Meneillään olevasta salasanojen kaappaus- jutusta

[Ylläpitäjä]

Tämän palstan tunnuksia ei pitäisi olla vuotaneiden tunnuksien joukossa.

Täältä voitte kuitenkin käydä tarkistamassa onko tunnuksenne vuotaneet esim. joltain toiselta foorumilta.
Lista käyttäjätunnuksista ja mailiosoitteista: http://www.pelulamu.net/vuoto/

Cert.fi tiedotus asiasta
http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html

 

[ari39]

Vs: Meneillään olevasta salasanojen kaappaus- jutusta

Simple Machines Forum on myös murrettujen softien listalla (www.cert.fi), joten toivottavasti ohjelmisto on päivitetty.

 

[Ylläpitäjä]

Vs: Meneillään olevasta salasanojen kaappaus- jutusta

Smf palstojen tunnuksiakin on saatu kaapattua, mutta smf palstojen salasanat on sha1 hashausta, joka on vaikeampi purkaa selkokielisiksi salasanoiksi, mitä monien muiden softien ko. listalle päättyneet salasanat (md5 ja osin selkokielisenä tekstinä). Kaikkein vanhimmat smf:n versiot käyttää md5 hashausta, joilla salattuja salasanoja on saatu purettua. Käsittääkseni sha1 salausta ei ole vielä saatu purettua, eli krakattuja smf:n tunnuksia ei ole voitu hyödyntää vilpillisiin tarkoituksiin. Cert-fi:n tiedotteen mukaan alustavasti näyttää siltä, että nimenomaan phpBB:n tietoturva-aukot on olleet eräs reitti hyökkäyksille. Liekö tätä kautta päästy jotenkin sitten muihinkin järjestelmiin.

http://www.cert.fi/tietoturvanyt/2007/10/P_6.html
http://www.simplemachines.org/community/index.php?topic=200243.0

Tämän foorumin softa on aina päivitetty heti uusimpaan versioon, joka varmasti osaltaan estää vastaavia hyökkäyksiä. Aika moni palsta netissä on päivitysten osalta retuperällä.

Sellainen huomautus vielä asiaan, että vaikka satunnaisotannalla olen käynyt foorumin käyttäjätunnuksia itsekin lävitse ilman tärppejä. NIIN on mahdollista, että jonkun käyttäjätunnukset ovat listalla. Moni käyttää täsmälleen samoja tunnuksia ja salasanoja useissa eri palveluissa. Jos tunnukset on jostain paikasta joutuneet kaapatuksi, niin ne pitää toki vaihtaa kaikkialle.

ELI

on tärkeää, että tarkistat löytyykö omaa tunnustasi listalta. Jos tunnuksesi löytyy, niin vaihda salasanasi kaikkiin käyttämiisi palveluihin ja tarkista, että onko väärinkäytöksiä tapahtunut. Ja vaikka tunnuksiasi ei löydykään, niin tämä on oiva hetki parantaa omaa tietoturvaasi ja vaihtaa omat salasanat (jokaiseen palveluun oma).