Suomi24.fi murrettiin, salasanat vaarassa
Verkkoyhteisö Suomi24.fi:n käyttäjätietokanta on anastettu. Suomen Viestintäviraston alainen tietoturvaviranomainen CERT-FI kertoo, että salasanat olivat palvelussa salattuina. Käyttäjätietojen varastamisen lisäksi murtautujat levittivät haittaohjelmaa Suomi24.fi:ssä.
Suomi24.fi kertoo, että murtautujan muutokset on poistettu sivustosta ja hyväksikäytetty haavoittuvuus on paikattu. Vaikka salasanat olivat salattu ja siten vaikea hyödyntää välittömästi, käyttäjien on syytä muuttaa palvelun salasanaa sekä muissa palveluissa käytettyä samaa salasanaa.
Sivuston tiedotteessa kerrotaan, että kyseessä oli ammattimainen hyökkäys ulkomailta.
30 KOMMENTTIA
Mata1/30
Jopas nyt viikottain jonnekin murtaudutaan...
venne (vahvistamaton)2/30
Vaikka salasanat olivat salattu ja siten vaikea hyödyntää "välittömästi" ...just joo! Totta on, että ei voi välittömästi, käyttää noita tunnus/salasana yhdistelmiä, mutta jokainen, joka osaa selaimeen googlen kirjoittaa, niin löytää softat, joilla kryptatut salasanat saa auki.
Froober3/30
no jotenkin en ihmettele tuatakaa. Tual suomi24 sivustolla on ihan älyttömästi käyttäjiä/sähköpostiosoitteita. Spammereille lisää kohteita. Taas vaihteeksi jotain murretaan :D
jere754/30
Onnea vaan purkuyrityksen kanssa jos vähänkin kovempi kryptaus. Jee meni 15 vuotta purkuun ja sain vesa viiksen tunnukset. Hyödyllistä.
ArttuH5N15/30
Eivät sentään tallentaneet salasanoja tekstitiedostoon... :P
umrej6/30
Siis meinaakos tuo myös suomi24 maili tunnuksia?
Kakkula7/30
Veikkaampa että ei mitkään huippu super kryptaukset ole suomi24:ssä :|
sampe738/30
Tämmöistä Avast 5 ilmoitti aikaisemmin tänään.
Jani_P9/30
Sama tuli mulla paripäivää sitten. Otin yhteyttä Suoli24 ylläpitoon ja kirjoitin asiasta tukipalstallekin, mutta aihe poistettiin! Hienoa toimintaa.
yamaneko10/30
Toivottavasti AD:ssa on osattu hoitaa nämä asiat paremmin...
Ibanez9011/30
Kaikkien sivujen pitäisi nyt tehdä parannuksia suojauksiinsa! Ja heti! Ennen kun pahempaa tapahtuu.
Bluejack12/30
fAKE sivuilla tulee pitää fAke nimeä sekä fAke salasanaa.
on toi niin "laadukas" sivusto sentään.
EET13/30
Väärin veikkasit. Jos salasanat on kryptattu esim. MD5:llä, joka on varsin yleinen, et sitä kuule kovin helpolla saa murrettua. Itseasiassa MD5:n murtaminen taitaa olla mahdotonta.
MD5 (vahvistamaton)14/30
@EET
Tässä ei tarvitse murtaa välttämättä yhtään mitään. Valtaosa käyttäjistä luo niin huonoja salasanoja, että esim. http://project-rainbowcrack.com/ työkalulla voi luoda ns. rainbow-taulun, jolla on mahdollista avata salasanoja muutamassa sekunnissa. Homma
on tietysti vaikempaa jos Suomi24.fi on suolannut salasanansa.
Mutta aikalailla metsään menee arviosi MD5 algoritmin tasosta.
Pihlis1215/30
Kaikista paras suoja omien tietojen säilymiselle on käyttää jokaisessa palvelussa omaa salasanaa. Suurin ongelma muodostuu siitä jos käyttäjätunnukset ja salasanat joutuvat vääriin käsiin ja noita tunnuksia käytetään monessa muussa paikassa jolloin noita tunnuksia oikeasti joku voi käyttää.
Eipou16/30
Yhden salasanan murtamiseen menee yhtä pitkä aika kuin tuhannen tai miljoonan. Eli jos murtamiseen menee kaksi viikkoa niin ei paha jos tuloksena on sadat tuhannet salasanat. Ja MD5 murtuu minuuteissa.
MD5 (vahvistamaton)17/30
Katsopa http://en.wikipedia.org/wiki/MD5
Ja suurin ongelma muodostuu siitä, että valtaosa nettipalveluista säilyttää käyttäjätietoja edelleen leväperäisesti.
raatti18/30
Eipä tuo silti ole nykyään vaikeaa, helppokäyttöisiä ohjelmia on:
http://passwordnow.com/str.asp
ja valmiiksi löytyy myös ns. distributed rainbowtable passunmurtajia joten pienellä botnetillä murtaa 95% noista salasanoista alle vuorokaudessa helposti, loput murtuu ajan myötä - riippuen erikosmerkkien määrästä ja monimutkaisuudesta.
Tuonne voi syöttää 10 hashia kerralla ja kattoa mitä salasanoja löytyy: http://www.freerainbowtables.com/en/hashcracking/
MD5 on nykypäivänä yleisesti tietoturvapiireissä pidetty (ilman "suolaa") riittämättömänä ja suorastaan turvattomana. Nykyään vaaditaan lisäturvaa monessa muodossa ja salasana hashinä SHA+salt.
Pihlis1219/30
Katos joo näemmä tuo purku on aika simppeliä nykyään.
dRD20/30
Eipä se auta. Koodi on ihmisten tekemää, joten siellä on väistämättä aina jossain jokin aukko. Toki "best practices" -ajattelu auttaa jo paljon ettei nyt ihan mitään reikäjuustoa tehdä, mutta aina sitä löytyy se joku perjantai-iltapäivänä nopeasti kasattu pikkusivu, joka piti saada "yhtä juttua" varten, johon on sitten jäänyt sellainen rekanmentävä SQL injection -aukko.
Tärkeintä on kuitenkin huolehtia loppukäyttäjien vahingon minimoimisesta, eli salata salasanat kuten S24 oli tehnytkin.
friis21/30
LOL ;-)
Suolaamaton MD5 murtuu hetkessä. Suolattu vaatii hieman aikaa, mutta brute-forcella pystyy murtamaan suurimman osan passuissa hyvin nopeasti. Ja se johtuu ihmisten tyhmyydestä. Yleensä salansanat ovat liian lyhyitä ja/tai helppoja.
VIPI8722/30
****************************************************************
*** MD4/MD5/SHA1 GPU Password Recovery v0.62 ***
*** For ATI RV 7X0 cards and nVidia 'CUDA' ones (G80+) ***
*** (c) 2009 Ivan Golubev, http://golubev.com ***
*** see "readme.htm" for more details ***
****************************************************************
*** Any commercial use of this program is strictly forbidden ***
****************************************************************
Found 1 CAL device(s)
Starting brute-force attack, Charset Len = 36, Min passlen = 4, Max passlen = 10
Charset (unicode -> 0) [abcdefghijklmnopqrstuvwxyz0123456789]
Charset in HEX: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7
6 77 78 79 7a 30 31 32 33 34 35 36 37 38 39
Starting from [aaaa]
Hash type: MD5, Hash: 32269ae63a25306bb46a03d6f38bd2b7
Device #0: [RV7x0] 790.00 Mhz 800 SP
Hardware monitoring enabled, threshold temperature is 90°C.
CURPWD: 23jzmfz DONE: 33.78% ETA: 42s AVRSPD: 1217.8M
Found password: [testmd5], HEX: 74 65 73 74 6d 64 35
Processed 28 714 205 184 passwords in 24s.
Thus, 1 217 374 196 password(s) per second in average.
Jep Eli 1217 Miljoonaa arvausta per sekuntti normi ATI HD4870 näytönohjaimella.... eli 24s kestää murtaa MD5 salasana mis on 7 merkkiä pieniä kirjaimia ja numeroita hehe eli lähes mahdotonta
ja siis pointti on siin et ite en osais murtautuu tollasel sivustolle mut kukatahansa ketä osaa käyttää googlea ni saa noi MD5:t auki
admins23/30
Taisi käydä Suomi24:lla tuuri. Kun Älypään salasanavuoto tuli julki, muistaakseni jonki ajan päästä taisi Suomi24 olla kiinni.
Ehtivät juuri salata salasanat :)
keilatus24/30
Ihan mielenkiinnosta, kauanko kestäis samanpituinen salasana jossa on sekä isoja että pieniä kirjaimia noiden numeroiden lisäksi.
VIPI8725/30
****************************************************************
*** MD4/MD5/SHA1 GPU Password Recovery v0.62 ***
*** For ATI RV 7X0 cards and nVidia 'CUDA' ones (G80+) ***
*** (c) 2009 Ivan Golubev, http://golubev.com ***
*** see "readme.htm" for more details ***
****************************************************************
*** Any commercial use of this program is strictly forbidden ***
****************************************************************
Found 1 CAL device(s)
Starting brute-force attack, Charset Len = 62, Min passlen = 4, Max passlen = 7
Charset (unicode -> 0) [ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
456789]
Charset in HEX: 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 5
6 57 58 59 5a 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76
77 78 79 7a 30 31 32 33 34 35 36 37 38 39
Starting from [AAAA]
Hash type: MD5, Hash: d0be4e0801a176ebdd3bbd861a3e3649
Device #0: [RV7x0] 790.00 Mhz 800 SP
Hardware monitoring enabled, threshold temperature is 90°C.
CURPWD: 6P3FetW DONE: 49.56% ETA: 23m 53s AVRSPD: 1239.0M
Found password: [MD5test], HEX: 4d 44 35 74 65 73 74
Processed 1 803 299 061 760 passwords in 24m 16s.
Thus, 1 238 977 172 password(s) per second in average.
siin on isot, pienet, numerot ja 7merkkiä
Michelola26/30
aika proota cräkätä näytönohjaimella noita
Croft27/30
No voi hyvä luoja! O_O Mikä ihme buumi tämä nyt oikein on, kiitos taas joudun vaihtamaan tunnuksia, vasta kun selvisin Älypään tapauksesta (jossa en edes enää ollut pitkään aikaan tunnuksella joka vietiin, olin poistanut aikoja sitten)... -_-'
6630nokia28/30
Vaihdoin siellä salasanaa tuon jälkeen, vaikkei välttämättä olisi tarvinnutkaan.
LaLLi8029/30
Kai pistit saman kuin ad:ssä :)
6630nokia30/30
En laittanut, aiempi oli sama, mutta tunnus oli eri. Mutta nyt siis molemmissa eri salasana. Tuo on kyllä suosituin salasanani, käytän sitä monessa paikassa.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT