[Grandy]

• 0

Hur tar man bort sitt konto helt här?

[Torak123]

• 0

Jag antar att krypteringen sker i databasen, eller?
Vilken database hanterar använder ni?
Har ni bytt krypteringsalgoritm?
/Daniel

[Unregistered1113]

• 0

Hur tar man bort sitt konto helt här?

man anmäler sig till staff

//CG-47

[fhe]

• 0

Man kan ju undra, vad ska hackern göra? Skriva arga inlägg i våra namn?
Lite menlöst att sno lösenord här, det kanske bara är ett exjobb på FRA?

Det är ganska vanligt att folk har samma lösenord på sjuttiofemton sajter.
Ponera att en användare har samma lösenord på sitt hotmail-konto (vilket säkert är fallet hos minst 80% av användarna med hotmail-konto), det första man kan göra då är att besöka den och leta lite där efter mail med lösenord eller annan kontoinfo till andra kul sajter (facebook, linkedin, jobbet). Även om man inte hittar lösenord så har de flesta sajter en möjlighet att få ett nytt lösenord mailat till sig, då är det bara att beställa ett nytt och logga in på mailkontot för att se resultatet. Beroende på vad du hittar kan du göra livet lite halvtrist för den utsatta om du är lagd åt det hållet.

Naturligtvis kan man säga att man inte ska ha samma lösenord på fler ställen men det är tyvärr allt för vanligt att folk bortser från att sånt här kan hända eftersom de resonerar som du gjorde ovan.

All cred till prisjakt/minhembio som faktiskt verkar ha gjort helt rätt, både när det gäller förebyggande åtgärder och framförallt genom att inte mörka informationen tills pressen berättade för dem att det fanns lösenordslistor på flashback. Bra gjort!

Redigerat av fhe, 17 februari 2009 - 10:20.

[mrbostrom]

• 0

Att ett lösenord till ett adminkonto kommit ut är självklart mycket dåligt, och vi försöker ta reda på vad som hänt. Det pekar mot att en dator inom bekantskapskretsen blivit utrustad med en sk. keylogger men närmare än så vet vi inte idag.

Åter igen ber vi 1000 gånger om ursäkt men är av åsikten att det är bättre att vi informerar än att lösenorden skall dyka upp ett efter ett på något suspekt forum.

Kommer ersättning för sveda och värk pga ert fatala misstag utgå till de berörda?

Samt kommer "dator inom bekantskapskretsen" att uppgraderas med någon form av brandvägg/anti-virus suit efter detta?

Kommer administratörerna att få adekvat utbildning inom IT-säkerhet?

Vem är ansvarig för säkerhetsbristen, kodknackaren, i forumet-koden som gjorde det möjligt att kopiera alla lösenord eller var det den som skrev specifikationen för forumkoden? Jobbar de kvar idag? Svar i form: kodknackaren/specansvarig räcker dugligen.

[Unregistered25afe1a3]

• 0

Har även jag bytt nu, men vilket uppvaknande när man startar datorn och läser detta mailet. Hoppas den skyldige hittas.

[Unregistered30026]

• 0

Jag misstänker att ni har en hel del medarbetare och sådant som detta kommer för eller senare att inträffa tyvärr.

Det är skönt att höra att ni är en av få siter som faktiskt tar sitt ansvar och hashar sina lösenord. Ni som har samma lösenord på flera siter får nog räkna med att era lösenord ligger fullt synliga på större delen av de siterna, kan ni få tillbaka era lösenord så kan ni också konstatera att de inte är hashade.

Lösenorden borde egentligen inte vara möjliga att komma åt merän med direkt databas access vilket det troligen rör sig om i detta fallet. I sådana fall finns det inte mycket mer att göra än att försöka bygga ut funktionaliteten på siten/applikationen så att allt mindre av medarbetarna behöver ha direkt access till databasen.

[Unregistered1113]

• 0

Kommer ersättning för sveda och värk pga ert fatala misstag utgå till de berörda?

Samt kommer "dator inom bekantskapskretsen" att uppgraderas med någon form av brandvägg/anti-virus suit efter detta?

Kommer administratörerna att få adekvat utbildning inom IT-säkerhet?

Vem är ansvarig för säkerhetsbristen, kodknackaren, i forumet-koden som gjorde det möjligt att kopiera alla lösenord eller var det den som skrev specifikationen för forumkoden? Jobbar de kvar idag? Svar i form: kodknackaren/specansvarig räcker dugligen.

vad är det du vill ha ersättning för?...dom har ju gjort sitt med råge.?

tror du behöver ta reda på lite mer info om sajten..med tanke på din tid här..

//CG-47

Redigerat av Unregistered1113, 17 februari 2009 - 10:30.

[Zerox_no1]

• 0

Har bytt lösen samt lösen som var liknande på andra sidor.

[Sambuccashake]

• 0

Hade ett 14 tecken långt lösenord men har nu kompletterat med siffror.

Hoppas att man klarade sig undan.

Tack till staff för bra info!

[dirtpop]

• 0

Kommer ersättning för sveda och värk pga ert fatala misstag utgå till de berörda?

Samt kommer "dator inom bekantskapskretsen" att uppgraderas med någon form av brandvägg/anti-virus suit efter detta?

Kommer administratörerna att få adekvat utbildning inom IT-säkerhet?

Vem är ansvarig för säkerhetsbristen, kodknackaren, i forumet-koden som gjorde det möjligt att kopiera alla lösenord eller var det den som skrev specifikationen för forumkoden? Jobbar de kvar idag? Svar i form: kodknackaren/specansvarig räcker dugligen.

*raderat av Moderator pga regelbrott*

Creds till er på Minhembio/Prisjakt för att ni går ut med detta.

Redigerat av dirtpop, 17 februari 2009 - 15:43.

[Evil Homer]

• 0

Kommer ersättning för sveda och värk pga ert fatala misstag utgå till de berörda?

Ja du, tror att dom som minst kommer ge alla användare här 10.000 riksdaler. kanske även en guldklocka (klockan är jag osäker på, men om vi alla håller tummarna för det så kan det nog hjälpa till endel)

[Unregistered973]

• 0

###### klantskallar, byta lösenord oftare.

Skit i det lätt att vara efterklok skadan är skedd liksom.

Den stora frågan är VARFÖR SKICKAR NI INTE UT MEJL TILL ALLA ANVÄNDARE? Alla är inte inne varje dag.

[swebarb]

• 0

Aldrig kul när sånt här händer.. Hoppas ni får fast svinet som gjorde detta..

[THXcht]

• 0

Fan vad många är sura. Det är sådant som händer och inte så mycket att göra åt tyvärr. Vill någon komma åt någon speciell information så gör man det, hur mycket någon än skyddar sig. Jag tror ju att bankernas säkerhet är bättre, men där händer det ju hela tiden att någon kommer över koder mm.
Var tacksamma istället för att informationen kommer ut och att man själv blir lite mer försiktig i framtiden genom att göra svårare lösenord, och inte bara här utan på alla andra ställen man har lösenord till.

[honky]

• 0

hej

har bytt lösenord på dom viktiga ställena hur viktigt är det att göra det på olika forum och sidor som t ex demonoid

[Fredrik HL]

• 0

hej

har bytt lösenord på dom viktiga ställena hur viktigt är det att göra det på olika forum och sidor som t ex demonoid

Beror väll på, enligt Prisjakt fick de även med sig epost adresserna, så har man samma lösen för att logga in på sin e-mail bör man ändra den också.

[Yobo1987]

• 0

Det är inte erat fel. Synd att sånt här händer. Men vad ska igentligen dom göra med dessa uppgifter? Skriva obcena inlägg i nån annans namn? Tur att man använder olika användarnamn och lössenord på olika sidor.

[Ovisen]

• 0

Den stora frågan är VARFÖR SKICKAR NI INTE UT MEJL TILL ALLA ANVÄNDARE? Alla är inte inne varje dag.

Jag fick det på mailen. Men du kanske har en Hotmail eller nått annat och då kanske det kommer in i skäplådan så du inte såg det!??

[Pulver]

• 0

IDG.se rapporterar

[Franz]

• 0

Måste tyvärr hålla med... Hur fräcka system med kryptering och saltning så kan man ju inte skydda sig om man slarvar med "huvydnyckeln".

Hur ofta byter ni lösen på admin och hur "svåra" lösenord måste man ha?

(missförstå mig rätt. Ni gör ett fantastiskt jobb och bara för en dörr är "upplåst" är det ändå inte tillåtet att gå in så det är ju hackaren som gjort fel)

Antar att ni admins kommer att ändra era rutiner efter detta?

Just i det här fallet har det nog varit en keylogger och att ens byta lösen en gång i månaden gör tyvärr inte så mycket. Skall man se något positivt i det hela har både vi och användarna lärt sig en viktig läxa.

[DVD-ai]

• 0

Annats då...

blir till att byta lösen precis NU !!!

Nu va det nytt lösen

Redigerat av DVD-ai, 17 februari 2009 - 11:41.

[Franz]

• 0

Jag antar att krypteringen sker i databasen, eller?
Vilken database hanterar använder ni?
Har ni bytt krypteringsalgoritm?
/Daniel

Nej, krypteringen sker innan något lagras i databasen. Det tillämpas en teknik som kallas hashning+saltning. Den går ut på att man gör en så kallad envägskryptering. Det innebär att man inte kan med dekryptera innehållet utan måste prova alla kombinationer för att se ifall de genererar samma hash-kod. När man t.ex. loggar in körs den här algoritmen på det du matar in och resultatet jämförs med det som ligger lagrat i databasen. Bara hashning skulle innebära att alla som hade exakt samma lösenord skulle få en likadan lagring i databasen. D.v.s. knäckte man en så knäckte man flera stycken på en gång samtidigt som man för varje kombination man kör algoritmen på kan kolla ifall det stämmer med någons lagrade värde.
För att göra det hela ytterligare lite svårare tillämpas något som kallas saltning. D.v.s. en slumpmässig kod registreras med ditt konto. Hash-algoritmen räknar ut en ny hash-kod baserat på både ditt lösenord och den här slumpmässiga koden. Det gör att folk med likadana lösenord ändå får olika hash-koder. Således måste man göra hela lösenordsknäckarproceduren en gång per konto istället för en gång för allihopa.

Dagens datorer är dock så snabba att man väldigt snabbt kan prova sig fram ett stort antal kombinationer på kort tid. Korta lösenord knäcks därför relativt snabbt. Om den som försöker knäcka lösenordet utgår från att alla bara använder sig av t.ex. små bokstäver kan man snabbt testa igenom alla kombinationer av inte för långa lösenord.
Ett långt lösenord bestående av en blandning av bokstäver (stora och små), siffror och andra tecken är dock väldigt säkert.

[northspawn]

• 0

Behöver hjälp att komma på något bra o säkert lösen.någon som använder något bra lösen, som är svårt att knäcka .Och som vill dela med sig.

[DVD-ai]

• 0

Behöver hjälp att komma på något bra o säkert lösen.någon som använder något bra lösen, som är svårt att knäcka .Och som vill dela med sig.

Haha mitt e HardCore...

Ne men det e ju inte svårt att hitta på lösen
bara ta någon lustik kombination av Ajr746KRysQ0 eller så typ, då blir det lite klurigt att lösa ut den
bara att skriva ner på en lapp och ha någonstans om du skulle glömma den, men det gör man inte, se till att memmorera den bara !

Redigerat av DVD-ai, 17 februari 2009 - 11:56.

[Eps]

• 0

Behöver hjälp att komma på något bra o säkert lösen.någon som använder något bra lösen, som är svårt att knäcka .Och som vill dela med sig.

Blanda bokstäver med siffror är ett hett tips. Vanliga ord är rätt värdelöst då de flesta programmen man använder vid "attacker" knäcker dom flesta på några sekunder alt minuter.

Redigerat av Eps, 17 februari 2009 - 11:54.

[Franz]

• 0

Mycket av det arbete som sker med Minhembio sker ideellt. Moderatorer och administratörer är personer som på frivilligbasis hjälper till. Forumet är av typen invisionboard och är ett väldigt spritt forum. Vi må ha en lite äldre version men har patchat upp den för de säkerhetsbrister som upptäckts av tillverkaren.

Ytterst får det väl anses att jag är ansvarig för säkerheten. Nu har jag skrivit motorn för hela Prisjakts prishanteringssystem, innan vi blev fler var det i stort sett jag som programmerade allt på Prisjakt och Minhembio (nu är vi några till). Jag jobbar långt över 40 timmar i veckan också så jag hoppas att Prisjakt vill behålla mig.

Kommer ersättning för sveda och värk pga ert fatala misstag utgå till de berörda?

Samt kommer "dator inom bekantskapskretsen" att uppgraderas med någon form av brandvägg/anti-virus suit efter detta?

Kommer administratörerna att få adekvat utbildning inom IT-säkerhet?

Vem är ansvarig för säkerhetsbristen, kodknackaren, i forumet-koden som gjorde det möjligt att kopiera alla lösenord eller var det den som skrev specifikationen för forumkoden? Jobbar de kvar idag? Svar i form: kodknackaren/specansvarig räcker dugligen.

[Unregistered8af05ad5]

• 0

Vad gör man om e-postadressen som man är registrerad med inte finns längre? Jag har provat att byta adressen i kontrollpanelen, men får bara svaret att de nya redan finns i systemet. Jag har provat med två olika adresser.

[Franz]

• 0

Japp, vi har förändrat så att mindre av medarbetarna har access till den delen där man tidigare kunde tillskansa sig access till de här delarna av databasen. Nu är bara medarbetarnas händer tillåtna. Skänt å sido så har vi gjort väldigt mycket i form av att begränsa antalet personer som kan komma åt och på vilket sätt de kan komma åt det hela. Ytterligare skydd gör var och en att de skulle hindra samma sak från att ske igen. Nu vill jag inte vara så naiv att jag tror att det räcker. Säkerhetsarbetet måste naturligtvis ständigt förbättras.

Jag misstänker att ni har en hel del medarbetare och sådant som detta kommer för eller senare att inträffa tyvärr.

Det är skönt att höra att ni är en av få siter som faktiskt tar sitt ansvar och hashar sina lösenord. Ni som har samma lösenord på flera siter får nog räkna med att era lösenord ligger fullt synliga på större delen av de siterna, kan ni få tillbaka era lösenord så kan ni också konstatera att de inte är hashade.

Lösenorden borde egentligen inte vara möjliga att komma åt merän med direkt databas access vilket det troligen rör sig om i detta fallet. I sådana fall finns det inte mycket mer att göra än att försöka bygga ut funktionaliteten på siten/applikationen så att allt mindre av medarbetarna behöver ha direkt access till databasen.

[jonasprivate]

• 0

Ja ett nytt bättre och läängre lösen är fixat.

[Franz]

• 0

Vad gör man om e-postadressen som man är registrerad med inte finns längre? Jag har provat att byta adressen i kontrollpanelen, men får bara svaret att de nya redan finns i systemet. Jag har provat med två olika adresser.

Kontakta support(at)prisjakt(dot)nu så får du hjälp. Skicka med så mycket uppgifter du känner till.

[sonybravia]

• 0

vi säger att man byter lösenord på denna sida men vad händer med informationen som de har? kan de använda denna info till andra sidor? Kan vara lite svårt att hålla koll på alla internet sidor man är medlem i och tyvärr säkert många med samma lösen på. Någon som har tips om vad man kan göra, förutom att byta lösen här?

[Franz]

• 0

Tråkigt med så oengagerade användare att de inte är inne varje dag. 144 000 mail gick dock iväg med början igår. Det tar dock en liten stund för dem att komma fram när de är så många. De allra sista skickades precis. Tyvärr finns sedan alltid risken att ett spamfilter tar hand om mailet. D.v.s. kolla gärna i skräpkorgen etc.

###### klantskallar, byta lösenord oftare.

Skit i det lätt att vara efterklok skadan är skedd liksom.

Den stora frågan är VARFÖR SKICKAR NI INTE UT MEJL TILL ALLA ANVÄNDARE? Alla är inte inne varje dag.

[Flame]

• 0

Läste nyss mejlet och trodde inte de var sant! De finns ju knappast någon viktig information att hämta här? Eller är de något stort företag som går back nu och ska ändra lite i Prisjakt? Aja hur som helst så kommer jag att byta lösenord. Men är de någon som vet ett bra program som kommer ihåg alla ens lösenord man har till diverse hemsidor? De är ju nästintill omöjligt att ha runt 10 olika lösenord som har över 15 tecken i huvudet! Vore skönt om de fanns ett krypterat program för sådant så man bara behöver komma ihåg ett lösenord för att få fram alla lösenord man har. Då ska de gärna vara ett seriöst program från en seriös sida, så att man inte blir hackad av själva programmet så att säga.

[-Palle-]

• 0

Men är de någon som vet ett bra program som kommer ihåg alla ens lösenord man har till diverse hemsidor? De är ju nästintill omöjligt att ha runt 10 olika lösenord som har över 15 tecken i huvudet! Vore skönt om de fanns ett krypterat program för sådant så man bara behöver komma ihåg ett lösenord för att få fram alla lösenord man har. Då ska de gärna vara ett seriöst program från en seriös sida, så att man inte blir hackad av själva programmet så att säga.

Jag kör med Opera som webbläsare och den har en alldeles utmärkt "lösenordshanterare" som kommer ihåg både användarid och lösenord

[dirtpop]

• 0

Läste nyss mejlet och trodde inte de var sant! De finns ju knappast någon viktig information att hämta här? Eller är de något stort företag som går back nu och ska ändra lite i Prisjakt? Aja hur som helst så kommer jag att byta lösenord. Men är de någon som vet ett bra program som kommer ihåg alla ens lösenord man har till diverse hemsidor? De är ju nästintill omöjligt att ha runt 10 olika lösenord som har över 15 tecken i huvudet! Vore skönt om de fanns ett krypterat program för sådant så man bara behöver komma ihåg ett lösenord för att få fram alla lösenord man har. Då ska de gärna vara ett seriöst program från en seriös sida, så att man inte blir hackad av själva programmet så att säga.

Firefox lösenordshanterare fungerar ju väldigt bra tycker jag. Antar att den är skapligt säker också.

[Unregistered6214acfd]

• 0

Bytt och klar=färdig

[JockeJ]

• 0

Om grabben kom hem och sa att han hashat och saltat skulle jag ge honom en örfil och en föreläsning.
Säg nej till knark!

Förövrigt har jag bytt mitt lösenord, så ingen jävel skriver dumma inlägg i mitt namn!

Redigerat av JockeJ, 17 februari 2009 - 12:34.

[Unregistered25afe1a3]

• 0

Nu stod det i Aftonbladet på första sidan om detta som hänt med Prisjakt.
Aftonbladet - prisjakt

[liddes]

• 0

Läste nyss mejlet och trodde inte de var sant! De finns ju knappast någon viktig information att hämta här? Eller är de något stort företag som går back nu och ska ändra lite i Prisjakt? Aja hur som helst så kommer jag att byta lösenord. Men är de någon som vet ett bra program som kommer ihåg alla ens lösenord man har till diverse hemsidor? De är ju nästintill omöjligt att ha runt 10 olika lösenord som har över 15 tecken i huvudet! Vore skönt om de fanns ett krypterat program för sådant så man bara behöver komma ihåg ett lösenord för att få fram alla lösenord man har. Då ska de gärna vara ett seriöst program från en seriös sida, så att man inte blir hackad av själva programmet så att säga.

Om du kör firefox, ta en titt på Password Hasher
https://addons.mozil...efox/addon/3282

How Password Hasher helps:

* Automatically generates strong passwords.
* One master key produces different passwords at many sites.
* Quickly upgrade passwords by "bumping" the site tag.
* Upgrade a master key without updating all sites at once.
* Supports different length passwords.
* Supports special requirements, such as digits and punctuation.
* Supports restricting a hash word to not use special characters. (New!)
* Saves all data to the browser's secure password database.
* Generates a portable HTML page with your site tags and option settings that allows you to generate your hash words in any browser on any machine without the extension installed. (New!)
* Can add marker buttons to unmask passwords on any web site. (New!)
* Extremely simple to use!

[Great_Grumbledock]

• 0

Kände s lite klumpigt med bristande säkerhet, men om det vore en bra hackare så skulle det väl inte spelat någon roll. Dock tvivlar jag på att nån mer professionell skulle sitta och hacka prisjakt/minhembio (såvida han inte driver dåliga företag ) utan troligen en glad amatör som hade tur...

[Henriksson91]

• 0

Trisst att det ska ske!

[-Palle-]

• 0

Nu stod det i Aftonbladet på första sidan om detta som hänt med Prisjakt.
Aftonbladet - prisjakt

Sorry för OT men som vanligt är Aftonblaskans hemsida full med popupfönster, reklambanners och annat skit som gör att det tar en hel evighet att öppna sidan...

[ikercasillas]

• 0

Hur bytar man lösenord?

[zappBrannigan]

• 0

Sorry för OT men som vanligt är Aftonblaskans hemsida full med popupfönster, reklambanners och annat skit som gör att det tar en hel evighet att öppna sidan...

Du kan inte ha ett roligt blodtryck om du förbannas över reklam och surfar på internet. En dos firefox + adblockplus ordineras omgående! Sköljes med vatten

[Genome]

• 0

Synd att det ska hända, men jag måste ändå säga att jag uppskattar att ni jobbat snabbt och att ni faktiskt tagit säkerheten på allvar med saltning av varje individuellt lösenord. Jag är inte särskilt aktiv i forumet, men uppskattar ändå informationen.

Dessutom kan det här hända de flesta sajter idag, det är väl någon nolla som bestämt sig för att de skulle imponera på någon. Jag gissar att gänget på Flashback sitter och göttar sig i detta nu.

[Unregistered25afe1a3]

• 0

Sorry för OT men som vanligt är Aftonblaskans hemsida full med popupfönster, reklambanners och annat skit som gör att det tar en hel evighet att öppna sidan...

Du behöver inte läsa det ifall du inte vill, var mer menat som allmän information.
För mig tar det ungefär 2-3 sek att ladda sidan.

[Unregisteredd51b7e75]

• 0

Egentligen skulle man ha ett lösenord med massor av lustiga bokstäver och siffror och snabel-AN också med i.
sen skriver man upp lösenet på en postit lapp och sätter den brevid tangentbordet, eller så skaffar man firefox så man kan ha så lösenordet sparas på sidan, så man slipper skriva in sitt användar namn + lösenord.

Redigerat av Unregisteredd51b7e75, 17 februari 2009 - 13:53.

[-Palle-]

• 0

Du kan inte ha ett roligt blodtryck om du förbannas över reklam och surfar på internet. En dos firefox + adblockplus ordineras omgående! Sköljes med vatten

Man tackar, kan meddela att det inte är så alvarligt som det låter

[Unregistered426cc7d0]

• 0

Då ni både saltat och pepprat lösenorden olika för varje användare så anser jag att mitt lösenord fortfarande är i säkert förvar och tänker inte byta lösenord.