In what world is voting ~9.7 times / second even an attempt at a DDOS? It would need to be hundreds or thousands of times higher to even begin to matter.<div><br></div><div>It was an attempt at making numbers in a pointless poll pointlessly high. Being Abnormal != An Attack!<br>
<br><div class="gmail_quote">On Fri, Oct 30, 2009 at 2:51 PM, Ian <span dir="ltr">&lt;<a href="mailto:ian@slumbrparty.com">ian@slumbrparty.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
I&#39;m sorry for categorizing it as a DDOS attack where n=2. I should<br>
have said attempted DDOS attack. Voting 35k times in an hour is<br>
abnormal behavior on most of our forums, especially one with a total<br>
of around 50 votes. i&#39;m sure you have seen much better DDOS attacks<br>
taking down sites much larger than uservoice.<br>
<br>
When I talked about legal action, it wasnt a threat coming from me. I<br>
was relaying what other people were saying. I was trying to resolve<br>
this so it didnt escalate to anything else. I&#39;m sorry you feel that I<br>
was trying to scare anyone.<br>
<br>
Maybe someone with more skill in computers such as yourself could have<br>
saw the difference between what happened and malicious intent, but<br>
unfortunately, i am not and had to make sure via other means. in the<br>
future, i will make sure not to apply for a computer related job at a<br>
company you owned.<br>
<font color="#888888"><br>
ian<br>
</font><div><div></div><div class="h5"><br>
On Fri, Oct 30, 2009 at 2:44 PM, Crutcher Dunnavant &lt;<a href="mailto:crutcher@gmail.com">crutcher@gmail.com</a>&gt; wrote:<br>
&gt; Ian, you&#39;re being an ass.<br>
&gt; No matter how much you &quot;appreciate&quot; Leif coming forward, you walked into<br>
&gt; this with the threat of Legal Action for something that was obviously not a<br>
&gt; DDOS attack.<br>
&gt; If you can&#39;t tell the difference between this and malicious intent, maybe<br>
&gt; you shouldn&#39;t work with computers.<br>
&gt;<br>
&gt; On Fri, Oct 30, 2009 at 2:41 PM, Ian &lt;<a href="mailto:ian@slumbrparty.com">ian@slumbrparty.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Leif,<br>
&gt;&gt;<br>
&gt;&gt; Thanks for coming forward to say this. You are right in that it is<br>
&gt;&gt; possible to do the aforementioned curl voting anonymously. We made a<br>
&gt;&gt; design decision to allow anonymous voting to lower the barrier for<br>
&gt;&gt; participation. We have fraud detection counter measures to take care<br>
&gt;&gt; of those situations. You did not cause any damage, but we were more<br>
&gt;&gt; concerned with the intent. It was unclear to us whether it was people<br>
&gt;&gt; playing around or someone with malicious intent. if it was not the<br>
&gt;&gt; latter, then we are okay with people exploring the system.<br>
&gt;&gt;<br>
&gt;&gt; I really appreciate you talking about this on the list.<br>
&gt;&gt;<br>
&gt;&gt; Thanks,<br>
&gt;&gt;<br>
&gt;&gt; Ian<br>
&gt;&gt;<br>
&gt;&gt; On Fri, Oct 30, 2009 at 2:30 PM, Leif Ryge &lt;<a href="mailto:leif@synthesize.us">leif@synthesize.us</a>&gt; wrote:<br>
&gt;&gt; &gt; Ian,<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; First and foremost, I offer you my sincere apology and my promise that I<br>
&gt;&gt; &gt; personally will not (mis)use your company&#39;s service again.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I was the one who pointed out last night that people could run<br>
&gt;&gt; &gt; curl -d to=3 <a href="http://some-uservoice-url/votes" target="_blank">http://some-uservoice-url/votes</a><br>
&gt;&gt; &gt; to vote for something, and that without cookies, they could keep voting.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I would characterize this as harmless ballot-stuffing, rather than a<br>
&gt;&gt; &gt; DDOS,<br>
&gt;&gt; &gt; but I understand that if it got out of hand it could certainly have the<br>
&gt;&gt; &gt; effect of a DOS. I am very glad to hear it didn&#39;t take the site down.<br>
&gt;&gt; &gt; Taking<br>
&gt;&gt; &gt; the site down was certainly nobody&#39;s intent; the intent was simply to<br>
&gt;&gt; &gt; get a<br>
&gt;&gt; &gt; lot of votes on a single item, to demonstrate why voting on things with<br>
&gt;&gt; &gt; a<br>
&gt;&gt; &gt; tool like this doesn&#39;t make any sense for a group like ours.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I personally only sent a few hundred http requests, and in light of your<br>
&gt;&gt; &gt; company&#39;s stated interest in legal action (which I think is entirely<br>
&gt;&gt; &gt; unwarranted given that the whole thing was apparently a few thousand<br>
&gt;&gt; &gt; http<br>
&gt;&gt; &gt; requests from a single location) I will not help determine who else sent<br>
&gt;&gt; &gt; more. Obviously, like most things at noisebridge, this was in no way an<br>
&gt;&gt; &gt; action of the organization and was only the action of a few individuals.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I regret the strife that this caused you, and hope you can accept my<br>
&gt;&gt; &gt; apology.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; ~leif<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; Ian wrote:<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; last night, there was an attempted DDOS on the noisebridge forum from<br>
&gt;&gt; &gt;&gt; 75.101.62.89 and 75.101.62.88. yes. those are both noisebridge IPs.<br>
&gt;&gt; &gt;&gt; they submitted around 35,000 votes to the forum and could have taken<br>
&gt;&gt; &gt;&gt; the entire uservoice site down.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; i have no problem with people voicing their concerns on the mailing<br>
&gt;&gt; &gt;&gt; list, but to do something destructive and illegal using noisebridge<br>
&gt;&gt; &gt;&gt; equipment against a company that one of its members works for simply<br>
&gt;&gt; &gt;&gt; because you didnt agree with its usage is beyond pathetic. rubin, for<br>
&gt;&gt; &gt;&gt; future reference, even though you may not mean anything destructive or<br>
&gt;&gt; &gt;&gt; personal with your &quot;abrasive&quot; (as you put it in your personal apology<br>
&gt;&gt; &gt;&gt; to me) comments on the list, other, weaker people on the list who are<br>
&gt;&gt; &gt;&gt; followers will take them in a different way.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; i tried to not censor anyone on the feedback forum and accommodate<br>
&gt;&gt; &gt;&gt; everyone and tried to play the role of strictly the forum admin. one<br>
&gt;&gt; &gt;&gt; of our staff deleted the suggestion about trying to get root on our<br>
&gt;&gt; &gt;&gt; site because, well, they simply viewed it as a threat against<br>
&gt;&gt; &gt;&gt; uservoice. i assured them finding security flaws was legitimate and<br>
&gt;&gt; &gt;&gt; will even benefit us. then they pointed to the suggestions about<br>
&gt;&gt; &gt;&gt; disparaging uservoice and my comment facilitating that. then again i<br>
&gt;&gt; &gt;&gt; reassured them i was only being the site administrator and that we<br>
&gt;&gt; &gt;&gt; shouldnt censor people who use our product even if their suggestions<br>
&gt;&gt; &gt;&gt; could hurt our business. the bottom line is i put my neck out to try<br>
&gt;&gt; &gt;&gt; to provide noisebridge with something that i thought would be useful<br>
&gt;&gt; &gt;&gt; and this is the thanks i get.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; aside from my current situation with the company, uservoice is talking<br>
&gt;&gt; &gt;&gt; about taking legal action against noisebridge for the DDOS attack. i<br>
&gt;&gt; &gt;&gt; have begged them to allow me to solve this without legal intervention.<br>
&gt;&gt; &gt;&gt; i ask that the people who were responsible name themselves and<br>
&gt;&gt; &gt;&gt; separate them from the rest of noisebridge. if you identify yourself,<br>
&gt;&gt; &gt;&gt; explain and apologize for your actions, i think i can convince the<br>
&gt;&gt; &gt;&gt; rest of uservoice to move past this.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; ian<br>
&gt;&gt; &gt;&gt; _______________________________________________<br>
&gt;&gt; &gt;&gt; Noisebridge-discuss mailing list<br>
&gt;&gt; &gt;&gt; <a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
&gt;&gt; &gt;&gt; <a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Noisebridge-discuss mailing list<br>
&gt;&gt; <a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
&gt;&gt; <a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Crutcher Dunnavant &lt;<a href="mailto:crutcher@gmail.com">crutcher@gmail.com</a>&gt;<br>
&gt;<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Crutcher Dunnavant &lt;<a href="mailto:crutcher@gmail.com">crutcher@gmail.com</a>&gt;<br>
</div>