Bloggtopppen.se och SQL injection - Fin fil med alla users
 

Jimmy har du lite hett om öronen?

Tog en titt i filen precis där man självklart ligger med med mail osv.
Hoppas de inte knäcker pw så snabbt bara :P
http://www.idg.se/2.1085/1.412262/lo...-bloggtoppense

Om sajten var öppen för SQL-injektioner gissar jag att ingen salt användes vid hashningen heller?

Testade att skapa en md5 hash och det är enbart det som använts.
Så alla lösenord i filen är md5 hashar utan salt
http://www.miraclesalad.com/webtools/md5.php

Bara testade att söka efter sommar2011 och 2010 och de var tre som hade det som lösen.
Finns nog en hel del lösen som kommer läckas tack vare detta :/
Outch, hela 93 har sommar som lösen

Lyckat!

Tittar man i tråden på Flashback är det ju dessutom löjligt enkla lösenord journalisterna på Expressen och AB använder för sina bloggtoppen-konton.

Jag antar att väldigt många här har ett konto där.

Kolla lösen "boll" eller "bollar" verkar vara ganska vanligt.

Jag minns inte ens att jag hade ett konto där. Men det hade jag tydligen. Som tur är med ett unikt lösenord (bara 42 bits enligt KeePass) som inte används på annat håll.

Jag är lite slö i huvudet såhär på eftermiddagen, men vart hittar jag databasen? Skulle vilja se om jag finns med.

Man skulle kunna tro att det är flashback eller TPB som sprider hackade databaser. Men nej, det är statlig media med SVT. Varsågod: http://svt.se/2.22620/1.2579371/koll...gtoppen-lackan

(direktlänk till filen som svt länkar till: http://www.mediafire.com/?mei9h8j72ira7ea)

Hej,

Jobbigt detta med lösenord. Jag har säkert 40-50 olika sajter jag loggar in på, mer eller mindre frekvent och det lär jag knappast vara ensam om.