Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä
Kyberturvallisuuskeskus on lupaustensa mukaisesti avannut listan, jossa se kertoo Hearbleed-haavoittuvuudesta kärsineiden suomalaisten palveluntarjoajien nimet. Salasana on suositeltavaa vaihtaa, mikäli käytät listalla olevan palveluntarjoajan tuotteita.
Haavoittuvuudesta ovat kärsineet myös isot ulkomaalaiset palvelut, joten isoon salasananvaihtoruljanssiin on aihetta. Muiden muassa Google, Facebook ja Yahoo ovat käyttäneet OpenSSL-kirjaston haavoittuvia versioita.
Alla on Kyberturvallisuuskeskuksen julkaisema lista suomalaisista palveluista, joiden käyttäjien salasanat ovat voineet paljastua Heartbleedin vuoksi.
- Wilma/StarSoft
- Wilma/Rovaniemen aikuislukio
- Elisa
- TDC
- VETUMA (Verkkotunnistaminen ja -maksaminen; ei vaadi käyttäjältä toimenpiteitä)
- DNA:n sähköpostijärjestelmät (smtp.dnainternet.net ja posti.taajama.fi)
- DataCenter Finland
- Suomen Hostingpalvelu
- Nettihotelli.fi
- Netplaza
- Jyväskylän Yliopisto
- Helsingin Yliopisto
- Planeetta Internet
- Anvia Oy
- Fonecta Oy
- Anders Innovations Ltd
- Åbo Akademi
- Intunex
- Vertaislaina Oy:n Lainaaja.fi
- Planmill
- Santa Monica Networks
- Tamico
- Syöpäjärjestöt
- Isolta Oy
- Järjestäytyneet Verkkokäyttäjät - JK ry
- Hanken
- CasinoLehti
- Tampereen yliopisto
- INT2000 Oy
- Haminan kaupunki
- Helsingin yliopiston Kielipankki Fin-Clarin
- Mäntsälän kunta
Päivitämme listaa sitä mukaa kun palvelujen nimiä tulee ilmi. Pysyt ajan tasalla, kun lisäät uutisen kirjanmerkkeihin.
Päivitys (22.4.2014). Lisätty VETUMAn kohdalle huomautus. Ei vaadi käyttäjiltä toimia, koska palvelu ei käsittele käyttäjätunnuksia tai salasanoja, vaan välittää tunnistamisen hyväksynnän pankki- tai mobiilitunnistautumisen palvelimelta.
Päivitys (23.4.2014) DNA lisätty listaan.
Päivitys. (6.5.2014) Listaa päivitetty useilla kohteilla.
15 KOMMENTTIA
Jeppe-Joonatan (vahvistamaton)1/15
Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.
takkihukassa2/15
Kyllä salasana kannattaa vaihtaa heti ja varautua vaihtamaan se uudelleen, jos palvelun nimi tulee vaihtamisen jälkeen listoille. Palvelun käyttäjä ja salasanatiedot saattavat olla jo rikollisilla "varastossa".
Salasanat eivät ole sukupuuttoon kuolemassa joten niitä riittää.
Michelola3/15
ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu
syrtek664/15
Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?
teppoI5/15
Kyberturvallisuuskeskus ilmoittaa niiden palvelujen nimet, jotka ovat kertoneet korjanneensa haavoittuvuuden.
armagedoun (vahvistamaton)6/15
Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...
Automic7/15
En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä
Eugent8/15
Uskoisin että Michelola tarkoittaa tässä tapauksessa Codenomiconia.
Insomniu9/15
Oletetaan, että muutoin salaus on tehty asiallisesti palveluiden puolesta.
Riittää, että käyttäjä muuttaa/lisää yhden merkin salasanaan.
KissaKoira2014 => Kissakoira2014
Salasana on kuin uusi, tässä tapauksessa.
Sefriol10/15
Kannattaa myös salasanaa tekiessä muistaa, että ei kannata tehdä itselle kauhean vaikeasti muistettavaa salasanaa. Yleensä nämä on tietokoneen paljon helpomi arvata. Myös sanakirjaa käyttäviä dekryptereitä on turha pelätä, jos salasana on tarpeeksi pitkä. Toisaalta, jossain palveluissa on salasanan pituus rajoitettu, joten se hieman rajoittaa asiaa.
Esimerkki: 10 sanan lauseet, jossa lauseen ensimmäisen ja viimeisen sana alkavat isolla kirjaimella.
EikiinnostatamapaskasittenYhtaanEiedesHuomenna
Numeroita halutessaan. Suurempi todennäköisyys on, että salasanasi paljastuu huolimattomuuteesi kuin se että botti sen selvittäisi. Ääkköset olisivat muuten hyviä, mutta jossain palveluissa niitä ei tueta. Itselleni on käynyt muutamaan kertaan, että salasana hyväksytään aluksi, mutta uudelleenkirjoittaessa valittaa, että ei ole oikea.
Ketola11/15
Tässä tapauksessa kyseessä on sikäli erilainen tapaus kuin aikaisemmat tietovuodot, että salasanoja ja muuta tietoa on voinut vuotaa ilman, että mitään jälkiä on jäänyt. Lisäksi vuodot kohdistuvat palveluihin, joita oletusarvoisesti (https-yhteys) on voinut pitää turvallisena.
Ongelma on tullut esiin muutama viikko sitten, mutta itse bugi on ollut OpenSSL-kirjastossa jo kahden vuoden ajan. Kuka tahansa on voinut tänä aikana vian bongata lähdekoodista ja käyttää sitä hyväksi ilman, että kukaan on huomannut mitään.
Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.
Ei nyt ihan näinkään. Satunnaisella pommittamisella ei saa kuin yksittäisiä, merkityksettömiä pätkiä, mutta pitkällä aikavälillä voi vuodon kautta kerätä mm. salausavaimia ja salasanoja melko hyvällä todennäköisyydellä. Tästä on raportoinut mm. Cloudflare, jonka testipalvelimen avaimet kaivettiin esiin alle vuorokaudessa.
Agent_00712/15
Oikeiden sähköpostipalveluiden kanssa kannattaa käyttää Two-step verification -järjestelmää, jolloin yhden salasanan vuotaminen ei aiheuta ongelmia
http://en.wikipedia.org/wiki/Two-step_v...ication_service
G0lden_Kebab13/15
Aikas moni julkishallinnon organasaatio tuota VETUMAakin käyttää...
mm. Väestöreskiterikeskus, valtionkonttori, kela, verohallinto...
TuPP314/15
Eihän noita hullukaan manuaalisesti haravoi, mutta ei mene montaa tuntia kun alan mies kirjoittelee ohjelman joka pyörittää tätä rumbaa automaagisesti ja kerää pelkästään olennaisia tietoja sopivan algoritmin avulla.
syrtek6615/15
openssl on forkatttu openbsd:n toimesta ja näyttävät tekevät valtavaa reworkkia esim muistinvarauksen liityen.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT