Nikke Index

En kärleksförklaring till Internet sedan 1997 // Nikke Lindqvist

You are here: Home / Hacket mot Bloggtoppen

Hacket mot Bloggtoppen

by 18 Comments

Det har varit en dag fyllt av skandaler, som egentligen alla grundade sig i hacket mot Bloggtoppen där 90000 kontouppgifter stals ur Bloggtoppens databaser. Om det finns det egentligen bara tre saker att säga:

  1. Byt ut dina lösenord om du har använt samma på Bloggtoppen som någon annanstans.
  2. Använd inte samma lösenord i olika tjänster.
  3. Välj svåra lösenord som du ändå kan minnas. Minst 9-10 tecken. Använd såväl gemener som versaler och släng in ett par siffror och ett specialtecken när du ändå håller på. t4G3te5#f0T@ är ett exempel på ett ruskigt svårknäckt lösenord som ändå består av två vanliga ord: tagetes och fota fast med vokalerna utbytta mot siffror och sista aet mot ett snabel-a och så ett #-tecken istället för ett mellanslag.
    Lösenord som vips, vipsvips, getingbo, mona54 är däremot exempel på riktigt dåliga. Jag tror att ni själva kan se varför.

Petzäll twittrar journalisters lösenord

Dagen började med att William Petzäll (eller åtminstone någon som tagit kontroll över hans konto) twittrade ut md5-hashar av lösenord som tillhörde journalister. Det blev stor skandal och om inte Petzäll redan var ordentligt smutskastad från SD-håll så blev han det nu. Hans juridiska ombud (som hade haft kontakt med honom, på telefon får man förmoda) bedyrade att det inte var Petzäll som satt och spred uppgifterna eftersom han varken hade tillgång till telefon eller dator.

Lösenorden som spreds var riktigt dåliga. Brottsligt dåliga enligt vissa. Själv tycker jag att det är rena hånet mot den meddelarfrihet och det källskydd som jag, och samma journalister vars lösenord lades ut, lika ivrigt omhuldar.

Jag hade förstås inte dekrypterat någonting över huvud taget, utan hade bara använt en öppen tjänst på webben där man samlar på md5-hashar och kan presentera vad det står i dem i klartext. Efter att ha twittrat om att jag inte längre vågar maila med journalister blev jag intervjuad (via telefon) av Medievärlden (som kallar mig Niklas i artikeln). Tjänsten på md5decrypter.co.uk är för övrigt flitigt använd av svenskar under kvällen.

Sedan visade det sig att Bloggtoppen blivit hackade (vilket alla som slaviskt följer Flashback hade vetat i en månad), och att alla de md5-hashar som spreds från Petzälls konto kom från den datadump som ligger ute och öppen för alla att hämta hem. Det är inte jättesvårt att förstå att Petzäll hade använt samma lättknäckta lösenord på Bloggtoppen som på Twitter (eller i sin mail dit återställningsmailet från Twitter säkert kom) och därmed var kontot övertaget.

I datafilen, som är på 6,7 MB, finns 90000 e-postadresser och lösenord. Jag har minst tre olika sajter anmälda till Bloggtoppen och alltså lika många olika e-postkonton anmälda där, så det rör sig definitivt inte om 90000 olika människors lösenord, men det är likväl många konton, och åtskilliga av dessa konton har säker använt samma lösenord på Bloggtoppen som på andra tjänster. Det hade i alla fall många av de journalister vars lösenord spreds från Petzälls Twitter-konto.

Spammarna slår till

Sedan tog det inte lång tid förrän några verkliga opportunister såg till att adresserna i datadumpen började komma till användning. Mot slutet av eftermiddagen började webbutiken BangerHead använda e-postadresserna för att skicka spam med ett erbjudande om 100 kr rabatt på sina produkter. Läs mer om det här. Maken till dumhet!

Vi lär höra mer om det här hacket mot Bloggtoppen i framtiden. Det lär finnas många som inte har uppfattat vad som har hänt, och som i och med detta kommer att få sina mail-konton öppnade och lästa. I somras läste jag (eller hörde faktiskt) Svenska Hackare, och jag minns allt elände som svepte över webben efter att Bilddagbokens användarregister hade öppnats och lagts ut. Det lär bli likadant den här gången, för folk verkar inte ha fått mer säkerhetstänkande precis. Jag ska försöka se vad Linus Larsson säger när han försöker förklara morgonsoffan imorgon. Jag vill framför allt höra en analys av vad vi kan vänta oss framöver, och om vi nu står inför en ny våg av hackande och crackande, likt den tid då AUH och VFH höll på som bäst.

Och så lite Kent Ekeroth på det då

I övrigt har dagen, helt i skymundan, inneburit att Kent Ekeroth, i radio, har sagt att sajten avpixlat.info, som tagit vid efter Politiskt Inkorrekt, är hans ”egna initiativ och projekt”. Han säger faktiskt så, i slutet av det här ljudklippet från Sveriges Radio, och möjligen pressad av de då väldigt spridda uppgifterna från Petzälls Twitter-konto. Men det innebär, om jag förstår saken rätt att han även borde ta på sig utgivaransvaret för sajten, men det är väl mer än man kan förvänta sig, att Kent Ekeroth ska ta ansvar för någonting alltså…

Läs mer om Bloggtoppen-hacket i Computer Sweden:
http://www.idg.se/2.1085/1.412262/losenorden-kommer-fran-bloggtoppense
http://www.idg.se/2.1085/1.412290/ingen-avancerad-attack

Passa på att läsa

Flikar och ”fäll ut”-innehåll – nästan lika dåligt som dold text

I slutet av januari gjordes en av de större uppdateringarna av Googles riktlinjer för webbplatsägare, och det enligt mig intressantaste stycket kan få stor påverkan på hur webbplatser hanterar javascript-objekt som fäller ut mer text eller visar menyer först efter att man scrollar nedåt på sidan. Så har du en sajt som visar större delen av ett textobjekt först efter att användaren klickar på [fäll ut] eller [visa], så bör du nog läsa den här artikeln.

Fler inlägg från denna kategori

  • Spännande dag! Jag tror att anledningen till att folk inte lär sig att ha högre säkerhet på sina lösenord är att de uppfattar det som för komplicerat. Det räcker ju väldigt långt om man sätter ett bra lösenord på sitt primära mejlkonto och ett annat lösenord som man kör på alla andra tjänster. 

  • Helena

    jag fick ett mail från bloggtoppen igår ang detta, men det verkar ju konstigt då, lite sent menar jag om listan legat ute så länge… men bra såklart att de gör folk medvetna om att sidan blivit hackad. Ang bangerhead så måste jag hålla med, så urbota dumt…

  • Pingback: #sdgate en konsekvens av en värderingsglidning? | Deepedition()

  • Kimmo

    Håller inte helt med om lösenordstipset. Se denna för en komisk förklaring. http://xkcd.com/936/

    • Helt rätt!

      Tills man kommer till en tjänst som kräver att lösenordet är på mellan 8 och 20 tecken och innehållet gemener, versaler, siffror och specialtecken. Mitt SL är ett sånt exempel.



      *

      *

      *Nikke Lindqvist
      0721911601
      http://www.lindqvist.com
      nikke.nu
      nikkelin.se*

    • Tja, fasst den stämmer inte helt.. hackern kan mkt väl använda sig av en ordlista på ditt språk och gissa med hjälp av ordkombinationer.. DEt skulle vara om det är en iranier som inte har tillgång till en databas med alla svenska ord..

  • Pingback: Manipulerades bloggtoppen? « Sverige är inte världens navel!()

  • Pingback: Vadå ”lita på gammelmedia” och ”internets brister”?()

  • Hört på stan: ”Varför ska jag skapa ett svårt lösenord som jag glömmer
    bort” och ”Varför skapa ett svårt lösenord, det är ju bara jag som vet
    vad jag har för lösenord”.

  • Pingback: Lösenordsbyte | Godisgris.se()

  • Pingback: Även Bloggplatsen ägnar sig åt digitalt häleri()

  • Jag håller med om dina tips Nikke (eller ska vi kalla dig Niklas i fortsättningen? ;P ). Man ska alltid göra vad man kan för att skydda sig själv.

    Men jag undrar var är kraven på att tjänster som hanterar användaruppgifter gör detta med säkrare metoder än att hasha saker med MD5? Det är nästan knäpptyst om det i media. Det pratas bara om vad användarna kan göra men faktum kvarstår att webbtjänsterna använt väldigt undermålig säkerhet jämfört med vad som finns att tillgå utan att det behövs speciellt mycket jobb. Byta ut MD5 mot någon kraftigare hash-funktion, samt se till att hasha den hash man får ut. Kör man funktionen i två steg har man helt plötsligt ökat säkerheten avsevärt. Lägger man på salt i varje steg så blir det oändligt jobbigt och den tid man köpt sig förvandlas från någon timme från intrång till kanske bortåt ett år.

    Jag säger bara ge de webbtjänster som visar så här dålig säkerhet böter eller skadestånd till de drabbade. 50:-/konto blir i de här fallet väldigt mycket pengar.

  • Pingback: Vecka 43 – Grattis Felix!* - PRODUKTION203()

  • Pingback: Funderingar kring Bloggtoppen « Maths hörna()

  • Revsior västerås

    hackers tar aldrig slut. så trött på dom

  • Happ! Först nu har jag blivit påverkad av hacket. Någon har tagit sig in på min Facebook, email, och tagit bort viktiga uppgifter. Får väl ta det med en nypa salt antar jag…

  • vad hjälper det att ha ett krångligt lösenord om tjänsten man använder blir hackad så databasen läcker lösenordsuppgifterna?