VFH (Vuxna Förbannade Hackare) kom häromdagen över en databas tillhörig DFS (Dataföreningen Sverige). Databasen användes för användare på DFS’ webbbplats www.dfs.se. VHF valde att publicera databasens innehåll på Internet. De avslöjade uppgifterna omfattar
- Användarnas nick i DFS’ forum
- epostadress (samtidigt inloggningsnamn)
- krypterade inloggningslösenord.
Läs mer på Flashback från ”VFH – skrattretande säkerhet”.
Krypteringen är MD5 vilket går att dekryptera tämligen enkelt, särskilt som många användare använt sig av lösenord som är lätta att knäcka (testa ditt lösenord här). Eftersom DFS har stängt ner sina webbplatser och kommer att skapa nya användarkonton (eller åtminstone nya lösenord) så är den stora faran för medlemmarna i DFS att de använder samma lösenord även i andra sammanhang – en ovana som jag å det bestämdaste avråder ifrån.
Vi har sett vid andra nyligen timade liknande händelser att många användare är okloka nog att ha samma lösenord på flera olika tjänster och då blir vid ett avslöjande av lösenordet samtliga tjänster komprometterade. Inte så smart. Ett skrattretande exempel torde vara att maria.lysell@sakerhetspolisen.se använde lösenordet lysell.
DFS’ mejl till medlemmarna strax efter upptäckten:
Pressmeddelande 28 februari 2008
Intrång hos Dataföreningen
Dataföreningen har drabbats av ett intrång där användaridentiteter och ”hashade” lösenord, e-postadresser publicerats av hackare.
Dataföreningen har stängt ner sina webbplatser, utreder och kommer att överlämna ärendet till polisen.
Medlemmar som mot förmodan har samma lösenord på andra sajter uppmanas att ändra dem.
För mer information kontakta Dataföreningens VD Annica Bergman, 070-6096665, annica.bergman@dfs.se ”
DFS’ mejl dagen efter:
Hej!
Dataföreningen har, som tidigare meddelats, drabbats av ett intrång där användaridentiteter, ”hashade” (krypterade) lösenord och e-postadresser har publicerats på nätet.
Så fort vi fick kännedom om intrånget stängde vi ner våra webbplatser www.dfs.se och www.d4d.se och har sedan dess arbetat intensivt med att lösa de problem som intrånget orsakat. Det arbetet fortgår.
Självklart får vi många frågor om det inträffade och vad det får för konsekvenser för dig som medlem
Här är svar på några av de mest frekventa frågorna.
Är jag drabbad?
Alla e-post adresser har lagts ut i klartext och enklare lösenord är redan knäckta
Vad har jag för lösenord hos Dataföreningen?
Det ursprungliga lösenordet är automatgenererat.
Vet du med dig att du har bytt lösenord hos oss till ett lösenord som du använder på andra webbplatser är det viktigt att du byter dessa.
Vi kan inte få fram några lösenord.
Hur får jag ett nytt lösenord?
Vi kommer att byta ut samtliga lösenord för alla medlemmar och information om ditt nya lösenord skickas ut per brev till din hemadress i början av nästa vecka.
Vad betyder hashat?
På följande länk kan du läsa mer om det.
http://info.dfs.se/bw/dataforeningen/BWHandleEvent.aspx?command=ct&bwl=9449be53b6684724.30697.F50E
Hur gör jag om jag vill anmäla/avanmäla mig till någon aktivitet?
Skicka ett mail till medlem@dfs.se
Vi återkommer med mer information och du kan även höra av dig till Dataföreningens vd Annica Bergman, 070-6096665, annica.bergman@dfs.se ”
Lustigt blir det när man betänker att Dataföreningens avdelning ”IT-säkerhet Mälardalen” nyligen i mejl till sina medlemmar skrev:
-InfoSäk Mälardalen
-Informationssäkerhet Mälardalen
-Mälardalens säkerhetsnätverk
Avsändarna kan antagligen hålla sig för skratt just nu?
Dataföreningen Sverige skäms, får man hoppas. Särskilt eftersom de slagit sig själva för bröstet och sagt att de är duktiga på datasäkerhet och informationshantering. Se till exempel i tabellen nedan hur väldigt dyra deras tredagars kurser i säkerhet är:
| Kurs | Pris |
|---|---|
| Strategisk informationssäkerhet | SEK 21 950 exkl moms |
| Operativ informationssäkerhet | SEK 21 950 exkl moms |
| Certifierad informationssäkerhetsarkitekt | SEK 17 950 exkl moms |
Märkligt nog har jag inte funnit ett ord om ovanstående i SvD eller DN. Både DN och SvD skriver om ovanstående.
Däremot skriver tabloiden Aftonblaskan om det, men jag antar det är för att visa att även andra än de själva är klantiga – även om Aftonblaskans klantighet övergår det mesta.
Att SÄPO under stort ståhej i media och krigsrubriker anklagar och griper några stackars svensk-somalier som skickat lite pengar till sina svältande släktingar i Afrika är skrattretande. SÄPO borde verkligen använda sina resurser lite klokare – t.ex. genom att säkra samhällsviktig information istället för att sälla sig till de hatets kolportörer som underblåser fiendskap mellan olika kulturer och folkgruppern – sicka klåpare de är!
Om något kriminellt skulle framkomma är det säkert EBM, Ekobrottsmyndigheten, som detekterat ekonomisk brottslighet, eller slarv.
IDG skriver läsvärt: ”Stort angrepp mot Dataföreningen – mängder av lösenord i spridning”
Jag då – är jag säker? Tja, jag är relativt osäker och nöjd för egen del.
