Vi som vill diskutera hackerattacken på Familjeliv anonymt
På https://www.flashback.org/p35229429 finns någon som tagit på sig hackerattacken.
Personen skriver att detta var fångsten: "69000 Användarnamn, epost och hasher, utav 114000 medlemmar".
Inlägg från: Anonym (Hackad)
|
-
-
Är händelsen polisanmäld, tro?
-
Jag är i chock, så det är inte mycket som går in just nu.jaghopparhögt skrev 2012-01-21 19:50:37 följande:Det där visste alla redan igår, kom med i matchen nu :)
Vad kommer att hända nu?
Om hackarna får både mitt lösenord i klartext och även har det i hashat format, kan de klura ut algoritmen för lösenordskrypteringen då?
Och har familjeliv bytt algoritmen för krypteringen nu, så att inte framtida lösenord kan knäckas? -
På Flashback skrevs det också att det fanns en del intressant på "sidan", dvs inloggningssidan. Om hackaren kommit över koden som hanterar inloggningen också, så har h*n tillgång till ev "salt" också.Arcitect skrev 2012-01-21 21:03:36 följande:Det finns väl en mängd olika sätt att hitta lösenordsalgoritmer på, alternativt gammal sedvanlig "brutning". Men å andra sidan, vem vill sitta i (tänkbar) evighet med att försöka komma åt just "din" information?
I och med att ingen från FL´s sita har kommit med ett klokt säkerhetsprotokoll om vad som är bestulet, kan vi bara anta att vad som helst är möjligt för tillfället.
Jag har iofs inte kollat om familjeliv har ett inloggningsstop efter ett antal felaktiga inloggningar, och har dom det inte så kan juh bokstavligen vem som helst köra på med brute force för att hacka vems konto som helst. Nyckeln i fråga är ju att hälften av användarnamn och lösen är knäckt. dvs din mejl.. allt som fattas nu är ju bara en ett applikation som sitter och tuggar mot familjelivsinloggningsidan med lösenord.
FL kan ju inte fortsätta med samma algoritm och samma salt efter detta. -
Det var väl just MD5 som var algoritmen, tyckte jag att jag läste. Salt misstänktes.oOOo oOOo skrev 2012-01-21 21:07:30 följande:Är hasharna md5:or utan salt så kan de knäckas inom ett par dagar brutande om de inte är hashar av väldigt simpla lösenord och redan finns i md5 databaser så kan du slå upp dem på nätet direkt.
-
Undrar om varje användare har ett unikt salt? Det lär ju inte vara användarnamnet som är saltet, eftersom många nu byter nick. Hoppas att det inte är e-postadressen som är saltet...Anonym (inte med) skrev 2012-01-21 21:22:31 följande:Tittar man på hur hashen ser ut, så ser det ut som md5...men den lär vara saltad eftersom jag inte hört någon som fått ut något av den.
-
Varför i allsindar lagrar de e-postadresserna i klartext???
Är detta verkligen OK enligt PUL (personuppgiftslagen)? Det kan jag knappast tro. -
Kollade snabbt upp PUL (https://lagen.nu/1998:204):
"31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är."
Ja, hur pass känsliga är de behandlade personuppgifterna??
Användarnamnen kan kopplas till inlägg i forumet som är av känslig natur och till en e-mailadress, som i värsta fall kan ledas till en verklig person. -
Ja, jag har godkänt lagringen, men FL kan inte friskriva sig från ansvaret för datasäkerheten för mina personuppgifter.Anonym skrev 2012-01-21 21:50:50 följande:Det handlar om handhavandet och är något helt annat men du har godkänt själva lagringen.
-
"Kraven på säkerhetsåtgärder kan inte frångås ens med den registrerades samtycke".oOOo oOOo skrev 2012-01-21 21:57:21 följande:Jo, det är precis det de har gjort
4.4 Familjeliv ser till att på bästa sätt upprätthålla, drifta och säkerställa tjänsterna men tar inget ansvar för förlust eller förvanskning av den data eller information som förmedlas via tjänsterna. Familjeliv kan ej hållas ansvarig för obehörigt eller behörigt intrång, förstörelse eller förvanskning av information eller resurser i medlemmens, Familjelivs eller andras tjänster.
Klippt från användarvillkoren, som du har accepterat.
Källa:
http://www.datainspektionen.se/Documents/remissvar/2009-10-18-delgivningslag.pdf -
Men om man beaktar att människor lämnar känsliga uppgifter om sig själva i forumet, förvissade om att de kommer att förbli anonyma under sina nick, då måste kraven för leverantören öka, eftersom det finns mycket känsliga personuppgifter som hanteras.Anonym skrev 2012-01-21 21:58:47 följande:Jo det kan dem därför att PUL säger att de ska göra det de kan och att eventuella åtgärder ska vägas mot kostnaden. Anses det för dyrt behöver de inte, anledningen till detta är att det annars skulle sluta med konkurs för oändligt många småföretag.
Även det står med i användaravtalet vilket iofs är onödigt eftersom det ingår i PUL.
Om det är MD5 med salt, så finns det tekniska lösningar som är säkrare som inte är dyrare.
Riskerna med behandlingen av uppgifterna borde också vara stora, eftersom det kan skada människors integritet om uppgifterna kommer ut. Och om det leder till skada för personer, så kan leverantören bli skadeståndsskyldig, (om den varit oaktsam eller vårdslös), så det är ju en risk för leverantören också att behandla personuppgifter på fel säkerhetsnivå.
"a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är." -
Jag kan gärna avstå en tia till FL för jobbet att få ett säkrare forum (min integritet är värd mer än så!), och om fler personer också kunde tänka sig att donera en slant för detta så kan det bli en del pengar. Sedan kunde man ju tänka sig att det också låg i sponsorernas intresse att medlemsantalet var fortsatt högt och att de också kunde skjuta till en slant.Anonym skrev 2012-01-21 22:26:57 följande:Det är din uppgift att ställa de kraven som medlem. Varsågod, sätt igång ett uppror!
Men i princip håller jag med dig.
Problemet är inte att tekniken inte finns, för det gör den, problemet är att det betyder att de måste anställa kompetent personal och det kan kosta skjortan. Säg att de kommer fram till att hela webbplatsen måste byggas om (vilket jag tar för troligt) då är vi uppe i riktigt stora kostnader!
Sen kan man ALDRIG komma ifrån att medlemmarna har ett eget ansvar. Jag som medlem kan inte posta precis vad jag vill och sedan bli upprörd över att det inte blir som jag tänkt mig. Det finns alltid risker med nätet, det är upp till mig att agera därefter.
Diskussionerna skulle inte bli lika intressanta och givande om man inte kunde skriva säkert under nick. Det är ju många som skriver om problem efter förlossningar här t ex, och det är ju normalt tabu att prata om IRL... Men behovet av att prata om sådant är stort. -
Ja, jag håller med.Anonym skrev 2012-01-22 07:36:50 följande:För egen del är jag inte så orolig, då jag inte skrivit så många inlägg på FL (jag har nu självklart ändrat både lösen och signatur samt avreggat mig, kommer inte att delta på FL i framtiden - skapade denna signatur för att kunna skriva några avslutande inlägg), men jag anser att FL har mycket kvar att göra för att ställa tillrätta och inte bara släta över.
Många är väldigt oroade att det ska komma ut en lista med mailadresser kopplade till signaturer. Borde inte det enda värdiga att göra vara att stänga ner stora delar av FLs trådarkiv? Risken för många är ju att inlägg ska kunna kopplas till en mailadress bekanta kan tänkas känna igen, vilket torde kunna innebära oerhört svåra konsekvenser för en del - vad är fördelen med att ha kvar trådarna alls, i jämförelse?
Vad kan vara viktigare för FL än att återupprätta förtroendet hos dem som nu riskerar att drabbas på detta sätt?
Jag sitter nu i princip bara och väntar på att hackaren ska maila mig och kräva mig på pengar i utbyte mot att h*n inte släpper signaturen tillsammans med mailadressen. Då är jag helt körd, eftersom jag tyvärr har använt en seriös mailadress, som kan kopplas till just mig och ingen annan.
Jag har knappt sovit alls i natt. -
Jag ändrade signatur igår, i panik, enligt rekommendationen. Men sätter det mig i ett bättre eller sämre läge?Anonym (Hackad) skrev 2012-01-22 09:37:29 följande:Ja, jag håller med.
Jag sitter nu i princip bara och väntar på att hackaren ska maila mig och kräva mig på pengar i utbyte mot att h*n inte släpper signaturen tillsammans med mailadressen. Då är jag helt körd, eftersom jag tyvärr har använt en seriös mailadress, som kan kopplas till just mig och ingen annan.
Jag har knappt sovit alls i natt.
Hade jag behållt gamla signaturen så hade jag iaf haft kontroll på mina uppgifter som jag lämnat i forumet.
Nu kan ju någon annan regga sig med mitt gamla nick. Och då kommer min e-postadress att kopplas till inlägg som denna person gör, om hackaren släpper listan med signaturer.
Man får ju verkligen hoppas att det är en seriös person som tar över mitt gamla nick! -
Kan FL ordna så att någon annan person inte kan återanvända de signaturer som stulits?
-
Bättre sent än aldrig:oOOo oOOo skrev 2012-01-21 22:13:35 följande:FL har inte lämnat ut något, de har blivit hackade. Sedan tror jag inte att just det dokumentet riktar sig till nätforum utan mer till krav på hur man ska delge någon sekretessbelagd information elektroniskt.
Nej, just det dokumentet är inte så intressant, utan meningen
"Kraven på säkerhetsåtgärder kan inte frångås ens med den registrerades samtycke" är snarare att se som en princip.
Detta går också att läsa i en bok om PUL (Personuppgiftslagen, En kommentar av Sören Öman och Hans-Olof Lindblom) angående PUL paragraf 31 (https://lagen.nu/1998:204). Ett foto på uppslaget finns på http://highperformance.blogg.se/2011/november/
FL måste höja säkerhetsnivån. Uppenbarligen var den för låg, eftersom kontouppgifter har läckt ut.
Om i FL framtiden krypterar e-postadresser höjs säkerhetsnivån ett litet snäpp.
Beaktat att FL vet att medlemmar lämnar känsliga uppgifter om sig själva är det också i övrigt motiverat att FL höjer säkerhetsnivån. -
Tusen tack!trubbelsnåd skrev 2012-01-22 11:45:58 följande:Gör så här för att hitta inlägg med era gamla nick (det tar lite tid men det är mycket smidigare än att anmäla inläggen ett och ett)
1. Gå till google.se
2. Skriv följande i sökrutan: site:familjeliv.se [dittanvändarnamn] (utan hakparanteser om någon undrar)
3. Gå in i alla trådar som kommer upp (en gång per tråd räcker om någon kommer upp flera gånger)
4. Skriv in ditt (gamla) användarnamn i sökrutan "sök i tråden" och klicka "sök"
5. Kopiera länken som finns i adressfältet*
6. Upprepa för varje tråd ert användarnamn finns med i
7. Mejla alla länkar ni kopierat till sakerhet@familjeliv.se
*den kommer se ut så här www.familjeliv.se/Forum-20-52/m63119837 -1.html?search=[användarnamn]