Tuorein sisältö

Tärkeä tiedotus: Vaihdoimme kaikkien käyttäjien salasanat

08.10.2013 klo 12.00 | Luettu: 13086 kertaa | Teksti: Mikko Heinonen

Jokunen viikko sitten uutisissa pyöri tietoja siitä, että suosittuihin suomalaisiin verkkopalveluihin on murtauduttu tai yritetty murtautua vuosina 2011-2013. Viestintävirasto/CERT-FI ei tuolloin julkistanut tietoja siitä, mitä sivustoja mahdolliset murtautumiset koskivat. Muutama tunnettu palvelu pyysi tuolloin käyttäjiään vaihtamaan salasanojaan varmuuden vuoksi.

Tutkinnan edetessä on tullut esiin lisää aineistoa eri sivustoista, ja V2.fi on mukana tässä aineistossa. Löysimmekin PHP-haavoittuvuuden, jonka kautta hyökkääjä on voinut saada tietoonsa mm. käyttäjätunnuksia ja salakirjoitettuja salasanoja. Näistä ns. hash-tunnisteista on ollut mahdollista selvittää salasanoja, etenkin jos ne ovat olleet yksinkertaisia. Hyökkäykselle altis PHP-haavoittuvuus on korjattu.

Tietoomme ei ole tullut, että V2.fi:n käyttäjätietoja olisi käytetty väärin. Paljastunut hyökkääjä on lähinnä keräillyt tunnuksia omaksi ilokseen, eikä palvelimen lokeista käy ilmi, että mitään epäilyttävää olisi tapahtunut. V2.fi:n käyttö ei edellytä rekisteröitymistä, joten suurella osalla kävijöistämme ei edes ole pysyvää käyttäjätunnusta. Käyttäjätietokannassa ei säilytetä henkilötunnuksia tai muita tunnistetietoja, joten mahdollisesti käyttöön saadut tiedotkaan eivät olisi erityisen arvokkaita.

Olemme kuitenkin ryhtyneet seuraaviin varotoimenpiteisiin:

- Kirjasimme ulos kaikki pysyvästi kirjautuneena olleet käyttäjät.
- Vaihdoimme kaikkien käyttäjien salasanat. Uusi salasana on lähetetty siihen sähköpostiosoitteeseen, jota käytit rekisteröityessäsi. Jos et näe viestiä, tarkista myös roskapostikansio.
- Paransimme salasanojen suojausta niin, että niiden selvittäminen on jatkossa entistäkin hankalampaa pelkkien hash-tunnisteiden avulla.

Kirjauduttuasi sisään uudella salasanalla voit vaihtaa sen haluamaksesi osoitteessa V2.fi/profiili. Suosittelemme, ettet koskaan käytä samaa salasanaa useassa verkkopalvelussa.

Jos et muista sähköpostiosoitetta jolla rekisteröidyit tai et pääse siihen enää käsiksi, lähetä sähköpostia os. toimitus (ät) v2.fi ja ilmoita tunnuksesi sekä mahdollisimman paljon lisätietoja, joista voimme tunnistaa sinut (esim. tuo toimimaton sähköpostiosoite, vanha salasanasi tms).

Pahoittelemme tästä käyttäjille aiheutunutta ylimääräistä vaivaa.

V2.fi | Mikko Heinonen
< Vitan ilmainen Desti... Call of Duty: Ghosts... >

Keskustelut (35 viestiä)

analson

Rekisteröitynyt 13.04.2007

08.10.2013 klo 12.18 14 tykkää tästä

Olipa hyvä, että täältä löytyi tiedote asiasta. Ehdin jo pelästyä kun sähköpostiini tuli tiedote salasanan vaihtumisesta.
Temposaur

Rekisteröitynyt 16.01.2012

08.10.2013 klo 12.20

Olen edelleen kirjautuneena ja en ole saanut postia.
lolled

Rekisteröitynyt 13.02.2011

08.10.2013 klo 12.21 2 tykkää tästä

Ei ainakaan itsellä näy saapuneissa taikka roskapostikansioissa.

Edit: Tulihan se sieltä.
Muokannut: lolled 08.10.2013 klo 12.40
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 12.25

Posteja lähtee muutama tuhat, joten niiden saapumisessa voi kestää aikansa.

Jos olette edelleen kirjautuneina, päivititte sattumalta sivun "juuri oikealla hetkellä", kun skripti kävi läpi tietokantaa, ja siksi olette vielä vanhalla salasanalla sisällä. Teemme uuden sessioiden nollauksen kun kaikki skriptit on suoritettu loppuun.
Teukku

Rekisteröitynyt 04.04.2008

08.10.2013 klo 12.26

En kykene tekemään mitään muutoksia profiiliini. Sanoo, että tiedot on päivitetty, mutta kun menee takaisin sivulle niin mikään ei ole muuttunut --- ei edes salasana vaihdu.
Pyyhekumi

Moderaattori

Rekisteröitynyt 02.04.2007

08.10.2013 klo 12.26 2 tykkää tästä

Lisäturvallisuus ei ole koskaan pahitteeksi.
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 12.27

Teukku kirjoitti:
En kykene tekemään mitään muutoksia profiiliini. Sanoo, että tiedot on päivitetty, mutta kun menee takaisin sivulle niin mikään ei ole muuttunut --- ei edes salasana vaihdu.


Yritä uudelleen n. 30 min kuluttua, ja jos ei senkään jälkeen onnistu, selvitellään.
Vaihtamallaparanee

08.10.2013 klo 12.45 1 tykkää tästä

Joo, tuli sähköpostiin uusi salasana, mutta sillä ei pääse kirjautumaan ko. tunnuksella. Unohdin salasanani -valintakin palauttaa vain "Tunnusta ei löytynyt tai postiosoite ei täsmää tunnukseen." ilmoituksen.

gg
min5sevaan

Rekisteröitynyt 22.03.2012

08.10.2013 klo 12.45

täällä ainaki homma selvä. viesti tuli.
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 12.47

Vaihtamallaparanee kirjoitti:
Joo, tuli sähköpostiin uusi salasana, mutta sillä ei pääse kirjautumaan ko. tunnuksella. Unohdin salasanani -valintakin palauttaa vain "Tunnusta ei löytynyt tai postiosoite ei täsmää tunnukseen." ilmoituksen.

gg


Laitatko toimituksen postiin lisätietoja, niin yritetään selvitellä.
Cookos

Rekisteröitynyt 22.10.2012

08.10.2013 klo 12.50

Ehdin jo kuumotella hetken.
Wegetzu

Moderaattori

Rekisteröitynyt 08.08.2008

08.10.2013 klo 13.40 1 tykkää tästä

"Salasana ei täsmää. Tarkista oikeinkirjoitus." Kymmenen kertaa tarkastanut, ei suostu vaihtamaan.
TaIrnunen

08.10.2013 klo 13.49 3 tykkää tästä

Ja mihin V2n tietoja voi käyttää väärin? Laittaa rölliviestejä toisen nimissä?
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 13.49

Yritätkö vaihtaa profiili-sivulla? Ylös tulee uusi salasana kahdesti, sivun alaosaan vanha salasana (eli se postissa saamasi).
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 13.50 1 tykkää tästä

TaIrnunen kirjoitti:
Ja mihin V2n tietoja voi käyttää väärin? Laittaa rölliviestejä toisen nimissä?


Niin, ei tämä nyt ollut mitenkään kovin paha juttu tämän palvelun kannalta - lähinnä, jos samaa salasanaa käytti jossain muuallakin, mitä nyt ei voi suositella muutenkaan.
Arcane

Moderaattori

Rekisteröitynyt 10.04.2007

08.10.2013 klo 13.51

Mikko kirjoitti:
Yritätkö vaihtaa profiili-sivulla? Ylös tulee uusi salasana kahdesti, sivun alaosaan vanha salasana (eli se postissa saamasi).


Ei muuten toimi edelleenkään. Salasanaa tai muita tietojakaan ei tällä hetkellä yksinkertaisesti saa vaihdettua. Vaikka ilmoitus "Tiedot päivitetty" -tulisikin, ei salasana, osoite tai mikään muukaan kuitenkaan sitten päivity.
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 13.58

Arcane kirjoitti:
Ei muuten toimi edelleenkään. Salasanaa tai muita tietojakaan ei tällä hetkellä yksinkertaisesti saa vaihdettua. Vaikka ilmoitus "Tiedot päivitetty" -tulisikin, ei salasana, osoite tai mikään muukaan kuitenkaan sitten päivity.


Ilmeisesti tässä oli vielä ongelma siitä, että salasanaa JA jotain muuta tietoa ei voinut muuttaa samaan aikaan... korjasimme.
MJR2312

Rekisteröitynyt 03.09.2007

08.10.2013 klo 14.06 1 tykkää tästä

Mikko kirjoitti:
TaIrnunen kirjoitti:
Ja mihin V2n tietoja voi käyttää väärin? Laittaa rölliviestejä toisen nimissä?


Niin, ei tämä nyt ollut mitenkään kovin paha juttu tämän palvelun kannalta - lähinnä, jos samaa salasanaa käytti jossain muuallakin, mitä nyt ei voi suositella muutenkaan.


Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 14.10

MJR2312 kirjoitti:
Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.


Tarjoaisin kahta vaihtoehtoa:

1. Käytä selainlaajennusta, joka tekee salasanoja ja tallentaa ne yhden master-passun taakse.

2. Kehitä "systeemi" jolla muodostat salasanoja - tämä on tosi hyvä:

http://xkcd.com/936/

Olen itsekin syyllistynyt samojen passujen käyttöön, mutta kun tunnukset ensimmäisen kerran lähtivät jostain kiertoon ja piti vaihtaa kaikki, niin pakko sitä oli jotain keksiä.
Rams

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 14.12

MJR2312 kirjoitti:

Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.


Realistisia vaihtoehtoja on kaksi.

a) Keepass tai joku muu softa, jossa säilytät salasanasi tallessa yhden "master passwordin" takana, oman koneesi turvassa

b) Käytät oikeisiin sanoihin perustuvaa, mutta satunnaista salasanasysteemiä suffiksein. Esimerkki:

V2.fi:
JotainHassujaSanojaV2

HS.fi:
JotainHassujaSanojaHS

jne...

Vaikka vain salasanan loppuosa eroaa, 99% palveluista nykyään hashaa eli yhdensuuntaisesti salaa salasanan joka tapauksessa, ja täten tunkeutuja ei voi mitenkään "päätellä" systeemiäsi.
Wegetzu

Moderaattori

Rekisteröitynyt 08.08.2008

08.10.2013 klo 14.13

Nyt toimi kuten pitikin.
Rams

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 14.15

Pahoittelut profiilisivun yskimisistä. Kun tilanne tajuttiin, siihen reagoitiin luonnollisesti heti ja vauhdilla. Pari koodiriviä jäi miettimättä ihan loppuun asti, mutta nyt pitäisi toimia.
Nikke

Rekisteröitynyt 17.09.2007

08.10.2013 klo 14.42

Sopivasti hakkasin 20 kertaa omaa salasanaa ja ihmettelin kun ei toiminut, mutta hyvä että asia on selvä
MJR2312

Rekisteröitynyt 03.09.2007

08.10.2013 klo 15.00

Mikko kirjoitti:
Tarjoaisin kahta vaihtoehtoa:

1. Käytä selainlaajennusta, joka tekee salasanoja ja tallentaa ne yhden master-passun taakse.

2. Kehitä "systeemi" jolla muodostat salasanoja - tämä on tosi hyvä:

http://xkcd.com/936/

Olen itsekin syyllistynyt samojen passujen käyttöön, mutta kun tunnukset ensimmäisen kerran lähtivät jostain kiertoon ja piti vaihtaa kaikki, niin pakko sitä oli jotain keksiä.

Ykkösvaihtoehto on monessa suhteessa turhan ongelmallinen, mutta kakkonen on ihan hyvä. Itse asiassa olen törmännyt tuohon aiemminkin, mutta jossain tuli joskus nähtyä juttua siitä, ettei se olisikaan kovin tehokasta. Nyt taas uusi tutkailu paljastaa, että ilmeisesti tuo toimiikin, joten mikäpä siinä sitten. Ihan hyvä vaihtoehto, vaikka siinäkin on omat hankaluutensa.

Rams kirjoitti:
MJR2312 kirjoitti:

Tämä on ihan hyvä suositus, mutta ihan mielenkiinnosta: miten tämän pitäisi käytännössä tapahtua, kun keskivertokäyttäjä on tätä nykyä rekisteröitynyt varmasti vähintään kymmeneen eri palveluun? Ainakaan minun muistini ei taivu enää noin moneen salasanaan eikä sitten ainakaan, jos niitä salasanoja pitäisi vielä säännöllisesti vaihtaakin.


Realistisia vaihtoehtoja on kaksi.

a) Keepass tai joku muu softa, jossa säilytät salasanasi tallessa yhden "master passwordin" takana, oman koneesi turvassa

b) Käytät oikeisiin sanoihin perustuvaa, mutta satunnaista salasanasysteemiä suffiksein. Esimerkki:

V2.fi:
JotainHassujaSanojaV2

HS.fi:
JotainHassujaSanojaHS

jne...

Vaikka vain salasanan loppuosa eroaa, 99% palveluista nykyään hashaa eli yhdensuuntaisesti salaa salasanan joka tapauksessa, ja täten tunkeutuja ei voi mitenkään "päätellä" systeemiäsi.

Ykkösessä on vähän samantapaiset ongelmat kuin tuossa Mikon ykkösehdotuksessakin, vaikkakin tähän luotan jo vähän enemmän. Silti näen vähän ongelmallisena. Veikkaan että jos ei halua laittaa kaikkia munia yhteen koriin, helpoimmaksi muodostuu sinun ja Mikon kakkosehdotusten yhdistäminen...

Kiitos vinkeistä, ihan käyttökelpoisia ovat! Nyt kun vielä jaksaisi lähteä siihen vaihtorumbaan...
MaxLimitz

Rekisteröitynyt 18.06.2009

08.10.2013 klo 16.11

Kävinkin heti vaihtamassa tuon uuden salasanan vieläkin tiukempaan, kun salaamattomia sähköpostiviestejä voi kuunnella kuka tahansa. Hieno juttu, että salasana voi olla yli 15-merkkinen ja erikoismerkeistä näyttää toimivan esimerkiksi ; ja #.
Pioneeri

Rekisteröitynyt 09.08.2009

08.10.2013 klo 16.46

Wegetzu kirjoitti:
"Salasana ei täsmää. Tarkista oikeinkirjoitus." Kymmenen kertaa tarkastanut, ei suostu vaihtamaan.


Kun laittaa sen postissa tulleen sinne alas niin johan vaihtu.
Muokannut: Pioneeri 08.10.2013 klo 16.47
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 16.52

Pioneeri kirjoitti:
Wegetzu kirjoitti:
"Salasana ei täsmää. Tarkista oikeinkirjoitus." Kymmenen kertaa tarkastanut, ei suostu vaihtamaan.


Kun laittaa sen postissa tulleen sinne alas niin johan vaihtu.


Tuossa vaiheessa kun Wegetzu asiasta mainitsi, lomakkeessa oli tosiaan bugi. Jos yritti muuttaa salasanaa JA jotain muuta tietoa samaan aikaan, ei onnistunut.
ArtemisFlowTavallaan

08.10.2013 klo 17.22

Juuh, itsellä ei tosiaan toimi uusi eikä vanha salasana millään. Kokeilin tehdä kokonaan uuden tunnuksen, aktivoin sen, silläkään en sisään pääse.

t: ArtemisFlow
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 17.25

Kokeilitko toista selainta tai incognitoa? Kuulostaa vähän siltä että evästeissä on jotain hassua.
ArtemisFlowTaas

08.10.2013 klo 17.30

Nope, Firefoxilla ja Operalla tulee samat.
Czerwony

Rekisteröitynyt 11.04.2007

08.10.2013 klo 18.43

Mikko kirjoitti:


http://xkcd.com/936/



Voi kun tota pääsisikin toteuttamaan kaikkialla... Täällähän toi nyt toimii mutta yritäppä jotain rahanarvoista tiliä suojata ni heti herjaa jotain... "Salasanoissa on oltava vähintään 8 merkkiä ja niissä on oltava yhdistelmä isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä" yhdistettynä kohtaan "Salasanasi ei saa olla yli 16 merkkiä pitkä" on ihan kiva esimerkki microsoftilta.
Mikko

Moderaattori

Rekisteröitynyt 30.03.2007

08.10.2013 klo 19.50

ArtemisFlowTaas kirjoitti:
Nope, Firefoxilla ja Operalla tulee samat.


Laita postia toimitus-osoitteeseen siitä osoitteesta jolla olet rekisteröitynyt, niin kokeillaan vaihtaa tunnuksesi salasana vielä kertaalleen. Toistaiseksi kaikkia on onnistuttu auttamaan.
Readme

08.10.2013 klo 19.54 1 tykkää tästä

Kätevintä on laittaa eri paikkojen salasanat ja tunnukset ylös johonkin tekstitiedostoon mikä sijaitsee paikassa missä ei edes pippuri kasva.
Protec

Rekisteröitynyt 26.09.2007

09.10.2013 klo 19.46

JalmarinKalaNuusk4Pussukka. Kukaan ei voi arvata tuota!
Arcane

Moderaattori

Rekisteröitynyt 10.04.2007

10.10.2013 klo 21.15

Readme kirjoitti:
Kätevintä on laittaa eri paikkojen salasanat ja tunnukset ylös johonkin tekstitiedostoon mikä sijaitsee paikassa missä ei edes pippuri kasva.


Tähän tapaan: http://www.vgcats.com/comics/images/110427.jpg ?

Kirjoita kommentti

22127

www.v2.fi™ © Alasin Media Oy | Hosted by Capnova