Mörg fyrirtæki með ódulkóðuð lykilorð Brjánn Jónasson skrifar 4. desember 2013 07:56 Píratar tiltaka fimm dæmi um vefsíður sem ekki dulkóða lykilorð notenda sinna. Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“ Vodafone-innbrotið Mest lesið Kínverskir ferðamenn aldrei fleiri: Beint flug hefjist von bráðar Viðskipti innlent Eldrauð Kauphöll: Bandaríkjamenn horfi fram á lakari lífskjör Viðskipti innlent Guðmundur í Brimi nýr formaður Viðskipti innlent Leiðtogar ESB íhuga háa sekt á X og Musk Viðskipti erlent Lítið sem ekkert fékkst upp í kröfur í þrotabú bakarísins Viðskipti innlent Sættast við Fjármálaeftirlitið og greiða fimmtán milljóna sekt Viðskipti innlent Verðfall á Wall Street Viðskipti erlent Kristjana til ÍSÍ Viðskipti innlent Nánast allir telja útgerðirnar geta greitt hærri veiðigjöld Viðskipti innlent Einar Hrafn og Díana Dögg til Reon Viðskipti innlent Fleiri fréttir Kínverskir ferðamenn aldrei fleiri: Beint flug hefjist von bráðar Eldrauð Kauphöll: Bandaríkjamenn horfi fram á lakari lífskjör Sættast við Fjármálaeftirlitið og greiða fimmtán milljóna sekt Guðmundur í Brimi nýr formaður Einar Hrafn og Díana Dögg til Reon Kristjana til ÍSÍ Nánast allir telja útgerðirnar geta greitt hærri veiðigjöld Lítið sem ekkert fékkst upp í kröfur í þrotabú bakarísins Kaupmáttur jókst á milli ára Tollastríð geti haft áhrif á vaxtalækkunarferli og íslenska ferðaþjónustu Trump-tollarnir muni ekki kollsteypa útflutningsgreinum Íslands „Svartari sviðsmynd en flestir bjuggust við“ ÍL-sjóður sýknaður í níu dómsmálum Öll félög lækkuðu nema þrjú Ísland megi ekki verða á milli í stríði ESB og Bandaríkjanna Ætla að skera utan af evrópsku persónuverndarlöggjöfinni Framlengja samstarf sem hefur komið tugum sprota á laggirnar Sveinn ráðinn verkefnastjóri erlends samstarfs Arnarlaxi bannað að fullyrða um sjálfbæran lax Tekur yfir rekstur Dollar og Thrifty 36 manns sagt upp í tveimur hópuppsögnum Tollar alltaf slæmir og skaða lífskjör almennings Neita að skila umsögn um frumvarpið fyrir tilskilinn frest Varaformaður kjörinn formaður Félags tæknifólks „Þetta kemur eins vel við okkur og hægt er“ Bæði vonbrigði og léttir Sjötíu sagt upp og fyrirtækið tekið til gjaldþrotaskipta Jón Haukur ráðinn svæðisstjóri Ceedr Sólveig Ása nýr framkvæmdastjóri Krafts Björgólfur tapaði 150 milljörðum milli ára Sjá meira
Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“
Vodafone-innbrotið Mest lesið Kínverskir ferðamenn aldrei fleiri: Beint flug hefjist von bráðar Viðskipti innlent Eldrauð Kauphöll: Bandaríkjamenn horfi fram á lakari lífskjör Viðskipti innlent Guðmundur í Brimi nýr formaður Viðskipti innlent Leiðtogar ESB íhuga háa sekt á X og Musk Viðskipti erlent Lítið sem ekkert fékkst upp í kröfur í þrotabú bakarísins Viðskipti innlent Sættast við Fjármálaeftirlitið og greiða fimmtán milljóna sekt Viðskipti innlent Verðfall á Wall Street Viðskipti erlent Kristjana til ÍSÍ Viðskipti innlent Nánast allir telja útgerðirnar geta greitt hærri veiðigjöld Viðskipti innlent Einar Hrafn og Díana Dögg til Reon Viðskipti innlent Fleiri fréttir Kínverskir ferðamenn aldrei fleiri: Beint flug hefjist von bráðar Eldrauð Kauphöll: Bandaríkjamenn horfi fram á lakari lífskjör Sættast við Fjármálaeftirlitið og greiða fimmtán milljóna sekt Guðmundur í Brimi nýr formaður Einar Hrafn og Díana Dögg til Reon Kristjana til ÍSÍ Nánast allir telja útgerðirnar geta greitt hærri veiðigjöld Lítið sem ekkert fékkst upp í kröfur í þrotabú bakarísins Kaupmáttur jókst á milli ára Tollastríð geti haft áhrif á vaxtalækkunarferli og íslenska ferðaþjónustu Trump-tollarnir muni ekki kollsteypa útflutningsgreinum Íslands „Svartari sviðsmynd en flestir bjuggust við“ ÍL-sjóður sýknaður í níu dómsmálum Öll félög lækkuðu nema þrjú Ísland megi ekki verða á milli í stríði ESB og Bandaríkjanna Ætla að skera utan af evrópsku persónuverndarlöggjöfinni Framlengja samstarf sem hefur komið tugum sprota á laggirnar Sveinn ráðinn verkefnastjóri erlends samstarfs Arnarlaxi bannað að fullyrða um sjálfbæran lax Tekur yfir rekstur Dollar og Thrifty 36 manns sagt upp í tveimur hópuppsögnum Tollar alltaf slæmir og skaða lífskjör almennings Neita að skila umsögn um frumvarpið fyrir tilskilinn frest Varaformaður kjörinn formaður Félags tæknifólks „Þetta kemur eins vel við okkur og hægt er“ Bæði vonbrigði og léttir Sjötíu sagt upp og fyrirtækið tekið til gjaldþrotaskipta Jón Haukur ráðinn svæðisstjóri Ceedr Sólveig Ása nýr framkvæmdastjóri Krafts Björgólfur tapaði 150 milljörðum milli ára Sjá meira