Tärkeä tiedotus: Vaihdoimme kaikkien käyttäjien salasanat
Jokunen viikko sitten uutisissa pyöri tietoja siitä, että suosittuihin suomalaisiin verkkopalveluihin on murtauduttu tai yritetty murtautua vuosina 2011-2013. Viestintävirasto/CERT-FI ei tuolloin julkistanut tietoja siitä, mitä sivustoja mahdolliset murtautumiset koskivat. Muutama tunnettu palvelu pyysi tuolloin käyttäjiään vaihtamaan salasanojaan varmuuden vuoksi.
Tutkinnan edetessä on tullut esiin lisää aineistoa eri sivustoista, ja V2.fi on mukana tässä aineistossa. Löysimmekin PHP-haavoittuvuuden, jonka kautta hyökkääjä on voinut saada tietoonsa mm. käyttäjätunnuksia ja salakirjoitettuja salasanoja. Näistä ns. hash-tunnisteista on ollut mahdollista selvittää salasanoja, etenkin jos ne ovat olleet yksinkertaisia. Hyökkäykselle altis PHP-haavoittuvuus on korjattu.
Tietoomme ei ole tullut, että V2.fi:n käyttäjätietoja olisi käytetty väärin. Paljastunut hyökkääjä on lähinnä keräillyt tunnuksia omaksi ilokseen, eikä palvelimen lokeista käy ilmi, että mitään epäilyttävää olisi tapahtunut. V2.fi:n käyttö ei edellytä rekisteröitymistä, joten suurella osalla kävijöistämme ei edes ole pysyvää käyttäjätunnusta. Käyttäjätietokannassa ei säilytetä henkilötunnuksia tai muita tunnistetietoja, joten mahdollisesti käyttöön saadut tiedotkaan eivät olisi erityisen arvokkaita.
Olemme kuitenkin ryhtyneet seuraaviin varotoimenpiteisiin:
- Kirjasimme ulos kaikki pysyvästi kirjautuneena olleet käyttäjät.
- Vaihdoimme kaikkien käyttäjien salasanat. Uusi salasana on lähetetty siihen sähköpostiosoitteeseen, jota käytit rekisteröityessäsi. Jos et näe viestiä, tarkista myös roskapostikansio.
- Paransimme salasanojen suojausta niin, että niiden selvittäminen on jatkossa entistäkin hankalampaa pelkkien hash-tunnisteiden avulla.
Kirjauduttuasi sisään uudella salasanalla voit vaihtaa sen haluamaksesi osoitteessa V2.fi/profiili. Suosittelemme, ettet koskaan käytä samaa salasanaa useassa verkkopalvelussa.
Jos et muista sähköpostiosoitetta jolla rekisteröidyit tai et pääse siihen enää käsiksi, lähetä sähköpostia os. toimitus (ät) v2.fi ja ilmoita tunnuksesi sekä mahdollisimman paljon lisätietoja, joista voimme tunnistaa sinut (esim. tuo toimimaton sähköpostiosoite, vanha salasanasi tms).
Pahoittelemme tästä käyttäjille aiheutunutta ylimääräistä vaivaa.
Tutkinnan edetessä on tullut esiin lisää aineistoa eri sivustoista, ja V2.fi on mukana tässä aineistossa. Löysimmekin PHP-haavoittuvuuden, jonka kautta hyökkääjä on voinut saada tietoonsa mm. käyttäjätunnuksia ja salakirjoitettuja salasanoja. Näistä ns. hash-tunnisteista on ollut mahdollista selvittää salasanoja, etenkin jos ne ovat olleet yksinkertaisia. Hyökkäykselle altis PHP-haavoittuvuus on korjattu.
Tietoomme ei ole tullut, että V2.fi:n käyttäjätietoja olisi käytetty väärin. Paljastunut hyökkääjä on lähinnä keräillyt tunnuksia omaksi ilokseen, eikä palvelimen lokeista käy ilmi, että mitään epäilyttävää olisi tapahtunut. V2.fi:n käyttö ei edellytä rekisteröitymistä, joten suurella osalla kävijöistämme ei edes ole pysyvää käyttäjätunnusta. Käyttäjätietokannassa ei säilytetä henkilötunnuksia tai muita tunnistetietoja, joten mahdollisesti käyttöön saadut tiedotkaan eivät olisi erityisen arvokkaita.
Olemme kuitenkin ryhtyneet seuraaviin varotoimenpiteisiin:
- Kirjasimme ulos kaikki pysyvästi kirjautuneena olleet käyttäjät.
- Vaihdoimme kaikkien käyttäjien salasanat. Uusi salasana on lähetetty siihen sähköpostiosoitteeseen, jota käytit rekisteröityessäsi. Jos et näe viestiä, tarkista myös roskapostikansio.
- Paransimme salasanojen suojausta niin, että niiden selvittäminen on jatkossa entistäkin hankalampaa pelkkien hash-tunnisteiden avulla.
Kirjauduttuasi sisään uudella salasanalla voit vaihtaa sen haluamaksesi osoitteessa V2.fi/profiili. Suosittelemme, ettet koskaan käytä samaa salasanaa useassa verkkopalvelussa.
Jos et muista sähköpostiosoitetta jolla rekisteröidyit tai et pääse siihen enää käsiksi, lähetä sähköpostia os. toimitus (ät) v2.fi ja ilmoita tunnuksesi sekä mahdollisimman paljon lisätietoja, joista voimme tunnistaa sinut (esim. tuo toimimaton sähköpostiosoite, vanha salasanasi tms).
Pahoittelemme tästä käyttäjille aiheutunutta ylimääräistä vaivaa.
Keskustelut (35 viestiä)
Rekisteröitynyt 13.04.2007
08.10.2013 klo 12.18 14
Rekisteröitynyt 16.01.2012
08.10.2013 klo 12.20
Rekisteröitynyt 13.02.2011
08.10.2013 klo 12.21 2
Edit: Tulihan se sieltä.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 12.25
Jos olette edelleen kirjautuneina, päivititte sattumalta sivun "juuri oikealla hetkellä", kun skripti kävi läpi tietokantaa, ja siksi olette vielä vanhalla salasanalla sisällä. Teemme uuden sessioiden nollauksen kun kaikki skriptit on suoritettu loppuun.
Rekisteröitynyt 04.04.2008
08.10.2013 klo 12.26
Moderaattori
Rekisteröitynyt 02.04.2007
08.10.2013 klo 12.26 2
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 12.27
En kykene tekemään mitään muutoksia profiiliini. Sanoo, että tiedot on päivitetty, mutta kun menee takaisin sivulle niin mikään ei ole muuttunut --- ei edes salasana vaihdu.
Yritä uudelleen n. 30 min kuluttua, ja jos ei senkään jälkeen onnistu, selvitellään.
08.10.2013 klo 12.45 1
gg
Rekisteröitynyt 22.03.2012
08.10.2013 klo 12.45
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 12.47
Joo, tuli sähköpostiin uusi salasana, mutta sillä ei pääse kirjautumaan ko. tunnuksella. Unohdin salasanani -valintakin palauttaa vain "Tunnusta ei löytynyt tai postiosoite ei täsmää tunnukseen." ilmoituksen.
gg
Laitatko toimituksen postiin lisätietoja, niin yritetään selvitellä.
Rekisteröitynyt 22.10.2012
08.10.2013 klo 12.50
Moderaattori
Rekisteröitynyt 08.08.2008
08.10.2013 klo 13.40 1
08.10.2013 klo 13.49 3
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 13.49
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 13.50 1
Ja mihin V2n tietoja voi käyttää väärin? Laittaa rölliviestejä toisen nimissä?
Niin, ei tämä nyt ollut mitenkään kovin paha juttu tämän palvelun kannalta - lähinnä, jos samaa salasanaa käytti jossain muuallakin, mitä nyt ei voi suositella muutenkaan.
Moderaattori
Rekisteröitynyt 10.04.2007
08.10.2013 klo 13.51
Yritätkö vaihtaa profiili-sivulla? Ylös tulee uusi salasana kahdesti, sivun alaosaan vanha salasana (eli se postissa saamasi).
Ei muuten toimi edelleenkään. Salasanaa tai muita tietojakaan ei tällä hetkellä yksinkertaisesti saa vaihdettua. Vaikka ilmoitus "Tiedot päivitetty" -tulisikin, ei salasana, osoite tai mikään muukaan kuitenkaan sitten päivity.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 13.58
Ei muuten toimi edelleenkään. Salasanaa tai muita tietojakaan ei tällä hetkellä yksinkertaisesti saa vaihdettua. Vaikka ilmoitus "Tiedot päivitetty" -tulisikin, ei salasana, osoite tai mikään muukaan kuitenkaan sitten päivity.
Ilmeisesti tässä oli vielä ongelma siitä, että salasanaa JA jotain muuta tietoa ei voinut muuttaa samaan aikaan... korjasimme.
Rekisteröitynyt 03.09.2007
08.10.2013 klo 14.06 1
Ja mihin V2n tietoja voi käyttää väärin? Laittaa rölliviestejä toisen nimissä?
Niin, ei tämä nyt ollut mitenkään kovin paha juttu tämän palvelun kannalta - lähinnä, jos samaa salasanaa käytti jossain muuallakin, mitä nyt ei voi suositella muutenkaan.
Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 14.10
Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.
Tarjoaisin kahta vaihtoehtoa:
1. Käytä selainlaajennusta, joka tekee salasanoja ja tallentaa ne yhden master-passun taakse.
2. Kehitä "systeemi" jolla muodostat salasanoja - tämä on tosi hyvä:
http://xkcd.com/936/
Olen itsekin syyllistynyt samojen passujen käyttöön, mutta kun tunnukset ensimmäisen kerran lähtivät jostain kiertoon ja piti vaihtaa kaikki, niin pakko sitä oli jotain keksiä.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 14.12
Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.
Realistisia vaihtoehtoja on kaksi.
a) Keepass tai joku muu softa, jossa säilytät salasanasi tallessa yhden "master passwordin" takana, oman koneesi turvassa
b) Käytät oikeisiin sanoihin perustuvaa, mutta satunnaista salasanasysteemiä suffiksein. Esimerkki:
V2.fi:
JotainHassujaSanojaV2
HS.fi:
JotainHassujaSanojaHS
jne...
Vaikka vain salasanan loppuosa eroaa, 99% palveluista nykyään hashaa eli yhdensuuntaisesti salaa salasanan joka tapauksessa, ja täten tunkeutuja ei voi mitenkään "päätellä" systeemiäsi.
Moderaattori
Rekisteröitynyt 08.08.2008
08.10.2013 klo 14.13
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 14.15
Rekisteröitynyt 17.09.2007
08.10.2013 klo 14.42
Rekisteröitynyt 03.09.2007
08.10.2013 klo 15.00
Tarjoaisin kahta vaihtoehtoa:
1. Käytä selainlaajennusta, joka tekee salasanoja ja tallentaa ne yhden master-passun taakse.
2. Kehitä "systeemi" jolla muodostat salasanoja - tämä on tosi hyvä:
http://xkcd.com/936/
Olen itsekin syyllistynyt samojen passujen käyttöön, mutta kun tunnukset ensimmäisen kerran lähtivät jostain kiertoon ja piti vaihtaa kaikki, niin pakko sitä oli jotain keksiä.
Ykkösvaihtoehto on monessa suhteessa turhan ongelmallinen, mutta kakkonen on ihan hyvä. Itse asiassa olen törmännyt tuohon aiemminkin, mutta jossain tuli joskus nähtyä juttua siitä, ettei se olisikaan kovin tehokasta. Nyt taas uusi tutkailu paljastaa, että ilmeisesti tuo toimiikin, joten mikäpä siinä sitten. Ihan hyvä vaihtoehto, vaikka siinäkin on omat hankaluutensa.
Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.
Realistisia vaihtoehtoja on kaksi.
a) Keepass tai joku muu softa, jossa säilytät salasanasi tallessa yhden "master passwordin" takana, oman koneesi turvassa
b) Käytät oikeisiin sanoihin perustuvaa, mutta satunnaista salasanasysteemiä suffiksein. Esimerkki:
V2.fi:
JotainHassujaSanojaV2
HS.fi:
JotainHassujaSanojaHS
jne...
Vaikka vain salasanan loppuosa eroaa, 99% palveluista nykyään hashaa eli yhdensuuntaisesti salaa salasanan joka tapauksessa, ja täten tunkeutuja ei voi mitenkään "päätellä" systeemiäsi.
Ykkösessä on vähän samantapaiset ongelmat kuin tuossa Mikon ykkösehdotuksessakin, vaikkakin tähän luotan jo vähän enemmän. Silti näen vähän ongelmallisena. Veikkaan että jos ei halua laittaa kaikkia munia yhteen koriin, helpoimmaksi muodostuu sinun ja Mikon kakkosehdotusten yhdistäminen...
Kiitos vinkeistä, ihan käyttökelpoisia ovat! Nyt kun vielä jaksaisi lähteä siihen vaihtorumbaan...
Rekisteröitynyt 18.06.2009
08.10.2013 klo 16.11
Rekisteröitynyt 09.08.2009
08.10.2013 klo 16.46
"Salasana ei täsmää. Tarkista oikeinkirjoitus." Kymmenen kertaa tarkastanut, ei suostu vaihtamaan.
Kun laittaa sen postissa tulleen sinne alas niin johan vaihtu.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 16.52
"Salasana ei täsmää. Tarkista oikeinkirjoitus." Kymmenen kertaa tarkastanut, ei suostu vaihtamaan.
Kun laittaa sen postissa tulleen sinne alas niin johan vaihtu.
Tuossa vaiheessa kun Wegetzu asiasta mainitsi, lomakkeessa oli tosiaan bugi. Jos yritti muuttaa salasanaa JA jotain muuta tietoa samaan aikaan, ei onnistunut.
08.10.2013 klo 17.22
t: ArtemisFlow
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 17.25
08.10.2013 klo 17.30
Rekisteröitynyt 11.04.2007
08.10.2013 klo 18.43
http://xkcd.com/936/
Voi kun tota pääsisikin toteuttamaan kaikkialla... Täällähän toi nyt toimii mutta yritäppä jotain rahanarvoista tiliä suojata ni heti herjaa jotain... "Salasanoissa on oltava vähintään 8 merkkiä ja niissä on oltava yhdistelmä isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä" yhdistettynä kohtaan "Salasanasi ei saa olla yli 16 merkkiä pitkä" on ihan kiva esimerkki microsoftilta.
Moderaattori
Rekisteröitynyt 30.03.2007
08.10.2013 klo 19.50
Nope, Firefoxilla ja Operalla tulee samat.
Laita postia toimitus-osoitteeseen siitä osoitteesta jolla olet rekisteröitynyt, niin kokeillaan vaihtaa tunnuksesi salasana vielä kertaalleen. Toistaiseksi kaikkia on onnistuttu auttamaan.
08.10.2013 klo 19.54 1
Rekisteröitynyt 26.09.2007
09.10.2013 klo 19.46
Moderaattori
Rekisteröitynyt 10.04.2007
10.10.2013 klo 21.15
Kätevintä on laittaa eri paikkojen salasanat ja tunnukset ylös johonkin tekstitiedostoon mikä sijaitsee paikassa missä ei edes pippuri kasva.
Tähän tapaan: http://www.vgcats.com/comics/images/110427.jpg ?