[Ingo]

Fick följande mail av Name.com för en liten stund sedan:

"Name.com recently discovered a security breach where customer account information including usernames, email addresses, and encrypted passwords and encrypted credit card account information may have been accessed by unauthorized individuals. It appears that the security breach was motivated by an attempt to gain information on a single, large commercial account at Name.com.

Name.com stores your credit card information using strong encryption and the private keys required to access that information are stored physically in a separate remote location that was not compromised. Therefore, we don’t believe that your credit card information was accessed in a usable format. Additionally, your EPP codes (required for domain transfers) were unaffected as they are also stored separately. We have no evidence to suggest that your data has been used for fraudulent activities.

As a response to these developments, and as a precautionary measure, we are requiring that all customers reset their passwords before logging in. If you use your previous Name.com password in other online systems, we also strongly recommend that you change your password in each of those systems as well.

We take this matter very seriously. We’ve already implemented additional security measures and will continue to work diligently to protect the safety and security of your personal information.

We sincerely apologize for the inconvenience. If you need any additional assistance or have any questions please email [email protected]. We’ll continue to be as open and honest with you as possible as additional important information becomes available, so keep your eye out for a blog post or additional emails.

Thanks,
The Name.com Team"

[Jim_Westergren]

Intressant bakgrundsläsning: https://news.ycombinator.com/item?id=5667027

[Thomas]

Jobbigt, svårt att veta nu om man måste byta lösen överallt samt spärra kredikortet. Av en slump köpte jag en domän i mars i år som pushades till name.com.

Stön!

[patrikweb]

Om dom uppfyller alla krav så kan dom omöjligt få fram kortnummer då nyckel ska ligga helt externt. Lösenord är kanske värre.

Om dom varit smarta och haft full av access så kan dom rent tekniskt kunnat få kreditkort information innan den krypteras om dom är duktiga

[Dimme]

Citat:

Ursprungligen postat av Thomas

Jobbigt, svårt att veta nu om man måste byta lösen överallt samt spärra kredikortet. Av en slump köpte jag en domän i mars i år som pushades till name.com.

Stön!

Därför använder man e-kort.

[Thomas]

Citat:

Ursprungligen postat av Dimme

Därför använder man e-kort.

Det är inte kortet jag är rädd om, snarare lösenordet. Är inte Ekort unikt för Swedbank och mestadels utformat för "rädda" privatpersoner? Bygger väl på att man skapar ett nummer för varje ställe man handlar på. Jättejobb att hålla reda på om man bedriver lite större verksamhet.

[hnn]

Citat:

Ursprungligen postat av Thomas

Det är inte kortet jag är rädd om, snarare lösenordet. Är inte Ekort unikt för Swedbank och mestadels utformat för "rädda" privatpersoner? Bygger väl på att man skapar ett nummer för varje ställe man handlar på. Jättejobb att hålla reda på om man bedriver lite större verksamhet.

E-kort finns även hos Nordea.

Och du om alla borde väl vara smart nog att inte använda SAMMA lösenord överallt. T.o.m. min mamma vet om det och använder program för att lösa det.

[Dimme]

Citat:

Ursprungligen postat av Thomas

Det är inte kortet jag är rädd om, snarare lösenordet. Är inte Ekort unikt för Swedbank och mestadels utformat för "rädda" privatpersoner? Bygger väl på att man skapar ett nummer för varje ställe man handlar på. Jättejobb att hålla reda på om man bedriver lite större verksamhet.

Jag är väldigt rädd om mina kortuppgifter. Det är bland annat anledningen till varför jag aldrig köper appar hos AppStore, för man måste registrera sitt kort där. E-kort fungerar mycket smidigt och det går snabbt att genomföra en betalning.

[Thomas]

Citat:

Ursprungligen postat av hnn

T.o.m. min mamma vet om det och använder program för att lösa det.

Tror inte mamma har lika många ställen som jag . Varierat lite på vissa ställen och mellan bolagen jag har, men kör mest på längd och komplexitet.

Skämt och sido, du har rätt det har du.

[Jim_Westergren]

Mest skrämmande är nog hur name.com kunde köra vanliga osaltade hash för kundernas lösenord. Och nu är de crackade och hela databasen i händerna hos HTP (+ flera?).

Citat:

The name.com sample data HTP showed in their log by querying the database was real. Source: I work for one of the companies they used as sample rows when querying the name.com DB. Our head of ops confirmed that the hash in the HTP log was indeed the MySQL 4.1 PASSWORD() unsalted hash of our password at the time. name.com is kind of generous with the term "encrypted" in their email. - https://news.ycombinator.com/item?id=5677550