Gå til innhold

Advarsel: PS.no, Netshop, Amentio m.fl. lagrer passord i klartekst! OPPDATERT: Rapportert lekkasje


Anbefalte innlegg

Man kan kalle det overdreven paranoia om man vil, men vi snakker her om et system som lagrer personlig informasjon, og i enkelte tilfeller kredittkort informasjon.

 

Jeg synes det er sterkt bekymringsverdig at passord blir lagret i klartekst da dette er noe det første man lærer som nybegynner at IKKE skal gjøres.

 

Når de som har utviklet systemet for nettbutikken har et slikt slett syn på sikkerhet, så må man kunne stille spørsmålstegn ved sikkerheten i resten av systemet. Og da er det absolutt grunn til bekymring da man legger inn kredittkort informasjon som lett kan misbrukes.

 

At folk generelt har en slett holdning til sikkerhet og gjenbruk av passord er ikke nettbutikken sitt problem, men de må kunne forventes å ta i alle fall nybegynner steg når det gjelder sikkerhet.

Lenke til kommentar
Videoannonse
Annonse

Hei og hå!

Takk for tilbakemeldingene på dette emnet!

Vi var faktisk ikke klare over dette problemet, men har nå vært i kontakt med firmaet som leverer webløsningen til oss. De har tatt tak i dette og har allerede et nytt system under betatesting, og dette vil bli tatt med i neste oppdatering, vi håper at dette komme på plass iløpet av kun kort tid.

 

Mvh

Amentio Webshop

Bra!

 

Hold oss oppdatert :)

Lenke til kommentar
  • 2 uker senere...

Hei og hå!

Takk for tilbakemeldingene på dette emnet!

Vi var faktisk ikke klare over dette problemet, men har nå vært i kontakt med firmaet som leverer webløsningen til oss. De har tatt tak i dette og har allerede et nytt system under betatesting, og dette vil bli tatt med i neste oppdatering, vi håper at dette komme på plass iløpet av kun kort tid.

 

Mvh

Amentio Webshop

Bra!

 

Hold oss oppdatert :)

 

Venter fortsatt i spenning. Har purret opp :)

Lenke til kommentar

OK nok at e-post ikke er det sikreste her i verden. Men hvordan foreslår du at man gjenoppretter tilgang på konto med glemt passord uten å bruke e-post?

 

Det er synd at PGP (eller gpg) ikke er blitt mer utbredt. Tenk så greit hvis man bare kunne laste opp en public nøkkel når man registrerte seg, eller en link til der man hadde sin public key (f.eks. hos folkeregisteret) så kunne butikkene og andre kryptere e-post som de sendte til deg. Men da hadde du ikke trengt å få tilsendt passordet fordi du ville kunne logge deg på alle disse stedene bare du hadde din private nøkkel og slapp en drøss av passord.

PKI er et fint system, men det krever at alle brukerene, for mange nettsteder omfatter dette brukere fra hele verden, stoler på den samme utstederen. Gode kryptoløsninger, forhåpentlig vis med biometri, smartkort og/eller NFC, og for eksempel OpenSSO blir forhåpentlig vis mer utbredt i fremtiden. Dersom EUs elektroniske ID-løsning blir bra, kan kanskje det bli en basis og EU bli en hub for et skikkelig stort, godt og sikkert PKI-nettverk.

 

Tenk deg at du bare måtte logge deg inn på en maskin, etter dette kunne du gå inn på alle sider du hadde registrert deg på, uten å logge deg inn. Om du beveget deg ti meter fra maskinen låser den seg, for å logge seg inn må man bruke fingeravtrykk (eller bedre, formen på øret). Teknisk sett er dette mulig, i realiteten er det noen år fram i tid.

Lenke til kommentar
  • 7 måneder senere...

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

 

Nåja... det vil jeg ikke være enig med.

 

1. Databasen kommer på avveie - sikkert så enkelt som at en utro tjener tar en kopi eller evt. en god hacker finner en svakhet inn i systemet.

 

2. Du har da et passord + en (sanynligvis hoved) email til tusenvis av kunder (sikkert ti-tusenvis).

 

3. Bruk et script som prøver å logge inn på kontoene med det passordet. Mange vil ikke ha samme passordet, men det er sikkert så mye som 30%++ som bruker samme passord på nesten alt slik at du får epost tilgang.

 

4. Nå kan du kose deg - få tilgang til så og si alle andre kontoer, spionere på brukeren, samle privat infiormasjon og andre passord og fortrolig informasjon, gjøre identitetstyveri og mye mye mer. Folk fatter bare ikke hvor viktig eposten faktisk er nå...

 

Er dette triviellt eller storm i vannglass? Nei. Det er som å kjøre i trafikken uten bilbelte - uannsvarlig og nesten garantert til å føre til en katastrofe en gang før eller senere selv om vi ikke merker effekten akkurat har og nå. Og det er jo ikke som om det er virkelig vanskelig å rette heller...

 

-Stigma

Endret av Stigma
  • Liker 2
Lenke til kommentar

Dustin krypterer muligens passordene nå, de svarte på en mail at de hadde planer om å få det på plass. Lagde en ny konto der i høst når de hadde et godt tilbud, og nå blir det generert et nytt passord når man bruker glemt-passord funksjonen.

 

Men ja, dette er viktig, og selv om passordene er kryptert så kan det gå dårlig, slik som når Gawker ble hacket for en uke siden: http://www.slate.com/id/2277768

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

 

Nåja... det vil jeg ikke være enig med.

 

1. Databasen kommer på avveie - sikkert så enkelt som at en utro tjener tar en kopi eller evt. en god hacker finner en svakhet inn i systemet.

 

2. Du har da et passord + en (sanynligvis hoved) email til tusenvis av kunder (sikkert ti-tusenvis).

 

3. Bruk et script som prøver å logge inn på kontoene med det passordet. Mange vil ikke ha samme passordet, men det er sikkert så mye som 30%++ som bruker samme passord på nesten alt slik at du får epost tilgang.

 

4. Nå kan du kose deg - få tilgang til så og si alle andre kontoer, spionere på brukeren, samle privat infiormasjon og andre passord og fortrolig informasjon, gjøre identitetstyveri og mye mye mer. Folk fatter bare ikke hvor viktig eposten faktisk er nå...

 

Er dette triviellt eller storm i vannglass? Nei. Det er som å kjøre i trafikken uten bilbelte - uannsvarlig og nesten garantert til å føre til en katastrofe en gang før eller senere selv om vi ikke merker effekten akkurat har og nå. Og det er jo ikke som om det er virkelig vanskelig å rette heller...

 

-Stigma

Men de som bruker samme passord på en nettbutikk som på sin egen epost, eller for den saks skyld, de som bruker sin ordinære epost-adresse til nettbutikker har kun seg selv å takke hvis noe slikt skjer. Med så mange mediaoppslag om stjålne identiteter etc. så er man bra bortreist om man ikke tar det minste steg for å beskytte seg selv.

Lenke til kommentar

Kjører passord med åtte tegn, 4 bokstaver, og 4 tall. Tallene varierer fra hver nettbutikk.

De er registrert på en epost som jeg kun bruker til netthandel, som har ett helt annerledes passord enn det jeg bruker på nettbutikkene.

Ser meg selv som ganske sikker mht netthandel. Om man har samme passord på nettbutikker, som personlig epost, er det en stor sikkerhetsrisiko!

 

~ Mortis

Lenke til kommentar

De fleste har én epostadresse de bruker. Selvfølgelig skal man kunne oppgi sin primære epostadresse til norske netbuikker! Å hevde noe annet er fullstendig latterlig.

 

Nå er det også sånn at mange bruker det samme passordet flere steder, og netbutikkene har et ansvar for å ta vare på de dumme/uvitende kundene sine også. Skal love deg arbeidsplassen min hadde hatt mye mnindre å gjøre (og langt færre kunder) dersom folk skulle "skylde seg selv" hver gang det er deres skyld.

 

Det ER uansett langt grovere at en nettbutikk har store, åpenbare sikkerhetsmangler, som hadde vært unngått med fem SEKUNDERS merarbeid.

 

Selv har jeg et passord der noen av tegnene varierer mellom hvert brukersted. Men for at dette skal være mulig å huske, er det selvfølgelig et vbisst system i variasjonen, og jeg kan ikke utelukke at en eller annen gluping finner ut av dette systemet om han får det i klartekst. Det forhindrer at et talentløst nettsted jeg bruker, som ikke salter passordet og blir hacket, ikke fører til at passordet de får ut av en hashtable ikke kan brukes på et annet nettsted. Men det er måte på hvilke forholdsregler man skal kunne forvente at folk tar.

 

Uansett er det både fantastisk talentløst og svært like tillitvekkende å gjøre så elementære, grunnleggende sikkerhetsfeil. Takk og lov for at kredittkortopplysningene behandles av tredjepart, sier jeg bare.

Lenke til kommentar

Makan til paranoia har jeg ikke sett på lenge.

 

Ser ærlig talt ikke helt problemet her i praksis, samt det er skjult for allmennheten.Dere vet ingenting om rutinene til de forskjellige webshopene, ei heller hva de kan se eller ikke.

 

Storm i vannglass

 

Nåja... det vil jeg ikke være enig med.

 

1. Databasen kommer på avveie - sikkert så enkelt som at en utro tjener tar en kopi eller evt. en god hacker finner en svakhet inn i systemet.

 

2. Du har da et passord + en (sanynligvis hoved) email til tusenvis av kunder (sikkert ti-tusenvis).

 

3. Bruk et script som prøver å logge inn på kontoene med det passordet. Mange vil ikke ha samme passordet, men det er sikkert så mye som 30%++ som bruker samme passord på nesten alt slik at du får epost tilgang.

 

4. Nå kan du kose deg - få tilgang til så og si alle andre kontoer, spionere på brukeren, samle privat infiormasjon og andre passord og fortrolig informasjon, gjøre identitetstyveri og mye mye mer. Folk fatter bare ikke hvor viktig eposten faktisk er nå...

 

Er dette triviellt eller storm i vannglass? Nei. Det er som å kjøre i trafikken uten bilbelte - uannsvarlig og nesten garantert til å føre til en katastrofe en gang før eller senere selv om vi ikke merker effekten akkurat har og nå. Og det er jo ikke som om det er virkelig vanskelig å rette heller...

 

-Stigma

Men de som bruker samme passord på en nettbutikk som på sin egen epost, eller for den saks skyld, de som bruker sin ordinære epost-adresse til nettbutikker har kun seg selv å takke hvis noe slikt skjer. Med så mange mediaoppslag om stjålne identiteter etc. så er man bra bortreist om man ikke tar det minste steg for å beskytte seg selv.

 

Det er fremdeles ikke ok for butikken å slacke på sikkerhet selv om du kan ta steg mot å redusere skaden selv. Tenk om banker tenkte slik... Skal du gi en tjeneste (spesiellt for kommsielle hennsyn) har du annsvar for et minimum av sikkerhet i det du tilbyr.

 

-Stigma

Lenke til kommentar

Dette er jo helt vanvittig.

 

Jeg måtte sist for noen dager siden forklare 2x 3-års IT-studenter hva en MD5-hash er. Det sier kanskje litt om størrelsen på slike problemer i samfunnet.

 

Det er jo helt sykt av disse bedriftene som lager systemene til norske nettbutikker at de ansetter personer som ikke har peiling. Er tydelig at de som sitter bak her og skriver programvaren er helt på tur.

 

Er bra at Amentio og Dustinhome tilsynelatende er på vei til bedre marker, men kan jeg spørre deg om en ting, Amentio?

 

Nå som det viser seg at leverandøren din er totalt inkompetent på ett område, hvordan kan du stole på at de har peiling på andre sikkerhetsvinklinger i nettløsningen?

 

For det kan du ikke. Spark dem omgående.

 

Dette er ikke en vanskelig ting, dette er ikke snakk om paranoia, dette er ikke rakettforskning. Det er passord-hashing.

 

De folkene har seriøst ikke peiling og bør holde seg langt unna programmering.

 

Og det er ikke noe å diskutere på det - virkelig.

  • Liker 1
Lenke til kommentar

 

Det er fremdeles ikke ok for butikken å slacke på sikkerhet selv om du kan ta steg mot å redusere skaden selv. Tenk om banker tenkte slik... Skal du gi en tjeneste (spesiellt for kommsielle hennsyn) har du annsvar for et minimum av sikkerhet i det du tilbyr.

 

-Stigma

 

Helt enig - en kommersiell aktør av denne typen bør ha sikkerhet så god at kunden uansett oppførsel ikke risikerer mye. Det er butikken som er den profesjonelle aktøren, og ansvaret for sikkerhet kan han ikke overføre til kunden.

 

 

Dette er ikke en vanskelig ting, dette er ikke snakk om paranoia, dette er ikke rakettforskning. Det er passord-hashing.

 

De folkene har seriøst ikke peiling og bør holde seg langt unna programmering.

 

Og det er ikke noe å diskutere på det - virkelig.

 

Det er så lite rakettforskning at det i dag er standard i de fleste åpne kildekode løsningene.

Lenke til kommentar

Paranoia eller ei, det er kjekt å vite hvilken effekt dette kan ha på hver enkelt av oss.

 

Spesielt det med å bruke samme passord over hele fjøla, er ganske risikabelt.

 

Man kan godt kjøre et enkelt passord på sites som ikke utsetter deg for fare.

Så får man heller ha en trygg løsning med flere lengre passord, der det er økonomi og viktige personlige data involvert.

  • Liker 1
Lenke til kommentar
  • 3 uker senere...

Dustin krypterer muligens passordene nå, de svarte på en mail at de hadde planer om å få det på plass. Lagde en ny konto der i høst når de hadde et godt tilbud, og nå blir det generert et nytt passord når man bruker glemt-passord funksjonen.

 

Men ja, dette er viktig, og selv om passordene er kryptert så kan det gå dårlig, slik som når Gawker ble hacket for en uke siden: http://www.slate.com/id/2277768

Fikk dette bekreftet på en mail nå :)

Lenke til kommentar
  • 3 år senere...

Det var nylig en dump av 5 millioner Gmail passord, som i ettertid har vist seg å ikke komme fra Gmail, men fra forskjellige andre kilder. Nå er det brukere som har kommentert på NRK Beta sin sak at passordet tilsvarer et passord de kun har brukt hos Amentio.

 

Digi.no rapporterer også om at passordene kan stamme fra norsk nettbutikk fra lesertips og det faktum at enkelte har butikkens navn som passord. De nevner ikke navnet av presseetiske hensyn.

 

Min gmail er i de inkluderte adressene, men passordet er rett og slett "passord", så det tyder på at lekkasjen skjedde etter at denne tråden ble opprettet siden jeg ikke bruker slike passord på vanlige kontoer ;)

 

Dere kan sjekke om dere er omfattet av lekkasjen på haveibeenpwned.com et treff på emailen vil da referere til denne saken:

https://www.dropbox.com/s/xsi5pf5q4b6795y/Screenshot%202014-09-13%2019.53.11.png?dl=0

 

Merk at dumpen bare omfatter gmail-adresser så vidt jeg har skjønt, dere som bruker andre epostleverandører er dermed ikke trygge selv om dere ikke får et treff

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...