Det norske nettstedet foto.no melder i dag om at brukerdata kan være på avveie og oppfordrer medlemmene til å bytte passord.
Det norske nettstedet foto.no melder i dag om at brukerdata kan være på avveie og oppfordrer medlemmene til å bytte passord.Vis mer

Foto.no-brukeropplysninger på avveie

Hackere har fått tilgang til brukeropplysninger om over 100.000 norske brukere.

VARSEL: Brukerdata kan være på avveie er oppslaget på det populære fotonettstedet foto.no i dag.

Nettstedet har over 100.000 registrerte medlemmer, der de aller fleste er nordmenn. Det bekrefter eier David Bruun-Lie for DinSide.no.

I det samme oppslaget ber redaksjonen om at alle medlemmer må opprette nye passord, og det advares i tillegg mot en svindel-epost som tilsynelatende kommer fra foto.no om at brukerne må verifisere epostadressen sin.

Redaksjonen understreker i meldingen at brukerdata kan være på avveie, og peker på at dette er et tiltak som er gjort for å være på den sikre siden.

HENGER SAMMEN: Norsk nettbutikk-leverandør hacket - les mer hos ITavisen

Forummedlemmer har fått epost

I nettstedets forum ser det imidlertid ut til at situasjonen er mer alvorlig. Enkelte brukere har hatt epostkorrespondanse med den angivelige hackeren der det fremkommer at foto.no har lagret brukernes passord i klartekst (i en egen passordklar-tabell), og at hackeren sitter på et duplikat av hele brukerdatabasen, inkludert epostadresse, passord, navn, adresse etc.

Stemmer det at passordene er lagret i klartekst?

– De var lagret i klartekst tidligere, sier Bruun-Lie og forteller at de nå har slettet alt. Han kan imidlertid ikke avkrefte at hackeren har fått tilgang på brukernes passord i klartekst.

Vedkommende hevder i følge de siterte epostene å ha utført dette etter tidligere henvendelser til foto.no om sikkerheten uten å ha blitt hørt, og at foto.no tidligere har hevdet at passordene er lagret på en sikker måte, noe hackeren mener er usant.

Til DinSide forteller Bruun-Lie at denne kommunikasjonen foregikk i en forumtråd tidligere, og bekrefter at han den gangen svarte at passordene var hashede. Det viste seg imidlertid ikke å stemme helt – gammel kode lå igjen og var ikke fjernet som den burde.

Les også: Her er de vanligste passordene

Bruun-Lie har også prøvd å inngå dialog med hackeren om hvordan han har fått tak i dataene og om hvordan foto.no bør gå frem for å tette sikkerhetshullene, siden hackeren mener å ha gjort dette først og fremst fordi han har latt seg provosere av den dårlige sikkerheten. Samarbeidsviljen har imidlertid vist seg å være svak på dette punktet, i følge Bruun-Lie.

Om vedkommende har skumle hensikter eller ikke – dette er alvorlig, og særlig for deg som har en tendens til å bruke det samme passordet på flere nettsteder.

Nye rutiner

I den omtalte forumtråden hevder Bruun-Lie at nettstedet ikke lenger lagrer passordene. Brukeren Erling B. peker på at dette er en sannhet med modifikasjoner, siden han i en epost fra den angivelige hackeren skal ha fått beskjed om at hans nye passord også lett kan dekrypteres:

Vis mer


Altså er heller ikke den "nye" passordrutinen god nok og baserer seg på usaltet SHA1-hash (en hashfunksjon er en enveisfunksjon som tar i mot en tekst og et "salt" for så å generere en hashverdi. Funksjonen kan i utgangspunktet ikke kjøres andre vei for å finne det opprinnelige passordet, men når man ikke "salter" kan passordet finnes langt raskere).

Er den nye passordrutinen sikker nok?

– Jeg vet ikke, svarer Bruun-Lie, som også har sett det nevnte innlegget. Han mener det er vanskelig å uttale seg basert på dette ene tilfellet.

Men kan du egentlig oppfordre brukere til å opprette nye passord når det viser seg at den nye rutinen muligens ikke er sikker nok?

– Nei.

Bruun-Lie forklarer til DinSide at foto.no nå jobber på spreng for å tette sikkerhetshullene, og at de allerede har innført begrensninger der det kun er enkeltmaskiner som får tilgang til administrasjonsdelen av nettstedet.

Han har kodet dette på fritida de siste 16 årene og er den eneste utvikleren. Til nå har nettstedet aldri hatt et datainnbrudd.

– Jeg er så fortvilet. Dette er en skikkelig kick in the ass for å skjerpe seg, avslutter Bruun-Lie.

Bytt passord andre steder!

Vår anbefaling blir derfor å vente med å lage et nytt passord hos foto.no til sikkerheten er ytterligere forbedret, og dersom du bruker det samme passordet på andre nettsteder bør du bytte dem i en fei for å være på den sikre siden.

Igjen vil vi også poengtere viktigheten av å bruke forskjellige passord på ulike nettsteder, enten du bruker passordtjenester som LastPass, 1password, KeePass etc, lager ditt eget passordsystem som ikke er så lett å gjennomskue eller bruker en tjeneste som Passwordcard.

Angrep som dette kan være ganske fatale.

Bare spør Mathew Honan.