Återigen har lösenorden hamnat i fokus sedan drygt 90.000 har läckt från Bloggtoppen. Men är det egentligen lösenorden som är problemet? Och var det egentligen ”folks” dåliga lösenord som orsakade problemet?
Det här är inget nytt. För två år sedan drabbade det Hotmail, Gmail och Yahoo!. Man kan spekulera om vad som hände där. I våras drabbade det WordPress. Och hur är det med Facebook? Och alla webbforum runt om i världen, där man kanske har sin databas över användare helt okrypterade?
I den nu aktuella affären är det någon som har tagit sig in på Bloggtoppen och knyckt de lösenord folk hade där. Även om det finns folk som har för svaga lösenord och dessutom återanvänder dem på olika ställen, så verkar det inte vara lösenorden som är problemet, utan hur Bloggtoppen hanterat sin databas med användarnas lösenord.
Bloggtoppen är avstängd tills vidare för systemunderhåll p g a förmodat dataintrång.
Okända förövare har kommit över användardatabasen med användarnamn, mailadresser samt hashade lösenord, vilket betyder att om du som användare har använt samma inloggningsuppgifter för andra tjänster på nätet så riskerar dessa konton att bli kapade. Vi rekommenderar alla användare att omedelbart byta lösenord på alla konton som använder samma inloggningsuppgifter som här.
Vidare information kommer när vi har hunnit utreda och åtgärda intrånget. (Bloggtoppen)
Att ett konto kapas på grund av ett dåligt lösenord, är en sak. Men här har inbrottstjuvarna inte tagit sig in i ett konto i taget, utan fått tag på dem alla i ett enda svep.
Vad hände?
Det finns två spår. Det ena, som kommer från ägaren av Bloggtoppen handlar om att det fanns en sårbarhet i koden till programmet.
Av inlägget på Flashback framgår att Bloggtoppen var sårbar för en så kallad sql injection, som gör det möjligt att få ut innehållet i databasen. (IDG)
Den typen av sårbarhet har diskuterats i några år nu och det är konstigt att koden inte har uppdaterats för att täppa till luckan. Så varför dröjde det innan ägaren upptäckte det?
Databasen med lösenord hade en form av kryptering, vilket gjorde att man inte rakt av kunde läsa den. Men på nätet kan man hitta gratis verktyg för att dekryptera sådana filer. Det har då gjort att man kan få fram både e-postkonton och lösenord.
Det andra spåret verkar vara att ägaren inte hade ändrat användarnamn och lösenord efter att programmet var installerat. Båda lär ha varit satta till ”admin”. Inte så förtroende ingivande i så fall och känns väl allmänt klantigt.
Sedan har de här stulan uppgifterna använts för att hacka Twittekonton, säkert för att ta sig in på e-postkonton och för att skicka spam, även spamliknande mail som ett slags digitalt häleri. Det hela orsakade en storm av reaktioner.
Fel fokus
Debatten har sedan kommit att handla om de svaga lösenord som en del använder. Eftersom jag inte funderat så mycket på saken förrän i helgen, så är det alla artiklar om lösenord jag har sett. Och det är inte OK att ha ett svagt lösenord. Men här har även personer som haft starka lösenord kunnat drabbas. Hur ska man då kunna skydda sig?
Enligt vad ägaren har sagt, så har Bloggtoppen varit ett hobbyprojekt. Och kanske ska man inte uppge e-postadress och lösenord till sådana projekt i framtiden. Men det stod troligen ingenting om det i innehållsförteckningen för Bloggtoppen.
Men det här talar ju om för oss att vi inte helt kan lita på de tjänster vi använder på nätet. Vi får själva försöka så gott vi kan att skydda oss. För förr eller senare så händer det här igen och då gäller det att göra skadan så liten som möjligt.
Lite att fundera på
Och då är vi tillbaka till hur vi skapar lösenord. Men jag tänker inte bara på lösenordet, utan också på användarnamn. Har du samma användarnamn på många ställen på nätet? Plus att du använder samma lösenord? Du är man snart illa ute om man råkar ut för det som hände Bloggtoppen!
Man kan också fundera på kopplingen till e-postkontot. Om man uppger samma e-postadress på alla ställen, går det att få tag på dig och börja undersöka möjligheterna att ta sig in.
Hur det här ska påverka mitt beteende, vet jag inte ännu. Det är lite att fundera på. Och vad ska jag göra med de konton jag redan skapat? Någon form av plan bör jag nog skaffa mig innan jag råkar illa ut. Vilket jag lyckligtvis ännu inte har gjort. Vad jag vet.
Maths hörna 