http://www.flashback.info/showthread.php?t=611928

Tydligen har någon lyckats ta sig in på Mecenat.se (och CSN-Kortet)
De hävdar att de nu har en dump på databasen = samtliga sveriges studenters personuppgifter

Tack så mycket för den Mecenat AB

Det känns extra jobbigt att bli utsatt för sådant här när man inte direkt har något val om man hamnar i deras register eller.

Att slarva med uppgifter man inte ens fått godkännt att hanterara av "användarna"?

Hoppla! skulle inte förvåna mig ett dugg. Har för mig att det var nåt av Sveriges 3 största studentkorts-föreningar som skickar studenters lösenord i klartext via Posten årligen (sannolikheten att det är Mecenat är väldigt stor). Blev helt vettskrämd när jag såg mitt lösenord i klartext när jag fick hem medlemsbrevet via Posten första gången jag skrev upp mig. Sen dess har jag inte kunnat ta deras verksamhet seriöst, ser dem som spammare bara.

:(

Var väll lika bra så dom tar lite ansvar för hanteringen av uppgifter...

Har faktiskt för mig att det är Studentkortet och inte Mecenat som brukar skicka ut lösenordet i klartext. Men det är illa i vilket fall...

Man kan adressändra med en inloggning på mecenat som säkerhet och identifiering...

dags att ändra mitt lösenord i WN "sigge" kan inte hålla emot längre.

rhdf, och alla andra som klankar ned på företagen som utsätts för svin som begår brott, det är ju fan i mig otroligt att ni lägger fokus på brottoffret och tycker att det är deras fel allt som händer.

Det är ju de äckliga hackersvinen som skall hängas, inte brottsoffren. I min värld då.

Kanske sitter ni och tycker att den som blir nedslagen på stan får skylla sig själv, eller skall klandras för att han eller hon var ute över huvud taget?

Skäms på er och hjälp istället till att spåra upp hackare och tipsa rättsväsendet när ni eventuellt har information att komma med...

Wizzo - jag undrar vad som är märkligt med att man postar lösenord...? Det gör ju alla företag, inte tusan har jag hört talas om krypterat brev.

Ibland, om det rör inloggningar som ger banktransaktionsmöjligheter, får man rekommenderat brev, men det är ju snarare undantagen.

Skäms på dig som har en så enkel riktad lösning...

Vad har du tillfört denna jakt då du som förespråkar det så pass?

Du kanske tycker det är bättre att det är mer organiserade och riktade attacker istället från folk som vill ha informationen?

Även om jag antar att jag förstår hur du tänker så bör du nog försöka tänka lite bredare...

En bättre jämförelse vore att jag sätter in pengar på min bank som jag litar på. Om då banken säger "Sorry vi förlorade dina 500kr på grund av att vi lämnade dem utomhus över natten" så får de nog svårt att övertyga någon om att det var tjyvens fel.

Vems ansvar är det att låsa bilen?

"Men vi har inte haft den här typen av påhälsningar tidigare", säger Jonas Levin, vd på det drabbade företaget Mecenat AB

ahhhhhhhhh, tanke sättet är ju så sämst. Det måste typiskt alltid hända något innan någon orkar flytta på fingret, typiskt Sverige.

mvh

Håller med Xamda. Det hackarna sysslar med och har gjort är BROTTSLIGT! Det skall fan inte spela någon roll att någon kan göra intrång, dom skall inte göra intrång, men idioter och kriminella finns tyvärr i vårt samhälle så jag hoppas att snuten tar dom och dom får sitt straff.

Om jag har låst mitt hem så hindrar det inte någon från att göra intrång i mitt hem.
Det är ungefär samma sak som händer när en hackare är i farten. Deras sidor är skyddade, men tydligen inte tillräckligt. Någon kan ändå göra intrång. Bara för att någon kan göra intrång betyder det inte att det skall rättfärdigas. På flashback och även här tycker jag att fokus ligger helt fel och många tycker att det är rätt åt brottsoffren, att dom får skylla sig själva. "Hade du bara låst ytterdörren samtidigt som du inte var hemma, inte hade ett tillräckligt bra alarmsystem installerat, vakthund, patrullerande säkerhetsvakter, ja då få du skylla dig själv att jag gjorde inbrott i ditt hem." Fast på nätet kan man ha alla dom här skydden men förr eller senare så hittar någon något sätt att bryta sig in.

Det borde diskuteras säkerhetsproblem, vad folk behöver göra för att förhindra att vi får inbrott i våra hem (hackade sidor) och det olagliga som hackarna (inbrottstjuvarna) utför, istället för att fokusera på brottsoffrernas klantighet eller ansvar. "Jaha tjejen, du var utmanande klädd och gick hem ensam en fredagkväll. Då får du ta ansvar för vad våldtäktsmannen gjorde". Är det så ni tänker? Eller eftersom det är IT-relaterade brott så är det okej att begå brott. Det är inte riktiga brott, det är något annat, något diffust ute i cyberspace. Vi kan ju för fan inte låta Internet bli en Vilda Västern.

Ett tips till alla som inte har gjort det är att skydda er mot SQL-injections.

Jag vill inte direkt påstå att jag riktat nån anklagelse mot Mecenat AB , mer än att jag tycker det är uselt av dem om det nu är så att de sparat våra lösenord i klartext / sett till så att det tydligen gick att få tag på uppgifterna

De som dock skall hängas högt är de som inte kan låta bli "godisskålen"
jag fick lära mig som liten att även om det står nåt framme så betyder det inte att jag får ta det, tom min 10v hundvalp fattar det. Hade jag upptäckt det här säkerhets hålet så hade jag nog snabbt kontaktat ex Mecenat och påtalat risken, därefter tipsat våra större nyhetsmedier.

Fast skulle man bli av med pengar från banken för att banken inte hade lås till några dörrar...

Uppenbarligen är många system ännu lättare att ta sig in i än jag tidigare trott.

Tycker det fel att jämföra hackandet som pågår nu med att nalla godis ur en godisskål utan att fråga om lov först. Det är betydligt allvarligare än så. Och jag kan inte förstå varför det är sådant fokus på brottsoffrens skuld, vilka fel dom har begått som har "låtit detta ske". Bara för att folk kommer på hur man skall kunna snatta kläder obemärkt genom att plocka bort larmknapparna från kläderna så rättfärdigar det inget. "Äh, klädbutiken får skylla sig själv som har ett sådant dåligt system som göra att jag kan sno kläder utan att åka fast. Visst, butiken bör vidta åtgärder och rätta till säkerheten, men det rättfärdigar inte att brott begås. Tycker inte heller att man kan jämföra med en olåst bank.

Jag tror ordet folk letar efter här är oaktsamhet.

Precis som hos ett försäkringsbolag - är du oaktsam med din bil, din båt, din stereo, vad som helst och den försvinner, så får du "böta" för det med högre självrisk eller att dom evt. inte ersätter dig alls.

Det finns en verklighet på nätet. Den är att folk letar efter fel på ditt system och det kommer _alltid_ vara så oavsett vad vi sätter för straff på det.

Så oaktsamhet är en realitet. Företag som har hand om personuppgifter eller folks privata hemligheter, exempelvis lösenord, ska vara aktsamma med dessa uppgifter.

Man bör därmed ha regler ställda för att sådana saker som lösenord etc måste vara krypterade, att om man vid en viss storlek (exempelvis X antal personuppgifter) bör ha en extern partner som ser över säkerheten av dessa etc. Finns kanske något som datainspektionen gjort på detta förut? Man får ju inte ha dataregister hur som helst, just av anledningar som exempelvis denna.

Så frågan är faktiskt - mecenat kanske har betett sig brottsligt som inte krypterat?

gsoc - Visst har de som drabbas ett ansvar att skydda sina kunder, men det är i vilket fall brottslingarna som är brottslingarna...

Gsoc - jag, vi, har bidragit med att verka för lagföring av gärningsmän, blockering av använda resurser (abuseanmälningar etc. vid försök) och direkta åtgärder vilka jag av olika anledningar har lite svårt att gå in på på ett öppet forum.

Adam, det är inte riktigt så det har gått till i de fall som varit aktuella på sistone, nog har banken varit låst och till och med valvet, men förslagenheten är stor och valvet kanske inte varit av fullgod kvalitet.

De som klankar på brottsoffren, återkom när ni själva drabbats av bilinbrott, villainbrott, blivit nedslagna helt oprovocerat eller för att ni ville hjälpa någon annan som utsattes för brott. Då kan vi diskutera vem fokus skall ligga på.

Av alla 10-15 tals medlemskap jag har haft i skolföreningar, fack, compiq kontant och sådant så får jag bara USERNAME i klartext hem via posten i värsta fall. Studentkortet eller Mecenat som kör med både USERNAME och PASSWORD i klartext hem i brevlådan är det enda fallet.

Dem andra kör med SMS när man behöver uppdatera sitt PASSWORD dem skickar inte hem kompletta inloggningsuppgifter som passerar flera människors händer samt för risken att brevet hamnar i fel brevlåda utan att man vet om det.

Jag försöker inte sparka på brottsoffret jag säger bara att brottsoffret ligger efter i utvecklingen jämfört med sina konkurrenter. Huruvida det var Mecenat eller Studentkort det har jag ingen koll på längre.
Men nån av dem ligger efter utvecklingen jag vet inte hur man ska säga sanningen utan att det ska göra ont. Vet inte hur man klär sanningen i fina ord vet bara hur man säger den direkt som tyvärr kan misstolkas som spark på brottsoffer.

Det är olyckligt och förkrossande att brottslighet existerar. Jag hoppas att de som utsatte Mecenat för dataintrånget får stå till svars.

Kunder hos Mecenat borde vara ledsen och förbannade över att deras personuppgifter blivit stulna. Dels på de som utfört attentatet men dels även på Mecenat. Personligen är jag i dagsläget, med den information som finns, mest arg på Mecenat.
Vi pratar om ett stort företag som har en miljon kunduppgifter i sina databaser. De flesta dataintrång som har skett de senaste beror inte på sensationella intrångsmetoder eller nya säkerhetshål som utnyttjas, utan sådant som de flesta företag av större kaliber bör skydda sig mot. Sådant som deras kunder kräver att de gör.

Jag hade bilinbrott i Onsdags. De slog sönder rutan, men jag hade låst bilen.

Alltså hade jag gjort vad jag kunnat. Om jag inte hade låst min bil så vore det väl ändå rent korkat?

Om de har krypterad lösenorden så har de skyddat sina användare. Om det fortfarande blir inbrott så är det inte mycket att göra åt det. Vill man in så kommer man in.

Alltså är det ansvarslöst att inte låsa efter sig. Jag känner såna som inte gör det hemma.

P.S. Jag har även haft villainbrott. Men jag låste dörren när jag gick ut. :D

Rättfärdigar det brott? Nej. Har någon påstått det? Nej.

Jag vet säkert med mig att mecenat.se blev varnade för just detta hål den 24e januari så frågan lyder varför händer sedan detta den 26e januari två dagar senare?

Hände intrånget innan eller tog någon långhelg istället för att kolla på problemet?

J*vla hackare! Skaffa ett vettigt jobb.
Fattar inte ens vitsen av att göra något sådant. Bara föt att visa upp sig?

Så du stjäl ur en öppen bil med motiveringen att det är ägarens fel som inte låste?

Nu fick jag ett mail av dem.

Nu säger jag inte att det är bra att ovan hantering sker, men det finns betydligt fler som hanterar det på det viset. T.ex. fram till för inte speciellt länge sedan var enda sättet att få ett nytt lösenord till CSN att beställa en ny kod som kom med posten.
Likaså när man beställer ett nytt bankkort kommer kort och kod (visserligen i separata försändelser) men likväl med posten.
Har fler exempel men vill bara få fram poängen att Mecenat långt ifrån är ensamma om denna typen av hantering, dock är det fler och fler som går över till t.ex. mejl eller sms - vilket i viss mån är säkrare, men samtidigt kankse inte. Folk blir av med mobiler och får epostkonton hackade dem också. Mao helt omöjligt att alltid vara totalt säker, men visst bör man eftersträva ett så högt säkerhetstänkande som möjligt, följa utvecklingen och inte stanna av nöjd.
Dock är det minst lika viktigt att man eftersträvar att få bukt med brottsligheten i sig och kan stoppa problemen i den änden.

Wizzo - Det är sant som du säger om utvecklingen...

Fast vad gäller lösenord så vet jag inte riktigt om jag kan kan hålla med dig. Kan inte komma på något fall där jag inte fått lösenord och användarnamn tillsammans, frånsett bankerna...

I vilket fall så är det ju bra om man kan öka säkerheten...

Det finns gränser för hur långt man ska gå. Borde Mecenat skicka ut ett rekommenderat brev med username och password? Om man har någon som är villig att gå igenom posten och stjäla brev så har man större problem än ett användarnamn på vift.

Ska man skicka ut lösenord via brev ska lösenordet vara slumpgenererat, det är mkt värre att skicka ut ett personligt lösenord som användaren själv valt.

Det lär bara vara insiders och Robert Aschberg som vet så jag skulle inte lägga alla mina ägg i den korgen.
Nu vet jag inte exakt procedurerna för vad som behöver göras för att genomföra ett komplett hack. Men se det som så dem som hackar lägger säkert ner veckor t.om månader för att förbereda en inledande attack.

Jag tror inte det finns många individer här i världen kunniga inom säkerhet, frivilligt och gratis skulle lägga ner lika många veckor och månader för att spåra upp dem som hackat någon sida och leka Batman åt dem oskyldigas vägnar.
Den som åtar sig rollen som cyberrymdens Sherlock Holmes skulle vara tvungen att lägga ner minst 10 ggr så mycket arbete för att motsvara dem förberedelserna en hacker lägger ner på sin attack.

Det mest praktiska tycker jag är om man i WN listar upp säkerhetsföretag som sysslar med sånt. Samt sätter upp cirka-priset för dem tjänster som erbjuds.
På samma sätt som man jämför pris och kvalitet för webhoteller, när man börjar snacka om säkerhet på ett sånt sätt då blir det mer praktiskt att skydda sig i framtiden.
Så man får möjligheten att säkra från grunden istället för att jaga spöken på nätet och slösa tid, pengar,energi och resurser. Jagar man spöken så som Bush jagar Bin-Laden ja då får man recession, samma sak gäller med att jaga hackers :)
Dem vill ha uppmärksamhet att istället ignorera dem och arbeta från grunden är mer praktiskt och gör dem betydelselösa i slutändan.

Dom tar sig inte bara in i deras sida, utan även gör den roligare ;-)

det är rätt bra gjort av Janne :) så länge det inte läcker ut för känsliga uppgifter så är bra att Mecenat får lite smisk på stjärten, så att de bättrar på sin säkerhet.

Både Studentkortet och Mecenat/CSN-kortet skickar ut slumpgenererade lösenord med posten. Precis som Swedbank gjorde när jag fick mitt nya Mastercard.

Att använda SMS-verifiering är säkert bra, OM man kan garantera mobilens ägare, vilket aldrig går. Utskick med vanlig pappersport är väldigt mycket säkrare.

Det positiva med det här är att nu vet vi varför postterminalen i Göteborg rånades, det var hackare som ville åt lösenorden till Mecenat :D

Jag tycker inte så synd om Mecenat. De är sååå jäkla giriga ändå. Känner inget bolag som förtjänat en hackning mer....

Nä... jag är inte bitter, tycker bara Jonas Levin är ett gigantiskt arsle.

De riktiga förlorarna i spelet är studenterna som numera kan se fram emot att få sina adresser sönderspammade...

De STORA frågorna när det gäller ansvar är väl.....

1) Är hackarna så "duktiga" att dom tar sig in överallt/där dom vill?
(Ja då får man försöka skydda sig bäst det går!)

2) Sitter det massa folk med sidor och som inte har så mycket koll
på säkerhet mm. och sedan är det "hackers" som efter 1 timme på google
och nedladdning av lite programvara hyffsat enkelt kan få access till systemet?


Jag sätter mina Cash på nr 2!
Felet ligger oftast och till största delen hos de som har sidorna!
Det ser man och kan läsa ut från de svar de har gett till pressen etc.

Det lyser verkligen igenom att....
"Ops vi har inte drabbats av sånt här tidigare så därför har vi lagt säkerhetsarbetet åt sidan och har väl egentligen inte så stor koll på det här med lösenord etc"

Jag tror inte det går skydda sig mot personer som vill hacka sidorna. Självklart kan man lägga massa säkerhetsrutiner och annat som gör att det blir svårare men vill någon sabba så finns det sällan något hinder.

Om NASA, Pentagon och flera andra blir hackade så är sannolikheten att vi andra skall klara oss väldigt låg. Det handlar väl snarare om att ha rutiner för "när" man blir hackad nu för tiden.

Det jobbigaste är väl nästan att polisen och andra inte ens uttalar sig i frågan. Det är nästan som om att de inte förstår att det är brott som begås på nätet.