AfterDawn logo

Yli 120 000 suomalaisen salasanat hakkeroitu - lista netissä

Ilkka Ketola Ilkka Ketola
10 kommenttia

CERT-FI julkaisi myöhään maanantai-iltana tiedotteen, jossa se kertoi saaneensa ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisessa Älypää-verkkopalvelussa (alypaa.com) käytössä olevia käyttäjätunnuksia ja salasanoja. Eri arvioiden mukaan listalla on jopa 80 000-120 000 suomalaista käyttäjätunnusta ja salasanaa. Vuodon lähde on vielä epäselvä.

Lista löytyy ilmeisesti useilta eri keskustelufoorumeilta ja sivustoilta. Listasta kannattaa tarkistaa, onko omat tai lähipiirin tunnukset päätyneet vääriin käsiin. Olemme avanneet palvelun jonka avulla voit helposti tarkistaa löytyykö sähköpostiosoitteesi vuotaneiden tunnusten joukosta. Palvelun löydät osoitteesta

https://dawn.fi/salasanat.cfm

Lista levisi maanantai-iltana myös Kuvalauta.fi-palvelun kautta, joka oli hetkellisesti suljettu leviämisen estämiseksi. Nyt palvelu on jälleen avattuna.


CERT-FI pyrkii parasta aikaa selvittämään, että liittyvätkö kaikki tunnukset samaan palveluun vai onko joukossa myös muissa palveluissa käytettyjä tunnuksia ja salasanoja. CERT-FI harkitsee myös varoituksen julkaisemista tapauksen johdosta.

Suositus on vaihtaa Älypää-palvelussa käytetyn salasanan heti kun mahdollista. Jos sama salasana on käytössä muissa palveluissa, on myös niiden salasana syytä vaihtaa välittömästi. CERT-FI muistuttaa, ettei saman salasanan käyttäminen eri verkkopalveluissa ei ole suositeltavaa.

Älypää suljettiin maanantai-iltana, ja ensin sivustolla ilmoitettiin syynä olevan "huoltokatko". Nyt sivustolle on päivitetty seuraava tiedote:

"Arvoisa Älypään käyttäjä,

Tietoomme on tullut maanantai-iltana 22.3.2010, että palvelumme käyttäjärekisteriin on murtauduttu ja käyttäjien salasanoja ja käyttäjätunnuksia varastettu. Mikäli käytätte samoja käyttäjätietoja muissa verkkopalveluissa, suosittelemme vahvasti muuttamaan salasanat välittömästi. Selvyyden vuoksi todettakoon, että Älypään käyttäjärekisterissä ei ole henkilötunnustietoja tai luottokorttitietoja.

Pahoittelemme asiasta aiheutunutta harmia ja teemme kaikkemme yhdessä viranomaisten kanssa tietomurron laajuuden ja vaikutusten selvittämiseksi. Älypää.com-palvelu on tällä hetkellä poissa käytöstä, ilmoitamme teille asian etenemisestä sähköpostitse ja alypaa.com-sivustolla.

Ystävällisin terveisin,
Älypää ylläpito"

Älypään omistava Sanoma uutisoi HS.fi:ssä, että vaikka Älypään sivuilla on nähtävissä HS.fi-logo, käytetään palveluissa eri tunnuksia. HS.fi:n tunnukset eivät siis ole HS:n mukaan vuotaneet verkkoon.

Päivitetty 23.3.2010 0:43 Lisätty tiedot Älypään tiedotteesta, Kuvalaudasta ja HS.fi:stä.

Päivitetty 23.3.2010 0:56 Voit nyt tarkistaa löytyykö osoitteesi vuotaneiden tietojen joukosta

10 KOMMENTTIA

Bluejack1/10

Pelottava esimerkki täydellisestä katastrofista..Ylläpidon piikkiin menee täysin ei ehkä ihan ajankohtaista standardien mukaista koodia. Miten voi ryssiä noin totaalisesti? Liekkö ollu edes minkäänlaista cryptausta tietokannassa.. Aika ikävä opetus kantapään kautta.

FrostRose2/10

Lainaus, alkuperäisen viestin kirjoitti Bluejack:

Pelottava esimerkki täydellisestä katastrofista..

Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.

nozie3/10

Lainaus:

Liekkö ollu edes minkäänlaista cryptausta tietokannassa.. Aika ikävä opetus kantapään kautta.

tais olla ihan plain text

friis4/10

Ihan sama jos onko kryptattu vai ei, jos salasanat on luokkaa 'kissa', 'koira', 'pikkumyy', 'kikkeli'.... bruteforcella tai dictionarylla kestää parikymmentä sekunttia kräkkää tollaset.

Vuohi5/10

Lainaus, alkuperäisen viestin kirjoitti friis:

Ihan sama jos onko kryptattu vai ei, jos salasanat on luokkaa 'kissa', 'koira', 'pikkumyy', 'kikkeli'.... bruteforcella tai dictionarylla kestää parikymmentä sekunttia kräkkää tollaset.

Yksittäisen salasanan kohdalla, joka huonossa tapauksessa on juurikin joku kissa tms. ei kryptaaminen juurikaan auta, mutta pienellä vaivalla saadaan parempi suojaus aikaan. Yhdistämällä käyttäjätunnuksen ja salasanan sekä mahdollisesti vielä ylimääräinen merkkijono saataisiin kryptattuna huomattavasti paremmin suojatut tunnukset aikaan. Eikä maksaisi vaivaa tai aikaa.

6630nokia6/10

Onneksi en muistaakseni ole tuonne koskaan rekisteröitynyt. Ei ainakaan löytynyt mitään osoitteita listalta, joita nykyisin käytän. Ei kannata enää käyttää noin huonosti salattua palvelua.

Bluejack7/10

Lainaus, alkuperäisen viestin kirjoitti FrostRose:

Lainaus, alkuperäisen viestin kirjoitti Bluejack:

Pelottava esimerkki täydellisestä katastrofista..

Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.

No,jos tälle linjalle lähdetään niin onko mitään järkeä rekistöröityä minnekkään oikeilla nimillä tai mahdollisilla yhteystiedoilla?

dfgdf (vahvistamaton)8/10

Lainaus, alkuperäisen viestin kirjoitti Bluejack:

Lainaus, alkuperäisen viestin kirjoitti FrostRose:

Lainaus, alkuperäisen viestin kirjoitti Bluejack:

Pelottava esimerkki täydellisestä katastrofista..

Missä mielessä? Itse pidän lähes jokaiselle verkkosivustolle, jolle rekisteröidyn eri käyttäjätunnus ja salasana yhdistelmää. Varsinkin e-mail salasanaani pidän visusti tallessa. Joillekin yhden asian foorumeille pidän heikompaa salasanaa, mutta nekin ovat ainakin 10 merkkisiä.

Jos ihmisillä ei ole viitseliäisyyttä pitää yllä tietoturvaansa usealla käyttäjätunnus ja salasana kombinaatiolla, niin mainitsemasi katastrofi on valmis. Jos taas et pidä missään samaa yhdistelmää, silloin pääsivät asialla olleet vain kyseisen paikan tietoihin käsiksi.

Tämä olisi itsestäänselvyys tietoturvallisuudesta tietäville, mutta onko tietoturvallisuus itsestäänselvyys ihmisille. No ei tietenkään. Mitä sitä turhia moista diibadaabaa, kun pitää muistaa paljon tärkeämpiäkin asioita kuten kauppalista.

No,jos tälle linjalle lähdetään niin onko mitään järkeä rekistöröityä minnekkään oikeilla nimillä tai mahdollisilla yhteystiedoilla?

Niinpä, minä en ainakaan käytä oikeita tietoja
Jos kysytään nimeä niin laitan jonkun random yhdistelmän sama pätee yhteystietoihin

himpo9/10

Pidän sähköposteissa yhtä salasanaa, privaträkkerillä omansa ja paypalissa omansa.
Kaikissa muissa on käytössä sama käyttäjätunnus ja salasana, niillä kun ei ole mitään väliä vaikka joku nyt pääsisikin rikkomaan ennätykseni nimissäni jossain hiton älypäässä.

Oma moka jos pitää samaa salaasnaan jokapaikassa, varsinkin sähköpostiin jos pääsee ulkopuoliset käsiksi niin sieltähän löytyy rekisteröitymis viestejä vaikka kuinka käyttäjätunnuksineen ja salasanoineen.

FrostRose10/10

Lainaus, alkuperäisen viestin kirjoitti himpo:

Pidän sähköposteissa yhtä salasanaa, privaträkkerillä omansa ja paypalissa omansa.
Kaikissa muissa on käytössä sama käyttäjätunnus ja salasana, niillä kun ei ole mitään väliä vaikka joku nyt pääsisikin rikkomaan ennätykseni nimissäni jossain hiton älypäässä.

Oma moka jos pitää samaa salaasnaan jokapaikassa, varsinkin sähköpostiin jos pääsee ulkopuoliset käsiksi niin sieltähän löytyy rekisteröitymis viestejä vaikka kuinka käyttäjätunnuksineen ja salasanoineen.

Mutta eihän paremmin suojatut paikat lähetä koskaan sulle salasanaa tai turvallisuuskysymysten vastauksia, vaan resetoi salasanasi, ja antaa vahvistettuun sähköpostiin vain sen kertakäyttöisen salasanan jos saat salaisen kysymyksen oikein.

Käy huviksesi vilkaisemassa vaikka Guild warssin foorumeilta hakkerointiyrityksen jälkeisistä varotoimista. Siellä piti muistaa oman hahmon nimi, tai sitten lähettää sähköpostissa käytetty nimi, osoite, luottokortin 4 viimeistä numeroa, kirjautumisnimi, sähköposiosoite joka oli käytössä ja olikos siinä vielä muutakin.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki