Gå til innhold

Enorme mengder e-postkontoer er hacket: Nå bør du bytte passord

AfterGlow

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
  • Populært innlegg
arne22

arne22

Skrevet
  • Populært innlegg
Skrevet (endret)

Google benytter "dobbelt verifisering" slik at man kan måtte bekrefte pålogging via kode som framsendes på SMS. Tjenesten er gratis. Da kommer vel en utenforstående ikke inn selv om passordet er hacket. (Jeg håper i alle fall at det er slik som det forholder seg.)

Endret av arne22
  • Liker 10
Lenke til kommentar
Sondre K

Sondre K

Skrevet
Skrevet

Tror ikke dette er i nærheten av så alvorlig som artikkelen gir inntrykk av.

Det ser ut til at de fleste er enige om at dette er et sammensurium av tidligere lekkede e-post-adresser og passord, og at det heller ikke nødvendigvis er snakk om at det faktisk er brukernavnet og passordet til e-post-tjenestene som er lekket. Det jeg mener med det er at om jeg hadde registrert meg på tek.no med brukernavnet [email protected], og at noen fikk tak i brukernavnene og passordene fra tek.no, så er jo ikke dette passordet til [email protected] på gmail sin e-post-tjeneste (så lenge jeg ikke har brukt samme passord).

 

Et faktum som understreker dette er at e-post-tjenesten mail.ru har analysert dataene som tilhører deres tjeneste, og fant at hele 99.982% av de 57 millioner e-post og passord-kombinasjonene var ugyldige. Herunder var det hele 22.57% e-post-adresser som ikke engang eksisterer og noen av dataene inneholdt ikke engang passord i kombinasjon med e-post-adressen.

 

Et annet moment som tyder på at dette er en sammensetning av flere ulike, trolig gamle lekkasjer er at denne samlingen egentlig inneholder 1,17 milliarder kontoer, men det viser seg at bare 272 millioner av disse var unike.

 

https://motherboard.vice.com/read/hacker-272-million-email-logins-no-panic?update

  • Liker 8
Lenke til kommentar
BizzyX78

BizzyX78

Skrevet
Skrevet

 

 

 

- Nytt eller gammelt nytt...

Synes det er tragisk at enkelte har så lite å gjøre på at dem bedriver med slikt for å få tiden til å gå.

Enda mer tragisk at de rammede selskapene ikke iverksetter tiltak gode nok til å i det minste gjøre det vanskeligere for hackerne.

 

Fortsetter dem med lignende tiltak så blir det ironisk nok bare mer komplisert for den gjennomsnittelige brukeren å bruke tjenesten.

 

Hackere har en ting til felles med Solan Gundersen fra Flåklypa.

"Det vanskelige er en bagatell. Det umulige er en utfordring."

Med andre ord så er det ikke mangel på pågangsmot.

Bare så synd at dem velger å bruke potensialt sitt på denne måten.

Lenke til kommentar
Sondre K

Sondre K

Skrevet
Skrevet (endret)

- Nytt eller gammelt nytt...

Synes det er tragisk at enkelte har så lite å gjøre på at dem bedriver med slikt for å få tiden til å gå.

Enda mer tragisk at de rammede selskapene ikke iverksetter tiltak gode nok til å i det minste gjøre det vanskeligere for hackerne.

 

Fortsetter dem med lignende tiltak så blir det ironisk nok bare mer komplisert for den gjennomsnittelige brukeren å bruke tjenesten.

 

Hackere har en ting til felles med Solan Gundersen fra Flåklypa.

"Det vanskelige er en bagatell. Det umulige er en utfordring."

Med andre ord så er det ikke mangel på pågangsmot.

Bare så synd at dem velger å bruke potensialt sitt på denne måten.

Skjønner ikke helt hvordan du kan si at de "rammede" selskapene ikke iverksetter gode nok tiltak. For det første er det ingenting som tyder på at verken Google, Yahoo eller Mail.ru har blitt "hacket" eller på andre måter har lekket brukernavn og passord. Kontoene stammer med svært stor sannsynlighet fra andre, for oss ukjente kilder som er utenfor disse tre selskapenes kontroll. Om du legger ut e-posten din og passordet ditt her i denne tråden er det vel ikke din e-post-tilbyder sin feil, og de er heller ikke "rammet" slik jeg ser det. Det samme gjelder om en tredjepartstjeneste som bruker e-post som brukernavn blir hacket. Da er det jo ikke de utallige e-post-tilbyderne som brukerne av denne tredjepartstjenesten benytter sin feil.

 

På tross av dette vet jeg at de fleste store tjenestetilbydere nå til dags har mange lag med tiltak mot brukernavn og passord som har havnet i feil hender. Blant annet skanner de det åpne nettet etter dokumenter som inneholder brukernavn og passord for deres tjeneste, og om dette oppdages (og informasjonen er gyldig) tilbakestiller de passordet ditt slik at informasjonen blir ubrukelig for uvedkommende. Om informasjonen ikke blir postet på internett blokkeres uansett ofte innloggingsforsøk som ikke samsvarer med ditt normale bruksmønster. Om noen prøver å logge inn på din e-post-konto fra Asia vil de trolig ikke lykkes, uansett om de har gyldig brukernavn og passord. Dette gjør det ikke "mer komplisert for den gjennomsnittlige brukeren å bruke tjenesten", da dette er noe som skjer i bakgrunnen uten at du merker noe til det før uhellet er ute. Om du er villig til å godta litt ekstra kompleksitet har de fleste store tjenestetilbyderne valgfrie løsninger som bringer sikkerheten opp på samme nivå som det du opplever i norske nettbanker, noe jeg vil påstå er ganske bra for det som ofte er fritt tilgjengelige tjenester.

Endret av Sondre K
  • Liker 1
Lenke til kommentar
Dessverre_;-)

Dessverre_;-)

Skrevet
Skrevet

Godt og høre at det egentlig ikke stemmte, men jeg trur det er best med to trinns autorisering uansett, da kommer de i alle fall ingen vei uansett hvor mye de prøver. For er det en ting som er sikkert så er det at nettet aldri bli 100% sikkert og at vi som kunder til tjenestene må sikkre oss selv på nettet.

  • Liker 1
Lenke til kommentar
Yopaz

Yopaz

Skrevet
Skrevet

- Nytt eller gammelt nytt...

Synes det er tragisk at enkelte har så lite å gjøre på at dem bedriver med slikt for å få tiden til å gå.

Enda mer tragisk at de rammede selskapene ikke iverksetter tiltak gode nok til å i det minste gjøre det vanskeligere for hackerne.

 

Fortsetter dem med lignende tiltak så blir det ironisk nok bare mer komplisert for den gjennomsnittelige brukeren å bruke tjenesten.

 

Hackere har en ting til felles med Solan Gundersen fra Flåklypa.

"Det vanskelige er en bagatell. Det umulige er en utfordring."

Med andre ord så er det ikke mangel på pågangsmot.

Bare så synd at dem velger å bruke potensialt sitt på denne måten.

 

GMail, Yahoo, og Outlook har alle mulighet for å bruke to-punkts verifisering med godkjennelse via app eller telefonnummer slik at det å ha kombinasjon av brukernavn og passord gjør ikke mer enn å gi beskjed til den som eier kontoen om at noen har prøvd å logge på via ny lettleser (dette skjer for meg om jeg prøver å logge inn via internet explorer på en maksin der jeg kun bruker Firefox) og at du må taste inn en unik kode på 8 tall for å gå videre. Jeg vil si de har gjort en god jobb med å sikre oss bare vi tar oss to minutter til å sette det opp.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Tror ikke dette er i nærheten av så alvorlig som artikkelen gir inntrykk av.

 

Der er jeg uenig.

 

Det ser ut til at de fleste er enige om at dette er et sammensurium av tidligere lekkede e-post-adresser og passord (...)

 

Et annet moment som tyder på at dette er en sammensetning av flere ulike, trolig gamle lekkasjer er at denne samlingen egentlig inneholder 1,17 milliarder kontoer, men det viser seg at bare 272 millioner av disse var unike.

 

Det er riktig, denne samleren hadde samlet sammen godt over 1 milliard "credentials", som viser hovedproblemet her. Hovedproblemet er at svært store tjenester lekker brukernavn og typisk passordhash, i noen tilfeller synkront kryptert uten salt, eller med saltet lagret i databasen.

 

Men det er ikke riktig å si "bare" foran 272 millioner NYE unike lekkede credentials. Det er en svært stor lekkasje, om det kommer fra en tjeneste, eventuelt mange mindre lekkasjer. 272 millioner vil være blant de aller største lekkasjene så langt. Og dersom dette er en så stor lekkasje, hvordan har det seg at ingen selskap har tatt ansvar for det?

 

Det er alvorlig.

Lenke til kommentar
Sondre K

Sondre K

Skrevet
Skrevet

 

Tror ikke dette er i nærheten av så alvorlig som artikkelen gir inntrykk av.

 

Der er jeg uenig.

 

Det ser ut til at de fleste er enige om at dette er et sammensurium av tidligere lekkede e-post-adresser og passord (...)

 

Et annet moment som tyder på at dette er en sammensetning av flere ulike, trolig gamle lekkasjer er at denne samlingen egentlig inneholder 1,17 milliarder kontoer, men det viser seg at bare 272 millioner av disse var unike.

 

Det er riktig, denne samleren hadde samlet sammen godt over 1 milliard "credentials", som viser hovedproblemet her. Hovedproblemet er at svært store tjenester lekker brukernavn og typisk passordhash, i noen tilfeller synkront kryptert uten salt, eller med saltet lagret i databasen.

 

Men det er ikke riktig å si "bare" foran 272 millioner NYE unike lekkede credentials. Det er en svært stor lekkasje, om det kommer fra en tjeneste, eventuelt mange mindre lekkasjer. 272 millioner vil være blant de aller største lekkasjene så langt. Og dersom dette er en så stor lekkasje, hvordan har det seg at ingen selskap har tatt ansvar for det?

 

Det er alvorlig.

Jeg er enig i at det er alvorlig at relativt store tjenester lekker brukernavn og passord, men synes det er sterkt misvisende og rett og slett urettferdig i forhold til de fire tilbyderne nevnt i denne artikkelen å påstå at de er rammet og at man bør bytte passord på e-post-kontoen. Du har rett i at dette er en stor samling, men det er helt umulig at de "kommer fra en tjeneste". Antallet duplikater og mangler som for eksempel brukernavn uten tilknyttet passord viser at det her må komme fra ganske mange ulike kilder. Unike credentials refererer her også trolig til kombinasjonen av brukernavn og passord, og ikke unike e-post-adresser. Det er i det minste slik selskapet har definert det i tidligere pressemeldinger. Det er altså trolig en enda færre unike kontoer som er "rammet", noe som er viktig om du tar samme vinkel som denne artikkelen, altså opp mot 4 store e-post-tilbydere, men mindre viktig om du ser dataene for det de er - brukernavn og passord fra et utall for oss ukjente tjenester.

 

Jeg stiller meg også spørrende til hva du mener med "272 millioner NYE unike lekkede credentials", da selv selskapet som har solgt dette for alt det er verdt til media innrømmer at bare 15% av lekkasjen er data selskapet ikke har sett før. Altså har 85% av brukernavn og passord-kombinasjonene vært relativt lett tilgjengelig, enten på det åpne internett og at de har "sett" dataene i form av å overvåke tjenester som pastebin, eller at de har fått tak i dem gjennom tidligere lekkasjer. Alt tyder altså på at dette ikke er nye data.

 

At samleren bare ba om 50 rubler, ca 6 kroner, i bytte mot dataene, burde jo si litt om "kvaliteten".

 

Det som derimot er alvorlig er de individuelle lekkasjene som har er inkludert i samlingen. Trolig har mange av tjenestene som har blitt rammet allerede fått deres skjennepreken i media, men det er mulig at noen av lekkasjene aldri har blitt offentlig kjent og at brukerne av disse tjenestene fortsatt ikke har blitt informert og sikret. Det er alvorlig, men da er det selve lekkasjen som er problemet, ikke denne samlingen. Så vidt jeg kan se inneholder ikke samlingen noen som helst informasjon om hvilken tjeneste de ulike kontoene tilhører, så da er selve samlingen så å si ubrukelig, i vært fall om du ikke har planer om å prøve kombinasjonene opp mot tilfeldige tjenester. Med tanke på kvaliteten av dataene tror jeg uansett du ville hatt større suksess om du prøvde på det samme, men byttet ut samlingen med en veldefinert algoritme som prøver passord basert på det vi vet om hvordan folk flest velger sine passord.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...