Hej Medlem,

SvenskaFans.com hade natten till igår (onsdag) ett dataintrång där en hacker tog sig in i vårt system där vi bland annat hanterar användaruppgifter. Vi vet ännu inte omfattningen av intrånget, men för att vara på den säkra sidan vill vi därför be er att ni ändrar ert lösenord för er profil på SvenskaFans så snart som möjligt.

Vi ber om ursäkt för detta missöde, vi ser mycket allvarligt på det inträffade och har under natten och dagen gjort flera uppgraderingar av vårt system för att förbättra säkerheten.

Använder ni ert SvenskaFans-lösenord på andra ställen bör ni även byta det där.

Med vänliga hälsningar

SvenskaFans.com
[email protected]

/Thomas THL

Riktigt pinsamt att ha lösenorden i klartext och t.om. ha ett gränssnitt där administratörer kan se användarnas lösenord.
Bild från artikeln på IDG

Det varierar beroende på vad för sajt det handlar om skulle jag säga. Självfallet är all ökad säkerhet bra oavsett vad för verksamhet man bedriver men man får också sätta säkerheten i proportion dels till vad för information som kan komma att läcka ut och dels till vilka ekonomiska intressen som finns inblandade samt tidsåtgång och kostnad som åtgår att återställa systemet. Det är inte många som tar hänsyn till detta utan så fort det kommer upp en nyhet om att en sajt blivit hackad (vilket börjar bli lite tjatigt vid det här laget....) så är det genast en drös medlemmar som skriker typ "idioter som har lösenord i klartext" eller "de hade ju bara MD5-kryptering av lösenorden så de får nästan skylla sig själva" osv..... Det är något majoriteten som pysslar med webbutveckling här redan känner till och det är mer givande att diskutera säkerheten i andra trådar än att upprepa samma saker i varje nyhetstråd.

En liten fråga...

Varför har ni inte fixat kryptering m.m efter alla hack som ha varit nu om sidan är så stor?
(Har aldrig hörttalas om den) Är det att ni är lata eller tänkt att det inte kommer hända er eller vaddå?

Jag anser även att det handlar om integritet då alla användares lösenord visas i en lång lista. Man kan ju fundera över hur ofta admins har suttit och roat sig med att kolla vad folk använder för lösenord.

Sen kanske det är så att "det varierar beroende på vad för sajt det handlar", men nu handlade det om ingen mindre än svenskafans.com

Jo, men de generella säkerhetsfrågorna finns ingen mening med att börja diskutera om och om igen i varje nyhetstråd som handlar om hackade sidor utan det tar man lämpligare i en annan tråd....

Sannolikt anser de inte att det finns någon särskilt känslig information som kan förloras och har därför inte lagt ner någon energi från att förbättra säkerheten i vad som väl är mer eller mindre ett hobbyprojekt från början. Att admins har kunnat se lösenord i klartext beror väl på att de ska kunna hjälpa användare med glömda lösenord.

Givetvis är detta ganska extrema säkerhetsbrister som lätt har kunnat förbättras på kort tid och som inte skulle godtas av oss professionella webbutvecklare för fem öre men det kan man tycka vad man vill om. Alla tar olika stora risker och det är väl mer än åsiktsfråga om de står i proportion till eventuell förlust.

Tråkigt att de saboterar.

Men samtidigt enormt pinsamt hur lösenordshanteringen skedde på sidan (ang. IDG bilden), trodde kanske att senaste tidens intrång skulle var något av ett "wakeup call" för många, men tydligen inte. En admin kan alltså logga in och se alla användares lösenord i klartext. Vad är det för slags integritet? det är som upplagt för missbruk, ett svek mot sidans användare, jag blir nästan irriterad.

Edit: Jag kan på inget sätt förstå de som försvarar den här hanteringen av folks personliga uppgifter. Det är en väldigt enkel åtgärd att se över grundläggande säkerhetsfunktioner som t.ex hashing+salt+peppar.

Som du säger så börjar man nästan undra om det kanske är bra om just sånna sajter blir hackade.

Kanske är enda sättet att "få bort" sajter som ja skulle vilja säga missbrukar
användarnas förtroende och integritet.

Känns som en ominstallation borde vara på sin plats, inte bara updatera...

Vet aldrig vad som har blivit inbakat.

Intressant. När man hackar en "lägsta bud"-sida och avslöjar att fusk sker på sidan så är man en "hjälte". Men när man på samma sätt hackar en sida och lägger ut medlemslistan så är man ett "svin". Aja inget konstigt i det antar jag, bara interssant =)

Inget konstigt alls. Skjuter man en seriemördare är man en hjälte, skjuter man en polis är man ett svin.


Men jag förstår inte alls varför administratörer ska kunna se användarnas lösenord, vad är meningen med det?

Är det ingen som ser användarvänlighet i att kunna tala om för användaren som har glömt sitt lösenord vad det var?

Personligen "vaknade" jag väl upp när aftonbladet blev hackat, och fixade till hashning av lösenord på mina större sajter. Det tråkiga är att det blir flera steg att gå igenom för en användare som har glömt sitt lösenord.

Sen tycker jag att det är mer skrämmande att databaserna kommer på vift än att lösenorden är lagrade i klartext. Hur gör dom för att komma åt det?

Vilken bra liknelse? Båda sidorna i frågan har ju betett sig illa.

Ja, precis som i detta fall verkar det som.

Sidan hanterar lösenorden i klartext, och ser själva alla password. Hackaren i sin tur, ville varna alla medlemmar om detta.
Någon gör något straffbart för att stoppa nåt han uppfattade som dåligt, precis som i jämförelsen...

Så det skulle vara rätt att göra något brottsligt om man uppfattar något som dåligt?

Nejdå.

Det är inte rätt, men alla uppfattar en människa som värre om den dödar en polis istället för en seriemördare.

Om inte annat så borde det framgått tydligt att:

"OBS. ditt lösenord lagras i klartext och kan ses av sidans adminstratörer"

Förutsatt att "hackaren" tagit kontakt med ansvarig för sidan och påpekat brister ang. användares integritet och exponering av personliga uppgifter och inga åtgärder tagits så kan jag tycka att denna form av civil olydnad fyller ett syfte.

Jag finner det märkligt att Svenska Fans har så pass dålig säkerhet då företaget som har finansierat och äger projektet bör vara riktigt duktiga på just det, eftersom de är verksamma i en internetbransch som kräver en hel del säkerhet.