Tydligen så har efterfesten.com blivit nästa offer i hackarhysterin.

Nästan alla medlemmars användarnamn + lösenord ligger nu ute för alla att se. Tydligen har efterfesten.com inte haft någon som helst kryptering av lösenorden, utan det verkar bara varit sparat i klartext.

Jäkligt dåligt av efterfesten tycker jag. Borde inte alla såna stora sajter åtminstone ha någons sorts kryptering?

Självklart borde dom ha krypterade lösenord.. sjukt dåligt

Men Blocket/Family sparar också lösenord i klartext.

Borde man inte få ha sina sidor ifred från hackande loosers?

Jo det vore väl det bästa.

Haha.

Tur att jag inte använder det lösenordet jag hade där mer, kanske på något gammalt forum dock (som jag inte längre är aktiv på...). Pinsamt dåligt av mig faktiskt. Pinsamt dåligt av Efterfesten också.

Visst är det så. Men man bör inte bli drabbad av stöld heller. Eller av krig om man inte bestämt själv att man vill kriga mot nån. Eller av könssjukdomar man inte bett om.

Face facts - det finns hackers och så länge dom är där så gör du bäst i att skydda dig.

Problemet med det här var att för några dagar sen kom admin lösenordet ut så att vem som ville kunna logga in och ändra vad dom ville, där av kanske dom kom åt informationen via den vägen.

Nicht, Logga in på efterfesten så ser du hur det ha gått till.

Okej, jag har aldrig testa logga in på det konto så jag har inte en aning om det fungerade eller icke. Men jag såg att det var publicerat för några dagar sen så de lär vara fixat.

Mm, någon kom över databasen och delade först med sig av ett administatörkonto. Den här personen valde senare att släppa hela databasen.

Lunarstorm nästa ?!?

Vad bygger dessa sajter på, är det open source?
Det borde finnas en röd tråd i dessa hackade sajter som gör dem enklare att hacka.

Vore väldigt intressant att veta faktiskt, just hur dom kommer åt databasen.

Har de egna servrar eller är de hostade externt?

Att alla dessa sidor (Aftonbladet, Bilddagboken, Efterfesten m.fl) blir hackade innebär ju bara att vikten och kompetensen på programmerarna minskar hela tiden, känns det som.
Sådana stora sidor bör inte bli hackade, och de bör definitivt inte spara dess lösenord i klartext om de har någon som helst säkerhetsbaktanke (syftade på Efterfesten).

Egna servrar. Vad nu det har för betydelse?

Hörde att de tog sig in via http://www.lighttpd.net/assets/2007/...sa_2007_12.txt, någon som kan bekräfta?

Den röda tråden är dålig säkerhet, och som vanligt i Schibstedt-koncernen och andra större företag att inte använda krypterade lösenord.

Deras utvecklare är väl korkade helt enkelt.

Blir inte ett dugg förvånad.

Mycket kommentarer som idiotförklarar brottsoffren här. Säger ni likadant om andra brottsoffer?

Helt obegripligt att man inte tacklar problemet, dvs hjälps åt att klämma åt packet...

Uppenbarligen har man utnyttjat någon svaghet för att komma åt databasen, men, tja, är upphovsmännen bakom sajten, eller dess programmerare korkade för det? Aningslösa kanske, javisst, men har inte fel fokus blivit en ny ledstjärna här på WN?

Efterfesten hackades av en scriptkiddie var ingen über haxxor eller så. Killen använde sql injection och dumpade ut hela databasen, samma som gjorde detta hackade även basshunters konto på lunar för ett par dagar sen, det var med brute force tror jag.

Det verkar bli en väldigt stor hacker trend i år.

Jag håller med Xamda. Om ni bara visste hur många företag som lagrar sina kunders lösenord i klartext så skulle ni förmodligen börja skriva klantskallar i sådan omfattning att ni skulle dö av trissdess på kuppen.

I princip spelar det ingen roll om lösenorden är krypterade eller inte i databasen om själva databasen är åtkomlig för fel personer. Jag kan bara hoppas på att de databaser jag har på olika webbhotell har sådan hög säkerhet att inga objudna gäster kommer åt dem. Men det är ju inget jag har kontroll över.

WN skulle kanske ha ett forum för säkerhet där vi kan diskutera det här och hjälpa varandra med säkerheten och utan att bli påhoppad som okunnig. Jag kan villigt erkänn att jag har ett par databaser som inte lever upp till tillräcklig säkerhet men jag jobbar med att höja den och tips vore inte så dumt.

Jag kan gissa att det finns ganska många medlemmar här på WN som just nu sitter och funderar på hur de ska implementera ett salt i deras redan färdiga och idrifttagna databaser. Ska de ändra andra lösenord och skicka mail till alla medlemmar och tala om att de måste ansöka om nya lösenord? Går det att salta lösenorden dynamiskt utan att medlemmarna märker något, eller? Frågorna är säkert många.

Massor av medlemmar på WN har inte heller de kunskaper som behövs för att själva skriva koden eller kanske inte ens förstår vad problemet överhuvud taget består av rent tekniskt.

Håller fullständigt med ovanstående guran att ett säkerhetsforum vore en bra idé, gärna endast för medlemmar också så man inte behöver spy ut sina problem till hela världen.

Och med tanke på om det går att salta utan användarna märker det. Det går att göra snabbt, lätt och smärtfritt =)

Kan påpeka att lösenordet kom från efterfesten's databas till Basshunter's lunar..han hade samma lösen överallt.. dock rätt bra lösenord men duger inte när klantar som efterfesten inte kryptera det ens.

Troligen inte, opensource är faktiskt ofta säkrare än hemmabygda sajter.

En sak som gör att många apache servrar är mkt lätta att hacka är att folk inte har vett nog att köra mod_security i apache.

Här är ett exempel från en logg med mod_security:

Jo, de flesta open source är ju ganska säkra om man bara ser till att patcha dem DIREKT en känd läcka hittas. Annars läcker ju de som soll.

Och jepp, mod_security fixar en hel del om man kodar dåligt ( = jag ;) ).