AfterDawn logo

Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä

Manu Pitkänen Manu Pitkänen
15 kommenttia

Kyberturvallisuuskeskus on lupaustensa mukaisesti avannut listan, jossa se kertoo Hearbleed-haavoittuvuudesta kärsineiden suomalaisten palveluntarjoajien nimet. Salasana on suositeltavaa vaihtaa, mikäli käytät listalla olevan palveluntarjoajan tuotteita.

Haavoittuvuudesta ovat kärsineet myös isot ulkomaalaiset palvelut, joten isoon salasananvaihtoruljanssiin on aihetta. Muiden muassa Google, Facebook ja Yahoo ovat käyttäneet OpenSSL-kirjaston haavoittuvia versioita.

Alla on Kyberturvallisuuskeskuksen julkaisema lista suomalaisista palveluista, joiden käyttäjien salasanat ovat voineet paljastua Heartbleedin vuoksi.

Päivitämme listaa sitä mukaa kun palvelujen nimiä tulee ilmi. Pysyt ajan tasalla, kun lisäät uutisen kirjanmerkkeihin.


Päivitys (22.4.2014). Lisätty VETUMAn kohdalle huomautus. Ei vaadi käyttäjiltä toimia, koska palvelu ei käsittele käyttäjätunnuksia tai salasanoja, vaan välittää tunnistamisen hyväksynnän pankki- tai mobiilitunnistautumisen palvelimelta.
Päivitys (23.4.2014) DNA lisätty listaan.
Päivitys. (6.5.2014) Listaa päivitetty useilla kohteilla.

15 KOMMENTTIA

Jeppe-Joonatan (vahvistamaton)1/15

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

takkihukassa2/15

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

Kyllä salasana kannattaa vaihtaa heti ja varautua vaihtamaan se uudelleen, jos palvelun nimi tulee vaihtamisen jälkeen listoille. Palvelun käyttäjä ja salasanatiedot saattavat olla jo rikollisilla "varastossa".

Salasanat eivät ole sukupuuttoon kuolemassa joten niitä riittää.

Michelola3/15

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

syrtek664/15

Lainaus, alkuperäisen viestin kirjoitti Michelola:

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?

teppoI5/15

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

Kyberturvallisuuskeskus ilmoittaa niiden palvelujen nimet, jotka ovat kertoneet korjanneensa haavoittuvuuden.

armagedoun (vahvistamaton)6/15

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Automic7/15

En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä

Eugent8/15

Lainaus, alkuperäisen viestin kirjoitti syrtek66:

Lainaus, alkuperäisen viestin kirjoitti Michelola:

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?


Uskoisin että Michelola tarkoittaa tässä tapauksessa Codenomiconia.

Insomniu9/15

Oletetaan, että muutoin salaus on tehty asiallisesti palveluiden puolesta.

Riittää, että käyttäjä muuttaa/lisää yhden merkin salasanaan.
KissaKoira2014 => Kissakoira2014

Salasana on kuin uusi, tässä tapauksessa.

Sefriol10/15

Kannattaa myös salasanaa tekiessä muistaa, että ei kannata tehdä itselle kauhean vaikeasti muistettavaa salasanaa. Yleensä nämä on tietokoneen paljon helpomi arvata. Myös sanakirjaa käyttäviä dekryptereitä on turha pelätä, jos salasana on tarpeeksi pitkä. Toisaalta, jossain palveluissa on salasanan pituus rajoitettu, joten se hieman rajoittaa asiaa.
Esimerkki: 10 sanan lauseet, jossa lauseen ensimmäisen ja viimeisen sana alkavat isolla kirjaimella.
EikiinnostatamapaskasittenYhtaanEiedesHuomenna
Numeroita halutessaan. Suurempi todennäköisyys on, että salasanasi paljastuu huolimattomuuteesi kuin se että botti sen selvittäisi. Ääkköset olisivat muuten hyviä, mutta jossain palveluissa niitä ei tueta. Itselleni on käynyt muutamaan kertaan, että salasana hyväksytään aluksi, mutta uudelleenkirjoittaessa valittaa, että ei ole oikea.

Ketola11/15

Lainaus, alkuperäisen viestin kirjoitti Automic:

En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä

Tässä tapauksessa kyseessä on sikäli erilainen tapaus kuin aikaisemmat tietovuodot, että salasanoja ja muuta tietoa on voinut vuotaa ilman, että mitään jälkiä on jäänyt. Lisäksi vuodot kohdistuvat palveluihin, joita oletusarvoisesti (https-yhteys) on voinut pitää turvallisena.

Ongelma on tullut esiin muutama viikko sitten, mutta itse bugi on ollut OpenSSL-kirjastossa jo kahden vuoden ajan. Kuka tahansa on voinut tänä aikana vian bongata lähdekoodista ja käyttää sitä hyväksi ilman, että kukaan on huomannut mitään.

Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.

Lainaus, alkuperäisen viestin kirjoitti armagedoun:

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Ei nyt ihan näinkään. Satunnaisella pommittamisella ei saa kuin yksittäisiä, merkityksettömiä pätkiä, mutta pitkällä aikavälillä voi vuodon kautta kerätä mm. salausavaimia ja salasanoja melko hyvällä todennäköisyydellä. Tästä on raportoinut mm. Cloudflare, jonka testipalvelimen avaimet kaivettiin esiin alle vuorokaudessa.

Agent_00712/15

Lainaus:

Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.


Oikeiden sähköpostipalveluiden kanssa kannattaa käyttää Two-step verification -järjestelmää, jolloin yhden salasanan vuotaminen ei aiheuta ongelmia
http://en.wikipedia.org/wiki/Two-step_v...ication_service

G0lden_Kebab13/15

Aikas moni julkishallinnon organasaatio tuota VETUMAakin käyttää...

mm. Väestöreskiterikeskus, valtionkonttori, kela, verohallinto...

TuPP314/15

Lainaus, alkuperäisen viestin kirjoitti armagedoun:

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...


Eihän noita hullukaan manuaalisesti haravoi, mutta ei mene montaa tuntia kun alan mies kirjoittelee ohjelman joka pyörittää tätä rumbaa automaagisesti ja kerää pelkästään olennaisia tietoja sopivan algoritmin avulla.

syrtek6615/15

openssl on forkatttu openbsd:n toimesta ja näyttävät tekevät valtavaa reworkkia esim muistinvarauksen liityen.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki