VARNING: Dustin sparar lösenord i klartext

Tråden skapades och har fått 24 svar. Det senaste inlägget skrevs .
1

Hej.

Tänkte bara plikttroget informera om att Dustin sparar lösenord i klartext. Kommer själv att bojkotta butiken tills dess att de gått ut med ett utlåtande om att det är åtgärdat - hur ni där ute vill göra är såklart något ni själva tar ställning till.

http://feber.se/webb/art/287444/dustin_sparar...

Varit uppe redan för 6 år sen har jag för mig, Dustin har fortfarande inte fixat det.

Märkligt hur stora företag och organisationer inom offentlig sektor, till och med försvarsmakten har avtal med såna klåpare.

Bra att detta kommer upp igen.

Skandal...och Per's utlåtande saknar ju all logik.

Jag förstår inte hur det kan vara såhär år 2013 eftersom:

  • Det till alla programeringsspråk finns bibliotek som ger cryptofunktioner.

  • Alla moderna OS har cryptofunktioner inbyggt eller som gratis tillägg (pekar på er Microsoft).

  • Medlem
  • 2013-11-25 22:50

Troligen är orsaken solklar, pengar.
Allt som kostar pengar som inte maximerar vinsten på något sätt står långt ner på dagordningen i alla vinstdrivande företag. Så länge inte media uppmärksammar den breda allmänheten på detta säkerhetsproblem så kommer det att fortsätta. Men om problemet blir belyst och folk inser att man tar en risk om man beställer produkter från Dustin så kommer det inte ta lång tid innan denna säkerhetsrisk är fixad.

Ursprungligen av Dalle:

Troligen är orsaken solklar, pengar.
Allt som kostar pengar som inte maximerar vinsten på något sätt står långt ner på dagordningen i alla vinstdrivande företag. Så länge inte media uppmärksammar den breda allmänheten på detta säkerhetsproblem så kommer det att fortsätta. Men om problemet blir belyst och folk inser att man tar en risk om man beställer produkter från Dustin så kommer det inte ta lång tid innan denna säkerhetsrisk är fixad.

Om det krävs ett nytt affärssystem för Dustin att fixa detta (enligt Dustin, självklart går allt att fixa) så beror det knappast på pengar. Däremot oansvarigt och korkat.

Finns inga ursäkter.

För Dustins skull så får man väl hålla tummarna att ingen hackar systemet innan det nya är på plats.

Ursprungligen av keptang:

Om det krävs ett nytt affärssystem för Dustin att fixa detta (enligt Dustin, självklart går allt att fixa) så beror det knappast på pengar. Däremot oansvarigt och korkat.

Finns inga ursäkter.

För Dustins skull så får man väl hålla tummarna att ingen hackar systemet innan det nya är på plats.

Det lär ju brinna i knutarna nu att åtgärda det, för det är ingen nyhet att kontouppgifter är godis för hackare - och här serveras det på ett silverfat från ett företag som förbiser allt vad säkerhet heter...

Ursprungligen av Dalle:

Troligen är orsaken solklar, pengar.
Allt som kostar pengar som inte maximerar vinsten på något sätt står långt ner på dagordningen i alla vinstdrivande företag. Så länge inte media uppmärksammar den breda allmänheten på detta säkerhetsproblem så kommer det att fortsätta. Men om problemet blir belyst och folk inser att man tar en risk om man beställer produkter från Dustin så kommer det inte ta lång tid innan denna säkerhetsrisk är fixad.

Resursfrågan är irrelevant här.

Driver datasal och webbhosting för 3 000 studenter och deras studentorganisationer tillsammans med 2 andra killar - där vi alla tre studerar 100% och är anställda på 25%. Vi sparar inte lösenord i klartext kan jag säga.

Inte direkt raketkirurgi att hasha en sträng eller ännu bättre använda en "saltad hash". Kan ge ett litet exempel som ni alla kan provköra i terminalen (md5sum är det enda som är installerat per default i OS X, så tar det som exempel, men kanske inget man bör använda idag). Scriptet tar ett lösenord, genererar ett random nummer och skapar en s k salted hash. Tillsammans med nummret och lösenordet kan man skapa samma hash igen.

#!/bin/bash

echo "Enter \"password\":"
read PASSWORD

RANDNR=$RANDOM

echo "Salted hash: $(echo -n $RANDNR$PASSWORD | md5sum)"
echo "Random number: $(echo -n $RANDNR)"

Slängde ihop det här på 5 min nu på morgonen. Förklaringen i att de här problemen uppstår i så stor omfattning ligger i att webbutvecklare allt som oftast härstammar från designvärlden och sällan är kompetenta nog att genomföra sitt jobb.

  • Skribent
  • Sollentuna
  • 2013-11-26 09:39
Ursprungligen av hansfilipelo:

Resursfrågan är irrelevant här.

Driver datasal och webbhosting för 3 000 studenter och deras studentorganisationer tillsammans med 2 andra killar - där vi alla tre studerar 100% och är anställda på 25%. Vi sparar inte lösenord i klartext kan jag säga.

Inte direkt raketkirurgi att hasha en sträng eller ännu bättre använda en "saltad hash". Kan ge ett litet exempel som ni alla kan provköra i terminalen (md5sum är det enda som är installerat per default i OS X, så tar det som exempel, men kanske inget man bör använda idag). Scriptet tar ett lösenord, genererar ett random nummer och skapar en s k salted hash. Tillsammans med nummret och lösenordet kan man skapa samma hash igen.

#!/bin/bash

echo "Enter \"password\":"
read PASSWORD

RANDNR=$RANDOM

echo "Salted hash: $(echo -n $RANDNR$PASSWORD | md5sum)"
echo "Random number: $(echo -n $RANDNR)"

Slängde ihop det här på 5 min nu på morgonen. Förklaringen i att de här problemen uppstår i så stor omfattning ligger i att webbutvecklare allt som oftast härstammar från designvärlden och sällan är kompetenta nog att genomföra sitt jobb.

Ja, gör man det rätt från början behöver det inte kosta (mycket) mer än att göra fel. Men har man ett felaktigt system i drift kan det blir mycket dyrt att ändra på det. Det är ingen ursäkt, men jag vill bara påpeka att det inte tar fem minuter att ändra i befintliga system. Där är det i allra högsta grad en kostnadsfråga; Om de bedömer att de förlorar mindre på att behålla det felaktiga systemet än vad det kostar att åtgärda det... ja, då kommer de inte att åtgärda det.

  • Medlem
  • Malmö
  • 2013-11-26 10:10
Ursprungligen av Dalle:

Troligen är orsaken solklar, pengar.
Allt som kostar pengar som inte maximerar vinsten på något sätt står långt ner på dagordningen i alla vinstdrivande företag.

Exakt, så är det.

Det enda de utsatta, alltså kunderna, kan göra är att inte nyttja deras tjänster. Det är den enda motkraften som finns, gå åt deras inkomst. Tyvärr är det oftast alldeles för få som inser styrkan i detta.

Liknar ju f-n! Har just begärt avslut av mitt konto.

Synd på en i övrigt utmärkt leverantör!

  • Medlem
  • Stockholm
  • 2013-11-27 20:03

Cyberphoto spelar i samma liga.

Ursprungligen av oskard:

Cyberphoto spelar i samma liga.

Källa?

  • Medlem
  • Stockholm
  • 2013-11-27 21:20

Glömmer du lösenordet på Cyberphoto får du det via mail i klartext. Du kan inte ändra det. Detaljer kanske skiljer, men det är samma liga.

Ursprungligen av oskard:

Glömmer du lösenordet på Cyberphoto får du det via mail i klartext. Du kan inte ändra det. Detaljer kanske skiljer, men det är samma liga.

Få du verkligen samma lösenord varje gång
inte så att dom slumpar fram ett nytt ?

Ursprungligen av oskard:

Glömmer du lösenordet på Cyberphoto får du det via mail i klartext. Du kan inte ändra det. Detaljer kanske skiljer, men det är samma liga.

Att maila lösenordet i klartext är KLART värre. Dels betyder det att de sparar lösenordet i klartext men också att de skickar det rakt över internet okrypterat. Säg genast upp dit konto och se till att aldrig mer använda det lösenordet igen är mitt tips.

Samma sak hände mig hos Kullander & Kullander vilket sedan ledde till att de stängde ner sin dåvarande webbshop efter påtryckningar av oss här på 99mac.se (de har nu en ny uppe ).

Tråden finns att beskåda här: http://www.99mac.se/forum/t/301690-varning-ku...

Enligt Dustin ska nu problemet vara åtgärdat: http://www.sweclockers.com/nyhet/17957-dustin...

Tråden kan låsas.

Ursprungligen av hansfilipelo:

Tråden kan låsas.

Ja verkligen, för Dustin är nu att lita på, efter att ha ignorerat det i ca. 10 år. Igår skull det inte kunna fixas förrän nya affärssystemet var på plats 2014.

Ursprungligen av Anderlind:

Ja verkligen, för Dustin är nu att lita på, efter att ha ignorerat det i ca. 10 år. Igår skull det inte kunna fixas förrän nya affärssystemet var på plats 2014.

Man ska såklart inte förringa vad Dustin nonchalerat under många års tid - men icke desto mindre är trådens budskap och rubrik innehållandes "VARNING" något som inte längre behöver förmedlas för "allmännyttan" längre.

  • Avstängd
  • Bangkok Thailand
  • 2013-11-29 09:12
Ursprungligen av hansfilipelo:

Man ska såklart inte förringa vad Dustin nonchalerat under många års tid - men icke desto mindre är trådens budskap och rubrik innehållandes "VARNING" något som inte längre behöver förmedlas för "allmännyttan" längre.

Hur vet du att Dustin fixat problemet? Att dom säger det betyder inte att det är sant.

Senast redigerat 2013-11-29 17:11
  • Medlem
  • 2013-11-29 18:16

Vad har Komplett i Dustin-tråden att göra?
Att de har krypterade lösenord säger bara att de har något mellan ögonen till skillnad från Dustin.

  • Medlem
  • Stockholm
  • 2013-11-29 18:21
Ursprungligen av disktant:

Få du verkligen samma lösenord varje gång
inte så att dom slumpar fram ett nytt ?

Samma. Jag kände igen det när jag fick det i mailen. Numera har jag 1Password och har ingen aning om hur lösenorden ser ut.

Ursprungligen av hansfilipelo:

Hej.

Tänkte bara plikttroget informera om att Dustin sparar lösenord i klartext. Kommer själv att bojkotta butiken tills dess att de gått ut med ett utlåtande om att det är åtgärdat - hur ni där ute vill göra är såklart något ni själva tar ställning till.

http://feber.se/webb/art/287444/dustin_sparar...

Telenor gör samma sak med deras kunders mailtjänst. Ett abbonemang hos Telenor ger kunden en mailtjänst. En mailadress helt enkelt. Nu är det några år sedan men vid det tillfället hade jag någon fråga till deras support gällande denna mailtjänst. Vi pratade lämpligen via telefon och för att säkra att jag var jag så frågade supporten vad mitt lösenord till mailen var. Jag sa att det säger jag inte till dig. Jag tvärvägrade vilket supporten snart förstog. Då läser hon upp mitt lösenord och frågar om det kan vara det? I detta skede var det uppenbart att hon hade min hemlighet utskriven på skärmen så jag avrundade supportfrågan då jag plötsligt tappat allt intresse för att använda tjänsten. Vid det tillället tänkte jag att det kanske inte var ovanligt med "lösa" lösenord trots det uppenbart värdelösa och riskfyllda i det. Kunderna vet inte om det utan det krävdes ett supportsamtal med identifikations-osäkerhet för att jag skulle få det demonstrerat för mig. Jag antar att det är högst rimligt att som kund ta för givet att ett lösenord faktiskt är oåtkomligt för alla utom en själv om vi bortser från utnyttjande av exploits.

För att kolla om det är samma problem idag kan kanske ett supportsamtal angående telenor-mailen göras och då fråga om de ser lösenordet. Det bevis jag fick genom att få lösenordet uppläst är oöverträffbart. Men det räcker med att de säger att de ser lösenordet utan attläsa upp det, om de skulle tveka vid anmodan?

Det kanske finns någon detektiv bland oss med tillgång till ett Telenorabbonemang med tillhörande mailtjänst som vill upprepa det jag beskrivit? Min erfarenhet ligger några år tillbaka i tiden vilket gör det högst osäkert om det är samma problem idag? Mailtjänsten är väl knappast välanvänd då folk inte direkt har behov av den iom att de redan har mailadress-behovet tillgodosett från annat håll. Det kan medföra att tjänsten inte prioriterats av Telenor och den ligger där tills något inträffar? Om den överhuvudtaget finns kvar? Som sagt en detetektiv har här ett spår att följa. Telenor är ett väldigt stort bolag och är i norsk statlig ägo vilket ökar prestigen rejält. De har naturligt en förväntad ansvarsnivå som uppnår oklanderlighet kan man tycka. Verkligheten är dock en annan men förväntningarna är trots det högre än för helt privata bolag.

Ursprungligen av John Stalberg:

Telenor gör samma sak med deras kunders mailtjänst. Ett abbonemang hos Telenor ger kunden en mailtjänst. En mailadress helt enkelt. Nu är det några år sedan men vid det tillfället hade jag någon fråga till deras support gällande denna mailtjänst. Vi pratade lämpligen via telefon och för att säkra att jag var jag så frågade supporten vad mitt lösenord till mailen var. Jag sa att det säger jag inte till dig. Jag tvärvägrade vilket supporten snart förstog. Då läser hon upp mitt lösenord och frågar om det kan vara det? I detta skede var det uppenbart att hon hade min hemlighet utskriven på skärmen så jag avrundade supportfrågan då jag plötsligt tappat allt intresse för att använda tjänsten. Vid det tillället tänkte jag att det kanske inte var ovanligt med "lösa" lösenord trots det uppenbart värdelösa och riskfyllda i det. Kunderna vet inte om det utan det krävdes ett supportsamtal med identifikations-osäkerhet för att jag skulle få det demonstrerat för mig. Jag antar att det är högst rimligt att som kund ta för givet att ett lösenord faktiskt är oåtkomligt för alla utom en själv om vi bortser från utnyttjande av exploits.

För att kolla om det är samma problem idag kan kanske ett supportsamtal angående telenor-mailen göras och då fråga om de ser lösenordet. Det bevis jag fick genom att få lösenordet uppläst är oöverträffbart. Men det räcker med att de säger att de ser lösenordet utan attläsa upp det, om de skulle tveka vid anmodan?

Det kanske finns någon detektiv bland oss med tillgång till ett Telenorabbonemang med tillhörande mailtjänst som vill upprepa det jag beskrivit? Min erfarenhet ligger några år tillbaka i tiden vilket gör det högst osäkert om det är samma problem idag? Mailtjänsten är väl knappast välanvänd då folk inte direkt har behov av den iom att de redan har mailadress-behovet tillgodosett från annat håll. Det kan medföra att tjänsten inte prioriterats av Telenor och den ligger där tills något inträffar? Om den överhuvudtaget finns kvar? Som sagt en detetektiv har här ett spår att följa. Telenor är ett väldigt stort bolag och är i norsk statlig ägo vilket ökar prestigen rejält. De har naturligt en förväntad ansvarsnivå som uppnår oklanderlighet kan man tycka. Verkligheten är dock en annan men förväntningarna är trots det högre än för helt privata bolag.

Tror Telenor har skärpt sig på den punkten - de hamnade i media pga (en annan grej), men nu skriver de helt öppet på sin hemsida att de inte anser lösen i klartext som säkert:
"Skicka aldrig SIP användarnamn/lösen i klartext till användare, undvik helst att ge ut detta helt till enskilda användare."

1
Bevaka tråden