Un site etrange - proxy2bay.appspot.com - danger ?

[Haroeris]

Ce matin en voulant me connecter à gmail, il ne c'est rien passé et je me suis aperçue que je n'étais pas sur gmail mais sur

proxy2bay.appspot.com avec un jolie habillage de gmail.

Diantre m'écriais je , je viens de me faire phisher comme un bleu, changement de mot de pass et tout le tralala, je me renseigne un peut sur "l'attaquant" et il semble que cela soit un système de proxy.

Mais comment faire confiance à cette application google app ?

Pire, ce site semble être en train d'absorber beaucoup de site web, chacune des pages proxifiée étant référencée par google, les sites ainsi martyrisés risquent de subir des problèmes de duplicate content

Vous pensez quoi de tout ça ?

[flo.tremZ]

Salut,

Tout comme toi, je suis l'évolution de cet étrange phénomène depuis 7:30 ce matin.

D'abord il s'est présenté sur la boîte de gmail, aux modules téléchargables de mozilla, sur le site d'adobe, à un site féministe nommé nist.tv, à un site sectaire, a google map.

J'ai envoyé des alertes phishing à google puis à apwg phishing et je suis dans l'attente de news.

Tu est le premier à t'être manifesté

Je trouve cela très suspect...

[yank76]

Salut,

La même pour moi.

Changement de passe également du coup ...

[Tex]

mm problème, comme d'hab je cherche gmail dans gg pour y acceder, je clique sur le 1er result, je vois la page de login, je tente de me loguer, page blanche, je regarde l'url : proxy2bay, j'ai changé mon mdp sur le champ...

depuis j'ai mis a jour chrome (version dev) et le site en question n'apparait plus dans la recherche pour gmail.

soit j'ai changé de datacenter en relançant chrome, soit ça venait d'un bug de la version dev de chrome.

[Tex]

bon sinon, le site en question est un proxy public, je me demande si il est possible qu'il soit remonté dans les résultats de recherche par accident sans qu'il y ai une réelle intention de nuire.

[IllusionPerdu]

Si c'est dangereux comme site personne n'aurais de solution pour protégé son site de ce genre de manipulation ?

[dmathieu]

Plus d'infos ici : http://www.zorgloob.com/2010-05/attention-phishing-gmail/

[HawkEye]

http://www.zorgloob.com/2010-05/attention-phishing-gmail/

Erf... grillé

[nairod60]

Leur proxy n'est pas resté longtemps en première page, mais ils ont du chopper quelques millier d'identifiants...

[OTP]

Pourquoi passer par les SERPs pour aller sur son compte Gmail ?

[Haroeris]

Pourquoi passer par les SERPs pour aller sur son compte Gmail ?

C'est sous estimer la fainiantise humaine un lundi matin

[OTP]

Oui, vu comme ça...

[LouisXIV]

Je suis même pas certain que faire ce fiching était l'objectif de la démarche du mec qui a fait ça. A priori, il a un robot qui copie toutes les pages du net, plus ou moins au hasard. Donc, gmail est tombé dans le lot mais il semble y en avoir des milliers d'autres.

Apparemment, il a utilisé un type de redirection (302 ?) pour faire passer ces pages pour les vraies pages pour google (si on regarde le cache des pages, on tombe sur le vrai site). En gros, il a trouvé une faille de google et l'a exploité.

Maintenant, il reste deux questions, comment y est-il parvenu ? Comment a-t-il pu gagner quoi que ce soit en faisant ça ? Quelqu'un a une idée ?

Ca n'excite pas votre intérêt de référenceur ? Réussir à passer devant gmail, c'est fort quand même.

[chocolatee]

Bonjour,

J'ai eu également ce problème, en fait il fallait cliquer sur le second lien, la seconde proposition de google qui proposait le bon lien google.

Mais est-ce qu'on s'est choppé un virus en allant sur la première page sans faire exprès avec ce fameux "proxy" ?
Est_ce que le fait de changer le mot de passe suffit à ce qu'on soit en sécurité ?

Pour ma part ce n'est plus en première page depuis 19h25 sauf que sur l'autre pc c'est toujours en première page.

[chocolatee]

Sur ce site il y a un message de l'admin de proxy2bay : http://www.zorgloob.com/2010-05/attention-phishing-gmail/#comment-2102



Hello! I am the « admin » of the proxy2bay site. To prove it, I will put on the home page some greetings to La Quadrature du Net and to this blog – but you will be able to read it only tomorrow, when the quota limits will be reset – this overwhelming traffic caused the site to exceed my very limited quota (I don’t want to pay too much ).

For what it’s worth, I can re-assure you that no personal data or any other data have been taken. The source code is the Python code released by Mirrorrr (Digital Inspirations), please check in the code (and compare it with the source code of the site) to see that proxy2bay is in no way malignant. No ads or XSS scripts or anything are in the home page (again, please check yourself).

The proxy has been built as a part of a little network of hundreds of web proxies which can be used by activists and netizens in Italy and China to bypass censorship quickly (they also allow https connections and don’t have boring injections or ads). However, by no means it should be relied as an added layer of anonimity: there are trivial techniques which can be exploited by malignant sites to discover your real IP even when you access the malignant site with a web proxy. For an effective layer of anonimity please use TOR, I2P or a reliable VPN.

Finally, I would like to express my surprise and my regret to see that so many people access GMail by searching for « Gmail » and then clicking blindly the first result given by Google; and they also go on, they can’t even realize from the address bar of their browser that they are accessing GMail through a web proxy! That’s insane, you should NEVER do that, for your safety.

Kind regards
(admins of this blog may contact me through e-mail for further explanations)

Traduction : Bonjour! Je suis le «admin» du site proxy2bay. Pour le prouver, je mettrai sur la page d'accueil des salutations à La Quadrature du Net et sur ce blog -, mais vous pourrez le lire que demain, lorsque les limites du quota sera remis à zéro - ce trafic écrasante causés sur le site pour dépasser mon quota très limité (je ne veux pas payer trop cher:)).

Pour ce que ça vaut, je peux vous rassurer, aucune donnée personnelle ou d'autres données ont été prises. Le code source est le code Python publié par Mirrorrr (Digital Inspiration), s'il vous plaît vérifier dans le code (et de le comparer avec le code source du site) pour voir que proxy2bay n'est en aucune façon maligne. Aucune annonce ou XSS scripts ou quoi que ce soit sont dans la page d'accueil (à nouveau, s'il vous plaît vérifier vous-même).

La procuration a été construit comme une partie d'un petit réseau de centaines de proxy Web qui peut être utilisé par des militants et internautes en Italie et en Chine pour contourner la censure rapidement (ils ont également autoriser les connexions https et n'ont pas ennuyeux injections ou des annonces). Toutefois, en aucun cas il devrait être invoqué comme une couche supplémentaire de l'anonymat: il existe des techniques triviales qui pourrait être exploitée par des sites malin pour découvrir votre adresse IP réelle, même lorsque vous accédez au site malin avec un proxy web. Pour une couche efficace de l'anonymat s'il vous plaît utilisez TOR, I2P ou un VPN fiable.

Enfin, je tiens à exprimer ma surprise et mon regret de voir que tant de gens GMail accès par la recherche de «Gmail» puis en cliquant sur aveuglément le premier résultat donné par Google, et ils vont aussi, ils ne peuvent même pas se rendre compte de la barre d'adresse de leur navigateur qu'ils sont pour accéder à Gmail via un proxy web! C'est insensé, vous ne devriez jamais faire cela, pour votre sécurité.

Cordialement
(Les admins de ce blog peuvent me contacter par e-mail pour plus d'explications)



>>

Je viens de comprendre,

En fait, ce site en début de journée faisait apparaitre comme le vrai gmail des cases pour rentrer ses identifiants. Donc ceux qui rentraient leurs identifiants étaient piégés et se font fait avoir.

Au milieu de la journée, le site a fait apparaitre un message d’erreur « App Engine Error

Over Quota
This Google App Engine application is temporarily over its serving quota. Please try again later. »

Sur qui veut dire que le site était neutralisé et ne craignait plus rien même si on cliquait dessus car on ne pouvait plus se faire avoir en tapant nos identifiants.

C’est bien ça ?