@Lab312_ @mullvadnet mdrrr c fort d’appeler ca une trahison quand c’est pas voulu
Français
real
540 posts
🚨 MULLVAD FUITE - VOTRE VPN VOUS TRAHIT
Vendredi dernier, @mullvadnet a découvert que ses propres serveurs permettaient de te tracker entre différents nodes.
Tu changes de serveur VPN pour casser la corrélation ? Raté.
Tu es identifiable d'un serveur à l'autre.
-Comment ça marche :
Chaque user a une clé WireGuard + une IP interne de tunnel
L'IP de sortie attribuée a une position relative dans la plage du serveur (genre 40% du range)
Cette position reste la même quand tu changes de serveur
-Résultat :
un site qui te voit sur le serveur A peut deviner que c'est toi sur le serveur B
-Ce que ça révèle :
pas ton identité, mais le fait que "le même user a switché du serveur A au serveur B". Pour un threat model sérieux (journaliste, activiste, recherche OSINT), c'est game over sur l'unlinkability.
-Le fix temporaire en attendant le rollout :
log out / log in dans l'app Mullvad à chaque switch de serveur. 🤯
(Ça regénère la clé WireGuard et l'IP interne.)
-La leçon :
même les meilleurs outils privacy ont des angles morts.
Le VPN n'est PAS l'anonymat. C'est une couche, pas une solution.
[Source en commentaire 👇]
#InfoSec #Privacy #LAB312
Français
@MortsauxratsV3 @sociologuelvl99 @RouxDeSecoours @hellofreshfr @raaz404 @Sardoche_Lol le 27 juin mdrrrrrrrr
Français
QME
« Sardoche, t'es une petite victime de m*rde, ferme ta gueule, fils de p*te. »
« T’es un geek puant, même ta meuf t’a quitté tellement t’es une m*rde.»
- Raz
Culotté d’utiliser le terme “geek puant” quand on est fier d’avoir "sucé des queues qui puent" pour de l’héroïne.
Sans parler de l’essentialisation et du mépris envers les gamers, pas très “gauche friendly” ça mon Raz !
Français
@MortsauxratsV3 @sociologuelvl99 @RouxDeSecoours @hellofreshfr @raaz404 @Sardoche_Lol tavais mm ps hellofresh c sur🤣🤣
Français
@sociologuelvl99 @RouxDeSecoours Mdrrrr @hellofreshfr qui soutient ce crasseux de @raaz404 qui, on le rappelle, suce "des queues puantes" pour de la drogue. (Il s'enfile également le phasme à moustache mdr)
De 1) j'arrête mon abo hellofresh
De 2) tranquille @Sardoche_Lol , t'es détesté par des merdes humaines
Français
Dear attacker, we have found your country and searching for your city. You still have time to return everything.
Xavier⚡$GOD@TreefeedXavier
We have identified unauthorized outbound transactions from one of the Asgard vaults. As a result, funds were lost from that vault. This investigation is still in its very early stages, and the information below is preliminary and subject to change as we continue analysis.
English
English
Reposting my reply on HN:
Carl here (@obscuravpn CEO, one of Mullvad's partners)
This was an interesting finding, though as kfreds (Mullvad co-CEO) mentioned it would have been better to notify the vendor before publishing.
The main finding (IP-position-in-pool correlation between servers) seems to include genuinely unintended behaviour. Given our great experience with the Mullvad team, I'm sure this will be addressed soon.
In general, if you want different "identities", you should make sure to rotate or use different WireGuard keys.
One small thing I'll comment on:
> Surprisingly, the exit IP you are given is not randomized each time you connect to the server, but deterministically picked based on your WireGuard key, which rotates every 1 to 30 days (unless you use a third-party client, in which case it never rotates).
Context: WireGuard is [by design](wireguard.com/protocol/) a "Connection-less Protocol", there's no concept of a connection, there's only a "re-keying handshake" (key here refers to the ephemeral Diffie-Hellman key, not the WireGuard key) every 2-3 minutes ONLY IF there's traffic flowing.
The above statement is not too surprising if you consider the counterfactual: What would happen if, even with the same WireGuard key, the exit IP were randomized each time you "connect" to the server (say each time there is a "re-keying handshake" or at more frequent cadence (e.g. every 15 minutes) than the WireGuard key rotation).
In this scenario, ~every 15 minutes:
- At the Transport layer, all your in-tunnel connections that are on non-roaming protocols (basically everything except QUIC) would be disrupted, and the connections would have to be re-established.
- At the Application layer, many application-level sessions that treat "same cookie, new IP" as suspicious would trigger logouts, CAPTCHAs, or risk scoring.
Both are terrible UX, and would also make users much more uniquely fingerprintable ("this person keeps reconnecting from a different IP, they must be using Mullvad").
tmctmt@tmctmt
Mullvad exit IPs are surprisingly identifying tmctmt.com/posts/mullvad-…
English
Comment Audi a été capable de nous pondre un intérieur aussi vide et moche sur les audi A3 de 2014/2015
El Moro@ElMoro789
Et si on ne s'achèterait pas une petite Golf 7 GTD 2.0L TDI hein ? De toute façon, il n’y a aucun mariage en vue d’être prévu donc osef
Français
@DiskDort @92mrxn @yamaha2travers ce pays va sombrer vous êtes trop coincés du cul vous vous prennez pour elon musk a aller derrirèe dans les uber nvm
Français
@Dark_Emi_ @PowerHasheur Il faut pas le voir comme ça, c’est pas le code de génération qui se fait crack c’est plutot un moyen de le contourner
Français
@PowerHasheur C’est totalement faux.
L’interet d’un 2Fa c’est justement que c’est quasiment pas hackable
Français
Si c'est vrai, bienvenue en enfer
GIF
Cointelegraph@Cointelegraph
🚨 ALERT: Google says hackers used AI to create a zero-day exploit capable of bypassing multi-factor authentication, per Bloomberg.
Français
Français
Breach3d was one of my loyalists, the breach against France is even more embarrassing considering around a2 months ago he didn't even know what a SQLi injection was. I had to basically spoon feed him exploits on the clone forums.
Imagine getting hacked by him bro.
English
@y0ur_b3st_dr3am @P4mui Son Mac possède peut etre un os mais pas son telephone, y’a pas d’OS c’est juste une application qu’on dit "sandboxé" donc y’a pas vraiment de surface d’attaque sur téléphone idéalement les seuls OS sur téléphone c’est les Linux customs
Français
@P4mui "J'utilise pas d'os"
Alors qu'il utilise un Mac qui tourne sous MacOS, et qu'il y a OS dedans qui veut quand même dire Système d'Exploitation
Sinon je me demande comment il utlise son téléphone sans OS
Français
Français
@mocrotizn @SoQc0 @tique70 Tu dis tellement de la merde jss choqué le ban snap c'est sur les téléphones importé de chine ou c'est impossible d'utiliser snap la bas
Français
@deku_fs Mdr en vraie tant mieux mais c'est pas normal car à peu de choses près reshade utilise des méthodes de fonctionnement similaire a des cheats avec des injections de .dll
On espère que ça reste autoriser mais je trouve ça un peu bizarre perso 🤔
Français
@LaTwitchance Les maxi cryptomonnaie en sueur, ils ont enfin compris qu’il n’y a rien de mieux que le système bancaire et que leur Bitcoine va etre pirater dans quelque années.
Français
Une adresse Bitcoin aurait été piratée via informatique quantique, après le cassage d’une clé ECC de 15 bits.
Avec des millions de BTC sur des adresses exposées, une faille sur le 256 bits pourrait fortement impacter les marchés 😱
Français
@spicy4realll Mdddr sur ce proc ya mm pas de pins donc mm ps de quoi stresser
Français
@arteFrench - whatsapp: personne n’a envie de lire vos conversations
-telegram: construit d’une manière que même ceux qui ont les clés de chiffrement ne peuvent pas déchiffrer grace au Pavel256
- signal: crash a chaque message
- session: n’a plus de budget pour crypter les messages
Français
- whatsapp: peut lire vos conversations
- telegram: pas encrypté par défaut et extrêmement surveillé
- signal: faille des notifications, absolument besoin d'un numéro de téléphone pour se register, pas possible de s'enregistrer depuis un pc
- session: ferme dans 3 mois
il reste @SimpleXChat & tox
Français
