
你知道的,活页纸,用订书钉订在一起。谈论杂志,伙计。是的,是的。你会以3美元的价格购买章节,因为这是唯一一个从任何地方引进它的场所。我们应该找到所有这些,将它们扫描进去并存档,因为这就像……我的亚文化的历史,我想。所以有些人一定做过。如果没有,那么我们应该开始做。所以我喜欢这个电话的另一个方面,它可能将我们带入下一个电话。
这是节日特别节目。我们想回馈一些东西,你知道的,我们想在树下放一些礼物。到目前为止,我们的澳大利亚听众已经收到了一份关于如何获得免费Wi-Fi的好礼物。下一个是送给我们的加拿大听众的。哦。
Jordan Scott,随时可以让我重新录制这段。我认为我不需要掩盖我的声音,但我还是会开始讲述这个故事。所以我想当我使用加拿大时,看看我的朋友是否有兴趣去野外。
更正,我们都是加拿大人。我们都是加拿大人。现在我们要完整地演唱国歌,三、二……有一家大型杂货店有一个积分计划。我认为他们现在仍然有。你可以提交关于积分缺失的在线投诉。这些积分相当于10美元的增量。所以
最初,我认为最错误的事情,缺乏更好的说法,是你可以整夜用脚本或其他东西向网站发送垃圾邮件。它没有任何图像内容或其他任何东西来识别人类,所以它非常……
验证码。他在谈论验证码。没有验证码来确保你不是在提交多个帖子。所以你只是向它发送垃圾邮件,比如,我没有得到我的布朗尼的积分。我没有得到我昨天买的烤鸡的积分。我没有得到我的Sunny D的积分。给我,给我,给我。Sunny D?你不喝Sunny D,对吧?我是一个30多岁的男人。如果我喝Sunny D,我会死的。
你可以带着价值500美元的积分醒来,你可以花掉它们,你可以在网上花掉它们,或者你可以去商店使用它们。所以,你知道的,我会去……
在我的地方在线订购一些东西,甚至不会在意,所以像袜子,你知道的,杂货,但你只能买这么多杂货,因为它们会坏掉,然后……然后你会在你的电子邮件中看到很多被拒绝的,但偶尔你会得到一个像Judy这样的人批准,它会像50美元的抓取,所以也许像……
大约50个中可能只有一个会通过,如果一个50美元,你得到50美元,你知道的,我尝试了各种不同的金额,我认为,所以你真正做的是,你正在编写一个脚本提交索赔,希望有人足够懒惰,他们已经编写了一个脚本在另一边批准索赔,而这个懒惰的Judy在这里只是在左左右右地批准这些东西,我看到了你的努力,我尊重它。是的
我认为实际上是4900分或其他什么。那将是我能得到的最大值,但我用20或其他什么运气更好。但只是提交请求,然后最终你整天提交足够的请求,达到9个,然后你用这么多建立一个账户。好吧,这持续了一段时间,然后最终实施了一些东西,比如……
人类,他们要么将人类放在系统上,要么自动化它。所以一切都遭到拒绝,人类必须仔细查看它,他们不能只是通过。但问题是他们将其更改为,如果低于或等于10美元,并且你在该忠诚度账户上花费了10美元,
那么他们会自动给你。每次都无需提问,100% 的时间。
然后任何超过的,他们都会发送给人类审查,并且总是会被拒绝。而之前有时会通过。所以这是这个的两个不同阶段。第一阶段并没有持续那么久。我的意思是,这实际上在一夜之间获得价值500美元的账户方面更好。但随后它限制为一个账户上最多可以获得10美元。所以,我的意思是,我认为大多数人都会在那里停下来,但是……
但不是我。但不是我。不是这个人。我有很多空闲时间。
我发现你知道你可以如何创建多个账户,同样的事情,没有图像内容来创建多个账户,他们也会允许你使用gmail功能,你可以在你的忠诚度账户名称上使用plus zero one plus zero two plus zero three来使用相同的gmail账户,这并不是一个巨大的优势,但这使得创建多个账户更容易,然后……
所以,这件事是这样的,所以你通常可以只做10美元,你知道的,你必须在账户上花费10美元,然后你会免费获得10美元。所以它就像五折。有一些小的规定,比如你不能把它用于税收。所以,如果你在加拿大购买有税的东西,我认为如果它是某种类型的食物,那么就没有税。然后你尝试找到组合,比如,好吧,我要买香蕉。我要买什么。它将总计约为……
10美元零一分,然后你支付一分钱。所以只要超过10美元,你就会得到10美元的折扣,不包括税。我想,我想我会告诉你,所以在我当时所在的省份,税收可能是50美分。我不再住在加拿大。
根据你支付的税额,我知道你住在哪一个省份。所以大多数人都会在那里停下来,五折。但是你也可以更进一步,你可以创建一个另一个账户,并且有一种方法可以将这两个账户连接在一起。所以你可以从声称缺少10美元积分的旧账户中在新账户上花费10美元。
所以你正在创建一个账户。你可能正在花费10美元的初始资金。然后你将获得10美元积分或价值10美元积分的退款。就是这样。然后你将它们转移到一个新账户,然后花费它们,然后提出索赔,然后将其转移到一个新账户,并一遍遍地这样做,我想我们正要谈到这一点。
它允许你开始循环使用这些账户,因为它绕过了你必须在新账户上花费10美元才能获得10美元免费积分的规则,你可以将其作为10美元在商店中花费。所以它允许你将这些账户连接在一起。所以他真的找到了无限金钱漏洞。
是的,它看起来像……好吧,我们最后会谈到这个,但我认为就是这样。有一个10美元的标准,基本上将他的折扣最小化到只有50%的折扣。他找到了一种方法将这些账户连接在一起以绕过该限制。所以只要你只想要10美元的钱,你可能可以获得尽可能多的钱,只要你愿意创建。一个真正的无限金钱漏洞。用于加拿大杂货。是的。
这不是银行欺诈,而是忠诚度欺诈。然后你只需创建一个新的账户。你将它链接到你刚刚声称获得10美元的账户,在新账户上花费它。然后新账户看起来你已经在上面花费了10美元。你会断开连接,花费这笔钱,花费10美元的免费钱,声称获得10美元是免费的。所以我只会这样做。我当时没有工作。而且……
而且我丢了一辆车,因为我……告诉我你偷了多少钱。我当时没有工作。是的,你是。我有一辆公司车辆。
车辆或其他什么,嗯,所以我只有一辆自行车,所以我骑着自行车去这些……这些商店,而且确实在加拿大有许多地方你可以花费这些……这些积分,嗯,我会继续,我制定了一个规则,我一次只能花费20美元……每家商店每两小时一次,因为我认为如果我……如果超过这个数量,它只会……这是一份工作,这个人骑着自行车在城市里转悠,去……
此时我假设是Shoppers Drug Mart。我正在制定关于我们许多优秀的加拿大食品垄断企业中哪一个他正在这样做。但是是的,这基本上是一份全职工作。他每两小时在每个地点花费20美元。这是一份工作。它同时雄心勃勃又受到限制。贪婪点或其他什么。我不知道。
我相信这些在商店里认识我的人会想,好吧,这个人为什么每两小时来买一个价值10美元的夜灯呢?或者其他什么。但我确实会尝试将其分散开来。所以它是一个不同的……等等,他……
对不起,我不应该那样做。我不会说,你在买夜灯吗?他只是为了游戏的乐趣,斯科特。我真的很喜欢这个。我认为这太棒了。我以为他会说,我在买杂货,你知道的,我在向食品银行捐赠东西。不,我在买夜灯。只是在花费积分,玩游戏。没有什么引人注目的,你知道的,保持在那个……那个……那个限制之下。
那里的人员轮换,但我的意思是,如果你仍然每天都在做,我的意思是,与此同时,我认为他们并不真正关心,因为他们赚的钱比最低工资多一点,我的意思是,即使他们确实报告了,他们上面的人可能也不在乎,它只会下降……
你也可以将代码发送给其他人,让他们花费10美元,然后添加一个小系统,它会自动运行并破坏账户,创建下一个账户。所有这些都可以自动化。我不知道我是否应该告诉你它一年达到了多少,但一年中只是我个人。不到10000美元。
不算太多。一年中是9960加元,我个人,这意味着我一年做了996笔交易。很多夜灯。遵守规则。仅供参考,你应该知道加拿大人也讨厌我们的杂货垄断企业。
鉴于加拿大的人口如此之少,我们实际上只是由寡头垄断和垄断统治。
我当时想说的词实际上是寡头垄断。我们在手机提供商、互联网提供商、杂货店等方面只有很少的选择。我们几乎一直在承受这种痛苦。是的。所以这对我们北部边境来说是一个真正的罗宾汉时刻。一个骑着自行车四处转悠的家伙,一年做了996笔交易,只是为了从他那里骗取一个夜灯。我喜欢这个。是的。
我想这不算太多。我没有做整整一年,但有一段时间,在几个月里……
我像专注一样,我……那就是我所做的……我会积累……荒谬数量的……牙刷之类的东西,因为最终你没有什么可以再买了,有一天,你知道的,我给了我爸爸很多牙签……终身供应的牙签……是的,直到今天,我仍然有桶装的……主要是卫生用品,但是……只是肥皂和……
你当地的无家可归者收容所会很乐意拥有这些东西。所以如果你有桶装的,并且你找不到用途,请捐赠它,因为他们总是呼吁收容所提供卫生用品。如果你打好牌,让系统直接向慈善组织自动运送卫生用品,你可能会想到一些东西。
终身供应的肥皂和Dove肥皂……是的,这很好,我认为你可能直到今天仍然可以这样做,最后我认为我停止的原因,我搬离了加拿大,而且……他们……有一些与……我正在使用特定的VPN提供商,我认为如果我把10美元留在……如果我把两个账户连接起来,并且我把10美元留在那里太久……他们会将账户置于……
只读模式或仅收集模式,而不是支出模式。然后它会……然后我无法将新账户链接到它。所以如果我让它们停留太久,就会有人进去处理账户,然后必须开始像10美元的新链条,最终只是变成了……
让我们一起庆祝吧。电话涉及杂货店积分系统、澳大利亚互联网提供商等等。想分享你的故事吗?请访问hotlinehacked.com。Hotline Hacked由DeleteMe为您呈现。注册DeleteMe,掌控您的数据,保护您的隐私。现在,我们的听众可以享受特别折扣:今天,访问joindeleteme.com/HACKED并使用促销代码HACKED结账,即可享受DeleteMe计划20%的折扣。了解更多关于您的广告选择。访问podcastchoices.com/adchoices</context> <raw_text>0 这太费劲了,但我还是成功了。即使我很久以前回到加拿大时也试过一次。我认为他们当时是通过VPN IP来做的。我不认为他们使用了硬件识别之类的技术,但我认为是通过IP。所以,我的意思是,它现在可能仍然有效。无论如何,如果需要,我可以重新录制这段录音。我只是随口一说。谢谢。喜欢你们的播客。
我们会剪辑一下,去掉一些较长的部分,但感谢您来电。我认为我们也应该对这段录音进行语音模糊处理。是的。我们会做一些处理。安全和风险缓解部门的某个人知道你是谁。所以如果他们听了这个播客,他们就会想,“那就是那个人……”
你知道那种电影场景吗?侦探们在追捕什么东西。外面有人会想,“哦,天哪,他逃脱了。夜狐”,我们一直这么称呼他。过去十年里,我们一直在墙上贴着一块软木板,上面用毛线和图钉钉着安全照片。我真的很感激这位来电者在加拿大骑自行车时,大约五岁的时候就想出了这个主意。
离开了加拿大。然后当他们回到加拿大时,他们打开它看看是否还能用。他们就像,“买口香糖”。它仍然有效。10美元的限额似乎仍然存在。哦,天哪,我觉得……我不知道。我觉得忠诚度计划现在可能好多了,因为它们都是大型系统了。是的。但我敢打赌,在忠诚度计划推出和忠诚度应用程序的早期,它们肯定充满了漏洞。
安全漏洞,我敢肯定。哦,是的。他们都基本上回到了我们之前的观点。这不是一个关于加拿大市场问题的节目,但他们都融合了
基本上融合成了三个奖励计划。一个是Loblaws的PC Optimum,一个是Sobeyscene Plus,还有一个是Metro,也就是法语加拿大的那个。基本上,你在加拿大能找到的每家杂货店现在都属于这三个系统之一。所以我想,当……你知道,这些都是不同的杂货店时,你可以轻松地利用这些东西。但现在,嗯,
PC Optimum积分基本上就是一个小型国家的经济体。就像……它……它……它是我们加拿大食品基础设施的三分之一。所以现在可能已经非常安全了,但我可以看到,在某个价格点,低于10美元,当然可以自动批准一次。然后你就可以使用这位来电者想出的这种串联账户的方法了。这很聪明。是的。
是的,这非常聪明。对我来说,这就像……这就像这种策略和解谜游戏让网络安全对某些类型的人有吸引力。这绝对是其中一种类型的人,他们就像,“我想出了一个系统……我想出了……他们构建了一些东西……我想出了一个利用它的方法,我正在利用它。我觉得它的回报足以让我装满一桶牙签。”
因为那是我想出这个游戏方法的奖杯。完全正确。就像,你可以想象一个人……在这个计划实施10美元限额之前的第一个阶段是……这是一个大数定律的问题。就像,“我要做这些大……”
大额索赔。我认为他们所说的数字是,其中只有五十分之一可能会成功,但这正是你真正需要的,因为你可以编写脚本并在夜间自动运行它。第二天早上你回来一看,哦,其中一个成功了,这意味着,斯科特,你之前说的对,这家大型连锁杂货店可能有一些安全人员非常清楚这些欺诈性索赔,并且
因此他们稍微调整了一下数字,然后这位来电者并没有屈服。当发生这种变化时,它就像,“现在是10美元的限额了”。就像,“好吧”。现在是10美元的限额了。你必须花费10美元。游戏正在适应。另一方也在参与。是的,完全正确。他们那一侧的棋盘正在移动,而你就像,“好吧,很好。我会把账户串联起来。”让我感到惊讶的是,他们本应该知道……
他们本应该有他的照片,你知道的,就像他们本应该知道……他去了这家药店或杂货店或其他什么地方,因为积分可以在任何地方使用。由于我们上面的寡头垄断,甚至在加拿大的加油站也可以使用。但是,嗯,他们本应该知道他们会调取监控录像。如果他们封锁了他的个人VPN IP,他们本应该做到这一点,就像,“好吧,我们……”
我们看到他在1月9日星期四在这个地点购买了一个20美元的夜灯。让我们调取监控录像,拍下这个人的照片。然后他们可能会在该地区分发这张照片,如果他们没有这样做,那就更令人惊讶了。所以,他玩了这么久,并且在排行榜上积累了如此高的积分,这真是太不可思议了。确实是积分。
是的,太疯狂了。我肯定以为他们会更强硬地介入并阻止它。几年后,当他回来度假或看望家人或其他什么的时候,积分仍然有效,这太疯狂了。是的。我的意思是,我认为他推测得正确,员工……我有一个……
一个在大型连锁杂货店工作的密友。我可以证明。他们不在乎。那家伙的脸可能被印成10英尺高,上面写着“通缉”字样。
旁边还有大大的美元符号。他们根本不在乎。我喜欢的是,他转向了牙签和牙刷,很多口腔卫生用品,但都是非一次性产品。因为我认为这句话是,杂货,你只能买这么多,否则它们就会坏掉。这就像……
我记得小时候,如果冰箱里有新鲜食物,它肯定会在我有机会吃掉之前坏掉。我会简单地吐出,加拿大人的平均年食品支出约为16000美元,而他的年收入约为9000美元。所以你可以完全从杂货店买9000美元的食品,但这并不是这场游戏的重点。完全正确。
是的。是的,我同意。让我想到Shopper's Drug Mart的是,这只是对任何加拿大听众的额外说明,当他提到积分可以在很多地方使用时,是这样的,因为我知道PC Optimum积分既可以在杂货店和药店使用,也可以在加油站使用,它们可以在很多地方累积和使用。所以那时我想,好吧,这可能是……可能是PC Shopper's Drug Mart的计划。是的。你可以看到一家真正的加拿大超级市场,嗯,
卖PS5。我就这么说吧。没错。我就把它抛到空中。你可以在Real Canadian Superstore或Shopper's Drug Mart购买任天堂Switch,我认为现在是这样。完全披露,我从Shopper's Drug Mart买了一台Xbox Series X,当时任何地方都找不到。是的,那是真的。
这里的专业技巧是,如果你想买一些很难找到的电子产品,在这些杂货店里总是有三台藏在许多Culligan水桶下面。这是最奇怪的事情了。就像新的iPhone一样。是的。我认为我们拿回了几台。你就像,“当然。”其他地方都排着长队,但这次很棒,感谢您与我们分享。如果您再次来到加拿大,嗯,
请继续尝试这个方法,并让我们知道它是否有效。您可以像任何人在hotlinehack.com上分享您的来电一样。我们想听听您关于技术的奇特故事。您可以拨打我们的电话号码。您可以通过电子邮件提交音频。您可以将其作为短信发送。如果您要求我们这样做,我们会根据需要修改您的声音。我们喜欢听您的故事。但斯科特,你知道我们比这更喜欢什么吗?我认为你知道。我知道。我知道。我认为你知道。是我们的赞助商。
DeleteMe。DeleteMe。斯科特,你有没有想过,你的多少个人数据在互联网上被任何人看到?没有,因为我知道太多了。是吗?是的。其中一件事,所以这是一个轶事。我妈妈最近被骗了。我告诉过乔丹这件事。是的,这太糟糕了。有人假冒亚马逊,说是亚马逊。是的,是的,是的。我妈妈被骗了,她是……
我见过的最愤世嫉俗的人之一,就她的个人安全而言,这才是令人震惊的地方。我敢打赌,他们掌握了她的个人信息,让她对此感觉更舒服。他们可能最终通过数据经纪人黑客或类似手段获得了这些信息。因为这些人是真正的专业人士。他们建立了完整的网站和系统,用于克隆、模糊处理以及做任何事情来使其看起来非常合法。是的,
是的,如果他们拥有个人信息,他们要么购买,要么从数据经纪人网站窃取,以帮助他们实现目标,我不会感到惊讶。是的,他们的目标是使用你的姓名、联系方式、社会安全号码、家庭住址、关于你家人的信息,
并将这些信息在互联网上出售以赚钱,这就是为什么任何人在网上都可以购买这些私人信息的原因。所有这些都可能导致身份盗窃、网络钓鱼企图,正如我们在这里看到的那样,骚扰、垃圾电话。您可以通过节目的朋友和Hotline Hacked的赞助商DeleteMe来保护您的隐私。鉴于当前的事件等等,你知道的,我非常关注安全,而且在网上查找人们的信息比以往任何时候都更容易。我认为这需要减少。
所以所有这些数据都只是悬在那里,但它对人们产生了现实世界的影响和后果,正如我现在讲述的故事中所看到的那样。这就是为什么我建议您使用DeleteMe。访问joindeleteme.com/hacked,结账时使用代码“hacked”。这是一种订阅服务,可以从数百个数据经纪人那里删除您的个人信息。
他们会定期向您发送个性化的隐私报告,显示他们找到了哪些信息,在哪里找到的,删除了什么信息。所以它不仅仅是一次性服务,你只需要运行一次然后就不用管了。它是一种不断在后台运行的服务。所以我推荐它。您注册后,提供您想要删除的确切信息。他们的专家会从那里开始。
如果您对此类服务感兴趣,请掌控您的数据,保护您的隐私,注册Delete.me。Hotline Hacked的听众可以享受特别折扣。访问joindeleteme.com/hacked并使用促销代码hacked结账,即可享受DeleteMe计划20%的折扣。获得20%折扣的唯一方法是访问joindeleteme.com/hacked并在结账时输入代码“hacked”。斯科特,再为人们说一遍。那就是joindeleteme.com/hacked,代码hacked,
Hotline Hacked的赞助商。感谢他们。
所以诉讼时效已经过期,我可以自由地说话了。我的名字是杰里米,我来自亚特兰大。这是一个多么好的故事开头啊。这是一个非常好的故事开头。我认为在任何情况下都是如此。诉讼时效已经过去了。我不担心会被为此指控,我很乐意讲述这个故事。你可以用这种方式开始一个TED演讲。你也可以用这种方式开始一个婚礼致辞。这是一种非常具有煽动性的故事开头。我……
我喜欢你用这种方式开始婚礼致辞的理论。那是我想听的婚礼致辞。那将是一个很棒的婚礼致辞。如果有人走到麦克风前,用这个作为婚礼致辞的开场白,每个人都会竖起耳朵。现在诉讼时效已经过去了。现在是新郎的祝酒词,你知道的,诉讼时效已经过去了,大厅会一片寂静。是的,新郎只是默默地摇摇头。
我会记住这个。Hotline Hacked的听众们,你们刚刚给了他们一些很棒的建议,可以用于他们将来需要做的任何演讲。特别是如果演讲结束时问题没有得到解决。就像一个关于新娘和新郎如何相遇的漂亮故事,但你以“现在诉讼时效已经过去了”开头。这很好。2015年,我
有点在底层活动,吸食了很多甲基苯丙胺,和一群骗子混在一起,我有了下载一堆背景调查应用程序的想法,看看我——我想看看我是否有逮捕令,试图找出——
我是否需要担心。所以我下载了所有常用的经过验证的真相调查者等等。我在Android应用商店里找到一个叫做People Spy的应用程序。APK仍然可见。但是,该应用程序自2018年左右就停止工作了。所以我下载了这个应用程序。当然,你做的第一件事就是对你自己进行背景调查。我做了,它有点卡。它断断续续的。并且
查找了一些其他人,并没有多想。有一天,我在我的Android设备的文件目录中四处查看,在/文件夹中,我看到一个名为peoplespy.txt的随机文本文件。所以我打开它,所有这些元数据
该应用程序收集以前的犯罪记录、地址历史记录、电话号码历史记录、熟人和一个名为“亲属”的部分。我一看,看到了我母亲的名字,旁边是她的社会安全号码。这是一个我认识并且可以验证的号码,所以我查了我妈妈。我发现我是她的亲属,我的社会安全号码以纯文本形式暴露在一个来自这些背景调查应用程序的元数据转储文件中。
那时,我意识到,只要他们的名字有点独特,我就可以访问几乎所有人的社会安全号码。易于查找,100% 的时间都能找到。
在我戒毒并重新生活后,我联系了该应用程序的所有者公司,只是做了一个道德上的披露,嘿,你们的应用程序正在这样做。你们可能需要检查服务器,确保这种情况不再发生。他们否认了,完全忽略了我,从那以后我就没再管了。非常感谢。再说一次,这个应用程序叫做PeopleSpy。我想首先要称赞……
戒毒。恭喜,来电者。
然后在所有事情都结束后,能够联系这个应用程序并让他们知道他们的软件中存在一个明显的安全漏洞。我觉得Hotline Hacked有四分之三是娱乐,四分之一是道德成长。很多这些故事,很多这些故事都像是,“是的,我做了这些事情,这不太好”。像这个故事显然与网络犯罪无关,但是,是的,
嗯,似乎每一集我们都有一个故事,其中包含一些更多的成长。所以是的,称赞你戒毒,并且……让你的生活走上正轨。所以称赞PeopleSpy.com。在查看这个来电后,我找到了这个网站。它目前似乎不存在了。它正在重定向。我不确定它是否是新产品,或者他们出售了……嗯,
他们把电子邮件卖给了其他人,但它重定向到emailtracer.com。你找不到关于此事的新闻稿,它确实会进入赞助商节目。然后是我们刚刚讨论过的事情,尤其是在今年发生的全国公共数据泄露事件中,他们让很多人谈论这些数据经纪人,那就是这些服务的出现会向你出售从许多不同来源收集的信息,这很棘手,因为
因为你知道,对于别人之后用它做什么,包括构建一个在本地设备上以纯文本形式存储信息(它可能不应该这样做)的应用程序,实际上没有任何保护措施。根据这位来电者所说,这似乎就是这里发生的事情。我觉得无论我们把广告读得多么糟糕,这都是比我们能说的任何话都要好的DeleteMe广告。
这就像把你的信息从这些数据经纪人那里拿出来,因为我保证这些应用程序都是由它驱动的。他们正在购买大量的、关于人们的个人信息,这就是应用程序存在的方式。所以,是的。是的。除了这并不令人惊讶,我没有什么好说的……
有一些方法可以解决这个问题。是的。这似乎是……这里发生了一些粗心的事情。如果事情就是这样发生的,那么发生了一些粗心大意的开发,我想这就是我想说的。是的。但对我来说,对我来说,这不仅仅是那样,它在某种程度上是粗心大意的,因为他们基本上已经给了……他们显然购买了这些信息。是的。对。就像他们有……个人信息、罪行等等,或者社会安全号码……显示出我的加拿大身份……嗯,
他们从他们购买的数据集中获得了这些信息。这就像他们暴露这些信息的事实,如果有什么不同的话,那就是他们对访问这些信息收费不足。你知道的,这就像你仍然可以购买这些信息。只是他们不应该免费提供它。我是在以一种愤世嫉俗的方式这么说,但它就像……
这并不是PeopleSpy的一个功能。但他们仍然拥有这些信息。其他一些随机的人仍然购买了它。所以它并不是超级机密。我认为我想更多地了解这一点。我正在等待一个故事作为借口来更深入地研究它,那就是这些事情的合法性。
如果你不能确认你正在向其他人出售的产品的数据库中社会保险号码的来源,那怎么可能是合法的呢?应该有一些法律在与之冲突。我不确定具体是哪一条,但我对这完全是一件公平合法的事情感到惊讶。是的。我知道在加拿大,我们对个人信息法的保护标准更高。
我不确定其他国家的情况。我不是知识产权律师,也不是处理此事的律师。也许这是一个我们应该在新的一年里尝试进行的采访。如果你碰巧认识你生活中可能成为这种专家的人,我想找到一个可以向我解释……的人。
美国法院系统如何看待这类事件,就像你有一家私人公司,而其中一些公司并不是大公司,就像一个人启动它,然后他们从许多可疑来源购买大量数据,然后以一个看起来有点合法的方式重新出售它,我就像,我只想从法律角度理解这一点
事情是这样的。去年我联系了其中两个人。其中一个专门讨论加拿大在线保护法案和那一堆事情。我实际上联系了节目的老支持者——电子前沿基金会(EFF),因为如果有人知道美国这方面问题的答案,那将是那里工作的律师。我们将在2025年尝试让他们参加。所以,如果您在EFF或加拿大公民自由协会工作,请与hackpodcast.com联系。
把它带到终点线。我们应该休息一下去广告绿洲吗?哦,天哪。一年中的这个时候很冷。又湿又下雪。我想在海滩上放松一两分钟。让我们这样做吧。让我们去那里。让我们走吧。伙计们,你好!我的名字是J-Pod。我想分享一个发生在我高中时代(90年代后期)的有趣故事。
嗯,这有点像早期黑客的片段,并不是真正的黑客,只是一个孩子在玩,也许权限太大,监督不足,是的,兄弟,是的,是的,我们在这里做什么,我去了一个磁性学校,无论如何,我们比大多数学校更早地获得了电脑,这在当时是一件大事,我从小就接触科技,我的哥哥们非常喜欢它,嗯,我记得我们有一台……
Commodore 64,我哥哥们从小就有各种各样的PC。我并不太喜欢它,但我从小就接触到了它。所以无论如何,快进到高中。他们向我们介绍的第一个程序是名为EBS程序或电子图书系统的程序。基本上,在我们的课堂上,我们必须阅读书籍,然后每周进行一次测验,
并且有一个基于DOS的程序或类似的东西。无论如何,每周我们都需要完成一次测验作为我们成绩的一部分。这台电脑基本上为老师管理测试。问题是学校里没有人接受过真正的培训或知道如何使用它,尤其是我们的老师。所以每周她都努力登录、设置测验并组织课堂。
所以自然而然地,这对我来说很简单,我想我当时是一个精通技术的年轻人,所以我自告奋勇帮忙,这是一个经典的社会工程和老师的弱点,我认为为什么汤姆林森夫人,我知道这台电脑是如何工作的,毫不犹豫地,我的老师把她的凭据交给了我,让我做所有的事情
事情是这样的,她的登录凭据并不仅限于EBS程序。我很快意识到,它们给了我完全不受限制地访问学校整个计算机网络的权限。而且不仅仅是从学校网络。我可以远程登录。没有防火墙,没有多因素身份验证,没有真正的监督,基本上只是一个登录名和一个密码。
所以一开始我并没有多想。我专注于让EBS为课堂工作,你知道的,试图帮助每个人,让老师的生活更轻松一些。但后来好奇心战胜了我,我开始在软件中四处查看,发现了一些事后看来很有趣的东西。所有数据、问题、答案都……
基本上存储在机器上的未加密文本文件中。根本没有加密,没有文件权限,什么都没有。他们好像认为没有人会去看它。所以作为一个青少年,不想在晚上看书,我在我的家用电脑上下载了EBS软件。使用一个简单的文本编辑器,我可以访问程序中每个测验的所有答案。
糟糕的决定。
糟糕的决定。我觉得这些故事中的每一个都以“我想通了”开头。我可以轻松地进入大学。然后是,“但我想要帮助我的朋友们”。然后我们被抓了。然后我们被学校开除了。是的,时间会揭露所有秘密。你让更多的人参与其中,它就会更快地被发现。
它会被发现。他们告诉我他们应该读的那周的书名,我只是把答案给他们。我在我妈妈的打印机上打印出来,带到学校。没有人多想。所以我们整年都通过了每次测验,直到今天,我认为老师们都不知道发生了什么。他们只是停止了。
证明我错了。嘿,有时犯罪是有回报的。你一定和聪明人在一起,因为我觉得如果老师看到一个学生的平均成绩从60%提高到每次考试都得100%,那将会是一个震惊。但如果已经有8个孩子了,然后他们继续获得A,那就好像,“呃”。
我想……完成这个电话。我有一个理论。好的。让我们听听。这有点回到你所说的关于显眼性的说法,哇,这个孩子开始……
不是偶然的。我认为是5分钟的限制。不应该只有5分钟。不,我认为没有,或者可能有。是的。我们似乎没有第二个电话。在5分钟时断开了连接。所以我们没有他的故事的其余部分。嗯,
所以我们只会暗示他显然获得了对整个网络以及其他一些他可能不应该获得的灰色数据和其他信息的访问权限。我们不知道故事的其余部分。所以,如果你想打电话进来完成这个故事,这可以成为一个悬念式的结局。今年的。哦,我喜欢。今年的。就像一部老网络剧一样。所以这是我的理论。好的,让我们听听。这有点回到你所说的关于显眼性的说法,哇,这个孩子开始……
让我们一起庆祝吧。电话涉及杂货积分系统、澳大利亚互联网提供商等等。想分享你的故事吗?请访问hotlinehacked.com。Hotline Hacked由DeleteMe为您呈现。注册DeleteMe,掌控您的数据,保护您的隐私。现在,我们的听众可以享受特别折扣:今天访问joindeleteme.com/HACKED并使用促销代码HACKED结账,即可享受DeleteMe计划20%的折扣。了解更多关于您的广告选择。访问podcastchoices.com/adchoices</context> <raw_text>0 所有这些测验中,90分和100分都有。哦,糟糕。这个孩子的所有朋友也开始在所有测验中取得好成绩了。你知道,老师,你不必精通技术才能精明、聪明和善于观察。所以我想知道,这就是我想到的可能发生的事情。我是一名老师。
也许我从来都不是最精通技术的老师。电脑还处于早期阶段。我不需要精通。我给学生一些登录凭据,以获得他们的帮助来弄清楚某件事是如何工作的。他们擅长电脑。也许他们可以帮我弄清楚。这对孩子来说是一个学习机会。这个孩子开始在每次测验中都获得100%的分数,测验存储在电脑上,他们所有的朋友都获得100%的分数。所以我只有两个选择。
我可以解开我通过向青少年提供登录凭据而制造的这个巨大的安全漏洞,或者我可以考虑这样一个事实:学年很短。明年,这个孩子将成为别人的问题。所以也许他们只是在九年级的代数或读书报告或任何其他东西上得到100%的分数。这是高中或大学的英语课。就像,你知道吗?你得到了A。是的。
滚出我的视线。现在我吸取了一个宝贵的教训。不要与学生分享登录凭据。这是我的理论。我认为如果这是理论,老师可能会要求在赛季中期更改他们的凭据。一旦她,一旦他们意识到发生了什么。所以这是我的理论。一,
聪明的孩子,显然,也许周围还有其他聪明的孩子。他们以前就得到90分和100分。当然。现在他们不必为此努力了。他们只是字面意义上得到了它们。听起来好像将来他们可以通过修改成绩来获得它们。但我们不知道。悬念。悬念。所以这是我的第一个理论。第二个理论是……
之前的来电者对懒惰的员工朱迪的参考是什么?是的,我认为是朱迪。朱迪思,朱迪。也许这是一个朱迪。也许老师是一个朱迪,并且就像,呃。我甚至没有看成绩。电脑正在自动检查它们。她甚至不需要复习它们。她就像,我现在有了人工智能。我处于自动驾驶状态。电脑和这个孩子现在协调我的课程和所有测试,我甚至不需要看它。
我会说,我想这可能是在你盯着手机看之前,但也许他们正在阅读《玛莎·斯图尔特》杂志,典型的朱迪举动。
典型的朱迪举动。是的。朱迪可能根本不在乎。是的,而且这几乎,这个理论几乎又回到了我的最初理论,那就是老师更关心的是抓住孩子而不是解开这个难题。这就像,我知道关于朱迪的事情是朱迪不在乎。她只是让它继续下去,就像她在之前的加拿大大型杂货店客户支持部门的工作一样。是的。
她当时不在乎。她批准了所有这些索赔,现在她也不在乎。如果那个孩子在每次测验中都得到10分满分。是的。好理论。好理论。还有一个悬念结尾。希望他们能打电话回来讲述故事的其余部分。请这样做。如果你听到这个,乔丹,我认为是他们的名字,不仅仅是你的名字。也是你的名字。不仅仅是我的名字。它也是我的名字。它也可能是你的。不,它不可能,但你可以在hotlinehack.com上获得你的电话。如果你,如果你,如果你想,嗯,
你不能拥有我的名字,但你可以这样做。分享你奇怪的凝胶技术。我认为真正的黑客。这是今年的最后一集吗?
我认为可能是。我认为我们接下来会重播。1月初。就像元旦左右。我认为我们会为每个人播放一个被黑客入侵的经典节目以供欣赏。但我认为就原创内容而言,这是2024年的总结。是的。感谢大家与我们在一起。非常感谢。绝对感谢在线黑客的所有参与者,抽出时间参与节目。我们非常感谢。我们知道……
这不仅仅是要求你收听,还要求你作为节目的一部分做出贡献。非常感谢你们所有人。这是真的。感谢我们所有的赞助商。感谢所有分享故事的人。
感谢您的收听。是的。我真的很喜欢制作这个坏小子。我们为2025年策划了很多非常有趣的计划。所以,我们希望你会继续留下来,并感谢你。感谢Discord团队。感谢赞助者。感谢那些伸出援手的人。我不知道你是否看到了,但帕特里克·比约恩·富特,我希望我,我可能在伪装它,但对我来说它看起来像比约恩·富特。嗯,
是鼻窦感染团队的一员。他给我发来了一份推荐,看起来像是二战时期大规模生产的……
防毒面具,就像紧急防毒面具,但显然这些东西在越野滑雪中非常常见,所以与其让你的脸冻僵,并不断有冰冷干燥的空气灼伤你的鼻窦和肺部,不如戴上这些面具,它们会用你呼出的水分来滋润空气,
这有点道理。对我来说,只是在随机的星期三去杂货店时戴着它有点太夸张了。我不知道。我认为你可以。我认为你会带来一种强烈的后世界末日能量,我们现在都可以享受。感谢你的邮件。同样感谢托比亚斯,他通过邮件发送了上次通话中一些有趣的比赛参考。我们非常感谢。如果你只是想给我们发消息,而不是为了热线,请访问hackedpodcast.com。
是联系我们的好方法。提交故事。也是联系我们的好方法。我们在这里。我们就在附近。我们是。我们尽量做到。尽量做到。我们尝试。是的,在社交媒体上联系我们。大多数平台上的Hack Podcast。我认为我们在任何一个平台上都不是很活跃。人们确实会在推特上@我们,我们确实会回复他们。
我最近在上面放了一个ChatGPT提示,以生成一个Python脚本,用于下载我们播客的所有剧集的MP3。有人问如何操作。我说,只需询问ChatGPT,它就会为你完成。嗯,我认为就是这样。我认为这就是对所有听众说的。非常感谢。新年快乐。我们下一集再见。再见。
再见。