mboost-dp1
TGG cracker newz.dk
- Forside
- ⟨
- Forum
- ⟨
- newz.dk
TGG har igen nakket newz.dk, denne gang har vi en kopi af user databasen... de første 5K knækkede passwords er på http://linuxholocaust.blogspot.com/ LOLDONGS!!!!
TGG
TGG
[ironi]
Cool, så glemmer jeg ikke mit kodeord så tit længere, nu ved jeg hvor jeg kan finde det igen. Tak TGG.
[/ironi]
#4 jeg kunne ikke være mere enig...
Cool, så glemmer jeg ikke mit kodeord så tit længere, nu ved jeg hvor jeg kan finde det igen. Tak TGG.
[/ironi]
#4 jeg kunne ikke være mere enig...
Er det passwords til at logge ind på newz.dk?
Eller til at logge ind på vores mail accounts (hotmail, gmail, etc.)?
Eller til at logge ind på vores mail accounts (hotmail, gmail, etc.)?
Godt man bruger forskellige passwords til alle sider, når det gang på gang viser sig at internet sites ikke forstår sig på sikkerhed. Man skulle tro newz.dk var i stand til det, især når nyhederne om brudt sikkerhed ofte nedgøres på sitet.
Lige for god ordens skyld:
http://newz.dk/forum/newz-dk/tgg-cracker-newz-dk-7...
http://newz.dk/forum/newz-dk/tgg-cracker-newz-dk-7...
Okay, det her det er simplelthen så skidt håndteret at man krummer tæer.
Først og fremmest er det uforståeligt at man overhovedet har en backup af en passwordliste liggende i en public WWW-folder. Helt ærligt?!
Newz.dk mangler efter min mening stadig at:
1. Ridse op hvad der helt præcist er blevet stjålet. Var de her passwords hashet, eller var det klartekst-passwords? Var de saltede? Folk med "stærke" passwords kan i så fald slappe af, da de ikke er i risiko for et rainbow-attack.
2. I det mindste sende en mail og en PM ud til alle de personer der forekommer på listen. Der er mange der skrider fra newz.dk, og hvis de ikke ser denne nyhed kan de måske få sig en ubehagelig overraskelse når deres gmail pludselig har fået skiftet password.
Først og fremmest er det uforståeligt at man overhovedet har en backup af en passwordliste liggende i en public WWW-folder. Helt ærligt?!
Newz.dk mangler efter min mening stadig at:
1. Ridse op hvad der helt præcist er blevet stjålet. Var de her passwords hashet, eller var det klartekst-passwords? Var de saltede? Folk med "stærke" passwords kan i så fald slappe af, da de ikke er i risiko for et rainbow-attack.
2. I det mindste sende en mail og en PM ud til alle de personer der forekommer på listen. Der er mange der skrider fra newz.dk, og hvis de ikke ser denne nyhed kan de måske få sig en ubehagelig overraskelse når deres gmail pludselig har fået skiftet password.
#17: TGG har udtalt at de var hashet med noget SH254 (ikke at jeg har forstand på det).
Jeg undrer mig over hvordan man lod det her ske, hvorfor der ikke er blevet skrevet ud til alle, eller, de berørte brugere
En anden ting jeg undrer mig over er, at TGG og Newz.dk kommer med modstridende oplysninger...
Og sidst men ikke mindst, kan jeg ikke se hvad de har ødelagt? De har handlet dybt umoralsk, men det er en hel anden side af sagen. Men hvis der ikke var folk som TGG til at "holde øje" med nettet, kunne det ret hurtigt blive nedern at værenetbruger, hvis nogle som TGG dukkede op ud af ingenting.
Det er ikke sympati. MAn burde have handlet helt anderledes, hvis man skulle have heft min sympati, men jeg kan egenlig alligevel se noget positivt i det.
Derudover, sletter jeg nu min bruger, da jeg alligevel ikke benytter mig af den... og newz.dk kan jo åbenbart ikke varetage det et stykke tid fra nu af
Jeg undrer mig over hvordan man lod det her ske, hvorfor der ikke er blevet skrevet ud til alle, eller, de berørte brugere
En anden ting jeg undrer mig over er, at TGG og Newz.dk kommer med modstridende oplysninger...
Og sidst men ikke mindst, kan jeg ikke se hvad de har ødelagt? De har handlet dybt umoralsk, men det er en hel anden side af sagen. Men hvis der ikke var folk som TGG til at "holde øje" med nettet, kunne det ret hurtigt blive nedern at værenetbruger, hvis nogle som TGG dukkede op ud af ingenting.
Det er ikke sympati. MAn burde have handlet helt anderledes, hvis man skulle have heft min sympati, men jeg kan egenlig alligevel se noget positivt i det.
Derudover, sletter jeg nu min bruger, da jeg alligevel ikke benytter mig af den... og newz.dk kan jo åbenbart ikke varetage det et stykke tid fra nu af
#19: SHA-256. Det er en såkaldt hashing-algoritme. Det er en sikrere måde at gemme passwords på end at gemme dem i klartekst, da man ikke gemmer selve passwordet, men en checksum (altså et tal der er afledt af passwordet). Når man checker om brugeren har skrevet det rigtige password hasher man det med den samme algoritme, og ser om checksummen er den samme som den man har gemt.
Det betyder at TGG er nødt til at cracke alle brugernes passwords ved at prøve sig frem (der findes endnu ikke nogen metode til at finde alle mulige passwords ud fra et SHA-256 hash). Dem der har "stærke" passwords, som ikke er sårbare overfor ordbogs-angreb kan derfor ånde lettet op (det vil tage flere tusinde år at knække dem alligevel).
Men TGG kunne jo ligeså godt lyve, og rent faktisk være i besiddelse af alle passwords i klartekst. Det er derfor ret så vigtigt at newz.dk sender mails ud til alle brugerne om hvad der egentlig er blevet stjålet!
Derudover virker de lidt fjollede og forstyrrede. Jeg kan godt se at der er mange mindre intelligente indslag på newz.dk, men det virker som om TGG har et fuldstændigt irrationelt had til alle newz.dk-brugere.
Det er så heller ikke fordi de selv virker specielt intelligente. Deres stave- og grammatikegenskaber er mildest talt elendige, og her på det seneste har de udvist nogle lidt højreekstremistiske tendenser. Spørgsmålet er om de rent faktisk kan finde ud af at finde sårbarheder i systemer, eller om de bare prøver sig frem med en bunke scripts de downloader fra nettet.
Det betyder at TGG er nødt til at cracke alle brugernes passwords ved at prøve sig frem (der findes endnu ikke nogen metode til at finde alle mulige passwords ud fra et SHA-256 hash). Dem der har "stærke" passwords, som ikke er sårbare overfor ordbogs-angreb kan derfor ånde lettet op (det vil tage flere tusinde år at knække dem alligevel).
Men TGG kunne jo ligeså godt lyve, og rent faktisk være i besiddelse af alle passwords i klartekst. Det er derfor ret så vigtigt at newz.dk sender mails ud til alle brugerne om hvad der egentlig er blevet stjålet!
Derudover virker de lidt fjollede og forstyrrede. Jeg kan godt se at der er mange mindre intelligente indslag på newz.dk, men det virker som om TGG har et fuldstændigt irrationelt had til alle newz.dk-brugere.
Det er så heller ikke fordi de selv virker specielt intelligente. Deres stave- og grammatikegenskaber er mildest talt elendige, og her på det seneste har de udvist nogle lidt højreekstremistiske tendenser. Spørgsmålet er om de rent faktisk kan finde ud af at finde sårbarheder i systemer, eller om de bare prøver sig frem med en bunke scripts de downloader fra nettet.
#18 Og hvad så med alle de brugere der kun læser nyhederne på newz.dk og ikke de kommentarer der kommer? Så #17 har i den grad ret i sin holdning omkring hvad Newz.dk mangler.
Et er, at de ikke vil sende mails ud til brugerne, men så kunne de i det mindste samle de svar de har givet på de spørgsmål der er kommet i en nyhed for at tilgodese den mængde brugere de har fremhævet som værende den største gruppe gentagne gange i de forskellige diskussioner der nu har været i de sidste par måneder.
Selvfølgelig er det jul og alt det der, men så lang tid kan det umuligt tage at skrive en nyhed med svaret på de mest relevante spørgsmål.
Et er, at de ikke vil sende mails ud til brugerne, men så kunne de i det mindste samle de svar de har givet på de spørgsmål der er kommet i en nyhed for at tilgodese den mængde brugere de har fremhævet som værende den største gruppe gentagne gange i de forskellige diskussioner der nu har været i de sidste par måneder.
Selvfølgelig er det jul og alt det der, men så lang tid kan det umuligt tage at skrive en nyhed med svaret på de mest relevante spørgsmål.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.