Endnu et hack - 5000 danske brugernavne, passwords og emails lækket.

RETTET Dette burde i realiteten skrives af nogle journalister, men da alle holder juleferie og jeg selv sidder og har 15 minutter til overs inden ædegildet begynder, kan jeg jo lige så godt dele nyheden med jer alle. :)

I dag blev det offentligt at nyhedssitet newz.dk er blevet hacket. Ikke bare sådan et lille hyggeligt defacement, men ganske alvorligt auv-det-gjorde-ondt hacket. Synderen var Team Gilmore Girls (TGG), som også lavede en masse ballade sidste år.

Men, men til sagen!
På adressen (fjernet af redaktionen, red) findes pt. en fin liste over 5000 brugere fra newz.dk systemet. Med brugernavne... emails... og passwords.

Nu står jeg ikke selv på listen, men jeg er godt nok ualmindeligt træt af dårlige systemer, admins, osv. - konklusionen må være at man pinedød må bruge forskellige passwords overalt.

newz.dk undskylder her:
http://newz.dk/newz-dk-har-haft-uoensket-besoeg

Af hensyn til de uskyldigt berørte af hack hos newz.dk har redaktionen fjernet link i dette blogindlæg

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Egehoved

Nej, det lå garanteret ikke i klartekst, som de også skriver. De har nok kørt et eller andet standard dictionary attack mod brugerdatabasen efter de havde fremskaffet en kopi af den.

  • 0
  • 0
Hoder Jensen

Det er jo desværre ren sløseri fra newz.dk side og skuffende at se det ske på sådan et site.

Iøvrigt regnes det med at TGG har fået den komplette brugerliste, dvs. 25.000 brugernavn, email-adresser, ip'er og pass hashes.

  • 0
  • 0
Jørgen Asmussen

Meget rart at se at mit password i hvert fald ikke er på den liste, da jeg i det mindste vælger passwords der ikke er alm. ord i en ordbog, dog stadig irriterende at man skal til at ændre det fordi nogen ikke tar sikkerhed alvorligt nok.

Men prøv at se på de passwords der ellers er i listen... Fine eksempler på hvordan passwords i hvert fald ikke skal se ud.

  • 0
  • 0
Anonym

Fjern venligst alle henvisninger til ovennævnte blog; det er formidling af personfølsomme data, og der er sikkert stadig brugere der endnu ikke er klar over at dette er sket, af den ene eller anden grund.

Der er ingen grund til at gå TGG's ærinde ved at linke til bloggen, hvor fjolset har posted listen over users og passwords.

Du har nemlig helt ret, det burde være journalister der havde skrevet din artikel, da i så fald efter al sandsynlighed ikke ville have været linket til den blog, men blot fortalt hvad sagen går ud på.

  • 0
  • 0
Peter Makholm

Jeg er enig med Peter. Det giver ikke nogen mening af fjerne linket og jeg mener heller ikke at der blev gjort fejl i at sende det i første omgang. Version2 eller ej, så skal blackhats nok få udvekslet interessante oplysninger.

I den anden vægtskål ligger der at vi andre får en smule overblik over hvad der er sket. Ikke at jeg betragter hverken newz.dk eller TGG som troværdige kilder i denne sag, men de er de eneste kilder vi har. Det giver også mulighed for hver enkelt at gå ind og se om deres kodeord med sikkerhed er blevet kompromiteret og hvilke data der med sikkerhed er blevet kompromiteret.

Jeg kan ikke finde mig selv på listen (så muligvis kan jeg prale med aldrig at have kommenteret på newz.dk), men hvis jeg havde været på listen kunne det have været en værdifuld oplysning for mig at vide hvilken email-addresse jeg var registreret med og hvilket kodeord jeg havde brugt. Havde jeg brugt en standardformel for kodeord ville jeg kunne være lidt mere rolig for andre loginformulare hvor jeg havde brugt en anden metode til at vælge kodeord.

Den eneste negative ting ved at få tiltrukket opmærksomheden på listen er hvis folk tror at det er alle de kompromiterede oplysninger.

  • 0
  • 0
Flemming Sørensen

Problemet er at de havde langt mere lyst til at lave deres fluffede Newz version 4, istedet for at gøre noget ved sikkerheden. Men det er så typisk for den "redaktionelle linje" på Newz, hvor sikkerhed er på "todo listen", og hvor brugerne er noget der er der for deres skyld.

  • 0
  • 0
Martin Kofoed

Altså så længe man kun bruger det dårlige password det ene sted? - Og ellers mener, man kan leve med identity theft på det ene, isolerede site.

Jeg havde helt glemt, at jeg havde en newz.dk-account, og derfor er det da spøjst at se sit password på listen. Og jeg skal da love for, at det er et dårligt ét! Men det er for mig ret ligegyldigt, for man kan ikke hoppe videre til webmail eller lignende med det, som script-børnene opfordrer til på deres blog. Det findes kun på newz.dk.

  • 0
  • 0
Daniel Eriksen

Tja.. en ting er at Newz.dk har fået stjålet 25k hashede passwords. Det er irriterende, men da jeg tvivler på at der ligefrem er nogen der benytter den tjeneste til hemmeligtstemplede oplysninger på statsniveau er skaden som så minimal.

hvad langt værre er at TGG har lavet det her i relativt lang tid, og de får stadig lov til det. Hvis du ser på deres aktiviteter, kan man se at de genere en del. Om de er dygtige eller ej er i og for sig ligemeget for mig... Jeg føler mig bare dum når jeg som lovlydig borger overholder gængse regler og konduite, når der åbenbart ikke gøres noget specielt mod det her ?

Ud over Swan Lee's side i 05 + Newz i 05:

http://teamgilmoregirls.blogspot.com/

Grr..

Beklager meget dette indlæg, men nu var jeg blevet træt af at se det her...

  • 0
  • 0
Søren Løvborg

Der er intet der tyder på at newz.dk har været decideret sløset med sikkerhedden. De har tilsyneladende lavet en ganske typisk PHP kvajefejl, som andre har gjort det utallige gange før.

TGG prøver at få indbrudet til at lyde større end det er, når de praler med at have stjålet /etc/passwd (whoopdeedoo, den er world-readable og ikke sikkerhedskritisk). De deler pænt "de første 5K crackede passwords" med os, men realiteten er jo at det (endnu) ikke er lykkedes for dem at cracke resten – og de næppe får cracket mange flere.

De lækkede passwords er de dårlige passwords. 96% indeholder kun små bogstaver, og ikke et eneste indeholder tegn fra mindst tre af grupperne små bogstaver, store bogstaver, tal og specialtegn.

Adgangskoderne har været grundigt hashet, men selv de stærkeste hash-funktioner og salts kan ikke beskytte en dårlig adgangskode, som dem der nu er blevet offentliggjort. Det eneste man kan gøre er at hemmeligholde listen, og den er altså glippet her.

Var det et større kommercielt foretagende eller en offentlig hjemmeside ville jeg være skuffet. Nu er det bare newz. De gør det gratis, og de gør det ganske godt.

Så se det i stedet som en opfordring til alle brugere om at vælge bedre adgangskoder... og alle webudviklere om at kode med omhu, samt måske få installeret Suhosin til PHP.

  • 0
  • 0
Povl Ole Haarlev Olsen

Hvorfor?
Fordi newz.dk er et fuldkommen ligegyldigt site for mig. Jeg kunne ikke være mere ligeglad om folk skriver i mit navn på det site, men newz.dk (og mange andre ligegyldige sites og ja, version2 er i den sammenhæng også et af de ligegyldige site, sorry) kræver nu engang et password, så jeg har 5-6 forskellige "dårlige" passwords som jeg skifter imellem på de forskellige sites. "foobar" var et af de passwords, jeg brugte rundt omkring. Det er ændret nu, både på newz.dk og på de andre sites, hvor jeg brugte det password.

Ovenstående betyder selvfølgelig ikke, at jeg bruger "foobar" eller et andet af mine dårlige passwords, når jeg skal logge ind på mine egne maskiner, min netbank eller andre vigtige sites.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize