HUOM! Suomalaisia verkkopalvelujen tunnuksia julki internetissä

Ylessä uutisoitiin verkkopalveluiden käyttäjien tunnuksien vuotamista (http://www.yle.fi/uutiset/24h/id72250.html). Osoitteesta: http://koti.mbnet.fi/vaultec/passlist.php löytyy lista. Näyttää siltä, että listalla on mm. Hilavitkutin.com-sivuston käyttäjien käyttäjänimiä ja sähköpostiosoitteista. Jos käyttäjänimenne on listalla, kannattaa vaihtaa salasana varmuuden vuoksi.

Jos ette ole varmoja asiasta, tai muuten homma aiheuttaa harmaita hiuksia, niin voitte laittaa meille asiasta sähköpostia osoitteesta, jota olette käyttäneet rekisteröitymiseen. Viestit voi lähettää osoitteeseen info[[at]]hilavitkutin.com. Vaihdamme sitten salasanan puolestanne ja laitamme uuden tulemaan sähköpostiin!

Arvioi jutun mielenkiintoisuutta
1 Tähti2 Tähteä3 Tähteä4 Tähteä5 Tähteä (33 arviota, keskiarvo: 4.42/5)

Comments

  1. Voihan helveta!

    Omani löytyi listalta, mutta ennen kun kokeilette sitä, olen vaihtanut sen.

    Joutaisivat linnaan ja kuritushuoneelle!

  2. Vote -1 Vote +1Jyrki
    says:

    Joo. Tää on todella ärsyttävää. Eikö ihmisillä ole parempaa tekemistä.

  3. Vote -1 Vote +1JAck
    says:

    kaverin hotmaili oli listalla! OOMG;;;OO

  4. Vote -1 Vote +1sadaasd
    says:

    Oma löytyi sieltä, kas kummaa.. Mutta turha yrittää, salasana vaihdettu jo :>
    Hirteen tommoset

  5. Vote -1 Vote +1Siron
    says:

    13.9.2007
    WordPress-haavoittuvuuksiin julkaistu helppokäyttöinen hyväksikäyttötyökalu, mainostetaan cert-fi sivuilla.
    Onkos tässä joku linkkileikkuri, kun tuntuu kaikki viestit häviävän mihin tuota linkkiä tonne yritin tai kohta tulee viiveellä monta tuplapostausta :)
    Kävin vilkasemassa simple forumia ja siellä se alalaidassa vielä mainostaini 2.2.1 versiota kait, eli mikään ei estäisi pikku-poikien uudelleenvisiittiä.

  6. Vote -1 Vote +1Janne
    says:

    Löytyykö listaa vielä jostain?

  7. Vote -1 Vote +1Lurkki
    says:

    Afterdawn.comin sivuilta löyty: linkki poistettu

  8. Juu, omani löytyi, onneksi md5-hashina. Trackasin sen juuri tänne hilavitkutin.com sivulle, onneksi ehdin vaihtaa jo salasanat heti kun juttu tuli ilmi eilen päivällä. Olisi hyvä jos joku tajuaisi lähettää kaikille listallaolleille vaikkapa varoituksen sanan maililla.

  9. Ja Jyrki.. Kannattaisi vaihtaa tuo salasanat ja hashit sisältävä lista tuohon passlist_safe.txt:n, josta ne salasanatiivisteet on poistettu, kuten jo Lurkki sanoi.
    Sehän ei ole kovin kannattavaa levittää listaa, jossa itsekin olet o_0

  10. Vote -1 Vote +1Simppa
    says:

    Juu, kuten Siron jo sanoikin, pystyisikö tämän wordpressin haavoittuvuuden jotenki kuromaan umpeen? Ei ainakaan omasta mielestäni ole mukavaa, jos salasanani tulisi uudelleen ilmi…

  11. Vote -1 Vote +1Siron
    says:

    Siellä tiede.fi:llä finchanin linkki, joka kait sattuneesta syystä alhaalla. Kohta on kaikki biit vierotusoireissaan.

  12. Vote -1 Vote +1capseli
    says:

    Hyvin huolestuttavaa!

  13. Vote -1 Vote +1zcxzxc
    says:

    Onneks tää juttu kerrottiin täälä….muuten en ois tienny tästä mitään

  14. Vote -1 Vote +1Nimetön
    says:

    Tää on levinny ku kulovalkea… Kaveri soitti aamusta, käynnistin koneen ja mesen, ja samaa juttua tulee joka tuutista.

  15. Vote -1 Vote +1heikkinen
    says:

    OMG mun hotmaili on listalla.. Enhä mää mitää uutta salasanaa muista kumminkaa :’(

  16. Mikään listan linkki ei toimi. Mistähän voisi katsoa toimivan?

  17. Vote -1 Vote +1heikkinen
    says:

    Ja hyvä että asiasta tiedotetaan laajalti. Osaavat sitten ihmiset vaihtaa salasanansa.

  18. Teemme toki parhaamme, että blogin tietoturva olisi riittävän hyvä.

    Hilavitkuttimesta ongitut tiedot sisältävät siis ainoastaan hilavitkuttimen käyttäjätunnuksen, tähän liittyvän sähköpostin ja hilavitkuttimen salasanan hash-muodossa, joka saattaa olla mahdollista palauttaa toimivaksi salasanaksi. Kenenkään sähköpostitilejä ei näillä tiedoilla siis päästä häkkäämään.

    Siron: Ei julkaista täällä linkkejä ohjeisiin, missä kerrotaan, kuinka käyttäjätunnukset saa murrettua.

    Kaikkien sivuille kirjoitusoikeudet omaavien salasanat vaihdoimme heti. Oman rekisteröityneen käyttäjän salasanan pääsee muuttamaan osoitteessa http://www.hilavitkutin.com/wp-admin/

    Todella rasittavaa kiusantekoa koko homma. Toivotaan siis, että asialla olleet ruotsalaisteinit saadaan kiinni.

  19. Vote -1 Vote +1Siron
    says:

    Niin, ihan siihen Certin tiedotukseen olisin vain sen linkin laittanut, jos tuo lause “Siron: Ei julkaista täällä linkkejä ohjeisiin, missä kerrotaan, kuinka käyttäjätunnukset saa murrettua.” viittasi että olisin jotain muuta linkkiä yrittänyt tunkea.

    Asian perusideahan näissä on käyttäjän laiskuus, itekkin olen syyllistynyt käyttämään samoja salasanoja useampiin paikkoihin, joten se tuo sen suuremman riskin, eli vaikka täältä löytyvältä salasanalla ei pitäisi päästä ilmitulleeseen sähköpostiin, voi osalla olla laiskuuttaan käytössä sama salasana, onneksi sentään ei itsellä ollut.

    No näistä oppii, nyt on semmosta siansaksaa salasanat ja pitkiä, keepassilla generoituja, joka ihan opensourcea.

  20. Ok, sori Siron. Hermot tässä vähäsen kireällä, kun joutuu tällaisten juttujen kassa säätämään.

    Geneerinen ongelma on tietysti se, että kun joka toiseen paikkaan vaaditaan jonkimoinen rekisteröityminen ja salasana, niin äkkiä muistettavia salasanoja onkin kymmenittäin. Helpolta ratkaisulta tähän tietysti tuntuu käyttää samaa salasanaa joka paikkaan. Toivottavasti kovin moni ei kuitenkaan ole käyttänyt samoja tunnuksia tänne, kuin esimerkiksi sähköpostitililleen.

  21. Vote -1 Vote +1Hukka, Susi Hukka
    says:

    Toivottavasti tästä on se hyöty että ihmiset hokaisivat alkaa käyttämään monimutkaisemia ja pidempia salasanoja ja vaihtamaan niitä myös säännöllisesti.
    Monimutkaiset yli kymmenen merkkiä pitkät “Hju7663khR44huUJ” salasanat ovat kyllä mahdottomia muistaa, mutta mikä estää käyttämästä salasanalompakko-ohjelmaa jossa kaikkien eri web ja email palvelujen salasanat ovat yhden pääsalasanan takana, vaikka USB muistilla jos niitä tarvitsee mukana kuljettaa.

    Lisäksi tietysti julkisella koneella salasana kannattaa kirjoittaa virtuaalisella näppiksellä kun sitä on vaikeampi eri keylogger ohjelmien tallentaa ja edelleen lähettää.

  22. Vote -1 Vote +1TheMagician
    says:

    Salasanan generointi: http://www.pctools.com/guides/password/

    Eipä löytynyt omia tuolta :) No ehkä se ensi listassa sitten on, sieltähän nimittäin tulee vielä lisää listoja julki.

  23. Vote -1 Vote +1Joku tyyppi.. eli taruolent
    says:

    :P … munkin tunnarit näky listalla..

  24. Vote -1 Vote +1aturtur
    says:

    Taas yksi syy lisää vihata ruotsalaisia. Itteni läysin monestikkin tuolta listalta, nyt vaan vaihtaa kaikki käyttäjätunnukset uusiksi ja mese myös. Tekis mieli lähtee haulikon kanssa jahtaa noita pentuja kiinni.

  25. Vote -1 Vote +1iksvfdsrgsrg
    says:

    mistä se lista lyötyy????

  26. Vote -1 Vote +1moelanen
    says:

    jaa tuokin linkki on nyt sitten goatsea. aamulla vielä pääsin katselemaan, enkä löytänyt itseäni enkä tuttujani listalta.

  27. Vote -1 Vote +1aturtur
    says:

    @iksvfdsrgsrg

    Tällä voit nopeasti katsoa onko oma käyttäjätunnuksesi listalla.
    http://koti.mbnet.fi/vaultec/passlist.php
    Ilman hasheja.

  28. Vote -1 Vote +1someone
    says:

    emmä ainakaan usko et noita hashei lähtee kukaan tosissaan avaamaan, etenkään md5 muotoisia… ne täytyy periaatteessa arvaamalla hoidella. vaihdoinpa omat salasanani vaikka niitä ei ollutkaan listalla =) toivottavasti nuo sähköpostiosoitteet eivät ehtineet roskaposti-bottien tietoon =/

  29. Vote -1 Vote +1joooo
    says:

    hilavitkutin.com on ainaki yks sivuista mistä näitä on levinny 100% varmuudella! mitähä muita niitä sitte on niitä sivuja mistä näitä on levinny?

  30. Vote -1 Vote +1EN MIE TIIÄ
    says:

    Kiitos muuten tästä ^^ tuli tarpeeseen. 3 käyttäjä tunnusta löyty :S ja vielä ihan omaa…

  31. Vote -1 Vote +1dcbgfghjfhj
    says:

    mitä toi sha1 ja md5 tarkottaa???? ja toi hash?

  32. Vote -1 Vote +1joooo
    says:

    dcbgfghjfhj: Otappa wikipedia auki! Et voi olla nuin kädetön!

  33. Vote -1 Vote +1Leukaluu
    says:

    “Lurkki sanoi,
    Lokakuu 14th, 2007 9.30
    Afterdawn.comin sivuilta löyty: linkki poistettu
    Bem sanoi,”

    HYI VITTU!!
    Älkää IHMEESSÄ painako tota linkkiä!

  34. Vote -1 Vote +1Leukaluu
    says:

    Voi jumalauta, sähköpostini löysin silt listalta.

  35. Vote -1 Vote +1axuu
    says:

    md5 muotoset on ainaki tosi helppo murtaa… et ne ei anna oikeestaan turvaa yhtään, et älkää luottako siihen että ketään ei saa selville. Vaihtakaa vaan salasanat.

  36. Vote -1 Vote +1axuu
    says:

    muita vuotaneita ovat ainakin http://www.rakkausrunot.fi/ (näistä selkokieliset salasanat vielä), http://www.voitta.net/, ja http://www.mesenet.org.

    Itselläni levisi luultavasti mesenetin kautta, yleensä pidän eri salasanoja ja juuri tuolla oli samat tunnukset & salasanat kun tarkistin. Onneksi oli sentään sha1 muodossa, minkä laskemiseen minun koneellani menisi about kk.

  37. Vote -1 Vote +1axuu
    says:

    Niin ja noita md5 muotosia pystyy minuuteissa murtamaan, että ei oo edes iso vaiva. Voi olla hyvinkin mahdollista että pian julkistetaan lista, missä on muutettu iso osa salasanoista selkokielisiin muotoihin.

    Yksinkertaisesti voit ajatella näin:

    hash on salasana muutettuna toiseen muotoon. Jotta saat alkuperäisen salasanan esille, niin täytyy vain kokeilla kaikkia mahdollisia vaihtoehtoja (tai vastaavasti sanakirjan sanoja).

    md5 on nopea purkaa (käytännös ei paljoa suojausta)
    sha1:n purkaminen kestää paljon kauemmin (käytännössä enemmän suojausta)

    mutta kaikista on mahdollista saada alkuperäinen salasana selville.

  38. “Lurkki sanoi,
    Lokakuu 14th, 2007 9.30
    Afterdawn.comin sivuilta löyty: linkki poistettu”

    Juu. Älkää avatko, voisiko admin muokata nuo linkit pois tästä keskustelusta, johtaa goatseen. Eilen vielä löyty kyseinen passlist_safe.txt :/

  39. Vote -1 Vote +1axuuonidiootti
    says:

    Vittu sä oot axuu kanssa yks helvetin idiootti. Ottasit nyt edes vähän selvää ennekun alat tollasta paskaa kirjottamaan. En ole eläessäni kuullu noin paskaa selitystä mikä hashi on ja miten se mukamas “puretaan”. Vai haluutko sä kertoa meille sen sun MD5 funktion käänteisalgoritmin joka pystyy minuuteissa ilman mitään vaivaa muuttamaan hashin plaintextiksi?

  40. Vote -1 Vote +1nisse
    says:

    Hih omanikin siellä mukana oli, onneks vain yksi niistä monista emailista.. ja parin kovan luokan firmaa (cs peli firma johtajien) emailit :/

  41. Vote -1 Vote +1pahapuska tm.
    says:

    HUH omani ei ole siellä eikä minkään sivun käyttikse ööhm?

  42. Vote -1 Vote +1axuu
    says:

    Käänteisalgometriahan ei ole olemassakaan.

    En rupea neuvomana teitä miten md5 saadaan murrettua, mutta mikäli salasana ei ole äly pitkä, niin sen saa suhteellisen nopeastikkin. Mutta sehän menee raa’asti kokeilemalla kaikkia vaihtoehtoja ja sitä vertaillaan sitten hashiin. Md5 ei ole kovinkaan vahva, niin se sujuu suhteellisen sutjakasti.

    Ja monellakaan tuskin on älypitkää salasanaan, yleensähän salasanat on suhteellisen lyhkäsiks laitettu, että ne muistaisi. Alle 10 merkkiset ainakin tulee vielä suhteellisen nopeasti selvitettyä, mutta jos joku haluaa nähdä vaivaa niin salasanat saa selville. Erikoismerkit yms. lisäävät vahvuutta myös.

    Toivottavasti sinä et usko että olet turvassa mikäli olet listalla. Sen saa meinaan ihan oikeasti salasanan siitä kaivettua suhteellisen nopeastikkin. Atk-alan ammattilaisena tiedän tämän.

    Toivottavasti ihmiset heräisivät tämän jutun takia, jopa ne ketkä luulee olevansa nyt turvassa, koska ite ei osaa hashista muodostaa omaa salasanaansa.

    ps. tiedän että selitykseni hashista saattoi olla liian yksinkertainen, mutta ajattelin että se saattaisi sopia sille ketä sitä kysy, eikä tiennyt yhtään asiasta. Se on eriasia vastata ammattilaiselle kuin henkilölle ketä osaa juuri ja juuri käynnistää koneen. (en tarkoita että kysyjä ei tietäisi mitään, mutta yleisesti meinaan) NIin ja nettihän on pullollaan tietoo näistä, että turhaan rupean enemmän selittämään.

  43. “Atk-alan ammattilaisena tiedän tämän.”

    Älä KOSKAAN pelaa tuota korttia. Sillä tulee vaan nauretuksi. Itsekin olen ilmeisesti ns. “ATK-akan ammattilainen”.

    Ainakin minä olen saanut käsityksen, että jos haluat murtaa hashin, niin tarvitset (suosituksena, tosin pienemmälläkin selviää jos ei erikoismerkkejä tarvitse) 64 gigan (tjsp) sanaston jossa olevia hasheja vertaat haluttuun hashiin. Pienempiin (esim. 700 000 sanaa) sisältäviin pääsee suoraan selaimella kiinni.

  44. Hauskan typon heitin… Ei ollut tarkoituksellinen.

  45. Vote -1 Vote +1axuu
    says:

    Olen muuten huomannu että yleisesti ihmiset eivät usko sitä ellei itse osaa tehdä sitä. Tai sitten että jokin on tehnyt sen juuri sinun kohdallesi. Mikäli se on tehty jollekkin tuntemattomalle, niin silloin ei uskota että joku voisi tehdä sen myös itselle.

  46. Vote -1 Vote +1axuu
    says:

    Jep totta on että on olemassa ihan ilmasia webbi sovelluksia missä voit tehdä tämän purun, kuluttamatta omaa prosessoritehoa. Nämä ovat myös TEHOKKAITA. Etkä tarvitse edes mitään valtavaa listaa purkaaksees. Kone voi generoida jokaisesta mahdollisesta yhdistelmästä uuden hashin ja vertailla sitä. Myös netissä on sovelluksia jotka toimivat myös ilman listaa ja näin mahdollistavat myös monimutkaisesti kirjoitettujen salasanojen avaamisen.

    Jep totta onhan tän alan ammattilaisia vaikka minkälaisii, eikä se kerro osaamista. Ja sitapaitti näiden purku on tehty niin helposti että osaamatonkin saa auki kun hieman lueskelee netistä ohjeita ja hakee työkalut.

    Se on vaan helpompaa kuin luuletkaan, usko vain.

  47. Vote -1 Vote +1Kryptoherra
    says:

    Muistutan, että kaikkien salttaamattomien hashien murtaminen kerralla sujuu samassa ajassa kuin yhden ainoan.

  48. http://www.tuskalaatikko.com -raportoi lisää asiasta ja neuvoo listalle joutuneita

  49. does anyone knows if there is any other information about this subject in other languages?

  50. mistä se lista lyötyy????

Trackbacks

  1. [...] Viime viikolla tuli julki tapaus, jossa oli kerätty lähes 80 000 käyttäjän tiedot noin kymmenestä kotimaisesta verkkopalvelusta. Tietomurron “uhreina” oli mm. Hilavitkutin.com blogi, jonka käyttäjätietoja oli kopioitu listalle. Aihe herättikin runsaasti keskustelua salasanoista ja muusta tietoturvaan liittyvästä myös täällä Hilavitkuttimessa. [...]

Speak Your Mind

*

Amazon.co.uk suosituimmat DVD:t. HUOM! nyt ilmainen toimitus Suomeen kaikille yli £25 tilauksille!