Mörg fyrirtæki með ódulkóðuð lykilorð Brjánn Jónasson skrifar 4. desember 2013 07:56 Píratar tiltaka fimm dæmi um vefsíður sem ekki dulkóða lykilorð notenda sinna. Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“ Vodafone-innbrotið Mest lesið Nefna fimm veitingastaði að baki „gervikjarasamningi“ Viðskipti innlent „Langstærsta“ vikan í sögu Ölgerðarinnar Viðskipti innlent Sektuð fyrir að segjast vera best Neytendur Kilroy hafi veitt ferðamönnum rangar upplýsingar Neytendur Raforka til gagnavera snarminnkað Viðskipti innlent Gervigreindin sögð „bjargvættur“ jarðgassiðnaðarins Viðskipti erlent Að kúpla okkur frá vinnu um jólin Atvinnulíf Eldamennskan og jólaljósin algengasti brunavaldur um hátíðirnar Samstarf Baldvin sagði upp 99 manns sem mættu ekki á morgunfund Viðskipti innlent Þekktir netþrjótar réðust á kerfi Wise Viðskipti innlent Fleiri fréttir „Langstærsta“ vikan í sögu Ölgerðarinnar Nefna fimm veitingastaði að baki „gervikjarasamningi“ Raforka til gagnavera snarminnkað Þekktir netþrjótar réðust á kerfi Wise Discover hefur flug milli München og Íslands Hærri barnabætur og ný gjöld á nikótínvörur á nýju ári Hluthafarnir samþykkja samruna Marels við JBT Sekta þau sem ekki greiða rétt fargjald um fimmtán þúsund krónur Elma Sif til Stika Solutions Baldvin sagði upp 99 manns sem mættu ekki á morgunfund Standa vörð um bílastæði viðskiptavina Kringlunnar Vonar að allir pakkar berist til þeirra fyrir jól Kortleggja tómar íbúðir í samstarfi við sveitarfélög Jóna Björk tekur við Garðheimum Segja son og tengdadóttur Reynis ekki koma nálægt Mannlífskaupum EastJet flýgur til Basel og Lyon Margrét áfram rektor á Bifröst Ingibjörg Þórdís til Elko Fimm mætt í Kauphöllina RÚV sker sér stærri sneið af auglýsingakökunni Ársverðbólga óbreytt á milli mánaða Tómar íbúðir á landinu nú um 10 þúsund Keppinautar eigi ekki að opna bækur sínar hver gagnvart öðrum Segir kaupverðið á Mannlífi ekki hátt Hætta í stjórn vegna yfirvofandi kaupa á Mannlífi Heimkaup undir hatt Samkaupa Leggja nýjan jarðstreng til Súðavíkur Heimildin að ganga frá kaupum á Mannlífi Lykilstjórnendur fá skell vegna tugmilljóna hagnaðar Segir eðlilegar skýringar á hæsta raforkuverðinu Sjá meira
Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“
Vodafone-innbrotið Mest lesið Nefna fimm veitingastaði að baki „gervikjarasamningi“ Viðskipti innlent „Langstærsta“ vikan í sögu Ölgerðarinnar Viðskipti innlent Sektuð fyrir að segjast vera best Neytendur Kilroy hafi veitt ferðamönnum rangar upplýsingar Neytendur Raforka til gagnavera snarminnkað Viðskipti innlent Gervigreindin sögð „bjargvættur“ jarðgassiðnaðarins Viðskipti erlent Að kúpla okkur frá vinnu um jólin Atvinnulíf Eldamennskan og jólaljósin algengasti brunavaldur um hátíðirnar Samstarf Baldvin sagði upp 99 manns sem mættu ekki á morgunfund Viðskipti innlent Þekktir netþrjótar réðust á kerfi Wise Viðskipti innlent Fleiri fréttir „Langstærsta“ vikan í sögu Ölgerðarinnar Nefna fimm veitingastaði að baki „gervikjarasamningi“ Raforka til gagnavera snarminnkað Þekktir netþrjótar réðust á kerfi Wise Discover hefur flug milli München og Íslands Hærri barnabætur og ný gjöld á nikótínvörur á nýju ári Hluthafarnir samþykkja samruna Marels við JBT Sekta þau sem ekki greiða rétt fargjald um fimmtán þúsund krónur Elma Sif til Stika Solutions Baldvin sagði upp 99 manns sem mættu ekki á morgunfund Standa vörð um bílastæði viðskiptavina Kringlunnar Vonar að allir pakkar berist til þeirra fyrir jól Kortleggja tómar íbúðir í samstarfi við sveitarfélög Jóna Björk tekur við Garðheimum Segja son og tengdadóttur Reynis ekki koma nálægt Mannlífskaupum EastJet flýgur til Basel og Lyon Margrét áfram rektor á Bifröst Ingibjörg Þórdís til Elko Fimm mætt í Kauphöllina RÚV sker sér stærri sneið af auglýsingakökunni Ársverðbólga óbreytt á milli mánaða Tómar íbúðir á landinu nú um 10 þúsund Keppinautar eigi ekki að opna bækur sínar hver gagnvart öðrum Segir kaupverðið á Mannlífi ekki hátt Hætta í stjórn vegna yfirvofandi kaupa á Mannlífi Heimkaup undir hatt Samkaupa Leggja nýjan jarðstreng til Súðavíkur Heimildin að ganga frá kaupum á Mannlífi Lykilstjórnendur fá skell vegna tugmilljóna hagnaðar Segir eðlilegar skýringar á hæsta raforkuverðinu Sjá meira