Familjeliv.se hackad - 120 000 "krypterade" lösenord på vift
 

Från AB: http://www.aftonbladet.se/wendela/article14243857.ab

"Familjeliv vet inte om de okända hackarna lyckades få tag på medlemmarnas sparade lösenord, signaturer och e-post."

Hur kan detta vara möjligt år 2012 att en webbplats, speciellt en så stor som Familjeliv.se, sparar lösenord i databaseb?

Det står i artikeln att lösenorden är krypterade. Däremot finns det fortfarande många sajter som sparar i klartext. Det är helt enkelt inget man vill spendera tid på att fixa förrän olyckan är framme då det inte genererar några intäkter. Många tänker på det viset idag.

Var skulle man annars spara lösenorden?

Om man inte har någon openID, bankgiro eller liknande lösning så är det väl ändå tvunget att ha lösenorden sparade i databasen? Tror trådskaparen missuppfattat att det var sparat i klartext, eller?

Familjeliv har haft användarnas lösenord sparat som en hash. Vilken hash berättas inte, delvis antagligen för att inte underlätta något för angriparna. Enligt uttalandet är det i vart fall inte i klartext eller MD5. Sen om det är MD5+salt, SHA(1,2,3), bcrypt etc. berättas inte.

För att berömma något så tyckte jag att familjeliv.se var snabba på att upptäcka ett problemet, felsöka direkt och omedelbart gå ut och informera om angreppet till användarna. Kan tyckas självklart men många små sajter liksom stora företag drar sig för att berätta angrepp på grund av att man skäms för hålet och är rädd för att förlora användare/intäkter.

Man skulle väl iofs kunna spara hasharna på disk i stället för i databasen. Men det känns ju inte så vettigt.

Tycker det händer rätt ofta att större siter får databaserna rippade på användaruppgifter. Undrar vilka tomtar de anställer antingen som konsulter eller inhouse :)

Det är bra att familjeliv gick ut tidigt och berättade läget!

Det lustiga är att dem ofta använder SQL injections, rent slarv från utvecklarna som gör det möjligt, tror även vi får uppleva detta dem närmaste åren..

Han som hackat det verkar vara en som kallar sig "mr.macG" på Flashback, https://www.flashback.org/find_posts...?userid=374095

https://www.flashback.org/t838066p300
Här diskuterar dem buggen...

Tycker det verkar som de har skött det här bra ändå.

Lösenorden är hashade(förhoppningsvis med en relativt bra hash-algoritm + salt) och de har gått ut med information till användarna på ett bra och skyndsamt sätt samt gjort vad de kunnat för att minimera skadan i efterhand(släppt på begränsningar när det gäller byta av signaturer t.ex.).
Det känns som det man kan förvänta sig av en ansvarsfull och bra webbmaster.

Givetvis är det olyckligt att lösenorden läcker ut genom ett säkerhetshål, men det kan ju hända alla. Man kan ju inte kräva att alla ska vara experter på säkerhet även om man bör kunna skydda sina användares uppgifter bättre om man driver en så pass stor site.

Givetvis ska man inte ha luckor i sin säkerhet, men det är ju än mindre ok att utnyttja dessa. Bättre man påpekar ägaren och låter dom fixa det innan större skada sker.