Person fikk tilgang på administratorkonto på forum via md5 fra annen side, har jeg en sak?

[Thor.]

Hei, natt til idag ble en nettside jeg driver utsatt for en tidligere kjent forumbruker (fra mitt forum). Han hadde fått lastet ned hele databasen før han kontaktet meg om dette. For at han fant passordet mitt fant han en annen side jeg var registrert på med et sikkerhetshull som lot han hente passordet mitt lagret i MD5, han dekrypterte denne og logget inn på min forumkonto og gikk rett på adminsiden og lastet ned hele databasen. I mine øyne er dette ulovlig ettersom han nå har tilgang på 100 mailer, passord hashes og private meldinger.

 

Jeg har kontakt med han på MSN der han mener han er totalt uskyldig osv.. Jeg vet hvilken by han bor i og nicket hans på forrige og nåværende forum (forumet ble lagt ned av tidligere eier før jeg opprettet et nytt som folkene kunne komme til).

 

Har jeg en sak tror dere?

Endret 31. januar 2010 av Thor.

[*F*]

passord, trodde sql var "helt sikkert" slik at man ikke kunne eksportere passord fra databesen?

[Thor.]

Passordet var lagret i mysql på en annen side som bare brukte MD5 som kryptering, dette er ikke sikkert i det hele tatt. Hadde det vært saltet i tillegg hadde det straks vært verre.

 

Er ikke du bruker på det aktuelle domenet? Eposten din ligner på den som står i msn feltet i profilen din her.

[*F*]

Joda, nå ser jeg brukernavnet ditt, så er nok medlem jeg ja

Kanskje på tide og sjekke over passordene mine :o ^^

[Thor.]

Bare å bytte så er du sikker

[TEE]

Flyttet til Jussforumet siden Forbrukerett ikke er så veldig aktuelt her.

 

Ellers blir det vel Straffeloven §145 som er mest aktuell.

Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.

 

Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.

 

Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.

 

Medvirkning straffes på samme måte.

 

Offentlig påtale finner bare sted når allmenne hensyn krever det.

Siden vi snakker om et forum med 100 medlemmer krever nok ikke allmenne hensyn noen offentlig påtale.

 

Spørsmålet blir også hva slags informasjon du har lagret. Dersom det ligger f.eks. kredittkortinformasjon etc. lagret kan det bli aktuelt å se på om denne informasjonen er sikret på forsvarlig måte.

[Thor.]

Så da er det et lovbrudd hvertfall. Men sansynligvis ikke alvorlig nok.

 

Personen sier han ikke har noen mål med data som er hentet ut av nettsiden, men du kan jo gjøre mye rart med disse dataene. Du har passord du kan cracke, du kan lese private meldinger sendt frem og tilbake og du kan selge epostlisten til spammere etc.. Ingen kredittkortopplysninger ligger lagret men jeg antar det ligger noen dialoger som inneholder passord etc som andre helst ikke skulle lest.

 

Takk for korreksjon forresten, tok den første og bese kategorien jeg fant uten å tenke meg om

[NgZ]

Merk at selv om det nepper er alvorlig nok til offentlig påtale, betyr det bare at påtalemyndighetene ikke reiser sak på eget initiativ. Det betyr ikke at han ikke blir etterforsket og evt. dømt dersom du anmelder ham.

[nomore]

MD5 er ikke kryptering, bare så vi får det på det rene. MD5(og SHA1) er såkalt hashing.

 

Kryptering innebærer muligheten for å dekryptere, noe MD5/SHA1 ikke gir.

[NgZ]

Det er jo ikke relevant i forhold til den siterte bestemmelsen.

[nomore]

Nei, men så vet kanskje trådstarter det til neste gang Trådstarter sier at vedkommende dekrypterte passordet som var ulovlig tilegnet, men det kan jo da ikke stemme siden MD5 ikke er kryptering. Bare en korrigering fra min side i grunn.

 

Men Thor., er du helt sikker på at vedkommende faktisk har klart det han sier han har gjort, eller kan det være skryt fra hans side? Har du sjekket om noen andre enn deg har logget deg inn på admin-kontoen i dette tidsrommet?

[Thor.]

Jeg har logger som tilsier at det i helgen var blitt logget på min konto på en annen ip enn det jeg har der jeg bor og at vedkommende lastet ned en backup av mysql-databasen til forumet.

 

Personen fant passordet ved å utnytte et sikkerhetshull på en dårlig programmert side jeg var medlem på (hvilken vet jeg ikke), der lå passordet lagret i MD5 og han (siden du ikke liker at jeg kaller det å dekryptere) gjorde det om til klartekst (bedre?).

[Sokkalf™]

Rent teknisk sett kan du ikke dekryptere, eller "gjøre om" md5-hashen til noe. Måten dette gjøres på, er at man gjør et "brute force"-angrep som genererer bøttevis med "passord" og hasher disse, til man ender opp med en hash som er identisk. Da sitter man igjen med et "passord" (som ikke nødvendigvis er likt ditt passord, da md5 ikke garanterer at en hash er unik)

 

Men dette er jo litt på siden av temaet. Hvis dette stemmer er det ihvertfall definitivt ulovlig.

[Thor.]

Det sokkalf sier stemmer, det er enten bruteforce eller rainbow table som er involvert. Men hvordan skal jeg gå frem hvis jeg skal anmelde? Finnes det skjema på nett eller må jeg besøke politiet og fortsette derfra?

[nomore]

https://www.politi.no/tjenester/anmeld_et_forhold/

[krikkert]

Merk at selv om det nepper er alvorlig nok til offentlig påtale, betyr det bare at påtalemyndighetene ikke reiser sak på eget initiativ. Det betyr ikke at han ikke blir etterforsket og evt. dømt dersom du anmelder ham.

Nei, ikke akkurat. Det betyr at man ikke reiser sak for retten -- selv om du anmelder -- hvis ikke allmenne hensyn taler for det.

[NgZ]

Fælt som du skulle arrestere meg i dag da. Skjønt, her skal jeg ærlig innrømme at jeg rusler rundt på ukjent jorde. Men hva kan de gjøre da? Gi ham en bot? Eller kan de ikke det heller?

 

Jeg vil nå si at almenne hensyn taler for at man ikke skal kunne bryte seg inn i andres datasystemer ustraffet, særlig dersom offeret synes det er alvorlig nok til å anmelde.

[krikkert]

I straffeprosessloven § 62a (ikke ikraftrådt, iverksettes sammen med ny straffelov) er det gitt eksempler på hva som kan være allmenne hensyn:

 

Den offentlige påtalemyndighet skal påtale straffbare handlinger når ikke annet er bestemt ved lov.

 

For overtredelse av straffebud med en strafferamme på 2 år eller lavere kan påtale unnlates hvis ikke allmenne hensyn tilsier påtale. Ved vurderingen av om allmenne hensyn foreligger, legges det blant annet vekt på overtredelsens grovhet, hensynet til den alminnelig lovlydighet og om den fornærmede, en annen som har lidt skade ved overtredelsen, eller vedkommende berørte myndighet ønsker påtale.

 

Det er altså klart at for at det skal foreligge allmenne hensyn så må det være noe mer ut over selve overtredelsen som gjør handlingen straffverdig.

 

At handlingen i seg selv er straffbar gjør ikke at det automatisk foreligger allmenne hensyn.

[NgZ]

Her er det jo tale om at personen har sikret seg en database med personopplysninger som optensielt kan være sensitive. Epostadresser kan brukes til å finne identiteten til mange, og de kan ha postet ting på forumet de helst ser at forblir "hemmelig" i den forstand at de ikke knyttes til deres person. I tillegg kommer mulighetene for å stjele deres identitet andre steder på nett, dersom de bruker samme passord, slik trådstarter gjorde (dumt, men svært vanlig). Usikkerheten dette gir for de berørte brukerne bør jo absolutt vektlegges. Dette er jo (IMO) langt mer alvorlig enn å bruke innloggingsopplysningene til å legge ut en "haha, pwnd!" på forumet eller en eller annen hjemmeside man har hacket.