Yli 120 000 suomalaisen salasanat hakkeroitu - lista netissä
CERT-FI julkaisi myöhään maanantai-iltana tiedotteen, jossa se kertoi saaneensa ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisessa Älypää-verkkopalvelussa (alypaa.com) käytössä olevia käyttäjätunnuksia ja salasanoja. Eri arvioiden mukaan listalla on jopa 80 000-120 000 suomalaista käyttäjätunnusta ja salasanaa. Vuodon lähde on vielä epäselvä.
Lista löytyy ilmeisesti useilta eri keskustelufoorumeilta ja sivustoilta. Listasta kannattaa tarkistaa, onko omat tai lähipiirin tunnukset päätyneet vääriin käsiin. Olemme avanneet palvelun jonka avulla voit helposti tarkistaa löytyykö sähköpostiosoitteesi vuotaneiden tunnusten joukosta. Palvelun löydät osoitteesta
Lista levisi maanantai-iltana myös Kuvalauta.fi-palvelun kautta, joka oli hetkellisesti suljettu leviämisen estämiseksi. Nyt palvelu on jälleen avattuna.
CERT-FI pyrkii parasta aikaa selvittämään, että liittyvätkö kaikki tunnukset samaan palveluun vai onko joukossa myös muissa palveluissa käytettyjä tunnuksia ja salasanoja. CERT-FI harkitsee myös varoituksen julkaisemista tapauksen johdosta.
Suositus on vaihtaa Älypää-palvelussa käytetyn salasanan heti kun mahdollista. Jos sama salasana on käytössä muissa palveluissa, on myös niiden salasana syytä vaihtaa välittömästi. CERT-FI muistuttaa, ettei saman salasanan käyttäminen eri verkkopalveluissa ei ole suositeltavaa.
Älypää suljettiin maanantai-iltana, ja ensin sivustolla ilmoitettiin syynä olevan "huoltokatko". Nyt sivustolle on päivitetty seuraava tiedote:
"Arvoisa Älypään käyttäjä,
Tietoomme on tullut maanantai-iltana 22.3.2010, että palvelumme käyttäjärekisteriin on murtauduttu ja käyttäjien salasanoja ja käyttäjätunnuksia varastettu. Mikäli käytätte samoja käyttäjätietoja muissa verkkopalveluissa, suosittelemme vahvasti muuttamaan salasanat välittömästi. Selvyyden vuoksi todettakoon, että Älypään käyttäjärekisterissä ei ole henkilötunnustietoja tai luottokorttitietoja.
Pahoittelemme asiasta aiheutunutta harmia ja teemme kaikkemme yhdessä viranomaisten kanssa tietomurron laajuuden ja vaikutusten selvittämiseksi. Älypää.com-palvelu on tällä hetkellä poissa käytöstä, ilmoitamme teille asian etenemisestä sähköpostitse ja alypaa.com-sivustolla.
Ystävällisin terveisin,
Älypää ylläpito"
Älypään omistava Sanoma uutisoi HS.fi:ssä, että vaikka Älypään sivuilla on nähtävissä HS.fi-logo, käytetään palveluissa eri tunnuksia. HS.fi:n tunnukset eivät siis ole HS:n mukaan vuotaneet verkkoon.
Päivitetty 23.3.2010 0:43 Lisätty tiedot Älypään tiedotteesta, Kuvalaudasta ja HS.fi:stä.
Päivitetty 23.3.2010 0:56 Voit nyt tarkistaa löytyykö osoitteesi vuotaneiden tietojen joukosta
10 KOMMENTTIA
Bluejack1/10
Pelottava esimerkki täydellisestä katastrofista..Ylläpidon piikkiin menee täysin ei ehkä ihan ajankohtaista standardien mukaista koodia. Miten voi ryssiä noin totaalisesti? Liekkö ollu edes minkäänlaista cryptausta tietokannassa.. Aika ikävä opetus kantapään kautta.
FrostRose2/10
Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.
Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.
Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.
nozie3/10
tais olla ihan plain text
friis4/10
Ihan sama jos onko kryptattu vai ei, jos salasanat on luokkaa 'kissa', 'koira', 'pikkumyy', 'kikkeli'.... bruteforcella tai dictionarylla kestää parikymmentä sekunttia kräkkää tollaset.
Vuohi5/10
Yksittäisen salasanan kohdalla, joka huonossa tapauksessa on juurikin joku kissa tms. ei kryptaaminen juurikaan auta, mutta pienellä vaivalla saadaan parempi suojaus aikaan. Yhdistämällä käyttäjätunnuksen ja salasanan sekä mahdollisesti vielä ylimääräinen merkkijono saataisiin kryptattuna huomattavasti paremmin suojatut tunnukset aikaan. Eikä maksaisi vaivaa tai aikaa.
6630nokia6/10
Onneksi en muistaakseni ole tuonne koskaan rekisteröitynyt. Ei ainakaan löytynyt mitään osoitteita listalta, joita nykyisin käytän. Ei kannata enää käyttää noin huonosti salattua palvelua.
Bluejack7/10
No,jos tälle linjalle lähdetään niin onko mitään järkeä rekistöröityä minnekkään oikeilla nimillä tai mahdollisilla yhteystiedoilla?
dfgdf (vahvistamaton)8/10
Niinpä, minä en ainakaan käytä oikeita tietoja
Jos kysytään nimeä niin laitan jonkun random yhdistelmän sama pätee yhteystietoihin
himpo9/10
Pidän sähköposteissa yhtä salasanaa, privaträkkerillä omansa ja paypalissa omansa.
Kaikissa muissa on käytössä sama käyttäjätunnus ja salasana, niillä kun ei ole mitään väliä vaikka joku nyt pääsisikin rikkomaan ennätykseni nimissäni jossain hiton älypäässä.
Oma moka jos pitää samaa salaasnaan jokapaikassa, varsinkin sähköpostiin jos pääsee ulkopuoliset käsiksi niin sieltähän löytyy rekisteröitymis viestejä vaikka kuinka käyttäjätunnuksineen ja salasanoineen.
FrostRose10/10
Mutta eihän paremmin suojatut paikat lähetä koskaan sulle salasanaa tai turvallisuuskysymysten vastauksia, vaan resetoi salasanasi, ja antaa vahvistettuun sähköpostiin vain sen kertakäyttöisen salasanan jos saat salaisen kysymyksen oikein.
Käy huviksesi vilkaisemassa vaikka Guild warssin foorumeilta hakkerointiyrityksen jälkeisistä varotoimista. Siellä piti muistaa oman hahmon nimi, tai sitten lähettää sähköpostissa käytetty nimi, osoite, luottokortin 4 viimeistä numeroa, kirjautumisnimi, sähköposiosoite joka oli käytössä ja olikos siinä vielä muutakin.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT