Tietoturvauutiset ja blogipostaukset

FSB pidättänyt REvil ransomwaren takana olleen poppoon.

Uutisoinnin arvoista, kun venäläisiä harvemmin kiinnostaa verkkorikollisuus, joka ei kohdistu heihin.
 
Uutisoinnin arvoista, kun venäläisiä harvemmin kiinnostaa verkkorikollisuus, joka ei kohdistu heihin.
Tuon Twitter-videon perusteella viranomaiset vievät todennäköisesti myös heidän kaikki rahansa, jota tuntui olevan runsaasti. Lisäksi noiden epäiltyjen henkilöllisyys on vähän huonosti suojattu noissa videoissa (mm. tatuoinnit näkyvät selvästi), eli tarinan opetus on se, ettei FSB paljoa välitä ihmisistä.

 

The bug is simply that the names of all IndexedDB databases is available to any site; access to the actual content of each database is restricted. The fix — and the correct behaviour observed on other browsers like Chrome — would be that a website can only see the databases created by the same domain name as its own.

All current versions of Safari on iPhone, iPad and Mac are exploitable. FingerprintJS says they reported the bug to Apple on November 28, but it has not yet been resolved.
 
Hieman juttua puhelimien tietoturvasta ja niiden keräämästä datasta:

Edinburghin yliopiston ja Dublinin Trinity Collegen tutkijat julkaisivat lokakuussa 2021 raportin Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets, jossa he tutkivat yksityiskohtaisesti mitä dataa näiden valmistajien suositut puhelinmallit lähettävät niin valmistajille kuin muillekin tahoille. Raportti kokonaisuudessaan löytyy täältä.
 
Tutkijat ovat löytäneet uuden muokattua UEFI:a hyödyntävän hyökkäyksen. Toimii Windows-käyttöjärjestelmän kanssa, ja koska kyse on UEFI:n kautta tapahtuvasta hyökkäyksestä niin massamuistin formatointi ja käyttöjärjestelmän uudelleenasennus eivät pelasta tilannetta. Todennäköisesti kyseessä on suurilla resursseilla toteutettu kohdennettu isku, koska kyseinen haitake on löytynyt toistaiseksi vain yhdestä paikasta
 
Tutkijat ovat löytäneet uuden muokattua UEFI:a hyödyntävän hyökkäyksen. Toimii Windows-käyttöjärjestelmän kanssa, ja koska kyse on UEFI:n kautta tapahtuvasta hyökkäyksestä niin massamuistin formatointi ja käyttöjärjestelmän uudelleenasennus eivät pelasta tilannetta. Todennäköisesti kyseessä on suurilla resursseilla toteutettu kohdennettu isku, koska kyseinen haitake on löytynyt toistaiseksi vain yhdestä paikasta

Jep todennäköisesti tuo on jonkun valtiollisen tahon tekemä haitake. Tällähetkellähän ei tiedetä miten tuo haitake on saaatu asennettua kohdekoneen UEFI biokseen. Joten miten tuota pystyy estämään asentumasta ei oikein tiedetä.
 
Dark Souls 3 -pelistä on löytynyt haavoittuvuus, joka mahdollistaa koodin suorittamisen online-pelaajan koneella. Kehoittavat välttämään nettipelaamista kyseisen pelin kohdalla, kunnes patsi tuohon julkaistaan

Se, että tällainen haavoittuvuus on ilmeisesti (?) hyväksikäytettävissä palvelimen yli (pelaajalta pelaajalle), on jo itsessään vakava asia, mutta se, miten peliyhtiö reagoi asiaan, on jo täysin ala-arvoista, vaikkakaan ei mitenkään yllättävää:

According to the post, the “hacker” knew about the vulnerability and attempted to contact Dark Souls developer FromSoftware about the issue. He was reportedly ignored, so he started using the hack on streamers to draw attention to the problem.

Pelien tietoturvasta puhutaan aika vähän, mutta syytä ehkä olisi puhua enemmän.
 
Se, että tällainen haavoittuvuus on ilmeisesti (?) hyväksikäytettävissä palvelimen yli (pelaajalta pelaajalle), on jo itsessään vakava asia, mutta se, miten peliyhtiö reagoi asiaan, on jo täysin ala-arvoista, vaikkakaan ei mitenkään yllättävää:



Pelien tietoturvasta puhutaan aika vähän, mutta syytä ehkä olisi puhua enemmän.

Valvellakin kesti kaksi vuotta korjata RCE Steamin pelikutsuissa. Alkoi tapahtumaan vasta kun exploit julkistettiin Twitterissä.
 
Se, että tällainen haavoittuvuus on ilmeisesti (?) hyväksikäytettävissä palvelimen yli (pelaajalta pelaajalle), on jo itsessään vakava asia, mutta se, miten peliyhtiö reagoi asiaan, on jo täysin ala-arvoista, vaikkakaan ei mitenkään yllättävää:



Pelien tietoturvasta puhutaan aika vähän, mutta syytä ehkä olisi puhua enemmän.
Eikös tuo dark souls ole muutenkin tunnettu siitä että netissä pelatessa vastustajan pelin voi paskoa osaava pelaaja täysin epärehellisesti esim saamalla vastustaja noukkimaan tietynlainen custom koodattu tavara inventoriinsa yms?
 
Se, että tällainen haavoittuvuus on ilmeisesti (?) hyväksikäytettävissä palvelimen yli (pelaajalta pelaajalle), on jo itsessään vakava asia, mutta se, miten peliyhtiö reagoi asiaan, on jo täysin ala-arvoista, vaikkakaan ei mitenkään yllättävää:

Nämä haavoittuvuudet on pahin ongelma juuri tuollaisissa peleissä kuin Darksouls, jossa pelataan random tyyppejä vastaan netissä. Jos pelaa jollain omalla lokaalilla serverilla jossain omassa lan partyssä jossa kaikki ovat saman katon alla asia ei niinkään ole ongelma.
 
Tässä streamissa streemaajan kone kaapataan tuon darksoul 3 haavoittuvuuden avulla ja hakkeri kaataa pelin prosessin ja ajaa koneella scriptin joka käynnistää windowsin puhesyntetisaattorin arvostelemaan streemaajan pelitaitoja. Tapahtuu kohdassa 1:20:22.
 
Haavoittuvuus Polkit-komponentissa

Esim. Ubuntuun löytyy jo päivitykset
 
Tähän haavoittuvuuteen on nyt julkaistu päivityksiä
 
Haavoittuvuus Polkit-komponentissa

Esim. Ubuntuun löytyy jo päivitykset

Tämä ei vissiin koske Androidia, käsitinkö oikein? Siinähän ei root-oikeuksia ole normaalisti saatavilla ylipäätään, ja muukin oikeuksien hallinta taitaa mennä jotenkin muuten kuin PolicyKitillä?
 
Tämä ei vissiin koske Androidia, käsitinkö oikein? Siinähän ei root-oikeuksia ole normaalisti saatavilla ylipäätään, ja muukin oikeuksien hallinta taitaa mennä jotenkin muuten kuin PolicyKitillä?
En ainakaan löytänyt Googlella oikein mitään. Hakusanoina android ja CVE-2021-4034.
 
Suomalaiset diplomaatit ovat joutuneet kybervakoilun kohteeksi, kertoo ulkoministeriö. Käytetty NSO Groupin Pegasus haittaohjelmaa.

 

Researchers have demonstrated a new type of fingerprinting technique that exploits a machine's graphics processing unit (GPU) as a means to track users across the web persistently.

Dubbed DrawnApart, the method "identifies a device from the unique properties of its GPU stack," researchers from Australia, France, and Israel said in a new paper," adding " variations in speed among the multiple execution units that comprise a GPU can serve as a reliable and robust device signature, which can be collected using unprivileged JavaScript."
 
Googlen FLoC ei saanut kauhean hyvää vastaanottoa, joten heittivät sen roskiin ja ehdottavat nyt uutta systeemiä, Topics...
With Topics, your browser determines a handful of topics, like “Fitness” or “Travel & Transportation,” that represent your top interests for that week based on your browsing history. Topics are kept for only three weeks and old topics are deleted. Topics are selected entirely on your device without involving any external servers, including Google servers. When you visit a participating site, Topics picks just three topics, one topic from each of the past three weeks, to share with the site and its advertising partners. Topics enables browsers to give you meaningful transparency and control over this data, and in Chrome, we’re building user controls that let you see the topics, remove any you don’t like or disable the feature completely.

Saa nähdä miten tuo lupaus, että voi poistaa käytöstä toteutetaan muka...
 

Earlier today, a well-known hacking group made a post on a popular hacking forum advertising internal documents from Lockheed Martin. We examined a sample of the documents and also obtained exclusive commentary from the hacker group, including how they claimed to have breached Lockheed Martin’s network by sending select employees gifts during the 2021 holiday season.
 

Ten of the discovered vulnerabilities could be exploited for privilege escalation, twelve memory corruption flaws in SMM, and one is a memory corruption vulnerability in InsydeH2O's Driver eXecution Environment (DXE)
local or remote attacker with administrative privileges exploiting SMM flaws could perform the following tasks:
  • Invalidate many hardware security features (SecureBoot, Intel BootGuard)
  • Install persistent software that cannot be easily erased
  • Create backdoors and back communications channels to steal sensitive data
At the time of writing, only Insyde, Fujitsu, and Intel have confirmed themselves as affected by the flaws, while Rockwell, Supermicro, and Toshiba were confirmed as not impacted. The rest are investigating.
 
Amerikassa ollaan taas vauhdissa ja nostettu pöydälle vanha ehdotus (ja jälleen heilutellaan lasten suojelu korttia) :

the new EARN IT Act would pave the way for a massive new surveillance system, run by private companies, that would roll back some of the most important privacy and security features in technology used by people around the globe. It’s a framework for private actors to scan every message sent online and report violations to law enforcement. And it might not stop there. The EARN IT Act could ensure that anything hosted online—backups, websites, cloud photos, and more—is scanned.

Eli, pahimmassa tilanteessa, käytitpä mitä tahansa USAssa toimivaa palvelua, niin sun data on luettavissa viranomaisten taholta ja skannataan läpi (ja ties minkä muun yksityisen palvelun). Ja salaukset oltava purettavissa tuota varten suoraan palveluntarjoajalla, eli sekään ei auta.
 
Amerikassa ollaan taas vauhdissa ja nostettu pöydälle vanha ehdotus (ja jälleen heilutellaan lasten suojelu korttia) :

the new EARN IT Act would pave the way for a massive new surveillance system, run by private companies, that would roll back some of the most important privacy and security features in technology used by people around the globe. It’s a framework for private actors to scan every message sent online and report violations to law enforcement. And it might not stop there. The EARN IT Act could ensure that anything hosted online—backups, websites, cloud photos, and more—is scanned.

Eli, pahimmassa tilanteessa, käytitpä mitä tahansa USAssa toimivaa palvelua, niin sun data on luettavissa viranomaisten taholta ja skannataan läpi (ja ties minkä muun yksityisen palvelun). Ja salaukset oltava purettavissa tuota varten suoraan palveluntarjoajalla, eli sekään ei auta.

Ei tuollaista pystytä mitenkään toteuttamaan. Palvelun tarjoajat vie palvelimensa sellaiseen maahan jonne toi laki ei yllä jos tuollaista oikeasti alettaisiin ajaa. Toihan vaatisi sen että esim metalla olisi api tuollaiselle scannerille ja kaikki liikenne tuutattaisiin sen läpi.
Toinen vaihtoehto olisi nuuskia se liikenne lennossa purkamalla salaus, mutta SSL salausta ei käsittääkseni ole korkattu niin että tuo olisi mahdollista ja jos olisi niin sitten olisi paljon isompi ongelma maailmanlaajuisesti kuin joidenkin jenkkitahojen hinku nuuskia kaikki liikenne.

EFF ajaa ihan hyviä juttuja mutta jossain asioissa menevät mielestäni hiukan liian pitkälle noissa uutisoinneissa ja niillä lietsotaan vaan pelkoa. Eli jutut hiukan liian raflaavia.
 
Tämä ei ole varsinaisesti uutinen, se on vaan jostain syystä pysynyt poissa otsikoista.

EU:ssa puuhataan online-viestien skannausta CSAM-materiaalin löytämiseksi. Yksityisyydensuojaa online-viestinnässä on tällä hetkellä rajoitettu siten, että palveluntarjoajat saavat skannata viesteistä CSAM-materiaalia. EU komissio tod.näk. haluaa tehdä siitä pakollista. Tämmöinen toiminta rikkoisi viestien end-to-end salauksen esim. WhatsAppissa.

 
Laitetaan nyt tännekin varalta, sen verta vakava reikä löytynyt Applen vehkeistä eli päivittäkääs pikaseen...
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
 

The cofounder of a Twitter 2FA text service is reported to have been secretly selling access to its networks to governments, enabling them to locate people of interest – and in some cases obtain their phone logs …

The company, Mitto AG, was used by Twitter to send text messages on its behalf, including security codes used for two-factor authentication (2FA). Twitter says that it is “transitioning” away from the company’s services, but appears not to have completely ceased using them as yet.
 
Ei ollut mulla tuonne Twitteriin tunnuksia eli tuo on ensimmäinen palvelu, jossa otin muutama kuukausi sitten käyttöön "Sign in with Apple". Lisäksi tuossa on käytössä Applen "Hide My Email" ominaisuus. Applen laitteilla kirjautuminen menee Touch tai Face ID:lla.
 
Ei varmaan hirveänä yllätyksenä tule, että TikTok sovellus ei paljoa käyttäjän oikeuksista välitä...
- Kiinalaistaustainen TikTok pystyy kiertämään Applen ja Googlen sovelluskauppojen turvallisuusjärjestelmät ja seuraa käyttäjien laitteita.
- Tutkimuksen mukaan TikTok pystyy välttämään sovelluskauppojen koodintarkastukset, joiden on tarkoitus varmistaa muun muassa käyttäjän yksityisyyden kunnioittaminen. Ehkä huolestuttavinta on se, että TikTok pystyy muuttamaan sovelluksen toimintaa ilman, että käyttäjä tietää asiasta mitään.
- Lisäksi sovellus hyödyntää laitteen seurantaa, joka antaa kiinalaiselle emoyhtiölle sekä kolmansille osapuolille täyden pääsyn käyttäjän dataan.
 
Ei varmaan hirveänä yllätyksenä tule, että TikTok sovellus ei paljoa käyttäjän oikeuksista välitä...
- Kiinalaistaustainen TikTok pystyy kiertämään Applen ja Googlen sovelluskauppojen turvallisuusjärjestelmät ja seuraa käyttäjien laitteita.
- Tutkimuksen mukaan TikTok pystyy välttämään sovelluskauppojen koodintarkastukset, joiden on tarkoitus varmistaa muun muassa käyttäjän yksityisyyden kunnioittaminen. Ehkä huolestuttavinta on se, että TikTok pystyy muuttamaan sovelluksen toimintaa ilman, että käyttäjä tietää asiasta mitään.
- Lisäksi sovellus hyödyntää laitteen seurantaa, joka antaa kiinalaiselle emoyhtiölle sekä kolmansille osapuolille täyden pääsyn käyttäjän dataan.

Sekään ei yllätä ettei nämä uutisoinnit vaikuta mitenkään käyttäjiin. "Mutta kun se algoritmi on niin hyvä.."
 
Mikäli tuo pitää paikkansa, niin Samsung saattaa olla pienessä pulassa...
Shortly after teasing their followers, Lapsus$ published a description of the upcoming leak, saying that it contains “confidential Samsung source code” originating from a breach.

  • source code for every Trusted Applet (TA) installed in Samsung’s TrustZone environment used for sensitive operations (e.g. hardware cryptography, binary encryption, access control)
  • algorithms for all biometric unlock operations
  • bootloader source code for all recent Samsung devices
  • confidential source code from Qualcomm
  • source code for Samsung’s activation servers
  • full source code for technology used for authorizing and authenticating Samsung accounts, including APIs and services

Toisaalta, saattaa myös avata ovet custom ROM maailmalle nykyisissä luureissa...
 
Viimeksi muokattu:
Koitin katsoa, että ei olis dupe, mutta tää näyttää kans niin perinteiseltä:
Taas hyvä esimerkki, miten otetaan "huipputurvallinen salaus" ja sitten pienellä kikkailulla sabotoidaan se täysin tiedustelupalveluita varten.
Samsung Encryption Flaw - Schneier on Security
Mihin siis voi luottaa?
 
Nvidian tietomurrossa vuoti Nvidian ajurien allekirjoitusavaimet.

According to samples uploaded to the VirusTotal malware scanning service, the stolen certificates were used to sign various malware and hacking tools, such as Cobalt Strike beacons, Mimikatz, backdoors, and remote access trojans.

While both stolen NVIDIA certificates are expired, Windows will still allow a driver signed with the certificates to be loaded in the operating system.
 
Viimeksi muokattu:
While both stolen NVIDIA certificates are expired, Windows will still allow a driver signed with the certificates to be loaded in the operating system.
Tämä on kyllä myöskin paljon Microsoftin moka, minkä hiton takia vanhentuneet sertifikaatit hyväksytään kyselemättä!?
 
Tämä on kyllä myöskin paljon Microsoftin moka, minkä hiton takia vanhentuneet sertifikaatit hyväksytään kyselemättä!?
Ongelmaksi tulee jo asennetut ajurit. Eli kaikkien pitäisi saada sitten päivitetyllä sertifikaatilla allekirjoitetut uudet ajurit asennettua, että tuon vanhan voi poistaa käytöstä.

Jonkun online-pakotetun lisälaitteen kanssa (esim. joku iot-nappi) toi olisi teoriassa vielä mahdollista, mutta muuten tuo on käytännössä mahdoton yhtälö ratkaista.
 
Eikö Microsoft voi laittaa noihin vaarallisiin sertifikaatteihin punaista lippua tai muuta hälytysmerkkiä, että käyttäjät pystyisivät havaitsemaan vaarallisen ajurin vaikka sitä ei pakotettaiskaan poistamaan tai päivättämään?
 
Tuon varoituksen (että jonkin käytössä olevan laiteajurin sertifikaatti on poistettu käytöstä tietoturvasyistä) voisi tietenkin lisätä esim. Windows Defenderiin, mutta sitten se varoitus jäisi todella monessa koneessa näkyviin koneen loppu eliniäksi, kun markkinoilla on aika paljon laiteajureita, joita ei ole päivitetty vuosikausiin (eikä todennäköisesti enää koskaan päivitetä). Noita laiteajureihin ja ajureiden asennuksiin liittyviä tietoturvaongelmia on Windows-puolella niin paljon, että niiden korjaaminen ei ainakaan omasta mielestäni onnistu mitenkään tässä nykyisessä Windows-ekosysteemissä.

(tässä siis yksi esimerkki viime vuodelta)
 
Tuon varoituksen (että jonkin käytössä olevan laiteajurin sertifikaatti on poistettu käytöstä tietoturvasyistä) voisi tietenkin lisätä esim. Windows Defenderiin, mutta sitten se varoitus jäisi todella monessa koneessa näkyviin koneen loppu eliniäksi, kun markkinoilla on aika paljon laiteajureita, joita ei ole päivitetty vuosikausiin (eikä todennäköisesti enää koskaan päivitetä). Noita laiteajureihin ja ajureiden asennuksiin liittyviä tietoturvaongelmia on Windows-puolella niin paljon, että niiden korjaaminen ei ainakaan omasta mielestäni onnistu mitenkään tässä nykyisessä Windows-ekosysteemissä.

(tässä siis yksi esimerkki viime vuodelta)


Tähän Wiindows Defenderin tuunaukseen liittyvään artikkeliin tulikin juuri törmättyä:
 
Tähän Wiindows Defenderin tuunaukseen liittyvään artikkeliin tulikin juuri törmättyä:
Nopeesti luettuna tossa artikkelissa kerrottiin miten saat home editioniin gpo:lla asiat, jotka about kaikki saa ihan asetuksista päälle?
 
Liekkö miten käytetty appi täällä Suomessa (Truecaller, löytyy sekä Google Play että Apple Storesta), mutta helppo tapa saada omat yhteystiedot jakoon nettiin ja saattaa olla yksi syy, miksi tulee niitä mukavia spämmipuheluita "Microsoftin tuelta" sun muilta...
if you are listed in any of the phonebooks of a registered user of Truecaller, your privacy has already been compromised without your consent, and your phone number — possibly with your professional identity — is ready to be viewed by the whole world.

Truecaller’s database has been built by tapping four main sources: downloads of the app; white and yellow pages of foreign countries not restricted by privacy concerns; partnerships with social media platforms that publicly display numbers; and free authentication of application-programming interfaces (APIs) and software development kits (SDKs). According to the former employee interviewed by The Caravan, the number of users who have given consent for their phone numbers to be identified and added to the Truecaller database is negligible compared to those who have been added without their consent.

“Apart from tracking your calls, their duration, and your most and least favorite contacts, the Truecaller software can build your detailed financial profile, as it has access to your SMS [messages],” the former employee said. They confirmed that the company’s algorithm can read the content of text messages. “With a special feature called ‘SMS categorizer,’ the Truecaller software is able to recognize personal, high-priority [bank OTPs and transactions], and also spam messages of its registered user.”


Eli jos kukaan, jonka puhelimessa on sinun numerosi kontakteissa käyttää kyseistä softaa, niin numerosi on jo jaossa ties missä.
 
Liekkö miten käytetty appi täällä Suomessa (Truecaller, löytyy sekä Google Play että Apple Storesta), mutta helppo tapa saada omat yhteystiedot jakoon nettiin ja saattaa olla yksi syy, miksi tulee niitä mukavia spämmipuheluita "Microsoftin tuelta" sun muilta...
if you are listed in any of the phonebooks of a registered user of Truecaller, your privacy has already been compromised without your consent, and your phone number — possibly with your professional identity — is ready to be viewed by the whole world.

Truecaller’s database has been built by tapping four main sources: downloads of the app; white and yellow pages of foreign countries not restricted by privacy concerns; partnerships with social media platforms that publicly display numbers; and free authentication of application-programming interfaces (APIs) and software development kits (SDKs). According to the former employee interviewed by The Caravan, the number of users who have given consent for their phone numbers to be identified and added to the Truecaller database is negligible compared to those who have been added without their consent.


Eli jos kukaan, jonka puhelimessa on sinun numerosi kontakteissa käyttää kyseistä softaa, niin numerosi on jo jaossa ties missä.
Applen Apps Store Top-listalla (Suomi) sijalla 155 tuo appi.
 
Mikäli tuo pitää paikkansa, niin Samsung saattaa olla pienessä pulassa...

Tuohon uutiseen liittyen:


Samsung Electronics confirmed on Monday that its network was breached and the hackers stole confidential information, including source code present in Galaxy smartphones.

The company representative did not say if the intruders made any demands before leaking the proprietary information, as it happened in the case of the Nvidia leak.

Lapsus$ said that they are delaying leaking the rest of the Nvidia information because they are negotiating with a buyer.

The cache leaked from Samsung is much larger and allegedly includes details about the company’s Trusted Applet in Samsung’s TrustZone environment responsible for sensitive tasks such as hardware cryptography, binary encryption, and access control.

The hackers also claim that the dump includes source code for Knox, Samsung’s proprietary security and management framework present on most of its devices.



“There was a security breach relating to certain internal company data,” Samsung said. “According to our initial analysis, the breach involves some source code relating to the operation of Galaxy devices, but does not include the personal information of our consumers or employees. Currently, we do not anticipate any impact to our business or customers. We have implemented measures to prevent further such incidents and will continue to serve our customers without disruption.”
 
Tuohon uutiseen liittyen:







Juu, tästä oli jo kirjoitettu tuolla uutisosastollakin, niin en jaksanut tänne kirjoitella tuosta enempää...
 
APCn UPS laitteissa kivoja reikiä löydetty, etenkin jos on aktivoitu pilvihallinta. Ongelma on aikas suuri, koska noita laitteita käytetään todella laajasti maailmalla...
Two of the vulnerabilities, CVE-2022-22805 and CVE-2022-22806 are in the implementation of the TLS (Transport Layer Security) protocol that connects the Smart-UPS devices with the “SmartConnect” feature to the Schneider Electric management cloud.
The third one, identified as CVE-2022-0715, relates to the firmware of “almost all APC Smart-UPS devices,” which is not cryptographically signed and its authenticity cannot be verified when installed on the system.
While the firmware is encrypted (symmetric), it lacks a cryptographic signature, allowing threat actors to create a malicious version of it and deliver it as an update to target UPS devices to achieve remote code execution (RCE).
 
Venäjä yrittää saada käyttäjät asentamaan epäilyttäviä sertifikaatteja. Kannattaa pysyä näistä kaukana.

 

Statistiikka

Viestiketjuista
257 566
Viestejä
4 477 222
Jäsenet
73 957
Uusin jäsen
helzinki

Hinta.fi

Back
Ylös Bottom