Mörg fyrirtæki með ódulkóðuð lykilorð Brjánn Jónasson skrifar 4. desember 2013 07:56 Píratar tiltaka fimm dæmi um vefsíður sem ekki dulkóða lykilorð notenda sinna. Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“ Vodafone-innbrotið Mest lesið Hressilega kaótískir morgnar sem eiga það til að klikka smá Atvinnulíf Starfsfólk truflað á tveggja mínútna fresti Atvinnulíf Pizzur í stað smurbrauðs á nýrri Króníku Viðskipti innlent Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Viðskipti erlent Nova eignast tuttugu prósenta hlut í Dineout Viðskipti innlent Umræðan einkennist af rangfærslum um ofurhagnað Viðskipti innlent Frumkvöðlar í áratugi: „Launalaus sjálfboðavinna fyrstu árin“ Atvinnulíf Fjármögnun tryggð fyrir nýrri landeldisstöð Samherja Viðskipti innlent Kalifornía fjórða öflugasta efnahagsríki heims Viðskipti erlent Ísfélagið greiðir út tveggja milljarða arð Viðskipti innlent Fleiri fréttir Pizzur í stað smurbrauðs á nýrri Króníku Fjármögnun tryggð fyrir nýrri landeldisstöð Samherja Umræðan einkennist af rangfærslum um ofurhagnað Kaupsamningur undirritaður um Grósku Ísfélagið greiðir út tveggja milljarða arð Breyta Kaffi Kjós í íbúðarhús Reynst betur að kaupa fasteign en hlutabréf Nova eignast tuttugu prósenta hlut í Dineout Munu opna tvö Starbucks-kaffihús í miðborginni Nýjar íbúðir seljast verr en aðrar vegna stærðar Bærinn vildi húsið en þurfti svo að borga tvöfalt meira Aðalgeir frá Lucinity til Símans Latabæjarnammið vel þekkt um allan heim Ölgerðin ræður tvo markaðsstjóra Íslenskur kauphallarsjóður á markað í Bandaríkjunum Ekkert samtal í gangi milli stjórnvalda og sjávarútvegs VÍS opnar aftur skrifstofu á Akranesi KS fyrstir til að nýta sér nýja varaleið um gervihnetti Jón Guðni tekur við formennsku Algengast að óljósar starfslýsingar valdi togstreitu og gremju Sigurjón Örn tekur við af Sveini hjá Kletti „Þar skeikar milljörðum í vanmati ráðuneytisins“ Hætta við flug til Madeira, Pula, Düsseldorf og Hamborgar Allri stjórn Landsvirkjunar skipt út Um 80 prósent vilja að gjöld útgerða taki mið af raunverulegu aflaverðmæti Álögur ríkisins á bankana lendi að miklu leyti á almenningi Þriggja ára fangelsi og tveggja milljarða sekt Stofnandinn búinn að eignast Mandi á ný Matvælastofnun gerir ekki athugsemdir við kjötvinnslu í Álfabakka Íslandshótel taka að óbreyttu yfir rekstur Nordica og Natura Sjá meira
Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“
Vodafone-innbrotið Mest lesið Hressilega kaótískir morgnar sem eiga það til að klikka smá Atvinnulíf Starfsfólk truflað á tveggja mínútna fresti Atvinnulíf Pizzur í stað smurbrauðs á nýrri Króníku Viðskipti innlent Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Viðskipti erlent Nova eignast tuttugu prósenta hlut í Dineout Viðskipti innlent Umræðan einkennist af rangfærslum um ofurhagnað Viðskipti innlent Frumkvöðlar í áratugi: „Launalaus sjálfboðavinna fyrstu árin“ Atvinnulíf Fjármögnun tryggð fyrir nýrri landeldisstöð Samherja Viðskipti innlent Kalifornía fjórða öflugasta efnahagsríki heims Viðskipti erlent Ísfélagið greiðir út tveggja milljarða arð Viðskipti innlent Fleiri fréttir Pizzur í stað smurbrauðs á nýrri Króníku Fjármögnun tryggð fyrir nýrri landeldisstöð Samherja Umræðan einkennist af rangfærslum um ofurhagnað Kaupsamningur undirritaður um Grósku Ísfélagið greiðir út tveggja milljarða arð Breyta Kaffi Kjós í íbúðarhús Reynst betur að kaupa fasteign en hlutabréf Nova eignast tuttugu prósenta hlut í Dineout Munu opna tvö Starbucks-kaffihús í miðborginni Nýjar íbúðir seljast verr en aðrar vegna stærðar Bærinn vildi húsið en þurfti svo að borga tvöfalt meira Aðalgeir frá Lucinity til Símans Latabæjarnammið vel þekkt um allan heim Ölgerðin ræður tvo markaðsstjóra Íslenskur kauphallarsjóður á markað í Bandaríkjunum Ekkert samtal í gangi milli stjórnvalda og sjávarútvegs VÍS opnar aftur skrifstofu á Akranesi KS fyrstir til að nýta sér nýja varaleið um gervihnetti Jón Guðni tekur við formennsku Algengast að óljósar starfslýsingar valdi togstreitu og gremju Sigurjón Örn tekur við af Sveini hjá Kletti „Þar skeikar milljörðum í vanmati ráðuneytisins“ Hætta við flug til Madeira, Pula, Düsseldorf og Hamborgar Allri stjórn Landsvirkjunar skipt út Um 80 prósent vilja að gjöld útgerða taki mið af raunverulegu aflaverðmæti Álögur ríkisins á bankana lendi að miklu leyti á almenningi Þriggja ára fangelsi og tveggja milljarða sekt Stofnandinn búinn að eignast Mandi á ný Matvælastofnun gerir ekki athugsemdir við kjötvinnslu í Álfabakka Íslandshótel taka að óbreyttu yfir rekstur Nordica og Natura Sjá meira