http://www.idg.se/2.1085/1.118681

Av en medlem här på WN.

Iof så kanske han inte loggade in, utan bara plockade mailet...

Hehe, vad bra.. nu vet jag äntligen vem man ska kontakta om man behöver få något Hackat!

:lol:

Förresten, riktigt intressant att de flesta webmasters som visar sig i Media även hänger här på WN! ;)

mvh

För att ge min syn på saken. Exakt vad han har gjort är nog ganska oväsentligt. Vill regeringar sätta dit honom får de det gjort.

Det här är stort. Men jag hoppas att han tillslut kommer gå vinnande ut ur det här. På ett eller annat sätt. Förmodligen via bra karriärmöjligheter.

Bästa måste ju hitills ändå vara vad dessa galna journalister gjort: http://in.news.yahoo.com/070830/48/6k50t.html

Jag vill inte ens spekulera i vad för skit som kommer att komma ut om journalister världen över börja gräva i tusentals ambassadmail!

Jag gillar lösenorden som iranska ambassaden använder. Där talar vi om säkerhet på hög nivå.

http://derangedsecurity.com/

För er som inte orkar leta efter länken.

För att inte snacka om allt spam som verkar gå igenom spam-filtret...

Danski, som det rör sig om, blev nyligen intervjuad av Rapport. Slog på rätt sent. Någon som kan återberätta vad som sades?

Kolla in Indiens ambassad i USA längst ner i listan. Snäppet värre än Irans t.o.m. :)

Edit: UK Visa Application Centre in Nepal tar nog ändå priset...

Detta var väll dom värsta lösenorden skulle jag tippa, dock så menar jag inte att deras 3-5 siffer/bokstäver är säkra heller :)

Adestro: Och båda mailkontona till indiska ambassaden i Kina har samma.

Rapport inslaget
Måste bara säga att Indierna är galna, de skriver om hur de går in och läser sin regerings e-post. Den snubben är modig det måste jag ge honom och detta kommer från den som publicerade listan ;-)

Exakt vad som är gjort är väsentligt för två punkter som jag anser:
#1 De berörda måste ändra rutiner, jag har erbjudigt min hjälp som bara är ett samtal iväg. Men förhoppningsvis är de så kompetenta att de kan se vad som hänt.
#2 Att vi inte vill ha hela Flashback sittandes och extrahera lösenord med denna simpla metod. 100 lösenord är vad jag valde att publicera, andra konton som även inkluderar privatpersoner och företag med miljardomsättningar fanns också. För att inte prata om all mailkonversation. Därför är det i dagsläget bara jag och några fåtal tilltrodda som vet vad som har gjorts.

Hehe skoj att du la märke till det, kändes inte som jag behövde fylla på med fler Iranska ambassader. Det fanns ett visst mönster, undrar bara hur många som loggat in på sina kollegors mail =)

Hihi Alper, betalar du bra? Jag tar ENDAST betalt i hallonbåtar!

Tackar för supporten WN =)
Om ni ser att jag börjar skriva i trådar om att starta webshop för stickade ullvantar så är det nog att konstatera att jag hittat en ny hobby i fängelset.

Dock förstår jag inte meningen med det hela, att det är dålig säkerhet på extremt mycket kritiska saker på olika vis är ingen nyhet.

Det är inga problem att ta över mycket viktigare saker.

Jag tror inte deras säkerhet kommer bli så mycket högre efter detta, visst finns det säkert andra som hittat samma sak som dig hos dom.

Folket som kan det kommer att kunna göra det, dock med din publicering klarar varenda idiot att logga in nu istället för ett fåtal personer som möjligtvis redan vet om det.

Personer som kan sina saker kommer alltid lyckas att ta sig in på olika ställen även om det är olika säkert.

Men nu blir problemet större när precis alla med en dator kan logga in och klara av att läsa random mail.

Tror bara detta kommer leda till en jävla stor konflikt mellan en hög länder.

Jag vet sedan många år tillbaka vilket liv det blir att publisera vissa saker publikt.

Folk som sattsar på att kunna läsa sådana mail lyckas säkerligen ändå med det.

Men kommer ändå bli kul att se hur mycket liv det kommer bli om detta.

Jag förstår inte varför han har publicerat dom? ( om det är han somhar gjort det )
till vilken nytta?
Om det handlade om deras säkerhet så kunde han bara kontakta någon säkerhetstjänst i sverige och så kunde dem förmedla detta.

Har jag uppfattat detta riktigt: att denna människa har kommit på att deras e-post inte är säkra sedan har han publicerat dem? ( kortfattat )

Poker*
Han förklarar ju det i inslaget och på hemsidan.

Det är inte helt så enkelt vilket jag försöker förmedla på sidan och i intervjuer. De har i stort sett suttigt och skyltat på nätet med sina logins och e-post. Något som kanske inte dessa instanser bör göra?

Jag har funderat på detta om och om igen. Att ge dess uppgifter direkt till säpo/must eller annan underrättelsetjänst vore ett direkt spionbrott. Jag förmedlar då andras nationers uppgifter till en svensk myndighet, knappast bra för mig, Sverige eller de andra. Spioner får hårda straff, jag gillar inte fängelsen =)

Alternativt kunde jag kontakta dem allihopa i skymundan (ja det finns mer än 100 konton) som vi brukar göra när något dyker upp. Problemet är att när det gäller som svensk medborgare att höra av sig till en ambassad utomlands får man en av två responser, "Nej det stämmer inte *klick*" eller "Vi åtalar dig för intrång". Ja, jag har testat och även Computer Sweden kan intyga vilket attityd de fick. Dessutom skulle det bli mitt nya gratis heltidsjobb med dyra telefonräkningar för ett bra tag framöver, med dålig framgång och stor risk för mig själv. Inte de mest stabila länderna.

Att någon annan har samma information redan eller kommer få det är bara en fråga om tid. Därav kunde jag inte riktigt slänga det, dessutom tar det inte ett geni att spåra sig till mig om man skulle vilja. God säkerhetsetik kräver att man löser problem man hittar.
Istället släppte jag det till några journalister som satte press på ambassaderna. Fortfarande är det trögare än sirap att förstå allvaret hos många, hur tror ni det skulle vara om jag satte mig för att ringa själv?

Patrikweb - Att folk alltid kan hacka sig in är inte vad det handlar om, det är väl datorernas grundsten? Här handlar det om att vem som helst kan göra det på grund av att det är så värdelös säkerhet. Jag är övertygad om att det kommer bli ändringar på många ställen runt om i världen och förhoppningsvis försvårar det för de som troligen redan idag sitter och lyssnar in på trafiken.

Istället för att lämna sin dörr öppen kan man i vart fall stänga den och låsa. Vissa tjuvar kommer in ändå men de flesta stoppas. Är detta ett oviktigt argument?

Kanske blir det inte långvarit men åtminstone har några fått sig en tankeställare och börjar se över sina system. Problemet är att både hackers och säkerhets-lägret gärna hanterar såna här frågor i det tysta varav det för resten av världen så har det inte hänt något.

Men detta står ju på sidan och t.ex. i SVTs intervju... ;-)

Hej!

Eller så kunde du bara ha dom på din dator dessa lösenord då.
Gå till säpo"s huvudkontor och förklara att så ligger det till.
Jag tror inte du skulle bli åtalad för spionage eller liknande brott, utan jag tror att dessa ambassadörer skulle tacka dig och lägga mer krav på deras IT-personal.

Ringa upp irans ambassadör och säga "hej jag har ert lösenord" är inte särskilt smart, nej!
Men att publicera dem lösenorden gjorde du verkligen fel ( snällt sagt ) jag kritiserar inte dig alls men jag tycker bara att du gjorde fel genom att publicera allt, fast du har en god bakrund till detta.

Besökarna där lösenorden publicerades har ingenting med detta att göra igentligen och ingen behövde få informationen som inte har rätt till den, jag vet inte hur många det som har besökt hemsidan och försökt logga in, men jag kan ana och tro att det är många, tänk om det står någonting som verkligen ingen skall veta?

Det är inte bra och myndigheterna kommer inte hålla käften.

Håller med pokerstjärna. Visst får du de ansvariga att agera fort, men på sättet du gjort det, är fel. Känns inte som du har tänkt på vad för konsekvenser det blir för dig personligen. Med andra ord är det inte värt att hjälpa någon på det sättet eftersom du förlorar så mycket på det själv antagligen. Men lycka till iallafall!

Det första jag kommer att tänka på är naivitet. Tyvärr är det så att om man försöker uppmärksamma företag/myndigheter/organisationer på att de har säkerhetsproblem så händer i de allra flesta fall en av tre saker:
- De ignorer allt vad man har att säga och problemet kvarstår
- Man får en rejäl utskällning men problemet kvarstår
- Man blir anklagad för att försöka göra/ha gjort intrång och hotas med polis etc. oavsett om man ens gjort intrång eller bara märkt att säkerheten inte fungerar

De erfarenheterna är jag inte ensam om att ha, Danski verkar ha fått liknande erfarenheter och jag vet massor med folk runt om i världen som säger samma sak. Nu var det ju tämligen länge sen jag pillrade med andras burkar olovandes men vissa saker förändras inte. Jag har dock insett att nyfikenhet och upptäckarglädje inte ses med blida ögon av andra och har därför ändrat lite på mig själv.
:D

Jag förstår Danski och dig!

Men låt säga att jag kontaktar ett företag och säger att det finns en säkerhetsbugg i deras system.

Om dom skiter i mig och låter problemet kvartså

Ja, då får dom skylla sig själva.

Om dom väljer att hota med polis

Då får dom göra det.


Väljer dom att skälla ut mig

Då skäller jag tillbaka!!

Så resonerar jag :angry:

Det kan bara finnas en anledning till att INTE gå till myndigheterna i Sverige. Det är att man vill ha upmärksamheten för det man åstadkommit.

Det är helt befängt att tro att du skulle få problem av den magnitud du nämner om du visade på hur omfattande detta problem är och dessutom visade hur.

Det finns en rad kanaler som man använda sig av, men denna verkar väl, i mina dunkla ögon, vara den minst begåvade... Såvida man inte är ute efter "cred" för det man lyckats med och gillar att bada i strålkastarskenet.

För övrigt, efter att ha läst lite artiklar, varför publicerar du detta på det sätt du gör och inte under ditt eget namn om det nu är så legitimt? Suck...

Dessutom kan jag ju se hur massor med företag nu vill anlita dessa "säkerhetstjänster". Not.

Efter att ha publicerat detta, vad kan inte en säkerhetskonsult hitta på i nästa steg, insläppt i mer skyddade delar? Publicera vad för något? Suck.

Snabbaste sättet att få sakerna åtgärdade är publicitet - myndigheter är inte snabba om de ens lyssnar vilket de sällan gör. Att det sen även ger andra effekter, ja det är väl inget konstigt.

Vad tror ni de som loggat in och laddat hem epost kan få för problem?

Myndigheterna i Sverige är fortfarande mycket svalt intresserade trots uppmärksamheten. Ska vi gissa hur intresset hade varit innan? Större eller mindre? Fortfarande döva öron man talar till men det är klart att vi har en övertro på att våra myndigheter faktiskt ska lyssna.

Javisst, ge förslag på en av alla dessa massor kanaler... lovar att använda det nästa gång =)

Öhhh? Mitt namn står på sidan hur tydligt som helst, dessutom mitt hemnummer :-p

Ojdå, vad säljer jag? Är det nått bra? Jag säljer inga tjänster eller något annat för den delen.


Får mig att undra, har du ens tittat på sidan då du tydligen tror jag säljer något och att jag inte står med namn? Tror du fortfarande att myndigheterna skulle hjälpa mig med tanke på deras övervälmande intresse i frågan? Har du någon erfarenhet av detta?

Varför släppte du inte hålet istället för listan Danski? Det är ju faktiskt så man brukar göra. Nu bevisar du ju bara för alla (antar jag här..) att du faktiskt har utnyttjat ett säkerhetshål och eventuellt gjort intrång?

Det har jag faktiskt inte ens tänkt på :huh: Det är inte ett hål i den benämningen varav det inte slått mig. Helt klart en vettig synvinkel!

Men frågan är om hur det skulle tas emot. Man kan bara spekulera men jag tror inte det skulle ha fått dem att ändra rutin, speciellt med tanke på hur de har agerat nu.
De bytar inte ens lösenord trots att alla vet om problemen. Lösenorden ifrågasattes tills det att någon skogsmulle loggade in och publicerade vad som hittades, troligen skulle samma sak hända med en publicering av hålet:
Tills dess att någon använde "hålet", fick uppgifterna, loggade in och publicerar lösenord och dokument så tar inget det på allvar.

Och igen hamnar allt i samma sitts...

Danski har en anmärkningsvärd och imponerande bredd. Han har gått från att försöka "hjälpa" folket på Nuie att ta över .nu domänen till att "hacka ambassader". Det ska bli spännande att se vad han hittar på härnäst.

Mjo.. Danski har en poäng faktiskt

I mina yngre dagar så satt jag och hade mina asp-sidor på ett gratis webhotell för just ASP (man fick även ha en access databas)

Till saken hör den att jag upptäckte att jag kunde kika in i alla andra konton med hjälp av Server.MapPath kommandot.. samt öppna/ladda ner deras filer (även de i DB mappen som ska vara "säker" för intrång)

Jag mailade dom om detta med en skärmdump, min kod osv (detta är en kod som vilken asp-knackare som helst kan göra) och inväntade svar.

Fick inget.. såg dessutom att min kod fortfarande fungerade.

Så.. jag "saboterade" helt enkelt ca 500 konton genom att kasta in lite random textfiler i vardera..

Och sen berättade jag för dom hur jag gjorde, igen..

Den här gången fick jag svar

Eller ingen hobby :-p sticka vantar var tråkigt

Som jag förstått det så gjordes inte änns försök att "rätta till problemet" utan publicering? Vilket jag anser fel.

Jo, jag tittade bara på sidan med adresserna och där finns då inte dina uppgifter, det vill säga jag kollade lika noga som det förefaller att du tänkte efter innan du publicerade detta :P

Dock tror jag att du skulle fått en alldeles utmärkt respons från myndigheter och dessutom om du vänt dig till Säpo skulle det inte kunna tal om spioneri som du skrev, det är ju inte så att du angriper svenska intressen... Så så länge du stannar här är du trygg... ;-)

Det som känns som rätt kanal är ändå myndigheterna, till exempel Sitic.

Att gå ut och förklara och se till att bidra till att stoppa detta vore kanske vettigare? Men det kanske kommer sådant också?

I vilket fall, du framställs som säkerhetskonsult och att i det läget gå ut och spörida lösenord är aldrig bra, det var det jag ville förmedla med min kommentar.

Understood Xamda =)

Tidningarna hittar på titlar själv till höger och vänster... blir lite galet där ibland. Men aftonbladet leder stort med att kungens hemliga mail finns på nätet? Herregud, vart fick de detta ifrån?

Enligt säpo fick jag reda på att de flertalet gånger gått ut och berättat om just detta. Något som inte går fram hos folk tydligen, till min stora förvåning.

Jag har tänkt att berätta precis hur det gått till men vill först att de på 100-listan ska fixa det. Annars kommer deras nya lösen tillsammans med tusentals andra att komma ut lika snabbt som jag hinner trycka "publish". Men det är stört omöjligt att få kontakt med rätt folk och hoppas på att de kontaktar mig då jag vädjar om det på sidan. De bör faktiskt lista ut det själv men har man "temp" som lösenord så undrar man.

Jag ska inte säga att det är skött exemplariskt men det enda realistiska om det ska rättas till och inte falla i glömska såsom det gjort innan.

Bättre att man öppnar Pandoras box nu än när alla galna länder fått ordning på sina atomvapen och sitter med fingret på den röda knappen.

källa: http://en.wikipedia.org/wiki/Pandora

Fel kanske men....
Byråkrater fungerar långsamt speciellt flera 100 olika oberoende byråkratier, dem rör bara på sig när man eldar dem på baken :) bra gjort Danski!

jag kan bekräfta att detta funkar.. har precis loggat in på flertalet konton både över pop3 och webmail...interessant läsning=)

btw vad är det för påföljder på detta om min nån kommer på mej??

Crazzy - ja, det är dessutom ganska allvarligt... Dataintrång... Fast du lär ju inte vara ensam utan snarare en av flera tusen...

okej... men kanske ändå ska passa mej...

Om du skulle loggat in på random pop3 konton som inte var viktiga så skulle det inte ens blivit något förundersökning.

Dock i detta fallet när ett flertal länder kan trycka på Sverige lär dom kunna se till att alla personer som loggat in åker dit.

Dataintrång, sabbotage (Om du lyckades ta bort några mail), spioneri (Ja mot dom andra länderna). Om det handlade om usa skulle dom säkert vilja få dig som terrorist till och med.

Normalt kan du få 2 års fängelse för vafan som hellst nästan om man läser lagen, om det normalt aldrig tillämpas så lär andra länder trycka på att du får max straff för vad som hellst nästan på några år.

Så antingen händer inget alls eller så kommer vissa länder trycka på Sverige så mycket så detta Svaga land ger med sig.

Lekstuga...

att bråka med en stor mängd ambassaders m.m. email och sedan publicera spektakler i eget namn känns mindre genomtänkt? Luktar uppmärksamhetssökande lång väg.

Imponerar säkert på kompisarna men ärligt talat... vem vinner något på det här? Ja inte är det kontoinnehavarna iaf, för de får ju sin e-mail läst... känsliga relationer störs, några kanske förlorar sitt jobb...

Haha.
Inte haft internet hemma nu men..

Vilka klockrena lösenord :D