AfterDawn: IT-alan uutiset

Yli 120 000 suomalaisen salasanat hakkeroitu - lista netissä

Kirjoittaja Ilkka Ketola @ 23.3.2010 00:27 Kommentteja (10)

Yli 120 000 suomalaisen salasanat hakkeroitu - lista netissä CERT-FI julkaisi myöhään maanantai-iltana tiedotteen, jossa se kertoi saaneensa ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisessa Älypää-verkkopalvelussa (alypaa.com) käytössä olevia käyttäjätunnuksia ja salasanoja. Eri arvioiden mukaan listalla on jopa 80 000-120 000 suomalaista käyttäjätunnusta ja salasanaa. Vuodon lähde on vielä epäselvä.
Lista löytyy ilmeisesti useilta eri keskustelufoorumeilta ja sivustoilta. Listasta kannattaa tarkistaa, onko omat tai lähipiirin tunnukset päätyneet vääriin käsiin. Olemme avanneet palvelun jonka avulla voit helposti tarkistaa löytyykö sähköpostiosoitteesi vuotaneiden tunnusten joukosta. Palvelun löydät osoitteesta

http://fin.afterdawn.com/salasanat.cfm


Lista levisi maanantai-iltana myös Kuvalauta.fi-palvelun kautta, joka oli hetkellisesti suljettu leviämisen estämiseksi. Nyt palvelu on jälleen avattuna.

CERT-FI pyrkii parasta aikaa selvittämään, että liittyvätkö kaikki tunnukset samaan palveluun vai onko joukossa myös muissa palveluissa käytettyjä tunnuksia ja salasanoja. CERT-FI harkitsee myös varoituksen julkaisemista tapauksen johdosta.

Suositus on vaihtaa Älypää-palvelussa käytetyn salasanan heti kun mahdollista. Jos sama salasana on käytössä muissa palveluissa, on myös niiden salasana syytä vaihtaa välittömästi. CERT-FI muistuttaa, ettei saman salasanan käyttäminen eri verkkopalveluissa ei ole suositeltavaa.

Älypää suljettiin maanantai-iltana, ja ensin sivustolla ilmoitettiin syynä olevan "huoltokatko". Nyt sivustolle on päivitetty seuraava tiedote:

"Arvoisa Älypään käyttäjä,

Tietoomme on tullut maanantai-iltana 22.3.2010, että palvelumme käyttäjärekisteriin on murtauduttu ja käyttäjien salasanoja ja käyttäjätunnuksia varastettu. Mikäli käytätte samoja käyttäjätietoja muissa verkkopalveluissa, suosittelemme vahvasti muuttamaan salasanat välittömästi. Selvyyden vuoksi todettakoon, että Älypään käyttäjärekisterissä ei ole henkilötunnustietoja tai luottokorttitietoja.

Pahoittelemme asiasta aiheutunutta harmia ja teemme kaikkemme yhdessä viranomaisten kanssa tietomurron laajuuden ja vaikutusten selvittämiseksi. Älypää.com-palvelu on tällä hetkellä poissa käytöstä, ilmoitamme teille asian etenemisestä sähköpostitse ja alypaa.com-sivustolla.

Ystävällisin terveisin,
Älypää ylläpito"


Älypään omistava Sanoma uutisoi HS.fi:ssä, että vaikka Älypään sivuilla on nähtävissä HS.fi-logo, käytetään palveluissa eri tunnuksia. HS.fi:n tunnukset eivät siis ole HS:n mukaan vuotaneet verkkoon.

Päivitetty 23.3.2010 0:43 Lisätty tiedot Älypään tiedotteesta, Kuvalaudasta ja HS.fi:stä.

Päivitetty 23.3.2010 0:56 Voit nyt tarkistaa löytyykö osoitteesi vuotaneiden tietojen joukosta

Edellinen Seuraava  

10 kommenttia

123.3.2010 1:10

Pelottava esimerkki täydellisestä katastrofista..Ylläpidon piikkiin menee täysin ei ehkä ihan ajankohtaista standardien mukaista koodia. Miten voi ryssiä noin totaalisesti? Liekkö ollu edes minkäänlaista cryptausta tietokannassa.. Aika ikävä opetus kantapään kautta.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 23.3.2010 @ 01:34

223.3.2010 1:41

Lainaus, alkuperäisen viestin kirjoitti Bluejack:
Pelottava esimerkki täydellisestä katastrofista..
Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.

323.3.2010 1:42

Lainaus:
Liekkö ollu edes minkäänlaista cryptausta tietokannassa.. Aika ikävä opetus kantapään kautta.
tais olla ihan plain text
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 23.3.2010 @ 01:47

423.3.2010 2:15

Ihan sama jos onko kryptattu vai ei, jos salasanat on luokkaa 'kissa', 'koira', 'pikkumyy', 'kikkeli'.... bruteforcella tai dictionarylla kestää parikymmentä sekunttia kräkkää tollaset.

523.3.2010 5:09

Lainaus, alkuperäisen viestin kirjoitti friis:
Ihan sama jos onko kryptattu vai ei, jos salasanat on luokkaa 'kissa', 'koira', 'pikkumyy', 'kikkeli'.... bruteforcella tai dictionarylla kestää parikymmentä sekunttia kräkkää tollaset.
Yksittäisen salasanan kohdalla, joka huonossa tapauksessa on juurikin joku kissa tms. ei kryptaaminen juurikaan auta, mutta pienellä vaivalla saadaan parempi suojaus aikaan. Yhdistämällä käyttäjätunnuksen ja salasanan sekä mahdollisesti vielä ylimääräinen merkkijono saataisiin kryptattuna huomattavasti paremmin suojatut tunnukset aikaan. Eikä maksaisi vaivaa tai aikaa.

623.3.2010 9:16

Onneksi en muistaakseni ole tuonne koskaan rekisteröitynyt. Ei ainakaan löytynyt mitään osoitteita listalta, joita nykyisin käytän. Ei kannata enää käyttää noin huonosti salattua palvelua.

723.3.2010 12:45

Lainaus, alkuperäisen viestin kirjoitti FrostRose:
Lainaus, alkuperäisen viestin kirjoitti Bluejack:
Pelottava esimerkki täydellisestä katastrofista..
Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.
No,jos tälle linjalle lähdetään niin onko mitään järkeä rekistöröityä minnekkään oikeilla nimillä tai mahdollisilla yhteystiedoilla?

823.3.2010 13:11
dfgdf
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Bluejack:
Lainaus, alkuperäisen viestin kirjoitti FrostRose:
Lainaus, alkuperäisen viestin kirjoitti Bluejack:
Pelottava esimerkki täydellisestä katastrofista..
Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.
No,jos tälle linjalle lähdetään niin onko mitään järkeä rekistöröityä minnekkään oikeilla nimillä tai mahdollisilla yhteystiedoilla?
Niinpä, minä en ainakaan käytä oikeita tietoja
Jos kysytään nimeä niin laitan jonkun random yhdistelmän sama pätee yhteystietoihin

923.3.2010 18:38

Pidän sähköposteissa yhtä salasanaa, privaträkkerillä omansa ja paypalissa omansa.
Kaikissa muissa on käytössä sama käyttäjätunnus ja salasana, niillä kun ei ole mitään väliä vaikka joku nyt pääsisikin rikkomaan ennätykseni nimissäni jossain hiton älypäässä.

Oma moka jos pitää samaa salaasnaan jokapaikassa, varsinkin sähköpostiin jos pääsee ulkopuoliset käsiksi niin sieltähän löytyy rekisteröitymis viestejä vaikka kuinka käyttäjätunnuksineen ja salasanoineen.

1024.3.2010 0:09

Lainaus, alkuperäisen viestin kirjoitti himpo:
Pidän sähköposteissa yhtä salasanaa, privaträkkerillä omansa ja paypalissa omansa.
Kaikissa muissa on käytössä sama käyttäjätunnus ja salasana, niillä kun ei ole mitään väliä vaikka joku nyt pääsisikin rikkomaan ennätykseni nimissäni jossain hiton älypäässä.

Oma moka jos pitää samaa salaasnaan jokapaikassa, varsinkin sähköpostiin jos pääsee ulkopuoliset käsiksi niin sieltähän löytyy rekisteröitymis viestejä vaikka kuinka käyttäjätunnuksineen ja salasanoineen.
Mutta eihän paremmin suojatut paikat lähetä koskaan sulle salasanaa tai turvallisuuskysymysten vastauksia, vaan resetoi salasanasi, ja antaa vahvistettuun sähköpostiin vain sen kertakäyttöisen salasanan jos saat salaisen kysymyksen oikein.

Käy huviksesi vilkaisemassa vaikka Guild warssin foorumeilta hakkerointiyrityksen jälkeisistä varotoimista. Siellä piti muistaa oman hahmon nimi, tai sitten lähettää sähköpostissa käytetty nimi, osoite, luottokortin 4 viimeistä numeroa, kirjautumisnimi, sähköposiosoite joka oli käytössä ja olikos siinä vielä muutakin.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Nokia X5 julki – iPhone X:stä tuttua designia pikkurahalla Nokia X5 julki – iPhone X:stä tuttua designia pikkurahalla (19.7.2018 18:25)
HMD Global on esitellyt Kiinan markkinoille Nokia X5 -älypuhelimen, jolla pyritään vetoamaan tyylikästä ja edullista puhelinta etsivään kansanosaan. Nokai X5:n muotoilussa noudatetaan aiemmin ....
3 kommenttia
Google vihjailee – Android ei välttämättä pysy ilmaisena jos EU:n tahto menee läpi Google vihjailee – Android ei välttämättä pysy ilmaisena jos EU:n tahto menee läpi (19.7.2018 18:13)
Googlen toimitusjohtaja Sundar Pichai tuntuu olevan hyvin järkyttynyt Euroopan komission eilen julkistamasta 4,3 miljardin euron sakosta. Komission mukaan Google on käyttänyt määräävää markkina-asemaa ....
9 kommenttia
Älypuhelimen näyttö rikki? Uusi lasi kestää entistä kovempaakin käsittelyä Älypuhelimen näyttö rikki? Uusi lasi kestää entistä kovempaakin käsittelyä (19.7.2018 18:08)
Yhdysvaltalainen lasivalmistaja Corning on ottanut uuden harppauksen älypuhelimien näyttöjen suojana käytettävissä Gorilla Glass -lasien kehityksessä. Yhtiö on esitellyt seuraajan nykyisissä ....
Samsung yllättää – Taipuva puhelin tulee jo ensi vuonna myyntiin Samsung yllättää – Taipuva puhelin tulee jo ensi vuonna myyntiin (18.7.2018 20:02)
Samsung kehittää seitsemän tuumaista mobiililaitetta, jonka voisi taittaa keskeltä pienemmäksi – samaan tapaan kuin lompakon. Suunnitelmista uutisoi Wall Street Journal. Kyseessä olisi yksi ....
5 kommenttia
Honor 10:n suorituskyky ja kamera paranee – Akkukestoakin luvassa lisää Honor 10:n suorituskyky ja kamera paranee – Akkukestoakin luvassa lisää (18.7.2018 17:27)
Toukokuussa Suomessa myyntiin tulleelle Honor 10 -älypuhelimelle on luvassa kaksi mainittavaa muutosta elokuun 3. päivä ilmestyvän päivityksen mukana. Honor 10:n omistajien saataville on ....
2 kommenttia

Uutisarkisto