Datainnbrudd hos Prisjakt - mengder av brukernavn og epostadresser på avveie

[Gjest Marius B. Jørgenrud]

– Naturligvis ser vi alvorlig på det inntrufne.

Datainnbrudd hos Prisjakt - mengder av brukernavn og passord på avveie

[3irik]

Litt uklart for meg - Er passord lekket eller ikke?

[[email protected]]

Hvorfor bruker ikke sånne tjenester utelukkende anerkjente tredjepartsløsninger for innlogging?

[OnkelRodeo]

Litt uklart for meg - Er passord lekket eller ikke?

Det virker som om de ikke har full kontroll da det er en bruker med rettigheter databasen som noen har klart å få tak i.. Det oppfordres sterkt til å bytte passord uavhengig om du er en av de uheldige eller ei! Selv har jeg gjort det og i tillegg krysser jeg fingrene for at det ikke kommer ett lass med spam i framtiden til e-postadressen min

[Smedsrud]

Litt uklart for meg - Er passord lekket eller ikke?

 

Hei, en liten glipp i overskriften på saken minuttene etter publisering ga inntrykk av at også passord hadde lekket. Det er imidlertid ikke riktig, da Prisjakt kun opplyser om brukernavn og e-post på avveie.

[Mr. Spaceworld]

Ble rammet selv, men jeg gidder ikke skifte passord. Hva kan de gjøre? Endre på mine prisvarslinger? Mailen har de uansett fått tak i, men merker aldri til noe spam. Gmail er veldig gode på å luke ut spam

[Leftie]

Jeg blir alltid skeptisk når jeg leser utsagn som "Vi har ikke funnet noe som tyder på at inntrengerne har kommet over passord." Prisjakt sier at de ikke har lagret passord i tekst, men dette betyr ikke at de ikke har tilgang til sine egne brukeres passord (f.eks. gjennom reverserbar kryptering), og gjennom dette utsetter brukerne sine for fare i forbindelse med innbrudd.

 

Hver gang noen blir hacket, påstår de at sikkerhet og personvern har høyeste prioritet hos dem, men allikevel følger de altså tilsynelatende ikke beste industripraksis: Lagre kun saltede passordhasher.

 

Det er klart; sjøl saltede passordhasher kan brute-forces, men prosessen er forferdelig tung. Dermed gjelder det som alltid: Standard praksis for brukere, som opplever at en av tjenestene deres blir utsatt for innbrudd, er å bytte passordet på denne tjenesten så snart som mulig. Dersom du har brukt det samme passordet på noen andre tjenester, bør du umiddelbart skifte passord der også, men helst skal jo alle passordene dine være unike.

[Øyvind K]

Min epost er rammet.

Jeg går så inn for å bytte passord på innstillingene i desktopversjon av Prisjakt.

Men ingen lagreknapp - trykker kun "enter" og ingenting skjer. Ingen bekreftelse på at passordet er byttet (via e-post som er det vanligste hos andre nettsteder)

 

Fikk dette svaret av prisjakt når jeg spør hvordan jeg skal endre det:

 

Hej,

Vilket lösenord vill du ha?

Så ska jag lägga in det i systemet! =)

 

Hör av dig!

 

Vänliga hälsningar

xxxx

Prisjakt

[IceHeim]

Ikke spesielt imponerende løsning det der.

[vidor]

Aldri lagre passord som klartekst. Bruk alltid en saltet hash så man ikke kan bruke oppslagstabeller og løse det trivielt.

[Emancipate]

Ble rammet selv, men jeg gidder ikke skifte passord. Hva kan de gjøre?

Hvis du har samme passord der som andre steder, kan de logge seg inn som deg andre steder.

 

Hei, en liten glipp i overskriften på saken minuttene etter publisering ga inntrykk av at også passord hadde lekket. Det er imidlertid ikke riktig, da Prisjakt kun opplyser om brukernavn og e-post på avveie.

Forumtråden sier fortsatt passord.

[ahelg]

Må innrømme at min første reaksjon var "kan man registrere seg på prisjakt?". Har aldri oppdaget det til tross for at jeg er innom jevnlig for å finne billigste plass å kjøpe et produkt.

[olemars]

Må innrømme at min første reaksjon var "kan man registrere seg på prisjakt?". Har aldri oppdaget det til tross for at jeg er innom jevnlig for å finne billigste plass å kjøpe et produkt.

 

Samme her. Søker opp priser på ting innimellom, men det hadde aldri falt meg inn at det skulle være behov eller mulighet for å registrere noen bruker. Føler fremdeles ikke behovet.

[xibriz]

Min epost er rammet.

Jeg går så inn for å bytte passord på innstillingene i desktopversjon av Prisjakt.

Men ingen lagreknapp - trykker kun "enter" og ingenting skjer. Ingen bekreftelse på at passordet er byttet (via e-post som er det vanligste hos andre nettsteder)

 

Fikk dette svaret av prisjakt når jeg spør hvordan jeg skal endre det:

 

Hej,

Vilket lösenord vill du ha?

Så ska jag lägga in det i systemet! =)

 

Hör av dig!

 

Vänliga hälsningar

xxxx

Prisjakt

 

Lagreknappen er nederst på midten av siden.

[xibriz]

 

Må innrømme at min første reaksjon var "kan man registrere seg på prisjakt?". Har aldri oppdaget det til tross for at jeg er innom jevnlig for å finne billigste plass å kjøpe et produkt.

Samme her. Søker opp priser på ting innimellom, men det hadde aldri falt meg inn at det skulle være behov eller mulighet for å registrere noen bruker. Føler fremdeles ikke behovet.

 

 

Jeg kjøpte robotstøvsuger med 3k redusert pris da den var på dagstilbud på en tilfeldig butikk fordi jeg hadde opprettet varsling på Prisjakt. Behovet er stort hvis man skal ha en spesifikk ting/kategori og man ikke har det travelt.

[Klykken-]

 

 

Må innrømme at min første reaksjon var "kan man registrere seg på prisjakt?". Har aldri oppdaget det til tross for at jeg er innom jevnlig for å finne billigste plass å kjøpe et produkt.

Samme her. Søker opp priser på ting innimellom, men det hadde aldri falt meg inn at det skulle være behov eller mulighet for å registrere noen bruker. Føler fremdeles ikke behovet.

 

 

Jeg kjøpte robotstøvsuger med 3k redusert pris da den var på dagstilbud på en tilfeldig butikk fordi jeg hadde opprettet varsling på Prisjakt. Behovet er stort hvis man skal ha en spesifikk ting/kategori og man ikke har det travelt.

Kan få varsling uten å ha brukernavn og passord. Bare å oppgi e-post du vil ha varsling på så varsles det med en gang det registreres prisnedgang.

[tommyb]

Jeg har passord der fordi jeg selv legger til tilleggsinfo på produkter jeg vurderer, når dette mangler. Greit når man bruker mye filter i produktutvalget.

[Prisjakt support]

Vi i Prisjakt har full forståelse for at gårsdagens hendelse har skapt usikkerhet blant våre brukere. Vi beklager på det sterkeste det som har hendt, men vil påpeke at ingenting tyder på at noen passord har blitt utsatt. Vi lagrer heller ingen passord i klartekst.

 

Vi jobber kontinuerlig for at Prisjakt skal være et trygt sted for våre brukere og er veldig lei oss for at utenforstående nå har kommet til informasjon de ikke skulle hatt tilgang til.

 

Det som er viktig for oss nå er å være tydelige på hva som har lekket. Det er snakk om 22 252 norske brukernavn og e-postadresser Alle brukere som dette gjelder har fått en e-post fra oss.

 

Vi lagrer ingen passord i klartekst, og våre undersøkelser viser ingen tegn til at det har blitt gjort forsøk på å få tilgang til denne krypterte informasjonen. Ønsker man fremdeles å endre passord, som uansett kan være fornuftig en gang i blant, finner man knappen for å lagre et nytt passord helt neders på siden for innstillinger.

 

/Prisjakt support

[Bjarne78]

Hvorfor bruker ikke sånne tjenester utelukkende anerkjente tredjepartsløsninger for innlogging?

 

Hva hjelper det for? Er man hacket kan man endre på hva som helst, inkludert om en bruker tredjeparter for innlogging.

Og en annen ting: Hvor mye bedre er en anerkjent tredjepart? Alle disse har jo også vært hacket (facebook flere ganger). Problemet blir bare enda større hvis det samme skjer.

[Bjarne78]

Aldri lagre passord som klartekst. Bruk alltid en saltet hash så man ikke kan bruke oppslagstabeller og løse det trivielt.

Det er svært viktig å påpeke at det å lagre passord i hash eller kryptert medfører kun at en ofte men ikke alltid har litt bedre tid avhengig av hvor viktig infoen din er for hackeren. Passordet ditt er uansett på avveie.