onsdag 26 oktober 2011

Bloggtoppen hackat


Så…
Ytterligare en gång så har en ”hackare” dumpat ut en hel användardatabas med användarnamn och lösenordshashar. Intet nytt under solen. Det enda som ändras i namnen på de ”hackade” sajterna.
Anledningen till att jag skriver ”hackare” med apostrofer är den att med största sannolikhet så var det inte ens avancerat, utan det gick nog till och med att använda fina GUIn för att få ut datan och med det säger jag inget om hur kompetent hackaren är utan mer hur inkompetent utvecklarna av sajterna är eller för att inte slå på de som ligger, de som varken får tid eller betalt för att säkra koden.

Observera nu att bara för att lösen orden är hashade så betyder det inte att lösenorden INTE är knäckta (dubbla negationer, jag vet). Med program från t.ex. Elcomsoft så är den biffen snabbt löst.

Så de stora frågorna är hur många gånger ska detta ske innan vi konsumenter ställer krav på leverantören, i detta fall en webbsajt, att våran information ska sparas på ett säkert sätt. Där säkerheten på något sätt också är verifierad
När ska utvecklare får betalt och tid för att säkerställa att koden är säker. För varför betala för något som inte händer. Det tog ju 15 år innan jag för första gången behövde ett säkerhetsbälte, så varför ska jag betala för det innan.
När ska det bli ett krav i Sverige att om en sajt, leverantör eller dyrligt blir hackat, så ska jag, som konsument, bli informerad om att min data (personnummer, email, lösenord) kan vara uthämtad av en icke av mig godkänd person? Och med det så menar jag att om jag skapar ett konto på en sajt så innebär det att administratören för den sajt har full tillgång till min data.

Så nu är det bara att välja. Antingen lutar vi oss tillbaka och väntar på nästa ”nyhet” eller så ifrågasätter vi och ställer krav.
Jag vet att det inte alltid är lätt, men kom ihåg att konsumenten har alltid rätt och ha inte samma lösen på alla inloggningar.

PS. Sido spår på ämnet. ” Innebär det att administratören för den sajt har full tillgång till min data”? Hade mail hos spray förut och upptäckte till min förvåning att när jag ringde in till supporten så såg dom mitt lösenord i klarttext. Det kan vara svårt att veta sådan innan man upptäcker det men efter den incidenten säkerställde jag att alla min lösenord var olika. Använd t.ex. PasswordSafe för att hålla koll.

Länk
http://www.aftonbladet.se/nyheter/article13838087.ab
http://www.elcomsoft.com/edpr.html
http://passwordsafe.sourceforge.net/
Upplagd av kl.
Etiketter: , ,

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)