[BarateaU]

Jimmy har du lite hett om öronen?

Tog en titt i filen precis där man självklart ligger med med mail osv.
Hoppas de inte knäcker pw så snabbt bara :P
http://www.idg.se/2.1085/1.412262/lo...-bloggtoppense

[Adestro]

Om sajten var öppen för SQL-injektioner gissar jag att ingen salt användes vid hashningen heller?

[BarateaU]

Testade att skapa en md5 hash och det är enbart det som använts.
Så alla lösenord i filen är md5 hashar utan salt
http://www.miraclesalad.com/webtools/md5.php

Bara testade att söka efter sommar2011 och 2010 och de var tre som hade det som lösen.
Finns nog en hel del lösen som kommer läckas tack vare detta :/
Outch, hela 93 har sommar som lösen

[Adestro]

Lyckat!

Tittar man i tråden på Flashback är det ju dessutom löjligt enkla lösenord journalisterna på Expressen och AB använder för sina bloggtoppen-konton.

[Erik Stenman]

Jag antar att väldigt många här har ett konto där.

[Wojt]

Kolla lösen "boll" eller "bollar" verkar vara ganska vanligt.

[Gustav]

Jag minns inte ens att jag hade ett konto där. Men det hade jag tydligen. Som tur är med ett unikt lösenord (bara 42 bits enligt KeePass) som inte används på annat håll.

[daniel_]

Jag är lite slö i huvudet såhär på eftermiddagen, men vart hittar jag databasen? Skulle vilja se om jag finns med.

[Gustav]

Citat:

Ursprungligen postat av daniel_

Jag är lite slö i huvudet såhär på eftermiddagen, men vart hittar jag databasen? Skulle vilja se om jag finns med.

Man skulle kunna tro att det är flashback eller TPB som sprider hackade databaser. Men nej, det är statlig media med SVT. Varsågod: http://svt.se/2.22620/1.2579371/koll...gtoppen-lackan

(direktlänk till filen som svt länkar till: http://www.mediafire.com/?mei9h8j72ira7ea)

[tartareandesire]

Citat:

Ursprungligen postat av Gustav

Man skulle kunna tro att det är flashback eller TPB som sprider hackade databaser. Men nej, det är statlig media med SVT. Varsågod: http://svt.se/2.22620/1.2579371/koll...gtoppen-lackan

(direktlänk till filen som svt länkar till: http://www.mediafire.com/?mei9h8j72ira7ea)

Journalisterna försöker ju vara lite mer hippa och rebelliska idag Allt som finns på internet är fritt fram att sprida anser tyvärr många.

Nu är det dock ganska onödigt att kasta skit på Jimmy och Bloggtoppen.se. Det finns många stora webbplatser som har samma säkerhetshål. Naturligtvis är det inte alls bra men få utvecklare är felfria och i princip alla större, lite äldre webbplatser har åtminstone delar med ganska omodern kod kvar och resurser brukar sällan användas till saker som inte genererar ett tydligt mervärde för webbplatsen. Det här handlade vad jag förstått dessutom om en köpt mjukvara.

Mycket trist att något sådant här ska hända oavsett orsaken. Man bör emellertid först och främst ge sig på de individerna som sprider denna information. Kanske något oansvarigt av SVT men samtidigt så kan de väl hävda att listan är till gagn för användarna. Som utvecklare är det onekligen också ganska intressant att se vilka lösenord som används.

Ganska illa gjort utav journalisterna också att använda samma lösenord till Bloggtoppen.se som till sina mailkonton i arbetet. De har ett ansvar att göra sitt yttersta för att skydda sina källor och det har de verkligen inte gjort här.