Vi som vill diskutera hackerattacken på Familjeliv anonymt

Hackaren har väl ganska lite med Flashback att göra förutom att det var ett av dom ställen där han har outat sin attack. De som ställer till det mest är väl alla gamar som sitter och ber honom göra dumpen public, det för väl inget gott med sig. Vi får se hur han gör.
Dock så har egentligen inget ändrats nu, hålet har funnits där länge och det finns garanterat andra som har snott datan tidigare. Så största problemet är väl att klåparna på familjeliv inte kan skriva vettig kod.

Nja det var ingen större grej han gjorde. En SQLi är liksom inte rocket science.

Du förstår inte hur det fungerar. De som hackar olika sidor hackar vad som helst, det är själva tekniken och erövringen de vill åt. Vad sidan handlar om bryr de sig inte om. Det är snarare storleken som är det viktiga då. Sen har du den aspekten att folk vill åt kontona för att använda dom, detta handlar bara om att vara elak och såra andra människor. De struntar i om de inte kommer åt någon smaskig information, det räcker gott och väl för dom att Lisa blir ledsen för att hon inte kan logga in på sitt konto mer och för att någon startade trådar i hennes namn och sökte knark och barnporr. Någon djupare mening finns det inte för dom som vill ha konton att leka med.

Okej att folk byter lösenord nu efter den här attacken, men med all största sannolikhet så finns det fler säkerhetshål där en ny hackare kan gå in och stjäla databasen igen och inte bli upptäckt. Kanske även stjäla källkoden och få tillgång till saltet. Så de borde informera om att allt är lite osäkert just nu.

Det verkar ha varit md5.

Han som hade dom skrev på flashback att det var 128-bit.

Wikipedia har svaret:

Ett salt är ett slumpmässigt tillägg till ett lösenord som gör det svårare för en lösenordstjuv att lista ut det riktiga lösenordet. Ett vanligt exempel är när man registrerar sig på ett internetforum och tilldelas ett salt som ligger dolt i ens profil. När man väljer lösenord så använder forumet en hashfunktion för att beräkna en kontrollsumma av lösenordet. Saltet adderas, och forumet beräknar en kontrollsumma som sparas i databasen. När man sedan loggar in sig genomför forumet samma beräkningar med lösenordet man skriver in och kontrollerar om det stämmer överens med det som finns lagrat i databasen.

Eftersom lösenorden inte uttryckligen finns i databasen, utan bara bildar kontrollsummor så blir de svåra att stjäla.

Saltad data försvårar attacker på datorers databibliotek och genom att använda förkryptering av databiblioteksposter: där varje bit av ett redan använt salt fördubblar mängden lagringsutrymme och ytterligare beräkningar krävs.

För bästa säkerhet så är saltets värde hemligt, åtskilt från lösenordsdatabasen. Detta ger en fördel när en databas blir stulen, men saltet inte blir det. För att beräkna ett lösenord från en stulen hash (initieringsvektor), kan en angripare inte bara försöka lösa koden med hjälp av några gemensamma lösenord (t.ex. ord eller namn). Snarare måste de beräkna varje hash av slumpmässiga tecken (åtminstone för de delar som de vet är saltet), vilket är mycket långsammare.

De måste ju ha tillgång till ditt mailkonto då, de har de ju inte. De har ju bara adressen.

Men lösenordet skickas ju till din mail, den kommer de ju inte åt.

Det tror inte jag heller, inte heller att man är säker om man ändrar lösenord för troligtvis har sidan massor med hål. De hålen som är fixade nu har ju funnits där länge. Massor med olika hackare kan ha varit inne och plockat saker ur databasen. Skillnad är att igår upptäcktes det. Antagligen för att hackaren igår använde sig av en sökmetod som gjorde att sidan blev väldigt seg. En duktigare hackare kan utnyttja säkerhetshålen utan att det märks.