Sunnuntai, 14.10.2007

80 000 suomalaisen käyttäjätunnustiedot vuotaneet Internetiin

Kräkkerit ovat vuotaneet Internetiin tiedoston, joka sisältää noin 80 000 suomalaisen internet-käyttäjän käyttäjätunnustiedot. Tunnustiedot liittyvät todennäköisesti keskustelufoorumeihin ja yhteisöpalveluihin. CERT-FI selvittää parasta aikaa, mihin palveluihin tunnukset mahdollisesti liittyvät. Yksi tietomurron kohteena olleista palveluista on Rakkausrunot.fi, joka kertoo tiedotteessaan ruotsalaisten kräkkerien iskeneen palveluun keskustelufoorumissa olleen haavoittuvuuden kautta.

CERT-FI suosittelee suomalaisille internet-yhteisöpalveluiden käyttäjille salasanan vaihtamista, jos on pieninkin epäilys siitä, että tunnustiedot ovat joutuneet vääriin käsiin. CERT-FI toivoo myös palveluylläpitäjien tarkistavan, täsmääkö vuodettu käyttäjätunnistetiedosto oman palvelun käyttäjätietokantaan. Mikäli on syytä epäillä, että salasanat on saatu esimerkiksi tietomurron yhteydessä, asiasta olisi syytä ilmoittaa viranomaisille.

Lue juttu oma, 14.10.2007 21:00. Lähde: CERT-FI

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 18 uutta / 18 )

pistettä. Näytä vain kommentit joilla on vähintään

	Re: 80 000 suomalaisen... susi, 15.10.2007 10:21:21	Pisteet: 0

Hähä, pitäisikö tehdä oma lista, jossa pyydetään käyttäjää antamaan tarkistamiseen käyttäjätunnus, _sekä_ salasana... ;)

	Re: 80 000 suomalaisen... Bling, 14.10.2007 23:24:32	Pisteet: 0

Vaan olipas ihan huojentavaa käydä varmistaan ettei omat vakio passut ole päässy vuotaan...

Pitäs varmaan kehitellä joku geneerinen tapa, ettei olis lähes jokaiseen nettipuljuun samat käyttis/passu yhdistelmät. Ei vaan ole mitenkään mahdollista, että tässä päässä pystyisi säilömään jokaiseen palveluun yksilölliset passut...

IE is like the language of south park. It should not be used by anyone but still it is used by the great majority

	Re: 80 000 suomalaisen... 101010, 14.10.2007 23:35:49	Pisteet: 0

Pitäs varmaan kehitellä joku geneerinen tapa, ettei olis lähes jokaiseen nettipuljuun samat käyttis/passu yhdistelmät. Ei vaan ole mitenkään mahdollista, että tässä päässä pystyisi säilömään jokaiseen palveluun yksilölliset passut...

Voisithan käyttää jotain tällaista:
"Magically make custom passwords for each website, based off of a single master password. Also fills in username and email address fields."
https://addons.mozilla.org/en-US/firefox/addon/874

Itse olen tyytynyt tosin tuohon ei-väliä salasana tyyliin.

	Re: 80 000 suomalaisen... Bling, 15.10.2007 16:04:10	Pisteet: 0

Voisithan käyttää jotain tällaista: "Magically make custom passwords for each website, based off of a single master password. Also fills in username and email address fields."
https://addons.mozilla.org/en-US/firefox/addon/874
Itse olen tyytynyt tosin tuohon ei-väliä salasana tyyliin.

Tuo olisi varmaan ihan toimiva, jos käyttäisi vain yhtä konetta.

IE is like the language of south park. It should not be used by anyone but still it is used by the great majority

	Re: 80 000 suomalaisen... 101010, 15.10.2007 22:25:50	Pisteet: 0

Tuo olisi varmaan ihan toimiva, jos käyttäisi vain yhtä konetta.

Eikö niille muille koneille voi asentaa samaa laajennusta?

	Re: 80 000 suomalaisen... wally, 14.10.2007 23:28:51	Pisteet: 0

Entä jos kaikkiin joopajoo-palveluihin - kuten Sektori.com - käyttää jotain simppeliä salasanaa, ja tärkeämpiin toista.

Huippusalaiseen STASI-luokiteltuun aineistoon voi sitten olla vielä 3. tason passu.

Kait sitä 3 käyttäjätunnus&salasana-yhdistelmää muistaa?

	Re: 80 000 suomalaisen... wally, 14.10.2007 23:31:46	Pisteet: 0

Ohh?

Pentapostaus varmaankin johtuu web developer toolbarin ja sen lisäkilkkeiden käytöstä. Sektorin koodi on kyllä ongelman alkuperäinen aiheuttaja.

	Re: 80 000 suomalaisen... arashi, 14.10.2007 23:54:26	Pisteet: 0

Ohh? Pentapostaus varmaankin johtuu web developer toolbarin ja sen lisäkilkkeiden käytöstä. Sektorin koodi on kyllä ongelman alkuperäinen aiheuttaja.

Joo, annetaanpas tässä nyt samantien sivuston tekniselle yllöpidolle vihje yhdestä mahdollisesta lähestymistavasta kommenttien tarkastamiseksi.

1) Lisätään kommenttien kantatauluun sarake hash
2) Kommentin tullessa sisään lasketaan hash kommentoijan käyttäjätunnuksesta, kommentin sisällöstä ja uutisen id numerosta
3) Haetaan lasketulla hashillä kommenttikannasta vastaavuuksia
4a) Jos kannasta löytyi vastaava hash ei uutta kommenttia kirjoiteta koska sama käyttäjä on jo postannut saman kommentin samaan uutiseen aiemmin
4b) Jos ei löytynyt niin kirjoitetaan kommentti kantaan ja muistetaan laittaa se hash sinne myös

Ja jos joku käyttäjä itkee ettei hän voi kommentoida kahdelletoista eri kommentoijalle 'lol' kun natsisääntö syö postauksia niin murretaan siltä sormet.

	Re: 80 000 suomalaisen... ion, 15.10.2007 22:51:36	Pisteet: 0

Joo, annetaanpas tässä nyt samantien sivuston tekniselle yllöpidolle vihje yhdestä mahdollisesta lähestymistavasta kommenttien tarkastamiseksi.

Tai sitten vain se POSTin käsittelevä kikkare antaa 303-redirectin osoitteeseen, joka näyttää varsinaisen sisällön.

http://www.w3.org/Protocols/rfc2616/rfc2616-sec10....

Heroes-jaksojen ja -sarjisten järjestys keskenään: http://heh.fi/heroes/

	Re: 80 000 suomalaisen... wally, 15.10.2007 20:53:05	Pisteet: 0

Tuohan olis erittäinkin leet.

Itselle tuli mieleen vähän ehkä yksinkertaisempi tapa: Estetään käyttäjältä kommentointi, mikäli edellinen saman käyttäjän kommentti on lähetetty vaikka 10 sekunnin sisään.

Ja jos joku itkee, että ei voi riittävän nopeasti kommentoida niin telotaan sen polvet.

	Re: 80 000 suomalaisen... arashi, 15.10.2007 22:02:48	Pisteet: 0

Tuohan olis erittäinkin leet. Itselle tuli mieleen vähän ehkä yksinkertaisempi tapa: Estetään käyttäjältä kommentointi, mikäli edellinen saman käyttäjän kommentti on lähetetty vaikka 10 sekunnin sisään.
Ja jos joku itkee, että ei voi riittävän nopeasti kommentoida niin telotaan sen polvet.

Tuo vie kieltämättä vähemmän prosessoriaikaa, pistetään talteen. Käytin aiempaa vain joskus aikanaan estämään käyttäjiä postittamasta samaa kommenttia (vahingossa) useasti painamalla refresh nappia kommentteja kytätessään.

Sitten vaan kehittämään keino jota voi käyttää tekosyynä käyttäjän lemmikkien tappamiselle.

Pisterajan alittavia kommentteja piilossa.

	Re: 80 000 suomalaisen... 101010, 14.10.2007 21:09:21	Pisteet: 0

Eikö niitä uusia salasanoja voi varastaa samaa reittiä kuin edellisiäkin?

	Re: 80 000 suomalaisen... bungle, 15.10.2007 03:12:47	Pisteet: 0

Eikö niitä uusia salasanoja voi varastaa samaa reittiä kuin edellisiäkin?

Vaikea sanoa, kun ei oikein löydy tarkkaa selostusta aiheesta. Rakkausrunot näyttää käyttävän phpbb:tä, josta uusin 2.x.x versio on julkaistu 23.12.2006. Onko tämä reikä siis myös tuossa uusimmassa vai onko rakkausrunojen ylläpito ollut noin huolimaton?

--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor

	Re: 80 000 suomalaisen... henkettu, 17.10.2007 17:05:14	Pisteet: 0

Minunkin salasanani löytyi tuolta. Ei muuta, kuin kaikki vaihtoo.

80 000 suomalaisen käyttäjätunnustiedot vuotaneet Internetiin

Kymmeniä miljoonia MasterCard- ja Visa-luottokorttitietoja varastettu

Windows XP Game Advisor neuvoo pelien valinnassa

Huumorin kukkanen Lahden poliisin verkkopalvelussa

Applen .Mac teknisissä vaikeuksissa

Playboy-lehden palvelimelle murtauduttiin