Mörg fyrirtæki með ódulkóðuð lykilorð Brjánn Jónasson skrifar 4. desember 2013 07:56 Píratar tiltaka fimm dæmi um vefsíður sem ekki dulkóða lykilorð notenda sinna. Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“ Vodafone-innbrotið Mest lesið Íslandsbanki greiðir 570 milljóna króna sekt Viðskipti innlent „Katrín Olga, þetta er eingöngu hálftími af þínu lífi“ Atvinnulíf Kínverski risinn sem herjar á evrópska neytendur Viðskipti innlent „Hann eyðileggur alltaf alla stemningu um leið og hann kemur“ Atvinnulíf Að gera ekki algeng mistök sem stjórnandi í fyrsta sinn Atvinnulíf Reynslubolti í hótelrekstri færir sig um set Viðskipti innlent Hvetja fólk til að taka verðmerkingum í Hagkaup með fyrirvara Viðskipti innlent „Ég nenni ekki að standa í einhverju veseni“ Atvinnulíf Vilja rannsaka meint samráð með OPEC Viðskipti erlent Nýjum alþjóðaflugvelli á Grænlandi seinkar enn Viðskipti erlent Fleiri fréttir Íslandsbanki greiðir 570 milljóna króna sekt Bein útsending: „Hvað verður í matinn?“ Skrifuðu undir kaup Landsbankans á TM Reynslubolti í hótelrekstri færir sig um set Icelandair tekur skarpa dýfu niður fyrir útboðsgengi Verðbólgan tekur smá kipp upp á við Wise og Þekking orðin eitt Kínverski risinn sem herjar á evrópska neytendur Sögðu upp 82 starfsmönnum Hvetja fólk til að taka verðmerkingum í Hagkaup með fyrirvara Fjölda fólks sagt upp hjá Icelandair Kaldvík skráð á markað Ofgreiddar lífeyrisgreiðslur nærri tvöfölduðust á milli ára Dæla skyrinu af ísvélum á Skálinni Bein útsending: Framtíð EES til umræðu á þrjátíu ára afmæli Sker úr um hvort veitingamaður hafi mátt borga fyrir kókið Allir halda stjörnu og OTO fær viðurkenningu Ætla að bjóða vaxtalaus lán í aðdraganda mánaðamóta Muni gera meiri kröfur til áfengiskaupenda en flestir aðrir Vilja koma fleirum en Kynnisferðum inn í BSÍ Algjör óvissa með Dragon Dim Sum Landsbankinn telur skilmála sína nógu skýra Orðalag þurfi að vera nægilega skýrt fyrir sæmilega upplýstan neytanda Ráðinn markaðsstjóri Bílabúðar Benna Fetar í fótspor forverans og vildi einn lækka vexti Bein útsending: Efnahagsráðstefna í Reykjavík Kaupsamningum fjölgar en mikið ójafnvægi á leigumarkaði Hætta við hlutafjárútboð og skráningu Íslandshótela Hátt verð fæli ferðamanninn frá Íslandi Deilan um boltann fer alla leið í Hæstarétt Sjá meira
Vefsíður margra íslenskra fyrirtækja geyma lykilorð viðskiptavina sinna án þess að dulkóða þau. Það þýðir að sé brotist inn á vefsíðuna er hægt að hlaða niður lista yfir notendanöfn og lykilorð á síðunum. Á þetta er bent á Facebook-síðu Pírata. Þar eru tiltekin fimm dæmi yfir vefsíður sem eru með þennan öryggisgalla. Það eru vefsíðurnar tonlist.is, n1.is, orkan.is, mbl.is og netverslun.is, sem er netverslun Nýherja. Nýherji hefur tilkynnt að unnið sé að því að lagfæra þennan öryggisgalla á vefsíðu fyrirtækisins.Helgi Hrafn Gunnarsson„Ef vefsíður bjóða fólki upp á að fá lykilorðið sent er það augljóslega ódulkóðað,“ segir Helgi Hrafn Gunnarsson, þingmaður Pírata. Hann segir vandamálið merkilega útbreitt. Þessar fimm síður séu síður en svo einu dæmin um íslenskar síður sem hafi þennan öryggisgalla. Þetta sé því miður ótrúlega algengur galli á íslenskum vefsíðum þar sem fólk þurfi að skrá sig inn á síðurnar. Vefsíður sem nota dulkóðun til að verja notendur sína geta ekki sent notendum sem gleyma lykilorðum sínum lykilorðið í pósti. Þær bjóða þess í stað upp á aðrar leiðir til að setja inn nýtt lykilorð. „Þeir geta ekki sent lykilorðin af því þeir vita þau ekki. Þannig á þetta að virka. En af einhverjum ástæðum, sem eru mér hulin ráðgáta, trassa sumir tæknimenn að gera þetta með þeim hætti, sem er einkennilegt því þetta er afskaplega einfalt,“ segir Helgi. Margir nota sömu notendanöfn og lykilorð á mörgum vefsíðum, og því getur það verið mikið vandamál takist tölvuþrjótum að stela aðgangsorðum og lykilorðum að vefsíðu, þó strax sé lokað fyrir misnotkun á stolnu lykilorðunum á þeirri vefsíðu. Þetta kom skýrt í ljós í kjölfar innbrotsins á vefsíðu Vodafone aðfaranótt síðasta laugardags.Erfitt að rekja slóð glæpamanna á netinu Rannsókn lögreglu á innbrotinu á vef Vodafone er á frumstigi, segir Friðrik Smári Björgvinsson, yfirlögregluþjónn rannsóknardeildar lögreglu höfuðborgarsvæðisins. Stjórnendur Vodafone kærðu innbrotið á sunnudag, en fram kom í fréttum RÚV í gær að hakkarar frá Alsír hafi í tvígang áður komist inn á vef Vodafone, í mars 2012 og í maí í ár. „Almennt getur rannsókn mála af þessu tagi verið erfið,“ segir Friðrik Smári. Hann segir að rekja þurfi svokallaðar IP-tölur þeirra sem fremji brot sín á netinu. Miðað við þær upplýsingar sem hakkarinn gefur sjálfur upp, er hann frá Tyrklandi. Friðrik segir vissulega erfitt að upplýsa mál þar sem gerandinn sé ekki hér á landi, en lögreglan geti leitað atbeina lögreglu í öðrum löndum við rannsóknir.Skoðaði vef Símans Sami hakkari og braust inn á vef Vodafone kom inn á vef Símans á svipuðum tíma og árásin á Vodafone var gerð. Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans, segir að ekki liggi fyrir vitneskja um neina árás á kerfi Símans. Ekkert bendi til þess að utanaðkomandi aðili hafi komist í gögn hjá Símanum. Hún segir að Síminn hafi upplýst PFS um þetta um helgina. „Það er í sjálfu sér ekki fréttnæmt að gerðar séu árásir á vefsíður fyrirtækja, svo algengar eru þær orðnar. Við sjáum svona tilraunir í hverri viku og varnir taka mið af því.“ Reynt var að brjótast inn hjá hýsingarfyrirtæki sem meðal annars hýsir vef Mílu á svipuðum tíma og brotist var inn á vef Vodafone. Sigurrós Jónsdóttir, deildarstjóri samskipta hjá Mílu, segir að vefir fjölmargra fyrirtækja séu hýstir á sama stað, og því ekki víst að vefur Mílu hafi verið skotmarkið. Starfsmenn hýsingarfyrirtækisins hafi varist netárásum fyrir og um síðustu helgi.Um 300 sagt upp GSM áskrift Tæplega 300 hafa sagt upp GSM-áskrift hjá Vodafone eftir að upplýst var um innbrot á vef fyrirtækisins um helgina. „Frá því á laugardag hafa 297 viðskiptavinir hætt í GSM-áskrift,“ segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone. Hann segir fjölda GSM-viðskiptavina hjá fyrirtækinu á annað hundrað þúsund. „Það er góð sala, en það er erfitt að segja hverju það er að þakka,“ segir Liv Bergþórsdóttir, framkvæmdastjóri Nova. Fyrirtækið hafi haldið upp á sex ára afmæli um helgina og verið með tilboð í gangi bæði vegna þess og jólanna. Ekki hafi orðið vart við áberandi aukningu sem augljóslega megi rekja til innbrotsins hjá Vodafone um helgina. „Mánudagurinn var mjög annasamur og töluverður hópur kaus að koma í viðskipti,“ segir Gunnhildur Arna Gunnarsdóttir, upplýsingafulltrúi Símans.Athugasemd: Í yfirlýsingu frá Nýherja kemur fram að ekki sé rétt að verið sé að laga öryggisgalla á nyherji.is. „Það sem er verið að laga er virkni í netverslun.is (ekki www.nyherji.is) sem dulkóðar öll aðgangsorð.“ „Þá er það heldur ekki rétt að Nýherji hafi farið af stað vegna umfjöllunar Pírata. Staðreyndin er sú að vinna hjá okkur hófst á laugardag að skoða öll okkar mál í kjölfar atviksins hjá Vodafone. Hins vegar vildum við láta þá aðila vita, sem sögðu frá þessu máli á netinu, til upplýsinga.“
Vodafone-innbrotið Mest lesið Íslandsbanki greiðir 570 milljóna króna sekt Viðskipti innlent „Katrín Olga, þetta er eingöngu hálftími af þínu lífi“ Atvinnulíf Kínverski risinn sem herjar á evrópska neytendur Viðskipti innlent „Hann eyðileggur alltaf alla stemningu um leið og hann kemur“ Atvinnulíf Að gera ekki algeng mistök sem stjórnandi í fyrsta sinn Atvinnulíf Reynslubolti í hótelrekstri færir sig um set Viðskipti innlent Hvetja fólk til að taka verðmerkingum í Hagkaup með fyrirvara Viðskipti innlent „Ég nenni ekki að standa í einhverju veseni“ Atvinnulíf Vilja rannsaka meint samráð með OPEC Viðskipti erlent Nýjum alþjóðaflugvelli á Grænlandi seinkar enn Viðskipti erlent Fleiri fréttir Íslandsbanki greiðir 570 milljóna króna sekt Bein útsending: „Hvað verður í matinn?“ Skrifuðu undir kaup Landsbankans á TM Reynslubolti í hótelrekstri færir sig um set Icelandair tekur skarpa dýfu niður fyrir útboðsgengi Verðbólgan tekur smá kipp upp á við Wise og Þekking orðin eitt Kínverski risinn sem herjar á evrópska neytendur Sögðu upp 82 starfsmönnum Hvetja fólk til að taka verðmerkingum í Hagkaup með fyrirvara Fjölda fólks sagt upp hjá Icelandair Kaldvík skráð á markað Ofgreiddar lífeyrisgreiðslur nærri tvöfölduðust á milli ára Dæla skyrinu af ísvélum á Skálinni Bein útsending: Framtíð EES til umræðu á þrjátíu ára afmæli Sker úr um hvort veitingamaður hafi mátt borga fyrir kókið Allir halda stjörnu og OTO fær viðurkenningu Ætla að bjóða vaxtalaus lán í aðdraganda mánaðamóta Muni gera meiri kröfur til áfengiskaupenda en flestir aðrir Vilja koma fleirum en Kynnisferðum inn í BSÍ Algjör óvissa með Dragon Dim Sum Landsbankinn telur skilmála sína nógu skýra Orðalag þurfi að vera nægilega skýrt fyrir sæmilega upplýstan neytanda Ráðinn markaðsstjóri Bílabúðar Benna Fetar í fótspor forverans og vildi einn lækka vexti Bein útsending: Efnahagsráðstefna í Reykjavík Kaupsamningum fjölgar en mikið ójafnvægi á leigumarkaði Hætta við hlutafjárútboð og skráningu Íslandshótela Hátt verð fæli ferðamanninn frá Íslandi Deilan um boltann fer alla leið í Hæstarétt Sjá meira