WN - SvenskaFans.se hackat!

WN (https://www.wn.se/forum/index.php)

- Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)

- - SvenskaFans.se hackat! (https://www.wn.se/forum/showthread.php?t=27334)

Hej Medlem,

SvenskaFans.com hade natten till igår (onsdag) ett dataintrång där en hacker tog sig in i vårt system där vi bland annat hanterar användaruppgifter. Vi vet ännu inte omfattningen av intrånget, men för att vara på den säkra sidan vill vi därför be er att ni ändrar ert lösenord för er profil på SvenskaFans så snart som möjligt.

Vi ber om ursäkt för detta missöde, vi ser mycket allvarligt på det inträffade och har under natten och dagen gjort flera uppgraderingar av vårt system för att förbättra säkerheten.

Använder ni ert SvenskaFans-lösenord på andra ställen bör ni även byta det där.

Med vänliga hälsningar

SvenskaFans.com
[email protected]

/Thomas THL

Riktigt pinsamt att ha lösenorden i klartext och t.om. ha ett gränssnitt där administratörer kan se användarnas lösenord.
Bild från artikeln på IDG

Citat:

Originally posted by Fredrik S@Feb 20 2008, 23:43
Riktigt pinsamt att ha lösenorden i klartext och t.om. ha ett gränssnitt där administratörer kan se användarnas lösenord.
http://i30.tinypic.com/x5qeqa.jpg

Det varierar beroende på vad för sajt det handlar om skulle jag säga. Självfallet är all ökad säkerhet bra oavsett vad för verksamhet man bedriver men man får också sätta säkerheten i proportion dels till vad för information som kan komma att läcka ut och dels till vilka ekonomiska intressen som finns inblandade samt tidsåtgång och kostnad som åtgår att återställa systemet. Det är inte många som tar hänsyn till detta utan så fort det kommer upp en nyhet om att en sajt blivit hackad (vilket börjar bli lite tjatigt vid det här laget....) så är det genast en drös medlemmar som skriker typ "idioter som har lösenord i klartext" eller "de hade ju bara MD5-kryptering av lösenorden så de får nästan skylla sig själva" osv..... Det är något majoriteten som pysslar med webbutveckling här redan känner till och det är mer givande att diskutera säkerheten i andra trådar än att upprepa samma saker i varje nyhetstråd.

En liten fråga...

Varför har ni inte fixat kryptering m.m efter alla hack som ha varit nu om sidan är så stor?
(Har aldrig hörttalas om den) Är det att ni är lata eller tänkt att det inte kommer hända er eller vaddå?

Jag anser även att det handlar om integritet då alla användares lösenord visas i en lång lista. Man kan ju fundera över hur ofta admins har suttit och roat sig med att kolla vad folk använder för lösenord.

Sen kanske det är så att "det varierar beroende på vad för sajt det handlar", men nu handlade det om ingen mindre än svenskafans.com

Citat:

Originally posted by SvenskaFans
Hej,

Vi har haft ett allvarligt dataintrång i vårt admin. Det skedde vid 21-tiden igår då en hacker som kallade sig "Data-Janne" publicerade en artikel på sajten där han påtalade för oss att vår säkerhet kring användarhanteringen var bristfällig. Han återkom även idag med en puff på startsidan med samma budskap.

Vi har sedan i går mejlkontakt med den här personen och han säger att han är ute efter att hjälpa oss med säkerheten för användarna. Han har visat var någonstans säkerhetshålen finns, samt hur vi ska skydda oss. Enligt Peter är det ett riktigt superproffs då vi trodde innan att vi hade rätt skydd. Men så icke.

Hackern säger sig också ha tillgång till våra användarnamn och lösenord till admin, vilket mycket väl kan stämma, och att han inte tänker föra dem vidare.

De senaste 24 timmarna har vi ägnat till att bygga om vårt system och täppa igen de hål som fanns. Nu tror vi att vi har lyckats. Testning pågår.

Vi har också ändrat till kryptering av våra lösenord så att dessa inte längre lagras i databasen.

Då alla använadarkonton eventuellt är på vift är det ytterst viktigt att ni loggar in i admin och byter lösenord.

När ni loggat in klickar ni på MSN-gubben uppe till höger och fyller i ett nytt lösenord.

För att vara på den säkra sidan har vi också uppmanat våra medlemmar att byta lösenord, vilket ni också bör göra på de medlemskonton som ni har.

Samt se över om det lösenord som ni använt här, om det användas i andra sammanhang, byts ut.

Viktigt att ni sprider detta till alla skribenter på er lista så snart som möjligt.

Vi beklagar verkligen det inträffade, det har varit riktigt jobbigt det senaste dygnet, och vi kommer nu behöva lägga mer resurser och tid på säkerhetsfrågor och drift framöver. Vår sajt är den femte stora sajten som blivit hackad i år. Tidigare har Aftonbladet, Bilddagboken, Hamsterpaj, TV3.se råkat ut för likande incedenter.

Kontakta gärna oss om ni har frågor på detta.

MVH

Citat:

Originally posted by Fredrik S@Feb 21 2008, 00:10
Jag anser även att det handlar om integritet då alla användares lösenord visas i en lång lista. Man kan ju fundera över hur ofta admins har suttit och roat sig med att kolla vad folk använder för lösenord.
Sen kanske det är så att "det varierar beroende på vad för sajt det handlar", men nu handlade det om ingen mindre än svenskafans.com

Jo, men de generella säkerhetsfrågorna finns ingen mening med att börja diskutera om och om igen i varje nyhetstråd som handlar om hackade sidor utan det tar man lämpligare i en annan tråd....

Sannolikt anser de inte att det finns någon särskilt känslig information som kan förloras och har därför inte lagt ner någon energi från att förbättra säkerheten i vad som väl är mer eller mindre ett hobbyprojekt från början. Att admins har kunnat se lösenord i klartext beror väl på att de ska kunna hjälpa användare med glömda lösenord.

Givetvis är detta ganska extrema säkerhetsbrister som lätt har kunnat förbättras på kort tid och som inte skulle godtas av oss professionella webbutvecklare för fem öre men det kan man tycka vad man vill om. Alla tar olika stora risker och det är väl mer än åsiktsfråga om de står i proportion till eventuell förlust.

Tråkigt att de saboterar.

Men samtidigt enormt pinsamt hur lösenordshanteringen skedde på sidan (ang. IDG bilden), trodde kanske att senaste tidens intrång skulle var något av ett "wakeup call" för många, men tydligen inte. En admin kan alltså logga in och se alla användares lösenord i klartext. Vad är det för slags integritet? det är som upplagt för missbruk, ett svek mot sidans användare, jag blir nästan irriterad.

Edit: Jag kan på inget sätt förstå de som försvarar den här hanteringen av folks personliga uppgifter. Det är en väldigt enkel åtgärd att se över grundläggande säkerhetsfunktioner som t.ex hashing+salt+peppar.

Citat:

Originally posted by Fredrik S@Feb 21 2008, 00:10
Man kan ju fundera över hur ofta admins har suttit och roat sig med att kolla vad folk använder för lösenord.

Som du säger så börjar man nästan undra om det kanske är bra om just sånna sajter blir hackade.

Kanske är enda sättet att "få bort" sajter som ja skulle vilja säga missbrukar
användarnas förtroende och integritet.

Känns som en ominstallation borde vara på sin plats, inte bara updatera...

Vet aldrig vad som har blivit inbakat.