torsdag 28 februari 2008

Dataföreningen hackad av VFH

På Flashback, den underbara blandningen av det bästa och det värsta (som fyllde 25 härom dagen och där jag läst säkert halva tiden) briserade kvällens bomb.

VFH - Vuxna förbannade hackare - har nu hackat Dataföreningen, branschorganisationen för IT-folk. Enligt dom själva har de haft tillgång till servrarna i över ett år. Ikväll publicerades en lista på X antal tusen av medlemmarnas email, login till sajten samt hashade lösenord på modellen:

  1. b2b1d5d5c227b308b9f633b0c1753772;123iop;
  2. 91d20b1aed25eb72d2152f4348a430e4;123eee;
  3. 4ed713a2dc2332f459ed0fb9f01224f7;123660;
  4. 25d55ad283aa400af464c76d713c07ad;12345678;
  5. e10adc3949ba59abbe56e057f20f883e
Nu med vanlig datorkraft knäcks enklare lösenord på ett vips och lite längre på två vips och under tråden som växer fram på Flashback ser vi nu hur listor på 4000 klarttextlösenord läggs upp. Man behöver inte ens vara särskild duktig utan vilken skript-kiddie som helst kan exekvera med de verktyg som finns på nätet som allmängods.

Dataföreningen skriver följande:

-------

Intrång hos Dataföreningen‏
From: Dataföreningen (dataforeningen@dfs.se)
Sent: Thursday, February 28, 2008 8:41:53 PM
To: -----------------

Pressmeddelande 28 februari 2008

Intrång hos Dataföreningen

Dataföreningen har drabbats av ett intrång där användaridentiteter och "hashade" lösenord, e-postadresser publicerats av hackare.

Dataföreningen har stängt ner sina webbplatser, utreder och kommer att överlämna ärendet till polisen.

Medlemmar som mot förmodan har samma lösenord på andra sajter uppmanas att ändra dem.

----

Det i fetstil (min markering) är en ett tappert försök till friskrivning av ansvar. Carte blanche får man inte så lätt... speciellt inte när man säger saker som "Dataföreningen sitter på lösningen för att förhindra nästa hackarvåg " och avbildar sig i tidningsartiklar där man "poserar med en laptop när de scannar trådlösa nät på stan? " som VFH skriver. Men men... "man kan ju alltid polisanmäla"...

Förhoppningsvis är medlemmarna på IT-föreningen mer IT-savvy än ex Bilddagbokens hackade medlemmar men samtidigt tvivlar man när man ser listan med lösenorden i klartext och minns hur 2008 har kantrats av liknande attacker med msn-övertaganden, mailhackningar etc som följd. Det känns som att ex de 289 kontona för anställda på TietoEnator, 189 på försäkringskassan, varför inte 49 på Försvarsmakten, Skatteverket etc.. kan orsaka en del problem framöver. Många kommer få morgonkaffet i vrångstrupen.. (skulle man kunna säga ifall inte vårt svenska språk hade bättre liknelser.)

Sen hade man ju kunnat önska att folk på SÄPO hade bättre lösenord än sitt efternamn... Rikets säkerhet och sånt.. Ok... nu handlar det som sagt inte om några maillösenord utan bara loginet till en sajt folk använder på nätet... men som sagt... se ovan.

OK... ska vi säga något sammanfattande om ifall detta är moraliskt förkastligt eller ett sunt påvisande av säkerhetshål? VFH som lägger ut textfilerna med reservationenn att de ändå är krypterade vet naturligtvis att lite crowd intelligence och datorkraft kommer svepa detta argumentet bort innan ens ett pressmeddelande från offret har kommit ut. Med andra ord så vet man vilket kaos man skapar. Men... på alla ställen där tillfällen till snabba Alexanderhugg finns, slarv med säkerhet kryddat med sturskhet utan att backa upp det kommer liknande grejer fortsätta. Det krävs bara en motiverad och fokuserad insats...

"Bra" timing förresten att göra en sån här grej kvällstid då det säkert tar ett halvt dygn på många ställen innan något händer.... Know your guerilla tactics...

Följ strängen på Flashback för att följa utvecklingen och se för allt i världen till att ändra era lösenord ifall in är medlemmar i Dataföreningen och har samma login där som någon annanstans. Har redan sett folk jag känner som är drabbade... :(

1 kommentar:

JonasL sa...

Usch vad folk ska sabba

 
Clicky Web Analytics