Per Hellqvist om IT-säkerhet och sånt

Bilddagboken loggaRedan igår kväll började mystiska saker hända på Bilddagboken. Under dagen idag klarnade det. Någon har kommit över login och lösenord till alla deras användare. Enligt Bilddagboken är det en gammal databas man kommit över, men enligt diskussionerna på Flashback så fungerar en del användarnamn och lösenord fortfarande.

Som vanligt så provar man nu att logga på användares olika webbmejl samt MSN. Någon hade till och med kommit på att uppgifterna gick till ett Steam-konto. Ett par av mejlen gick enligt uppgift till personer i politiska (ungdoms-)partier.

Enligt Bilddagbokens webbplats så arbetar man hårt på att ordna problemet:

Hej,
någon eller några individer har gjort intrång i Bilddagbokens system
och kommit över en databaskopia från maj 2007. Den aktuella
databaskopian innehåller bland annat lösenord till dagböcker samt
e-postadresser.

Vi ser mycket allvarligt på det som inträffat och väljer därför det
säkra före det osäkra och bytt ditt gamla lösenord mot ett nytt.
Ett mail kommer skickas ut till din e-post du angivit på sajten.

OBS! Använder du lösenordet du hade på Bilddagboken på andra ställen rekommenderar vi dig att byta lösenord även för de platserna. Detta gäller t.ex. din e-post eller MSN.

Vi ber om ursäkt för det inträffade och jobbar för fullt med att
utreda saken.”

Ok, gott så. En av de första sakerna man ska göra efter det att lösenord kommit på vift är att byta ut dem. Det som blir lite knepigt är att nå användarna med de nya lösenordet. Lösningen? Att mejla ut dem såklart!!

Hej,
någon eller några individer har gjort intrång i Bilddagbokens system och kommit över en databaskopia från maj 2007. Den aktuella databaskopian innehåller bland annat lösenord till dagböcker samt e-postadresser. Vi ser mycket allvarligt på det som inträffat och väljer därför det säkra före det osäkra och bytt ditt gamla lösenord mot ett nytt (se nedan). OBS! Använder du lösenordet du hade på Bilddagboken på andra ställen rekommenderar vi dig att byta lösenord även för de platserna. T.ex. din e-post och MSN. Byt genast lösenord på Bilddagboken och tänk på att inte byta tillbaka till ditt gamla lösenord. Vi jobbar för fullt med att utreda saken. Dina nya inloggninsuppgifter är: Användarnamn: **** Lösenord: ***** MVH Bilddagboken.se

Jättefint säkert. Snyggt formulerat och svårt att missa innehållet. Tricket är ju bara att de som har användarnamnen och lösenorden även har tillgång till personernas mejl… Helt enkelt därför att man reggar sig med en e-postadress och i (förmodligen) de flesta fall använder samma lösenord. Jobbigt.. Med andra ord har ju den som olovligen berett sig tillträde till mejlen nu även tillgång till de nya uppgifterna. Hur ska man då nå sina användare? Svår fråga…

Tittar man på lösenorden (nix, jag länkar inte) så ser man att vissa av dem är lika dåliga som i tidigare hacken (t ex abc123, 123456, anakin (känd från Aftonbladet kanske? 😉 ) , men generellt sett tycker jag att dessa lösenord är bättre. Iofs spelar det ingen större roll vilket lösenord man använder ifall någon kommit över lösenordsfilen. Då är det ju bara en tidsfråga. Men återigen; enkelt lösenord går snabbt att knäcka, starkt lösenord tar längre tid. Har man tur har crackern bråttom och nöjer sig med ett par snabba.

Hå hå ja ja.

Taggar: Allmänt, Hackers, Intrång

Kommentarer

32 kommentarer to “Bilddagboken hackad. Lösenord på vift”

  1. Per on January 11th, 2008 19:37

    Nu har ju även flashback dykt av trycket efter lösenord. Men det är intressant att “hacken” har ökat under de senaste veckorna. Efter att folk på lunarstorm har blivit av med sina lösenord pga klantig hantering och nu detta.

    Kan det vara att säkerhetsspecialisterna börjar bli upphunna av “vanliga” människor nu, eller att det bara har blivit slappt när det gäller nät och säkerhet?

  2. Sofia on January 11th, 2008 19:45

    Sånt mail som du fick hamnade ju tyvärr inte i min mailinkorg :/ så nu är min bilddagbok oåtkommlig och 1 års minnen borta. Dåligt bilddagboken ..

  3. Per on January 11th, 2008 19:49

    Sofia, du kan själv ta kontakt med bilddagboken och få tag på dina uppgifter. Du kanske inte har fått ditt mail ännu eller så kanske någon varit inne på ditt mailkonto och tagit bort det….

  4. Beta Alfa » Bilddagboken hackad on January 11th, 2008 19:51

    […] Läs mer hos IDG och Per Hellqvist. […]

  5. admin on January 11th, 2008 19:52

    Precis, det är inte säkert att bilderna är borta. Det skulle vara om nån raderat dem. Jag hoppas att ingen är så innihelsike korkad att de ger sig till att radera bilder för folk. Det är inte fair game.

    Som Per säger så kan det vara så att nån annan varit inne på ditt konto och raderat e-post. Kontakta sajten lite senare så löser det sig säkert.

  6. admin on January 11th, 2008 19:53

    Per, angående ditt första inlägg. Nej, vad det handlar om är att man hittat sårbarheter mer eller mindre av en slump. Det finns gott om dem, men de senaste dagarna har de fått stor uppmärksamhet.

  7. sofia on January 11th, 2008 19:53

    Tack för alla svaren! Ska kolla upp detta så fort bilddagboken öppnar igen

  8. Året inleds med hacker-attacker mot stora sidor on January 11th, 2008 21:43

    […] som fått sina konton publicerade har råkat ut för intrång på sina mail- och MSN-konton. Även Per Hellkvist skriver om intrånget på […]

  9. mange on January 12th, 2008 02:29

    Per,

    Det finns avarter med de flesta lösningar.

    Ponera ett konto vars unikhet, typ inloggning, ej baseras på ens personliga e-postadress… (vet ej hur Bilddagboken gör). Om en suspekt person loggar in på ett hackat konto och byter e-postadress på konto, så äger ju den suspekta personen hela kontot. Såvida det inte finns en annan workaround. Å andra sidan om man använder ett mailkonto med dålig säkerhet för sina “dyrbara” andra konton så riskerar man ju att få inloggningar till andra sajter röjda när ett nytt lösenord kommer via e-post.

    Riktigt seriösa sajter skickar inte ut nytt lösenord via e-post, tex banker etc. Det kommer istället ett brev via post och som förstås i sin tur kan vittjas för att komma över engångskoder etc. Säga vad man vill men SEB bör rimligen ha den både enklaste och relativt bästa lösningen för sina kunder. Varken SHB eller Skandia klarar sig utan “skrapkoder”. Någon, någon kommentar?

  10. mange on January 12th, 2008 02:32

    Sorry, jag läste inte Pers hela inlägg apropå risken för kapade mailkonton så som jag själv nämnde.

  11. erik on January 12th, 2008 13:33

    Inte bara steamkonto som tagits.
    Polisen Raimo Östergrens gmail har även kommit åts. Där ska det ha funnits material angående diverse brottsutredningar, tex en våldtäkt med bilder på de misstänkta.

  12. helleu on January 12th, 2008 14:19

    Vad är risken/straffsatsen för dataintrång då man crackar och använder någons pw till msn?

  13. admin on January 12th, 2008 16:54

    Svar till helleu:

    Vet inte hur domstolarna dömer eller hur polisen gör bedömningar, men det finns fängelse upp till två år i straffskalan, vilket ger polisen rätt att begära ut personuppgifter från ISP. Så här står det:


    21 § Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning dömes för dataintrång till
    böter eller fängelse i högst två år, om ej gärningen är belagd med straff i brottsbalken eller i lagen (1990:409) om skydd för företagshemligheter. Med upptagning avses härvid även uppgifter som är under befordran via elektroniskt eller annat liknande
    hjälpmedel för att användas för automatisk databehandling.

    För försök eller förberedelse till dataintrång döms till ansvar enligt 23 kap. brottsbalken. Skulle brottet, om det hade fullbordats, ha varit att anse som ringa, får dock inte dömas till ansvar enligt vad som nu har sagts. Lag (1990:410).
    —-

    Läs mer på:
    http://www.riksdagen.se/webbnav/index.aspx?nid=3911&bet=1973:289

  14. felicia on January 12th, 2008 17:38

    jag fick mitt nya lösenord som mail, men det fungerar inte :( Någon som kan hjälpa mej?

  15. Nikke Lindqvist on January 12th, 2008 19:57

    Jag har plågat mig igenom hela Flashback-tråden, och maken till omogna idioter får man väl leta efter! Dotterns konto fanns inte med bland de crackade (åtminstone inte i listorna som finns tillgängliga via Flashback), och som stolt far kunde jag även konstatera att hon inte använde samma lösenord där som i sin GMail.

    Hon hade inte läst sin mail innan hon gick in, utan när hon försökte logga in med sina gamla uppgifter fick hon, på skärmen upp en dialogruta med ett tillfälligt nytt lösenord. Lite halvsäkert det också…

  16. admin on January 12th, 2008 21:01

    Fint! Gratulera dottern från mig.

    Angående det tillfälliga lösenordet så är det ett engångslösen, men visst, om nån redan är där så kommer ju den andra personen se det först och kan ändra till vad han/hon vill.

    Vill bara återigen påpeka att det räknas som dataintrång att logga på ett system olovandes med nån annans uppgifter. Görs en polisanmälan kan polisen plocka fram personuppgifter och gå vidare utan problem. Sen får nån avgöra hur allvarligt intrånget är.

  17. främst förnämst och överlägsen on January 13th, 2008 03:34

    Det är verkligen inte så konstigt att sidor blir hackade, flera av dom här företagen som har så kallade säkerhetsexperter har ingen teknisk kunskap. Man är antigen ekonomi som har pluggat några kurser inom informationssäkerhet och kan CIA modellen utan till inte mer eller mindre eller så har man gått en informationssäkerhet utbildning. Har jsälv pluggat här i sthlm och har specialiserat mig inom databaser och säkerhet och har försökt få jobb inom säkerhet har inte lyckats få jobb inom området. Företagen man söker till anser att man inte har det erfarenhet som krävs och ibland får svar att man har för tekniskbakgrund. När ska företagen sluta söka efter gamla gubbar inom säkerhet och stället börja fokusera att säkerhetansvarige ska ha teknisk kunskap. Vet man inte hur tekniken fungerar hur ska man kravställa?

    Skriver på en rapport och har intervjuat flera säkerhetsansvariga inom olika stora myndigheter. Det är skrämmande att myndigheter har så dåligt koll på säkerhet. när jag syftar på stora myndigheter så är det såna som styr rikets “säkerhet”.

  18. Stefan on January 14th, 2008 14:26

    Att polisen inte vet hur de ska hantera säkerhetsklassificerat material är ju verkligen skrämmande och visar med all tydlighet att det absolut inte ska ha mer befogenheter att vare sig bugga eller annat eftersom det kommer att läcka åt alla håll

  19. mona on November 4th, 2008 10:50

    asso dom som hackade sig in på bdb kan ju skaffa sig en egen. palla hacka sig in på allas. jag tycker dt är omoget.
    men annars är bdb fett bra 😀

  20. elvira on January 19th, 2009 19:23

    hej hej hej hej du är du

  21. elvira on January 19th, 2009 19:23

    hej hej hej hej du är du

  22. Pruttkudde karlsson on March 10th, 2009 22:20

    Ägda, nej men seriöst det var synd. min kompis blev ochså hackad. så han fick göra en ny. Not fair game.

  23. danao on April 24th, 2009 15:57

    vad är hans lösen ord snälla hjälp mig

  24. kognitiv beteendeterapi on June 27th, 2009 14:10

    kognitiv beteendeterapi…

    kognitiv terapi är effektivför många problem såsom stress och sömn. har ni prövat det?…

  25. simpan on July 10th, 2009 12:30

    ungefär när öppnar bdb!!

  26. Lamin on July 13th, 2009 12:42

    hej, jag kan inte logga in på bdb, har glömt lösenordet, när jag skriv i änvendnamnet och e-mail, det står ditt nya lösenord har skickat till din msn, men det kommer igen mail, har försökt många gånger men har inte fått någon mail

  27. hanna on August 17th, 2009 10:01

    hej jag skulle byta lösenord på bilddagboken och nu vet jag inte vad jah har för något lösenord :(
    snälla hjälp mig! :)

  28. hanna on August 17th, 2009 10:04

    snällllllllllla hjälp!! :'(
    :)

  29. abir on October 22nd, 2009 16:37

    hejhej jag loggade in på min bilddagbok och ändra lösenord men nu vet jag inte vad dee är för något snälla snälla hjälp mig):

  30. xdafin on November 11th, 2009 22:49

    JAG FÅR INGET MAIL MED NYTT LÖSEN ? btw dom kommer över våra BDBs igenom att skicka länk till ”spotify blocker ”

  31. Bizzen on March 30th, 2010 21:52

    tja, jag bytte lösenord och nu är de helt borta i huvudet:D hjälp

  32. justin100 on May 25th, 2012 16:55

    tjabba jag har glömt mitt lösen |8 kan du skicka det jag heter justin100

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.