Foto.no er hacket: Over 90 000 passord kan være tatt
Laber sikkerhet ga full tilgang til passordene.
Fotonettstedet Foto.no har blitt utsatt for et hackerangrep. Hele brukerdatabasen, med både brukernavn, passord, adresse og e-post kan være på avveie. Nettstedet har 100 000 registrerte medlemmer, som i stor grad er norske brukere.
I en melding på nettstedet forteller redaksjonen at de har valgt å slette hele passordlisten, for å være på den sikre siden:
«Vi har som strakstiltak derfor besluttet å slette alle passord til brukerkonti knyttet til domenet foto.no,» heter det i meldingen.
Flere av nettstedets medlemmer melder nå at de har mottatt uønsket e-post etter angrepet.
Fortvilet eier
– Jeg er så fortvilet. Dette er en skikkelig «kick in the ass» for å skjerpe seg, sier David Bruun-Lie, nettstedets eier, til Dinside.
Han forteller videre at de jobber på spreng med å tette sikkerhetshullet. En midlertidig løsning, som er iverksatt, er at kun enkeltmaskiner får tilgang til administrasjonsfunksjoner på nettstedet.
Ovenfor Dinside forteller han, at det er han selv – som eneste utvikler – som har kodet nettstedet på fritiden de siste 16 årene. Det var ITavisen som først meldte om sikkerhetsproblemet til nettstedet.
Lagret i klartekst
Hackeren påstår selv at han lenge har prøvd å varsle nettstedet om den svake sikkerheten, blant annet via en åpen diskusjon i brukerforumet deres.
– Passordene var lagret i klartekst tidligere, sier Bruun-Lie til Dinside.
Nettstedet ber nå alle medlemmer om å bytte passord, men selv de nye rutinene kan ha sine svakheter. Nå er passordene hashet, men de har ikke tatt i bruk en teknikk kalt salting. Det kan dermed være relativt enkelt å tolke om de hashede passordene tilbake til klartekst.
På spørsmål om de nye rutinene er sikre nok, er eieren av nettstedet usikker:
– Jeg vet ikke, lyder det klare svaret fra Bruun-Lie.
NorSIS er kritisk
Norsk senter for informasjonssikring, NorSIS, er ikke imponert over sikkerheten til Foto.no. De betegner glippen som alvorlig, spesielt fordi det er så mye viktig informasjon som er på avveie.
– Det er ikke bra at virksomheter som dette har en sikkerhet som gjør det mulig å hente ut slik informasjon. Vi har hatt mange slike tilfeller i det siste, slik at de bør ha hatt god tid til å tenke over egen sikkerhet, sier lederen for NorSIS, Tore Larsen Orderløkken til NRK.
– Det kan være en gullgruve for svindlerne, sier han.
Har du hatt en brukerkonto på Foto.no, er det derfor veldig viktig at du bytter passord på alle andre nettsteder du bruker et lignende brukernavn eller e-post.
En rekke angrep i det siste
Angrepet mot Foto.no stiller seg i rekken av en rekke lignende, store, innbrudd i brukerdatabaser på nett. I sommer ble både Linkedin, Last.fm, Nvidia og spillnettstedet Gamingo utsatt for lignende angrep, der millioner av brukernavn og passord havnet i gale hender.
(Kilder: NRK, Dinside, Foto.no)
