newz.dk har haft uønsket besøg

Jeg håber satme deres julemad brænder på, og de får lortegaver :-(

De kan ske for selv de bedste. Jeg håber de fanger spasseren.

Det ville være rart med nogle konstruktive links til eventuelt at holde sig informeret om ens eget password på denne måde er blevet (eller bliver) offentliggjort.

Hvad vil det sige at det er en "ældre brugerliste"? I skylder os forklaringen...

Godt at newz crewet kommet med en hurtigt respons på dette, det er godt at se.
Men vil da godt lige høre lidt nemmere hvad der er sket, og hvorfor i har en "ældre brugerlist" liggende?

Det må i sku gøre lidt bedre....

En ældre brugerliste? Kodeord? Hvorfor i alverden ligger sådan noget ikke krypteret?

Måske var det en ide at kryptere passwords?

#7: Man krypterer ikke passwords, man hasher dem. Dog kunne de tyde på at de her passwords var hashede uden et salt, og det derfor var ret let at finde de oprindelige klartekst-passwords. Formentligt vha. rainbow-tables el.lign.

Ahhh....

Team Gilmore Girls, en gruppn tåber der denne gang definitivt har bevist at de ikke har et liv.

De har siddet og cracket på juleafternsdag.

Jeg håber de bliver opdaget, bliver sigtet efter terrorisme paragraf og derefter udleveret til USA. (Med efterfølgende analvoldtægt af indsatte på Guantanamo base).

Under alle omstændigheder vil jeg ønske en glædelig jul til newz.dk-brugere, og gi' TGG en finger!

Merry X-mas :)

Tror jeg sletter min bruger indtil newz har fået styr på sikkerheden...

Gammel og gammel.... Jeg kan se på den brugerliste som TGG har offentligtgjort at den listede IP-adresse peger på Full Rate.... og der har jeg kun været kunde i 5 måneder.

Jeg ved ikke.... skal man ændre sit password eller kan det være meget, hvis TGG alligevel har fri adgang?

Uanset hvor tåbelige TGG er, så er det altid en god ide at ændre sit password fra tid til anden.
Dette har så bare fremskyndet det.
Håber så at Newz.dk har styr på sikkerheden fremover.

Kan ikke definere hvad en gammel bruger liste er?...dato mæssigt.
2006? 2007? hvornår i 2007?, før Maj? ect ect.

Hvis I ikke har læst det i den anden tråd, så kan I tjekke om i er blandt de brugere hvis password allerede er afsløret på følgende hjemmeside....:
http://linuxholocaust.blogspot.com/

Og en ting mere.
I skal ikke blame Newz.dk
Det var ikke dem der cracked sig selv vel, det var nogle andre - de skal have skylden. I giver ikke skylden på USA for at blive bombet af en gang terrorister vel?...
Man kan kun beskytte sig til en hvis grænse. Og ALT kan brydes, hvis man kan finde ud af det.

#11
Fri adgang har de vel ikke.
Altså de fandt et hul som de benyttede sig af, og fandt frem til en "gammel" brugerliste. Om den så er gammel, eller newz crewet siger det til os, for at dæmpe stemnigen ved jeg ikke, men det vil være en god idé at ændre pw uanset hvad.

Altså vil på ingen måde sige de har "fri adgang", men det vil jo aldrig nogensinde blive en mulighed at lave en sikkert system, så der vil altid være sådan en risiko her, og jo mere populær siden er, så flere vil prøve. De fleste vil dog nok kun gøre sådan noget, for bare at se om de kan, også måske sende en mail til admin, og forklare sikkerhedshullet, i stedet, som disse tumper, ligge pw's ud til offentligt skue. Men sådan er det jo.

Newz vil aldrig nogensinde "få styr på sikkerheden", da det jo simpelt nok ikke kan lade sig gøre at lave et 100 % sikkert system, men de kan vel gøre det bedre, og har vel også på nuværende tidspunkt fået lukket hullet. Så der er ikke så meget mere at bekymre sig om, hvis man bare lige får skriftet sit pw.

Men newz: Hvor gammel er den brugerliste der, og hvorfor har i den overhovedet liggende??

#15 - Hvis newz.dk havde styr på sikkerheden ville dette jo ikke være sket vel?

#16: Nej, intet system er 100% sikkert, men heldigvis definerer man som regel "sikker" som at betyde, at koder o.lign. ikke kan crackes inden for en bestemt tidsramme, fx 10år.

Ud fra den betragtning er det selvfølgeligt muligt at lave et sikkert system.

Simpelthen for dårligt at et site som kritiserer styresystemer og andre hjemmesiders sikkerhed i diverse nyheder, ikke selv har styr på sikkerheden.

Det en ommer!

GOD JUL, uanset! :-)

#18
Det er bare lidt i overkanten at give newz skylden for hullet.
Dog er det fair at give dem skylden for at have en gammel brugerliste liggende, da denne jo tydeligvis ikke er ligeså beskyttet som den nuværende, så det vil jeg stadigvæk godt høre en forklaring på.

#19
Newz kritiserer jo ikke nogen som helst, de bringer bare nyheder?
Det er jo ikke newz crewet der sidder og skriver anmeldelser, de bringer bare nyheden når der er nogen der har gjort det.

GOD JUL, ja, puttitat!

#21 - newz.dk var jo dem der kom frem til at cliche webhosting havde problemer med sikkerheden (samme galte så også for andre hosts der tillod parrent path)

#21: Ingen af os ved hvad "gammel brugerliste" dækker over, så lad os nu lade det ligge.

Men jeg har et interessant spørgsmål til dig: Hvis hullet ikke er newz.dk's skyld, hvem sidder så med lorten?

Over and out.

Opsumering:

[16:06:29] <Jippi> "ups, nå, men god jul" er essen af den nyhed

morsomt at se hvor mange af de brugeres passwords de har cracket, hvor mange af dem der har qwerty som pass.. suk :-D

Det er bare lidt i overkanten at give newz skylden for hullet.
Dog er det fair at give dem skylden for at have en gammel brugerliste liggende, da denne jo tydeligvis ikke er ligeså beskyttet som den nuværende, så det vil jeg stadigvæk godt høre en forklaring på.

Grunden til at det er en gammel brugerliste er jo nok at den er kopieret for et stykke tid siden, og så har det taget noget tid at bryde den. Den har jo nok været den "nuværende" liste dengang tgg fik fat på den. Newz.dk crewet ved nok heller ikke hvor gammel den er...

Og til alle jer der siger at man ikke kan lave det 100% sikkert, så er det korrekt, men man kan lave det så sikkert som man vil. Hvis man bestemmer sig for at det skal tage 5000 år at cracke med rainbow tables og hele pivtøjet, så laver man bare systemet derefter, så det er altså en rigtig dårlig undskyldning...

Sidder lige og overvejer at logge ind som skidrow og skrive at hvis man havde brugt Windows til serveren så var det aldrig sket ;-)

God jul!

Så blev det i sandhed en hård jul, tak newz!

Lige for at få styr på lidt ting

Systemet de brute til at komme ind var en gammel version af vores banner system, som jeg havde glemt at få fjernet fra apache

Brugerlisten hvor passwords stod ucrypteret var fra et gammelt database dump, som jeg havde glemt at slette, og siden den nye verison er lagt online har alle passwords været hashet, så jeg tvivler på det er dem de har listet.

Men hvis en af jer ved i har skiftet password efter den nye verison af newz er lagt online, og det er det der står på deres liste vil jeg da meget gerne vide det.

#28: Så du siger at v3 gemte passwords i klartekst-format i databasen? FFs!

Nåh ja, får det her jer til at gen-overveje sikkerheden på det nuværende system, hmn? Freeway-samarbejdet skulle jo give ekstra tid til udvikling -og-jeg-skal-komme-efter-dig........

#30 Manden siger jo selv at det var det gamle system som blev hack'et.

#25:
27 ud af de ca. 5000 som de allerede har offentliggjort.

Der findes dog andre som har været opfindsomme og tilføjet et u på qwerty... Trist...

gad vide om det er normalt at passwordet 'iddqd' er brugt næsten ligeså ofte som 'secret', eller om det kun er sådan ved newz-brugere :)

Kontakt venligst blogger og få en IP på "rory gilmore", anmeld til politiet... Ja, det er sikkert en TOR server eller andet proxy skidt... Men princippet i det...

Dernæst bør I få blogger til at tage siden ned omgående! Newz crew har selvfølgelig ophavsret på de informationer der er stjålet...
Det er vel ikke så meget forskelligt fra da folk offentlige gjorde den der dvd key på blogger... :)

Ps. Alle der besøger bloggen http://linuxholocaust.blogspot.com/ bør markere bloggen for misbrug... Det gøres i toppen af siden...

hvor gammel er denne ældre brugerliste?

og er passwordene ikke en MD5 sum der ligger?

Betragter mig selv som en ældre bruger af denne site men er ikke havnet på listen af en eller anden årsag...

Burde man føle sig krænket af den grund ? :P

Det er sku da bare om ikke at have samme pass til noget så trivielt som newz acc og så den mail man primært bruger...

Og hvad ville de bruge en bank til så vidt jeg ved skal du have en key tilsendt.

#36 det er jo også kun et udkast af listen.. vil tro de har det hele...

Så er det, det gamle ordsprog "Security through obscurity" kommer frem. Hvorfor i alverden er der ikke et sted hvor man kan downloade sourcekoden til Newz.dk websiden og måske hjælpe Newz.dk folkene med debugging?
Anyway, brugernavnene BURDE ABSOFUCKINGLUT være hash'et! Dét er for dårligt og man spørger sig selv om, om det kun var designet der var ændret i v4...

TGG var endda så venlige at gemme deres 'exploit' på Newz.dk serveren, så jeg håber da at folkene kan se hvad der er i vejen!

#36 Du er med garanti på listen. Grundet til du ikke er på listen er fordi dit brugernavn ikke er blandt de 5 mb's som de offentliggjorde. De har betydeligt mere.

#38 - Brugernavne?

Der er vidst nogen der ikke får julegaver i år!

Anyways, folk der laver sådanne stunts som det her, må virkelig have psykiske problemer.

#40 Eller en lille penis.

#38: Så i stedet for "squad2nd" vil du have et md5-hash stående over din post? :-)

Forbanede pongaber!

Hvis nogen ikke skulle have gjort der har jeg ny skrevet til blogger... Det kan da ikke være i deres interesse at dele denne slags informationer... (Sandsynligvist også ulovligt... om ikke andet så ihvertfald overtrædelse af ophavsretten...).

Hvorfor fanden kryptere man ikke passwordsene? :| GOD DAMNIT newz.dk! :(

#39/#42

Rettelse! Det er naturligvis adgangskoderne! Det gik lige lidt for hurtigt med at skrive...

newz.dk var jo dem der kom frem til at cliche webhosting havde problemer med sikkerheden#22

newz.dk har handlet efter høje etiske retningslinjer i forbindelse med cliché-sagen. Sagen handler ikke om sikkerhed, men om at ignorere henvendelser vedrørende dette.

Sammenligningen til, hvad der er sket på newz.dk i dag, hører ikke hjemme i Cliché-sagen.

#45 Password'ene VAR krypteret. De er efterfølgende blevet dekrypteret. Det skriver de også i indlæget på blogspot.

For fanden... Alle jer whinybitches der skriver det samme.

Jeg ser her 5 - 8 posts der whiner over hvorfor passwordsene ikke var krypteret. OK.. FATTET... Stop whining, skriv noget konstruktivt.

Oh, And a happy, jolly, merry christmas folks...

lol, se hvad de skriver : >
http://linuxholocaust.blogspot.com/ (userne + pw + ip er også der)