Uppdaterat: 2012-01-26 14:49När skedde attacken?
- Attacken pågick i 2-3 dagar, och upptäcktes på kvällen den 19/1.
Vad har läckt ut?
- E-postadress, signatur och hashade lösenord för en stor del av medlemmarna på Familjeliv.
Vad har publicerats öppet?
- Det som har publicerats av hackaren är e-postadresser och hashade lösenord. Vi har ännu inte sett några tecken på att den kompletta signaturlistan skulle ha lagts ut. De åtgärder vi rekommenderar utgår dock ifrån att den listan kan komma att publiceras.
Vad är ett hashat lösenord? Kan de logga in på mitt konto nu?
- Ett hashat lösenord innebär att lösenordet inte står i klartext. För att få ut lösenordet så att det kan användas för inloggning måste man i princip lista ut metoden som lösenordet hashades med. Detta är mycket svårt utan att ha tillgång till både källkoden bakom sidan och andra delar av databasen. Vi bedömer det som mycket orimligt att lösenorden kommer att knäckas, men ber er ändå för säkerhets skull att byta lösenord på FL, samt att byta lösenord på andra sajter där ni använt samma e-postadress och lösenord.
Kan man genom det som läckt ut få reda på vem som har skrivit anonyma inlägg?
- Nej.
Hur byter jag lösenord på mitt konto?
- Gå in här:
www.familjeliv.se/Medlemmar/medlemsuppgifter....Hur byter jag signatur?
- Gå in här:
www.familjeliv.se/Medlemmar/signaturbyte.phpHur byter jag e-postadress och/eller andra personliga uppgifter för mitt konto?
- Gå in här:
www.familjeliv.se/Medlemmar/medlemsuppgifter....Vilken skada kan de ställa till om man inte byter lösenord eller signatur?
- Många vill inte få sin e-post och signatur ihopkopplade, det är den största skadan. Sedan finns det även en risk att lösenorden knäcks och sprids, även om den är ganska liten. Där är följden ganska uppenbar; andra som loggar in på ens konto.
Kan de komma åt ens vanliga Hotmail (eller annat e-postkonto) genom Familjeliv?
- Det korta svaret är nej. Men om de lyckas knäcka de lösenordsnycklar som har läckt ut, och du har samma lösenord på FL som till ditt e-postkonto; så kan de rimligen logga in på ditt e-postkonto. Du behöver inte skaffa en ny e-post, bara byta lösenord om du hade samma lösenord som på Familjeliv.
Behöver jag byta lösenord på mitt e-postkonto också om jag inte haft samma lösenord där som på Familjeliv?
- Nej, det ska du inte behöva göra. Men det är alltid bra att byta lösenord då och då.
Jag loggar in med Facebook Connect. Innebär det på något sätt att man kan komma åt mitt Facebook-konto, eller lösenordet dit?
- Nej. Föreslår dock att du ändrar lösenord på FL ändå, ifall att du inaktiverar Facebook Connect i framtiden.
Jag råkade välja dolt signaturbyte, hur gör jag för att ångra mig?
- Gör ett nytt signaturbyte utan att välja dold, tillbaka till din ursprungliga signatur. Sedan vänta 10 minuter och byt igen till den signatur du vill ha, och välj inte dolt byte.
Hur går det med namn och adressuppgifterna man skrivit in under medlemsuppgifter? Har det också läckt ut?
- Det enda som vi sett indikationer på har hämtats ur databasen är signatur, e-postadress och hashat lösenord. Övriga uppgifter verkar orörda.
Om man byter till en signatur som någon annan har haft tidigare, får man då tillgång till den personens information, mina favoriter, etc.?
- Nej. Det förekom att man kunde se den förra medlemmens "Mina trådar"-lista, men detta gällde då inte anonymt skrivna trådar, så ingen information som ändå inte var publik. Mina trådar är dock tills vidare avstängt på grund av detta, och kommer inte aktiveras förrän detta är löst.
Kan ni på något sätt samarbeta med Google så att gamla signaturer försvinner från Googles cache?
- Det man kan göra är att be Google om en ökad "crawl rate", vilket vi har gjort, detta kommer ligga i effekt fram till 20 april. Vad det innebär är att Google indexerar om våra sidor snabbare än annars, i princip så snabbt som det är möjligt.
När kommer gamla signaturer sluta vara sökbara på Google?
- Omöjligt att veta, se frågan ovan.
Vad gäller för andra sökmotorer, typ Altavista, Yahoo, Bing?
- De sökmotorer som har stöd för att indexera snabbare än normalt har ombetts att göra det. Vi kollar även på att plocka ned innehåll från The Wayback Machine och liknande tjänster.
När kommer gamla signaturer sluta vara sökbara på Familjelivs sök?
- Vi indexerar om så fort det går här också, och vid minsta tecken på att signaturlistan har släppts publikt kommer vi att stänga vårt interna sök tills det är helt omindexerat.
Vad händer om signaturlistan publiceras?
- Om detta sker kan vi komma att ta ytterligare åtgärder; stänga av det interna söket, och beakta andra förslag för att ytterligare anonymisera medlemmar som drabbats.
Har ni bytt kodning eller kryptering av lösenorden efter attacken?
- Hashningen av lösenorden har bedömts tillräckligt säker, men vi kommer att kolla på ännu bättre lösningar framöver. Det är på listan över åtgärder, men inte högst upp.
Jag bytte signatur, men min gamla signatur syns fortfarande i citat och/eller i inläggstexter.
- Vi har dolt signaturen i alla citat tills vidare, men din gamla signatur kan givetvis nämnas i inläggstexten utan att vara ett citat. Dessa inlägg ska du kunna anmäla och få borttagna.
Om du har ytterligare frågor, tveka inte att kontakta sakerhet@familjeliv.seDen här listan kan komma att uppdateras med nya frågor efter som.
// Jens
