Ylessä uutisoitiin verkkopalveluiden käyttäjien tunnuksien vuotamista (http://www.yle.fi/uutiset/24h/id72250.html). Osoitteesta: http://koti.mbnet.fi/vaultec/passlist.php löytyy lista. Näyttää siltä, että listalla on mm. Hilavitkutin.com-sivuston käyttäjien käyttäjänimiä ja sähköpostiosoitteista. Jos käyttäjänimenne on listalla, kannattaa vaihtaa salasana varmuuden vuoksi.

Jos ette ole varmoja asiasta, tai muuten homma aiheuttaa harmaita hiuksia, niin voitte laittaa meille asiasta sähköpostia osoitteesta, jota olette käyttäneet rekisteröitymiseen. Viestit voi lähettää osoitteeseen info[[at]]hilavitkutin.com. Vaihdamme sitten salasanan puolestanne ja laitamme uuden tulemaan sähköpostiin!

Edellinen artikkeliUhanalaisten lajien mallisia suklaanappeja
Seuraava artikkeliMotorola RAZR2 24k kullalla koristeltuna

1 KOMMENTTI

  1. Voihan helveta!

    Omani löytyi listalta, mutta ennen kun kokeilette sitä, olen vaihtanut sen.

    Joutaisivat linnaan ja kuritushuoneelle!

  2. Joo. Tää on todella ärsyttävää. Eikö ihmisillä ole parempaa tekemistä.

  3. Oma löytyi sieltä, kas kummaa.. Mutta turha yrittää, salasana vaihdettu jo :>
    Hirteen tommoset

  4. 13.9.2007
    WordPress-haavoittuvuuksiin julkaistu helppokäyttöinen hyväksikäyttötyökalu, mainostetaan cert-fi sivuilla.
    Onkos tässä joku linkkileikkuri, kun tuntuu kaikki viestit häviävän mihin tuota linkkiä tonne yritin tai kohta tulee viiveellä monta tuplapostausta 🙂
    Kävin vilkasemassa simple forumia ja siellä se alalaidassa vielä mainostaini 2.2.1 versiota kait, eli mikään ei estäisi pikku-poikien uudelleenvisiittiä.

  5. Juu, omani löytyi, onneksi md5-hashina. Trackasin sen juuri tänne hilavitkutin.com sivulle, onneksi ehdin vaihtaa jo salasanat heti kun juttu tuli ilmi eilen päivällä. Olisi hyvä jos joku tajuaisi lähettää kaikille listallaolleille vaikkapa varoituksen sanan maililla.

  6. Ja Jyrki.. Kannattaisi vaihtaa tuo salasanat ja hashit sisältävä lista tuohon passlist_safe.txt:n, josta ne salasanatiivisteet on poistettu, kuten jo Lurkki sanoi.
    Sehän ei ole kovin kannattavaa levittää listaa, jossa itsekin olet o_0

  7. Juu, kuten Siron jo sanoikin, pystyisikö tämän wordpressin haavoittuvuuden jotenki kuromaan umpeen? Ei ainakaan omasta mielestäni ole mukavaa, jos salasanani tulisi uudelleen ilmi…

  8. Siellä tiede.fi:llä finchanin linkki, joka kait sattuneesta syystä alhaalla. Kohta on kaikki biit vierotusoireissaan.

  9. Onneks tää juttu kerrottiin täälä….muuten en ois tienny tästä mitään

  10. Tää on levinny ku kulovalkea… Kaveri soitti aamusta, käynnistin koneen ja mesen, ja samaa juttua tulee joka tuutista.

  11. OMG mun hotmaili on listalla.. Enhä mää mitää uutta salasanaa muista kumminkaa :'(

  12. Ja hyvä että asiasta tiedotetaan laajalti. Osaavat sitten ihmiset vaihtaa salasanansa.

  13. Teemme toki parhaamme, että blogin tietoturva olisi riittävän hyvä.

    Hilavitkuttimesta ongitut tiedot sisältävät siis ainoastaan hilavitkuttimen käyttäjätunnuksen, tähän liittyvän sähköpostin ja hilavitkuttimen salasanan hash-muodossa, joka saattaa olla mahdollista palauttaa toimivaksi salasanaksi. Kenenkään sähköpostitilejä ei näillä tiedoilla siis päästä häkkäämään.

    Siron: Ei julkaista täällä linkkejä ohjeisiin, missä kerrotaan, kuinka käyttäjätunnukset saa murrettua.

    Kaikkien sivuille kirjoitusoikeudet omaavien salasanat vaihdoimme heti. Oman rekisteröityneen käyttäjän salasanan pääsee muuttamaan osoitteessa http://www.hilavitkutin.com/wp-admin/

    Todella rasittavaa kiusantekoa koko homma. Toivotaan siis, että asialla olleet ruotsalaisteinit saadaan kiinni.

  14. Niin, ihan siihen Certin tiedotukseen olisin vain sen linkin laittanut, jos tuo lause ”Siron: Ei julkaista täällä linkkejä ohjeisiin, missä kerrotaan, kuinka käyttäjätunnukset saa murrettua.” viittasi että olisin jotain muuta linkkiä yrittänyt tunkea.

    Asian perusideahan näissä on käyttäjän laiskuus, itekkin olen syyllistynyt käyttämään samoja salasanoja useampiin paikkoihin, joten se tuo sen suuremman riskin, eli vaikka täältä löytyvältä salasanalla ei pitäisi päästä ilmitulleeseen sähköpostiin, voi osalla olla laiskuuttaan käytössä sama salasana, onneksi sentään ei itsellä ollut.

    No näistä oppii, nyt on semmosta siansaksaa salasanat ja pitkiä, keepassilla generoituja, joka ihan opensourcea.

  15. Ok, sori Siron. Hermot tässä vähäsen kireällä, kun joutuu tällaisten juttujen kassa säätämään.

    Geneerinen ongelma on tietysti se, että kun joka toiseen paikkaan vaaditaan jonkimoinen rekisteröityminen ja salasana, niin äkkiä muistettavia salasanoja onkin kymmenittäin. Helpolta ratkaisulta tähän tietysti tuntuu käyttää samaa salasanaa joka paikkaan. Toivottavasti kovin moni ei kuitenkaan ole käyttänyt samoja tunnuksia tänne, kuin esimerkiksi sähköpostitililleen.

  16. Toivottavasti tästä on se hyöty että ihmiset hokaisivat alkaa käyttämään monimutkaisemia ja pidempia salasanoja ja vaihtamaan niitä myös säännöllisesti.
    Monimutkaiset yli kymmenen merkkiä pitkät ”Hju7663khR44huUJ” salasanat ovat kyllä mahdottomia muistaa, mutta mikä estää käyttämästä salasanalompakko-ohjelmaa jossa kaikkien eri web ja email palvelujen salasanat ovat yhden pääsalasanan takana, vaikka USB muistilla jos niitä tarvitsee mukana kuljettaa.

    Lisäksi tietysti julkisella koneella salasana kannattaa kirjoittaa virtuaalisella näppiksellä kun sitä on vaikeampi eri keylogger ohjelmien tallentaa ja edelleen lähettää.

  17. Taas yksi syy lisää vihata ruotsalaisia. Itteni läysin monestikkin tuolta listalta, nyt vaan vaihtaa kaikki käyttäjätunnukset uusiksi ja mese myös. Tekis mieli lähtee haulikon kanssa jahtaa noita pentuja kiinni.

  18. jaa tuokin linkki on nyt sitten goatsea. aamulla vielä pääsin katselemaan, enkä löytänyt itseäni enkä tuttujani listalta.

  19. emmä ainakaan usko et noita hashei lähtee kukaan tosissaan avaamaan, etenkään md5 muotoisia… ne täytyy periaatteessa arvaamalla hoidella. vaihdoinpa omat salasanani vaikka niitä ei ollutkaan listalla =) toivottavasti nuo sähköpostiosoitteet eivät ehtineet roskaposti-bottien tietoon =/

  20. hilavitkutin.com on ainaki yks sivuista mistä näitä on levinny 100% varmuudella! mitähä muita niitä sitte on niitä sivuja mistä näitä on levinny?

  21. Kiitos muuten tästä ^^ tuli tarpeeseen. 3 käyttäjä tunnusta löyty :S ja vielä ihan omaa…

  22. ”Lurkki sanoi,
    Lokakuu 14th, 2007 9.30
    Afterdawn.comin sivuilta löyty: linkki poistettu
    Bem sanoi,”

    HYI VITTU!!
    Älkää IHMEESSÄ painako tota linkkiä!

  23. md5 muotoset on ainaki tosi helppo murtaa… et ne ei anna oikeestaan turvaa yhtään, et älkää luottako siihen että ketään ei saa selville. Vaihtakaa vaan salasanat.

  24. Niin ja noita md5 muotosia pystyy minuuteissa murtamaan, että ei oo edes iso vaiva. Voi olla hyvinkin mahdollista että pian julkistetaan lista, missä on muutettu iso osa salasanoista selkokielisiin muotoihin.

    Yksinkertaisesti voit ajatella näin:

    hash on salasana muutettuna toiseen muotoon. Jotta saat alkuperäisen salasanan esille, niin täytyy vain kokeilla kaikkia mahdollisia vaihtoehtoja (tai vastaavasti sanakirjan sanoja).

    md5 on nopea purkaa (käytännös ei paljoa suojausta)
    sha1:n purkaminen kestää paljon kauemmin (käytännössä enemmän suojausta)

    mutta kaikista on mahdollista saada alkuperäinen salasana selville.

  25. “Lurkki sanoi,
    Lokakuu 14th, 2007 9.30
    Afterdawn.comin sivuilta löyty: linkki poistettu”

    Juu. Älkää avatko, voisiko admin muokata nuo linkit pois tästä keskustelusta, johtaa goatseen. Eilen vielä löyty kyseinen passlist_safe.txt :/

  26. Vittu sä oot axuu kanssa yks helvetin idiootti. Ottasit nyt edes vähän selvää ennekun alat tollasta paskaa kirjottamaan. En ole eläessäni kuullu noin paskaa selitystä mikä hashi on ja miten se mukamas ”puretaan”. Vai haluutko sä kertoa meille sen sun MD5 funktion käänteisalgoritmin joka pystyy minuuteissa ilman mitään vaivaa muuttamaan hashin plaintextiksi?

  27. Hih omanikin siellä mukana oli, onneks vain yksi niistä monista emailista.. ja parin kovan luokan firmaa (cs peli firma johtajien) emailit :/

  28. Käänteisalgometriahan ei ole olemassakaan.

    En rupea neuvomana teitä miten md5 saadaan murrettua, mutta mikäli salasana ei ole äly pitkä, niin sen saa suhteellisen nopeastikkin. Mutta sehän menee raa’asti kokeilemalla kaikkia vaihtoehtoja ja sitä vertaillaan sitten hashiin. Md5 ei ole kovinkaan vahva, niin se sujuu suhteellisen sutjakasti.

    Ja monellakaan tuskin on älypitkää salasanaan, yleensähän salasanat on suhteellisen lyhkäsiks laitettu, että ne muistaisi. Alle 10 merkkiset ainakin tulee vielä suhteellisen nopeasti selvitettyä, mutta jos joku haluaa nähdä vaivaa niin salasanat saa selville. Erikoismerkit yms. lisäävät vahvuutta myös.

    Toivottavasti sinä et usko että olet turvassa mikäli olet listalla. Sen saa meinaan ihan oikeasti salasanan siitä kaivettua suhteellisen nopeastikkin. Atk-alan ammattilaisena tiedän tämän.

    Toivottavasti ihmiset heräisivät tämän jutun takia, jopa ne ketkä luulee olevansa nyt turvassa, koska ite ei osaa hashista muodostaa omaa salasanaansa.

    ps. tiedän että selitykseni hashista saattoi olla liian yksinkertainen, mutta ajattelin että se saattaisi sopia sille ketä sitä kysy, eikä tiennyt yhtään asiasta. Se on eriasia vastata ammattilaiselle kuin henkilölle ketä osaa juuri ja juuri käynnistää koneen. (en tarkoita että kysyjä ei tietäisi mitään, mutta yleisesti meinaan) NIin ja nettihän on pullollaan tietoo näistä, että turhaan rupean enemmän selittämään.

  29. ”Atk-alan ammattilaisena tiedän tämän.”

    Älä KOSKAAN pelaa tuota korttia. Sillä tulee vaan nauretuksi. Itsekin olen ilmeisesti ns. ”ATK-akan ammattilainen”.

    Ainakin minä olen saanut käsityksen, että jos haluat murtaa hashin, niin tarvitset (suosituksena, tosin pienemmälläkin selviää jos ei erikoismerkkejä tarvitse) 64 gigan (tjsp) sanaston jossa olevia hasheja vertaat haluttuun hashiin. Pienempiin (esim. 700 000 sanaa) sisältäviin pääsee suoraan selaimella kiinni.

  30. Olen muuten huomannu että yleisesti ihmiset eivät usko sitä ellei itse osaa tehdä sitä. Tai sitten että jokin on tehnyt sen juuri sinun kohdallesi. Mikäli se on tehty jollekkin tuntemattomalle, niin silloin ei uskota että joku voisi tehdä sen myös itselle.

  31. Jep totta on että on olemassa ihan ilmasia webbi sovelluksia missä voit tehdä tämän purun, kuluttamatta omaa prosessoritehoa. Nämä ovat myös TEHOKKAITA. Etkä tarvitse edes mitään valtavaa listaa purkaaksees. Kone voi generoida jokaisesta mahdollisesta yhdistelmästä uuden hashin ja vertailla sitä. Myös netissä on sovelluksia jotka toimivat myös ilman listaa ja näin mahdollistavat myös monimutkaisesti kirjoitettujen salasanojen avaamisen.

    Jep totta onhan tän alan ammattilaisia vaikka minkälaisii, eikä se kerro osaamista. Ja sitapaitti näiden purku on tehty niin helposti että osaamatonkin saa auki kun hieman lueskelee netistä ohjeita ja hakee työkalut.

    Se on vaan helpompaa kuin luuletkaan, usko vain.

  32. Muistutan, että kaikkien salttaamattomien hashien murtaminen kerralla sujuu samassa ajassa kuin yhden ainoan.

  33. […] Viime viikolla tuli julki tapaus, jossa oli kerätty lähes 80 000 käyttäjän tiedot noin kymmenestä kotimaisesta verkkopalvelusta. Tietomurron “uhreina” oli mm. Hilavitkutin.com blogi, jonka käyttäjätietoja oli kopioitu listalle. Aihe herättikin runsaasti keskustelua salasanoista ja muusta tietoturvaan liittyvästä myös täällä Hilavitkuttimessa. […]