mboost-dp1
newz.dk
#146: Googlede du efter selve passwordet, eller hash-værdien af passwordet?
For passwordet i sig selv er jo ligegyldigt, eftersom det var hash-værdien de fik fat i.
Noget af det jeg finder mest rystende er mangel på krav til passwords - passwordet "a" vil blive accepteret - hvad med i det mindste at kræve minimum 6-8 karakterer, måske endda et tal også?
Det kan godt være det ikke forhindrer at dette kan ske i fremtiden, men det kan måske gøre at der går længere tid før hash'ne er brute-forced. (og så er det generelt god password-skik, noget jeg mener et sted som Newz.dk burde forsøge at være forbillede med).
Derudover er der mange andre gode ideer der kan hjælpe mod denne slags, men stort set ligemeget hvad jeg skriver af den slags nu, vil være en gentagelse af tidligere poster.
Til sidst er jeg enig med flere andre, om at der burde have været sendt en mail ud til alle på listen - det er jo ikke spam, det kan enhver jo se! (I kan/bør stadig nå det, newz.dk!)
Det er bare heldigt (og sørgeligt?) at jeg læser newz.dk juleaften, ellers ved man jo ikke hvad jeg kunne have mistet af personlige oplysninger.
For passwordet i sig selv er jo ligegyldigt, eftersom det var hash-værdien de fik fat i.
Noget af det jeg finder mest rystende er mangel på krav til passwords - passwordet "a" vil blive accepteret - hvad med i det mindste at kræve minimum 6-8 karakterer, måske endda et tal også?
Det kan godt være det ikke forhindrer at dette kan ske i fremtiden, men det kan måske gøre at der går længere tid før hash'ne er brute-forced. (og så er det generelt god password-skik, noget jeg mener et sted som Newz.dk burde forsøge at være forbillede med).
Derudover er der mange andre gode ideer der kan hjælpe mod denne slags, men stort set ligemeget hvad jeg skriver af den slags nu, vil være en gentagelse af tidligere poster.
Til sidst er jeg enig med flere andre, om at der burde have været sendt en mail ud til alle på listen - det er jo ikke spam, det kan enhver jo se! (I kan/bør stadig nå det, newz.dk!)
Det er bare heldigt (og sørgeligt?) at jeg læser newz.dk juleaften, ellers ved man jo ikke hvad jeg kunne have mistet af personlige oplysninger.
Stop nu alt det hyleri omkring, at de ikke skulle have styr på sikkerheden.
Hvis nogen bryder ind hos mig, går jeg ikke primært op i om min sikkerhed var skidt. Det primære faktum er at der er en indbrudstyv, der gennembankes indtil han dårligt kan bruge, så meget som et dørhåndtag.
Selv hvis jeg glemte at låse, giver det ingen ret til at tømme min stue. Og selv hvis der skulle være en brist her på stedet, ændre det ikke på at det er TGG svanserne der er problemet.
Når vi nu alle skal igang med at skifte password, så kan i jo passende begynde at anvende nogle rigtige passwords?:
http://www.pctools.com/guides/password/
Hvis nogen bryder ind hos mig, går jeg ikke primært op i om min sikkerhed var skidt. Det primære faktum er at der er en indbrudstyv, der gennembankes indtil han dårligt kan bruge, så meget som et dørhåndtag.
Selv hvis jeg glemte at låse, giver det ingen ret til at tømme min stue. Og selv hvis der skulle være en brist her på stedet, ændre det ikke på at det er TGG svanserne der er problemet.
Når vi nu alle skal igang med at skifte password, så kan i jo passende begynde at anvende nogle rigtige passwords?:
http://www.pctools.com/guides/password/
Er der slet ingen der kender de her fjolser. Det kunne være rart at man om ikke andet vidste hvor de boede.
Ikke fordi jeg ville gøre dem noget men på den anden side...Hvis alle vidste hvem de var og hvor de boede så ville det nok ikke være så sjovt at hacke når man så vidste at der KUNNE være nogen som lige kom forbi og sladrede til deres forældre og evt. voldtog deres hund...:)
XxX
Ikke fordi jeg ville gøre dem noget men på den anden side...Hvis alle vidste hvem de var og hvor de boede så ville det nok ikke være så sjovt at hacke når man så vidste at der KUNNE være nogen som lige kom forbi og sladrede til deres forældre og evt. voldtog deres hund...:)
XxX
Det er helt klart forventet, at der kommer en officiel udmelding fra teamet bag newz.dk. Det er et site man sætter sin tillid til - og denne tillid er helt klart brudt. Det er blevet meldt ud at fejlen er opstået "fordi men havde glemt at slette noget" .. og dette hjælper klart ikke på tilliden.
Jeg savner en officiel og detaljeret udmelding om det skete, hvem det er gået ud over, hvad man gør for at det ikke sker igen, hvad man gør for at få lukket den blog med alle emails og kodeord - og slutteligt - hvad man gør for at finde frem til de ansvarlige.
Som i tidligere har skrevet om - så er TGGs identitet kendt af politiet.
Jeg savner en officiel og detaljeret udmelding om det skete, hvem det er gået ud over, hvad man gør for at det ikke sker igen, hvad man gør for at få lukket den blog med alle emails og kodeord - og slutteligt - hvad man gør for at finde frem til de ansvarlige.
Som i tidligere har skrevet om - så er TGGs identitet kendt af politiet.
#146
Nice MEN et password som der giver mange hits på Google er vel ikke lig med at det er dårligt? password så som "anders", eller just, ligger jo mange gange på google, men ikke som åbenlyse passwords, bare som ord i sætninger, på en elleranden måde vil jeg da netop mne at det giver mere sikkerhed, frem for et password såsom
"SynTelLogNokJl-dGearSys" Hvis man googler det med hits, er man vel sikker på at der KUN er een der har det password, og så er det lættere at identificere en person...
Nice MEN et password som der giver mange hits på Google er vel ikke lig med at det er dårligt? password så som "anders", eller just, ligger jo mange gange på google, men ikke som åbenlyse passwords, bare som ord i sætninger, på en elleranden måde vil jeg da netop mne at det giver mere sikkerhed, frem for et password såsom
"SynTelLogNokJl-dGearSys" Hvis man googler det med hits, er man vel sikker på at der KUN er een der har det password, og så er det lættere at identificere en person...
Jeg har leget lidt med tallene på samme måde som #146 har.
Den mest populære mail-udbyder er hotmail.com (med 1304 adresser) - nr. 2 er gmail.com med 468 adresser, og nr. 3 er ofir.dk med 239 adresser. nr. 10 er stofanet.dk med sølle 37 adresser.
I alt er der 1396 der har et unikt domæne efter @ og kun 22 der ikke har en mail (eller har mail uden @) - der er givetvis også en del der har en ugyldig mail-adresse.
Der er 127 uden registreret IP, og ingen der ikke har et brugernavn.
Den mest populære mail-udbyder er hotmail.com (med 1304 adresser) - nr. 2 er gmail.com med 468 adresser, og nr. 3 er ofir.dk med 239 adresser. nr. 10 er stofanet.dk med sølle 37 adresser.
I alt er der 1396 der har et unikt domæne efter @ og kun 22 der ikke har en mail (eller har mail uden @) - der er givetvis også en del der har en ugyldig mail-adresse.
Der er 127 uden registreret IP, og ingen der ikke har et brugernavn.
#155 nu er det jo et spørgsmål om hvor let passwordet er at bruteforce når de nu har fået fat i hashen. "anders" f.eks. vil med sikkerhed stå i et standard-directory til en directory-cracker.. Men det vil "SynTelLogNokJl-dGearSys" f.eks. ikke. Bare det at man mixer sit ord med nogle tal.. F.eks. "1a2n3d4e5r6s" er jo nok til at det ikke bare lige kan bruteforces, kig på TGG's liste.. Alle de passwords som de har bruteforces (i hvert fald hvad de/ham/skizofrenen har offentligtgjort) er kun med bogstaver... Bare det at man ikke bruger et typisk ord (hvad man finder på google) gør at det tager længere tid at bruteforce.
Syntes bare alle skulle have sætninger istedet for enkle ord.. det er nemmere at huske og sværere at bryde.. fx 1 STOR okse
O.o
O.o
Det er for tamt gutter. Klar tekst passwds er klart no-no.
@TGG (som utvivlsomt læser dette)
Der er ingen grund til at offentliggøre passwd på nogen. Hvis I ville hygge jer under "blackhat"-betegnelsen ville det have været anderledes skruet sammen - simple as that. Det her er små-drengestreger og fuldstændig ligegyldigt - who gives a flying fuck om et simpelt forum-passwd på en ligegyldig person bliver offentliggjort? Du har nu hjulpet spammere, mailhajer osv. men intet gjort for dig selv. Blackhat mig i øret - du har en IQ som en våd brosten.
Det her mangler omtanke, det mangler fokus, det mangler et mål og mest af alt mangler der omtanke. Hva' faen' sker der så nu? Du har jo læsset dine tekster med person-specifikke kommentare? Man skal jo ikke gøre andet end at crawle sætningsstruktur og søge efter ordene "Sieg Heil" før man finder et sted hvor du er exposed?
Men 'have your fun' - I lærer det nok en dag :-)
@TGG (som utvivlsomt læser dette)
Der er ingen grund til at offentliggøre passwd på nogen. Hvis I ville hygge jer under "blackhat"-betegnelsen ville det have været anderledes skruet sammen - simple as that. Det her er små-drengestreger og fuldstændig ligegyldigt - who gives a flying fuck om et simpelt forum-passwd på en ligegyldig person bliver offentliggjort? Du har nu hjulpet spammere, mailhajer osv. men intet gjort for dig selv. Blackhat mig i øret - du har en IQ som en våd brosten.
Det her mangler omtanke, det mangler fokus, det mangler et mål og mest af alt mangler der omtanke. Hva' faen' sker der så nu? Du har jo læsset dine tekster med person-specifikke kommentare? Man skal jo ikke gøre andet end at crawle sætningsstruktur og søge efter ordene "Sieg Heil" før man finder et sted hvor du er exposed?
Men 'have your fun' - I lærer det nok en dag :-)
I spurgte om mere info, så det får i lige.
Det viser sig at de d. 31/7 (ca da vi langserede v4) har fundet en fejl i sitet, som de har udnyttet, men de har så ventet til nu med at offentliggøre det da julen jo er et dejligt ubelejligt tidspunkt den slagt ting kommer frem.
Jeg rettede fejlen allerede den gang, faktisk ret hurtigt efter de havde udført hacket. Problemet er bare at de logs jeg kiggede i den gang ikke så ud til de havde fået fat i noget inden jeg fik det lukket, men det viser sig jo så at det har de.
Passwords har i det seneste års tid være hashet i db'en, så det mest sansynlige er at de har lavet noget directory opslag på de passwords de har fået, hvilket den offentliggjorte liste også bærer præg af.
For at beskytte serveren lidt mere har vi lagt en opdateret mod_security på maskinen med en del nye regler, hvilket også har gjort at nogle af reglerne har taget lidt for meget med. Så hvis i ser en fejl 400 eller 500 er i sikkert ramt ind i sådan en regel. Vi skulle dog have fikset de værste false positives nu.
Vi er selvfølgelig kede af det sker, og gør hvad vi kan for at sikre sitet.
Det viser sig at de d. 31/7 (ca da vi langserede v4) har fundet en fejl i sitet, som de har udnyttet, men de har så ventet til nu med at offentliggøre det da julen jo er et dejligt ubelejligt tidspunkt den slagt ting kommer frem.
Jeg rettede fejlen allerede den gang, faktisk ret hurtigt efter de havde udført hacket. Problemet er bare at de logs jeg kiggede i den gang ikke så ud til de havde fået fat i noget inden jeg fik det lukket, men det viser sig jo så at det har de.
Passwords har i det seneste års tid være hashet i db'en, så det mest sansynlige er at de har lavet noget directory opslag på de passwords de har fået, hvilket den offentliggjorte liste også bærer præg af.
For at beskytte serveren lidt mere har vi lagt en opdateret mod_security på maskinen med en del nye regler, hvilket også har gjort at nogle af reglerne har taget lidt for meget med. Så hvis i ser en fejl 400 eller 500 er i sikkert ramt ind i sådan en regel. Vi skulle dog have fikset de værste false positives nu.
Vi er selvfølgelig kede af det sker, og gør hvad vi kan for at sikre sitet.
Nogle har spurgt om dette bliver politianmeldt, og ja det gør det naturligvis, om det så giver noget, det må tiden vise.
Som nævnt tidligere så er det pisse ærgerligt det der er sket, ikke mindst for os der står bag sitet. Tro ikke at vi tager let på det der er sket, sikkerhed er meget vigtig for os, så naturligvis vil vi gøre alt hvad vi kan, for at dette skal ske igen. Når det er sagt, så nej, vi kan ikke garantere det.
Der kommer konstant nye versioner af software vi anvender til sitet, der kan komme en fejl i det. Der kan også være fejl i vores egen kode for sitet, fejl som evt. opdages først af de forkerte personer, og så vil der igen være ballade.
Som nævnt tidligere så er det pisse ærgerligt det der er sket, ikke mindst for os der står bag sitet. Tro ikke at vi tager let på det der er sket, sikkerhed er meget vigtig for os, så naturligvis vil vi gøre alt hvad vi kan, for at dette skal ske igen. Når det er sagt, så nej, vi kan ikke garantere det.
Der kommer konstant nye versioner af software vi anvender til sitet, der kan komme en fejl i det. Der kan også være fejl i vores egen kode for sitet, fejl som evt. opdages først af de forkerte personer, og så vil der igen være ballade.
En kort opsummering fra min side!
Aflivning af myter, fordomme og konspirationsteorier:
- alle adgangskoder hashes med SHA265, men desværre uden salt; derfor er listen skabt ud fra en rainbowtabel, hvilket bekræfter det begrænsede omfang
- der har ikke ligger et databasedump offentligt (spørg jer selv, hvad formålet skulle være med det?)
- vi har haft et script, der i forbindelse med lanceringen af den nye version, har haft nogle fejl, der kunne anvendes til sårbarheder
- angrebet skete d. 31. juli, så alle, der var brugere på dette tidspunkt, er potentielt berørt; TGG har formentlig jeres e-mailadresser og hashværdien af jeres adgangskode (anvender denne et par tegnklasser, er der intet problem)
Vores handlinger:
- øget sikkerhed med mod_security
- gennemgang af alle vores konfigurationer - af os selv og andre
- løbende forbedring af kodebasen (herunder anvendelse af salts til hashing)
- overveje mere vidtrækkende konsekvenser (f.eks. kunne det være at blokere for al adgang via TOR, selvom dette også vil gå ud over andre brugere)
- politianmeldelse for både indtrængen på vores servere samt offentliggørelse af de data, vores brugere har afgivet til os
- kontakt til Google for at få nedlagt bloggen
Flere af ovenstående punkter har vi allerede været i gang med, og vi har ingen interesse i, at det her skal få konsekvenser for vores brugere. Vi erkender vores ansvar, men henstiller i øvrigt til, at man ikke genbruger adgangskoder, og at man ikke bare benytter et ord som 'secret'.
Aflivning af myter, fordomme og konspirationsteorier:
- alle adgangskoder hashes med SHA265, men desværre uden salt; derfor er listen skabt ud fra en rainbowtabel, hvilket bekræfter det begrænsede omfang
- der har ikke ligger et databasedump offentligt (spørg jer selv, hvad formålet skulle være med det?)
- vi har haft et script, der i forbindelse med lanceringen af den nye version, har haft nogle fejl, der kunne anvendes til sårbarheder
- angrebet skete d. 31. juli, så alle, der var brugere på dette tidspunkt, er potentielt berørt; TGG har formentlig jeres e-mailadresser og hashværdien af jeres adgangskode (anvender denne et par tegnklasser, er der intet problem)
Vores handlinger:
- øget sikkerhed med mod_security
- gennemgang af alle vores konfigurationer - af os selv og andre
- løbende forbedring af kodebasen (herunder anvendelse af salts til hashing)
- overveje mere vidtrækkende konsekvenser (f.eks. kunne det være at blokere for al adgang via TOR, selvom dette også vil gå ud over andre brugere)
- politianmeldelse for både indtrængen på vores servere samt offentliggørelse af de data, vores brugere har afgivet til os
- kontakt til Google for at få nedlagt bloggen
Flere af ovenstående punkter har vi allerede været i gang med, og vi har ingen interesse i, at det her skal få konsekvenser for vores brugere. Vi erkender vores ansvar, men henstiller i øvrigt til, at man ikke genbruger adgangskoder, og at man ikke bare benytter et ord som 'secret'.
Kan I (newz.dk) ikke offentlig gøre hele den liste de er kommet i besidelse af, så vi (brugerne) kan tjekke om vi er på listen?
Det vil give relativt nyoprettede brugere mulighed for at se om de var oprettet på et tidspunkt de kopierede listen.
For ikke at gentage hvad TGG har gjort, så skulle i selvfølgelig erstatte password, e-mail adresse og IP-adresse med nogle andre tegn (*, [e-mail], **e-mail** eller lign.)
Evt. kunne I også lave et lille "stand alone" script som lod os (brugerne) logge ind og se password og e-mail som var/er tilknyttet vores vores brugernavn på listen.
Det ville være rart at få vished om lige præcis hvilke oplysninger der er blevet kopieret (password og e-mail adresse).
Mvh Wuhtzu
Det vil give relativt nyoprettede brugere mulighed for at se om de var oprettet på et tidspunkt de kopierede listen.
For ikke at gentage hvad TGG har gjort, så skulle i selvfølgelig erstatte password, e-mail adresse og IP-adresse med nogle andre tegn (*, [e-mail], **e-mail** eller lign.)
Evt. kunne I også lave et lille "stand alone" script som lod os (brugerne) logge ind og se password og e-mail som var/er tilknyttet vores vores brugernavn på listen.
Det ville være rart at få vished om lige præcis hvilke oplysninger der er blevet kopieret (password og e-mail adresse).
Mvh Wuhtzu
#163
Hvorfor ikke sende en email ud til alle brugere ? Det er ikke alle newz.dk brugere som checker sitet hyppigt og slet ikke op til jul. Der kunne jo være nogen som har nogle passwords andre steder, som de skal have ændret !
Og var det ikke en god lille juleferie programmerings opgave at tilføje et random salt per bruger ?
Er I sikre på at de kun har haft læse adgang eller alternativt checket al kode og alle priviligerede konti ?
Hvorfor ikke sende en email ud til alle brugere ? Det er ikke alle newz.dk brugere som checker sitet hyppigt og slet ikke op til jul. Der kunne jo være nogen som har nogle passwords andre steder, som de skal have ændret !
Og var det ikke en god lille juleferie programmerings opgave at tilføje et random salt per bruger ?
Er I sikre på at de kun har haft læse adgang eller alternativt checket al kode og alle priviligerede konti ?
#161 bnm
Nej jeg sidestiller en slags indbrud med en anden.
Begge former for indbrud, efterlader folk med utryghed, og følelsen af at have fået ens ting rodet igennem.
Sammenligningen mellem ulovlig kopiering og tyveri, laver man ikke hvis er nogenlunde begavet.
#164 Pernicious
Det var ikke lige det, vi ville høre... Thihi
Nej jeg sidestiller en slags indbrud med en anden.
Begge former for indbrud, efterlader folk med utryghed, og følelsen af at have fået ens ting rodet igennem.
Sammenligningen mellem ulovlig kopiering og tyveri, laver man ikke hvis er nogenlunde begavet.
#164 Pernicious
så naturligvis vil vi gøre alt hvad vi kan, for at dette skal ske igen.
Det var ikke lige det, vi ville høre... Thihi
#151 og #155
Som der allerede er blevet nævnt, er der sandsynligvis blevet brugt rainbow-tables, til opslag af de krypterede passwords. I rainbow-tables bruger man "almindelige" ord og man kan være sikker på at de mest almindelige ord, findes i disse tabeller. De mest almindelige ord, giver ligeledes en masse hits på Google, så derfor er der en sammenhæng mellem antallet af hits på en kode, og risikoen for at koden står i en rainbow-table.
Da alle (på nær èn, sjovt nok) koder, har hits på Google, må det være "almindelige" ord/tegnkombinationer og ud fra det, kan man sige at det kun er de svageste passwords, der findes på listen.
Et godt eksempel er koden "ncc1701e" som man umiddelbart skulle tro er en stærk kode. Laver man en søgning på Google, finder man hurtigt ud af at dette ikke er tilfældet, da der er 9470 hits på koden.
Som der allerede er blevet nævnt, er der sandsynligvis blevet brugt rainbow-tables, til opslag af de krypterede passwords. I rainbow-tables bruger man "almindelige" ord og man kan være sikker på at de mest almindelige ord, findes i disse tabeller. De mest almindelige ord, giver ligeledes en masse hits på Google, så derfor er der en sammenhæng mellem antallet af hits på en kode, og risikoen for at koden står i en rainbow-table.
Da alle (på nær èn, sjovt nok) koder, har hits på Google, må det være "almindelige" ord/tegnkombinationer og ud fra det, kan man sige at det kun er de svageste passwords, der findes på listen.
Et godt eksempel er koden "ncc1701e" som man umiddelbart skulle tro er en stærk kode. Laver man en søgning på Google, finder man hurtigt ud af at dette ikke er tilfældet, da der er 9470 hits på koden.
DUH
Ja der mangler lige et "ikke" :)
Tro ikke at vi tager let på det der er sket, sikkerhed er meget vigtig for os, så naturligvis vil vi gøre alt hvad vi kan, for at dette ikke skal ske igen. Når det er sagt, så nej, vi kan ikke garantere det.
Ja der mangler lige et "ikke" :)
Tro ikke at vi tager let på det der er sket, sikkerhed er meget vigtig for os, så naturligvis vil vi gøre alt hvad vi kan, for at dette ikke skal ske igen. Når det er sagt, så nej, vi kan ikke garantere det.
#170
Mig bekendt bruges Rainbow tabeller til alle mulige kombinationer med en given længde og et givet range af tegn. Jeg kan ikke tro at man kan lave en reduktions funktion der kun genererer kendte ord.
Det kan være et helt normalt dictionary attack. Enten har de fundet en SHA-256 base på nettet eller hvad der måske er mere sandsynligt fundet en liste med 100000 eller 1 million kendte ord og så hashed dem. Selve hash beregningerne af disse vil kun tage 1-10 sekunder.
Mig bekendt bruges Rainbow tabeller til alle mulige kombinationer med en given længde og et givet range af tegn. Jeg kan ikke tro at man kan lave en reduktions funktion der kun genererer kendte ord.
Det kan være et helt normalt dictionary attack. Enten har de fundet en SHA-256 base på nettet eller hvad der måske er mere sandsynligt fundet en liste med 100000 eller 1 million kendte ord og så hashed dem. Selve hash beregningerne af disse vil kun tage 1-10 sekunder.
Så vidt jeg kan se på den liste er den MAKS 3mdr gammel, tror nærmere på en mdr. Min bror har sin bruger på den liste, og han var aldrig på det gamle v3 design - KUN det nye!
Yderligere, vil jeg meget gerne vide hvad i gemmer brugernes ip'er for?
Hvis der vitterligt er tale om et så stort tal tal som jeg mere og mere tror på, skal der så ikke nærmest bede SAMTLIGE BRUGERE om at få skiftet kodeord?
Vel nemmere at slette hele brugerdatabasen og starte forfra snart..
Yderligere, vil jeg meget gerne vide hvad i gemmer brugernes ip'er for?
Hvis der vitterligt er tale om et så stort tal tal som jeg mere og mere tror på, skal der så ikke nærmest bede SAMTLIGE BRUGERE om at få skiftet kodeord?
Vel nemmere at slette hele brugerdatabasen og starte forfra snart..
Tak for en fed jul Newz.dk, så kan man hygge sig med at skifte pass rundt omkring.
Så kan folk sidde og forsvare newz.dk så meget de vil og påstå at det er umuligt at sikre sig imod sådan noget. Tjo måske, men når newz.dk sløser med sikkerheden som de har gjort, så er det at pisse på hver bruger her på sitet.
Jeg håber virkelig i kommer til at kunne mærke det her besøgsmæssigt, økonomisk og det bliver omtalt i "pressen", fordi sådan en omgang sløseri skal ikke slippes væk med: jamen så kan i lære at have en stærkt password!
Så kan folk sidde og forsvare newz.dk så meget de vil og påstå at det er umuligt at sikre sig imod sådan noget. Tjo måske, men når newz.dk sløser med sikkerheden som de har gjort, så er det at pisse på hver bruger her på sitet.
Jeg håber virkelig i kommer til at kunne mærke det her besøgsmæssigt, økonomisk og det bliver omtalt i "pressen", fordi sådan en omgang sløseri skal ikke slippes væk med: jamen så kan i lære at have en stærkt password!
#164 Fejlen er ikke at sitet blev hacket! Den slags sker.
Fejlen er at kodeordene ikke blev beskyttet godt nok!
Der findes standardmetoder til det.
Jeg genbruger heldigvis ikke mit kodeord, - men der vil være folk som har genbrugt deres kodeord til gmail, netbank, told&skat og andre temmeligt væsentlige sider. Og de er nu, - takket være jer, - fucked bigtime. Og nej, ikke fordi i har lavet "elendig" software der kan findes et sikkerhedshul i (for det kan der i stort set al software), - men fordi i ikke har brugt almindelig tilgængelig standardmetoder til at beskytte kodeordene.
Det er simpelthen ikke godt nok!!!!
I øvrigt, - så bør det være en lektion til alle i GENBRUG ALDRIG DIT KODEORD før eller siden vil et site du bruger det på blive kompromiteret!
Fejlen er at kodeordene ikke blev beskyttet godt nok!
Der findes standardmetoder til det.
Jeg genbruger heldigvis ikke mit kodeord, - men der vil være folk som har genbrugt deres kodeord til gmail, netbank, told&skat og andre temmeligt væsentlige sider. Og de er nu, - takket være jer, - fucked bigtime. Og nej, ikke fordi i har lavet "elendig" software der kan findes et sikkerhedshul i (for det kan der i stort set al software), - men fordi i ikke har brugt almindelig tilgængelig standardmetoder til at beskytte kodeordene.
Det er simpelthen ikke godt nok!!!!
I øvrigt, - så bør det være en lektion til alle i GENBRUG ALDRIG DIT KODEORD før eller siden vil et site du bruger det på blive kompromiteret!
Sådan rent password mæssigt så må man da sige at hvis de har lavet indbruddet for ~5 mdr siden og alligevel kun kan release passwords på brugere der bruger kærestens navn eller lign. svage passwords tyder på at der er rimeligt god kryptering på password listen.
Uden at det skal forsvares at newz.dk overhovedet har ladet denne liste falde i uvedkommende hænder så må man jo nok sige at hele affæren ENDNU engang beviser at der ER forskel på om dit password er qwerty eller om det er 1A2b_..FiduS_Mager
Derfor folkens....Brug nu for helge i det mindste et pass på mindst 8 tegn hvor der er MINDST 2 typer i koden :
Små bogstaver
Store bogstaver
Tal
Specialtegn.
På mit arbejde er sikkerheden sat op så password's skal være mindst 9 tegn og der skal indgå mindst 3 af de 4 kategorier i password... (Og ja, det betyder at der er nogle brugere der skriver pass ned for at huske det men stadigvæk skal man så have fysisk adgang til maskinen og det gør det hele NOGET sværere)..
Alle jer der har brugt qwerty eller lignende lette passwords og som sidder og whiner over at i nu skulle skifte pass, prøv at kigge bare en smule indad og spørg jer selv om i ikke har haft bare en litte bitte smule skyld i at det er netop JERES pass der er blevet hacket..
XxX
Uden at det skal forsvares at newz.dk overhovedet har ladet denne liste falde i uvedkommende hænder så må man jo nok sige at hele affæren ENDNU engang beviser at der ER forskel på om dit password er qwerty eller om det er 1A2b_..FiduS_Mager
Derfor folkens....Brug nu for helge i det mindste et pass på mindst 8 tegn hvor der er MINDST 2 typer i koden :
Små bogstaver
Store bogstaver
Tal
Specialtegn.
På mit arbejde er sikkerheden sat op så password's skal være mindst 9 tegn og der skal indgå mindst 3 af de 4 kategorier i password... (Og ja, det betyder at der er nogle brugere der skriver pass ned for at huske det men stadigvæk skal man så have fysisk adgang til maskinen og det gør det hele NOGET sværere)..
Alle jer der har brugt qwerty eller lignende lette passwords og som sidder og whiner over at i nu skulle skifte pass, prøv at kigge bare en smule indad og spørg jer selv om i ikke har haft bare en litte bitte smule skyld i at det er netop JERES pass der er blevet hacket..
XxX
mras (#175) skrev:Så vidt jeg kan se på den liste er den MAKS 3mdr gammel, tror nærmere på en mdr. Min bror har sin bruger på den liste, og han var aldrig på det gamle v3 design - KUN det nye!
Jeg vil gerne bede dig om at forholde dig til det fremlagte - og ikke konspirere yderligere. Jeg har allerede skrevet, at angrebet er sket d. 31. juli 2007, og hvis du gerne vil have noget dokumentation, så kan du kigge på det første nummer i deres offentliggjorte liste. Det er det interne brugernummer, der er fortløbende. Vi ved altså, at den sidste på listen må være den senest oprettede. Hvis vi kigger på denne brugers profil, er den oprettet den dato, jeg nævnte. Hvis du mener, at andre brugere er oprettet senere, vil jeg meget gerne se dokumentation for din påstand.
Vi lancerede dog den nye version d. 31. juli, så hvis din bror oprettede netop den dag, så stemmer det ganske udemærket.
mras (#175) skrev:Yderligere, vil jeg meget gerne vide hvad i gemmer brugernes ip'er for?
At vi har ansvar for manglende sikkerhed på nogle områder er en ting. At vi gemmer brugernes IP-adresser er ganske almindelig logging, hvilket du nok ikke finder mange sider, der ikke gør. Det er simpelthen en beskyttelse i forhold til lovgivningen og det, brugerne skriver. Og det har absolut intet særligt på sig, så der er ingen grund til at fremhæve det i denne sammenhæng, selvom det selvfølgelig er ærgeligt for de, hvis IP-adresser er offentliggjorte (e-mailadresserne er dog langt værre).
mras (#175) skrev:Hvis der vitterligt er tale om et så stort tal tal som jeg mere og mere tror på, skal der så ikke nærmest bede SAMTLIGE BRUGERE om at få skiftet kodeord?
Det ville være en ganske fornuftig løsning, men vi kan nok ikke regne med, at alle brugere har opdateret deres profil med deres nye e-mailadresse, og så vil en masse brugere miste deres profil. Det tror jeg også, at folk vil blive utilfredse med.
Jeg synes det er interessant hvor mange mennesker der egentlig stiller større sikkerhedskrav til en gratis side på indernettet som de besøger, end til det operativ system de har betalt for at få lov til at bruge.
#151 Jeg kan så slet ikke forstå at det skulle være NØDVENDIGT på en side som denne, at gøre opmærksom på at passwords som "secret", "123456", "qwerty" eller for den sags skyld "a" ikke er de fede passwords at bruge. Det er jo ikke ligefrem arto.
#152 Det gør jeg. Hvis der har været indbrud i min lejlighed så ringer jeg straks til dem der har bygget det at det nok ikke er skide smart med en glasdør der kan låses op med et greb (i modsætning til f.eks. en nøgle).
#176 Jo det er sådanset lige det de skal. Hvis du vil bebrejde nogen at dette er sket er prioritetsrækkefølgen således:
Team Gilmore Girls <- Forbryderen
Dig selv <- Medløberen
Newz.dk <- Ofret
#151 Jeg kan så slet ikke forstå at det skulle være NØDVENDIGT på en side som denne, at gøre opmærksom på at passwords som "secret", "123456", "qwerty" eller for den sags skyld "a" ikke er de fede passwords at bruge. Det er jo ikke ligefrem arto.
#152 Det gør jeg. Hvis der har været indbrud i min lejlighed så ringer jeg straks til dem der har bygget det at det nok ikke er skide smart med en glasdør der kan låses op med et greb (i modsætning til f.eks. en nøgle).
#176 Jo det er sådanset lige det de skal. Hvis du vil bebrejde nogen at dette er sket er prioritetsrækkefølgen således:
Team Gilmore Girls <- Forbryderen
Dig selv <- Medløberen
Newz.dk <- Ofret
#acro, tjek pm.
#acro,2
Jeg ved stort set med 112% sikkerhed at alle latterlige "gratise" ting, ikke kan holde på en email. Derfor man har en spam email, som self også blev brugt hertil.
Hvis man bruger sin super top private email til newz.dk .. tja.. så har man da vist ikke været på nettet i så lang tid :)
IP adressser.
Er der ikke en datalov der siger at ip adresser er private, og kræver politibestemmelse at give ud?
Nu er jeg klar over at dette var et 'crack', men for mig er min ip adresse da langt værer at få vist frem, end emailen kan spammes af alle.
Med ip'en i hånden, kan de direkte forsøge individuelt hackning på brugerbasis. Held og lykke med det, med en email.. (hvem åbner vedhæftede filer, eller tillader hentning af http addresser fra ikke sikre afsendere?)
Jeg ser ingen grund til at sige mit tidligere brugernavn her, for det ville da blot hjælpe en hvis person til at kunne "uhh jeg er sej, jeg fik ham anden gang også!".
Men jeg synes i burde lave en liste med SAMTLIGE brugere i den config fil, og skrive dem et sted så man kan se. Bedst set burde man midlertidigt lukke alle de indvolvedet konti, indtil de havde bekræftet via email, at de ville skifte kodeord (eller lign), som vist også er forslået tidligere.
En ting er brugere der ikke bruger vilde kodeord, en anden ting er brugere som bruger advancerede kodeord til alt - som de nu reelt har mulighed for at kunne cracke sig til.
Så jeg håber bare for folk at de ikke bruger et standard (svært/usvært)kodeord til alt og alle, og tror de er sikre pga. de ikke er på den "offentligtgjorte liste".
For hvor fedt er det lige at folk tror de er uden for farer fordi deres username ikke er på listen, men hvor tgg/roy reelt har hashen og derved kan finde kodeordet stadigt - hvis de da ikke allerede har det?
#acro,2
Jeg ved stort set med 112% sikkerhed at alle latterlige "gratise" ting, ikke kan holde på en email. Derfor man har en spam email, som self også blev brugt hertil.
Hvis man bruger sin super top private email til newz.dk .. tja.. så har man da vist ikke været på nettet i så lang tid :)
IP adressser.
Er der ikke en datalov der siger at ip adresser er private, og kræver politibestemmelse at give ud?
Nu er jeg klar over at dette var et 'crack', men for mig er min ip adresse da langt værer at få vist frem, end emailen kan spammes af alle.
Med ip'en i hånden, kan de direkte forsøge individuelt hackning på brugerbasis. Held og lykke med det, med en email.. (hvem åbner vedhæftede filer, eller tillader hentning af http addresser fra ikke sikre afsendere?)
Jeg ser ingen grund til at sige mit tidligere brugernavn her, for det ville da blot hjælpe en hvis person til at kunne "uhh jeg er sej, jeg fik ham anden gang også!".
Men jeg synes i burde lave en liste med SAMTLIGE brugere i den config fil, og skrive dem et sted så man kan se. Bedst set burde man midlertidigt lukke alle de indvolvedet konti, indtil de havde bekræftet via email, at de ville skifte kodeord (eller lign), som vist også er forslået tidligere.
En ting er brugere der ikke bruger vilde kodeord, en anden ting er brugere som bruger advancerede kodeord til alt - som de nu reelt har mulighed for at kunne cracke sig til.
Så jeg håber bare for folk at de ikke bruger et standard (svært/usvært)kodeord til alt og alle, og tror de er sikre pga. de ikke er på den "offentligtgjorte liste".
For hvor fedt er det lige at folk tror de er uden for farer fordi deres username ikke er på listen, men hvor tgg/roy reelt har hashen og derved kan finde kodeordet stadigt - hvis de da ikke allerede har det?
Bevares, de skriver i formularen til oprettelse af brugere at oplysningerne er "fortrolige", men det er indholdet af en konvolut også. Det betyder ikke at man skal regne med det er pisse svært at rive sådan en konvolut op og læse brevet inden i hvis man virkelig ville, så man skal tilsvarende heller ikke tro man kan genbruge ens passwords 117 andre steder. Newz.dk har, så vidt jeg ved, ikke lovet at deres "konvolutter" på nogen måde er mere holdbare end papir.
Hacket var også til gene for mig, også mere end nødvendigt da jeg genbrugte passwordet, men mit var et jeg brugte til andre *ligegyldige* ting. Det var altså et junkpassword, ligesom jeg har en junkemail. Et kompromis mellem at skulle huske 117 forskellige passwords til mestendels ligegyldige fora og lign., og ikke at genbruge passwords for ting "that matters".
Nu bruger jeg et program til at holde alle mine keys krypteret som jeg kan copypaste dem ud af.
Skyld?
TGG, ene og alene.
Hvem der kunne gøre mest for at forhindre det?
1. TGG
2. Newz.dk
3. brugeren
I den rækkefølge.
Hacket var også til gene for mig, også mere end nødvendigt da jeg genbrugte passwordet, men mit var et jeg brugte til andre *ligegyldige* ting. Det var altså et junkpassword, ligesom jeg har en junkemail. Et kompromis mellem at skulle huske 117 forskellige passwords til mestendels ligegyldige fora og lign., og ikke at genbruge passwords for ting "that matters".
Nu bruger jeg et program til at holde alle mine keys krypteret som jeg kan copypaste dem ud af.
Skyld?
TGG, ene og alene.
Hvem der kunne gøre mest for at forhindre det?
1. TGG
2. Newz.dk
3. brugeren
I den rækkefølge.
Fuck IP adressen da?.
I sidder da vel alle bag nat routere, hvis i har kabel eller DSL.
Så medmindre i skødesløst har mappet alle porte til jeres computer, så behøver i da ikke være paranoide over nogen der kender jeres IP.
Jeg står i telefonbogen, og folk må da gerne få min IP. Er sgu ikke mere paranoid på grund af TGG svanserne.
I sidder da vel alle bag nat routere, hvis i har kabel eller DSL.
Så medmindre i skødesløst har mappet alle porte til jeres computer, så behøver i da ikke være paranoide over nogen der kender jeres IP.
Jeg står i telefonbogen, og folk må da gerne få min IP. Er sgu ikke mere paranoid på grund af TGG svanserne.
Jeg ER paranoid omkring min ip.
Den er mere hellig end den hellige gral!
Nu er det et valg om man vil stå i telefonbogen eller ej. Jeg - og andre- har ikke fået dette valg her. Offentliggør venligst alle de hemmelige telefonnumre, og se hvilket rammaskrig dette ville give.
Man kan jo se på andre lign. sager i samfundet:
En datacd(er) med 25'millioner britters cprnummer og lønkonti.
Datatilsynet raser over kommuners person praksis (http://www.itbranchen.dk/art/42777?cid=2&q=Offentlig_it-arkitektur&a=cid&i=2&o=3&pos=4)
Hvor går DIN grænse for hvad der er personligt for dig?
Er DIN addresse hemmelig?
Kan du komme på nogen der bare på nogen måde vil have gavn af din ip adresse?
Hvad er slemmest?
At de har din ipaddresse, dit cprnummer, telefonnummer, hjemmeaddresse, lønkonto eller sågar din bankkode?
Pointen er at vi sikkert alle er forskellige med hvad der er mest ømme for os hver især. Du kan ikke lide softwarepatenter - Jeg fortrækker den udemærket anonymitet internettet faktisk kan give mig - hvis det da ikke lige var for newz.dk og tgg...
Den er mere hellig end den hellige gral!
Nu er det et valg om man vil stå i telefonbogen eller ej. Jeg - og andre- har ikke fået dette valg her. Offentliggør venligst alle de hemmelige telefonnumre, og se hvilket rammaskrig dette ville give.
Man kan jo se på andre lign. sager i samfundet:
En datacd(er) med 25'millioner britters cprnummer og lønkonti.
Datatilsynet raser over kommuners person praksis (http://www.itbranchen.dk/art/42777?cid=2&q=Offentlig_it-arkitektur&a=cid&i=2&o=3&pos=4)
Hvor går DIN grænse for hvad der er personligt for dig?
Er DIN addresse hemmelig?
Kan du komme på nogen der bare på nogen måde vil have gavn af din ip adresse?
Hvad er slemmest?
At de har din ipaddresse, dit cprnummer, telefonnummer, hjemmeaddresse, lønkonto eller sågar din bankkode?
Pointen er at vi sikkert alle er forskellige med hvad der er mest ømme for os hver især. Du kan ikke lide softwarepatenter - Jeg fortrækker den udemærket anonymitet internettet faktisk kan give mig - hvis det da ikke lige var for newz.dk og tgg...
Heldigvis har jeg ikke brugt mit password andre steder, nu hvor jeg er blandt dem som er blevet offentligtgjort... netop fordi jeg havde en anelse om det stod skidt til med sikkerheden herinde...
Uanset hvad så er det utilgiveligt newz.dk!
... og farveller iøvrigt
Uanset hvad så er det utilgiveligt newz.dk!
... og farveller iøvrigt
Det værste ved det her er, at en person potentielt set har kunnet udnytte ens user og pass i omkring 5 måneder uden man har vidst det...
Hvis man er bevidst om at der er/har været fejl, der gør folk i stand til at hugge logininformationer (eller andre exploits), bør man da tydeligt underrette de berørte folk så hurtigt som muligt!
men så er det vidst heller ikke værre.
Hvis man er bevidst om at der er/har været fejl, der gør folk i stand til at hugge logininformationer (eller andre exploits), bør man da tydeligt underrette de berørte folk så hurtigt som muligt!
men så er det vidst heller ikke værre.
Naar men jeg ventede lidt over et doegn paa at Newz.dk ville sende en mail ud til de ramte brugere, men der skete jo aldrig.... Beklager Newz.dk, men saa maa vi jo selv tage affaere.
<Mass mail sent>
Jeg har sendt en mail til alle de personer som havde deres email adresse liggende paa TGG's blog.
Det kan godt vaere jeg bliver vaeldig "populaer" nu, men det er der altsaa ikke noget at goere ved (: I flammer mig bare (:
Broedbaek
<Mass mail sent>
Jeg har sendt en mail til alle de personer som havde deres email adresse liggende paa TGG's blog.
Det kan godt vaere jeg bliver vaeldig "populaer" nu, men det er der altsaa ikke noget at goere ved (: I flammer mig bare (:
Broedbaek
Ja, jeg kan se at min gamle password var også i listen, heldigvis er alle mine passwords blevet ændret siden jeg fik gang i det programs om er tidligere nævnt, nemlig KeePass, som er en nem og sikker (disclaim: alting er relative) måde at passe på alle sine passwords, og så kan den nemt generate en random password, som jeg har brugt siden jeg fik den :)
Men glæder mig til at læse i avisen at de 12 årige småbørn fra TGG har fået beslaglagt deres små 'puters, og har fået husarrest i et år. Det bliver en god da...taber.
Som der er nævnet, de har intet med Blackhats at gøre overhovedet, blot noget scriptkids som leger.
PS. Og får i forvejen spam på mine emails, elsker mine junkmail filters, så ligeglad angående det :)
Men glæder mig til at læse i avisen at de 12 årige småbørn fra TGG har fået beslaglagt deres små 'puters, og har fået husarrest i et år. Det bliver en god da...taber.
Som der er nævnet, de har intet med Blackhats at gøre overhovedet, blot noget scriptkids som leger.
PS. Og får i forvejen spam på mine emails, elsker mine junkmail filters, så ligeglad angående det :)
Kan ikke lige komme på nogen indlysende grund til at TGG skal komme med nazistiske hilsener, samtidigt med at de nedvurderer alle Newz.dk brugere i et ganske farverigt sprog - men når selve handlingen giver mening for dem, så følger den tossede logik vel dem hele vejen.
Enhver, der sidder juleaften, og spilder tiden på at genere andre på den her måde, burde seriøst overveje deres prioriteter.
Enhver, der sidder juleaften, og spilder tiden på at genere andre på den her måde, burde seriøst overveje deres prioriteter.
193
Maaske fordi du ikke er paa listen? (:
Det skal lige siges, at jeg fik en del bauncebacks...
Broedbaek
Maaske fordi du ikke er paa listen? (:
Det skal lige siges, at jeg fik en del bauncebacks...
Broedbaek
Men det ville fandme værer mere prof at det var newz.dk der selv sendte den ud, da de nok har den FULDE liste fra de 5mdr siden..
hmm, brugte easy mass mailer 1.8.... har over 300 bouncebacks plus der var en del adresser der slet ikke kunne sendes til.
Anyway, har da faaet bekraeftning paa at nogle af dem i det mindste kom frem og blev laest (: Godnat.
Broedbaek
Anyway, har da faaet bekraeftning paa at nogle af dem i det mindste kom frem og blev laest (: Godnat.
Broedbaek
Det var da irriterende for os brugere. Nogle mere eller mindre for andre brugere. Alt efter, hvor artige de har været, til at udfylde deres brugerprofil med oplysninger.
At skifte password igen, var ikke det store problem.
Men vi lever i en digital verden (for at bruge en tyndslidt floskel), og vi giver nogle stumper oplysninger, hist og pist. Og op til juletid, og juleaften, sker der en del tyverier og indbrud. Ikke dermed sagt, at så burde man ha' set det komme for newz.dk, eller andre internetsider. Det kom vist bag på alle.
På en hjemmeside, man bruger tit mht. forums osv, hvor man går og hygger sig blandt andre, og har det godt, så er det måske en naturlig udviklig,at man giver lidt mere af sig selv. Altså indtaster flere og flere personlige oplysninger, efterhånden som man føler sig hjemme.
Og uheldigt for newz.dk. De har måske fået stjålet nogle computere. Har ikke kendskab til detaljerne, hvordan de lister er forsvundet, idet jeg fik travlt med at ændre password.
Nå, men godt nytår allesammen. Og pas på jer selv, og jeres data i det nye år.
At skifte password igen, var ikke det store problem.
Men vi lever i en digital verden (for at bruge en tyndslidt floskel), og vi giver nogle stumper oplysninger, hist og pist. Og op til juletid, og juleaften, sker der en del tyverier og indbrud. Ikke dermed sagt, at så burde man ha' set det komme for newz.dk, eller andre internetsider. Det kom vist bag på alle.
På en hjemmeside, man bruger tit mht. forums osv, hvor man går og hygger sig blandt andre, og har det godt, så er det måske en naturlig udviklig,at man giver lidt mere af sig selv. Altså indtaster flere og flere personlige oplysninger, efterhånden som man føler sig hjemme.
Og uheldigt for newz.dk. De har måske fået stjålet nogle computere. Har ikke kendskab til detaljerne, hvordan de lister er forsvundet, idet jeg fik travlt med at ændre password.
Nå, men godt nytår allesammen. Og pas på jer selv, og jeres data i det nye år.
Det, jeg finder mest kritisabelt ved hele denne historie, er, at newz.dk efter 36 timer stadig ikke selv har informeret brugerne om, at folks passwords måske er faldet i de forkerte hænder.
Hvorfor er det en menig bruger som broedbaek (forresten tak for hintet), der skal gøre det arbejde for jer?
Forventer I virkelig, at vi sidder og checker newz.dk hver dag?
Tidligere i tråden var der nogen, der skrev, at det er folks egen skyld, at de har svage passwords. Jeg ved ikke med jer andre, men jeg gider altså ikke huske 117 forskellige stærke passwords til ligegyldige sites, der kræver et password, men hvor jeg i princippet er ligeglad med, om folk skriver i mit navn. Derfor har jeg 5-6 svage passwords som jeg bruger til den slags sites. "foobar" var tidligere et af dem. Det er det ikke længere, hverken her eller på andre sites.
Det er selvfølgelig overhoved ikke de samme passwords, jeg bruger til min egen maskine, min bank eller andre vigtige ting.
Hvorfor er det en menig bruger som broedbaek (forresten tak for hintet), der skal gøre det arbejde for jer?
Forventer I virkelig, at vi sidder og checker newz.dk hver dag?
Tidligere i tråden var der nogen, der skrev, at det er folks egen skyld, at de har svage passwords. Jeg ved ikke med jer andre, men jeg gider altså ikke huske 117 forskellige stærke passwords til ligegyldige sites, der kræver et password, men hvor jeg i princippet er ligeglad med, om folk skriver i mit navn. Derfor har jeg 5-6 svage passwords som jeg bruger til den slags sites. "foobar" var tidligere et af dem. Det er det ikke længere, hverken her eller på andre sites.
Det er selvfølgelig overhoved ikke de samme passwords, jeg bruger til min egen maskine, min bank eller andre vigtige ting.
#182 Nej. IP adresser er ikke private. Ikke engang personlige. De tilhører netblok ejeren, og denne kan slås op af hvem som helst i online databaser.
I øvrigt vil jeg ikke tro at der er nogen der er snedig nok til at bruge et stærkt password og samtidgt dumme nok til at antage at TGG ike kan bruteforce det på 6 måneder (hvis det var det de ville, hvilket der ikke er meget der tyder på).
#183 Inden du roder dig ud i en debat om hvem der er ofret og medskyldige ville det gavne dig at læse staffeloven. Du har forsætligt valgt et svagt password, men newz.dk har ikke forsætligt lavet en fejl i deres system. Uanset hvor fortørnet du kan være over at oplysninger du betragter som værende fortrolige er røget på nettet, så er der ikke en domer i landet der ville straffe newz.dk for medlagtighed.
#192 Det er jo sådan nogle ting man gør i den alder. I virkeligheden tror jeg de skal være glad for at dette ikke var noget de gjorde i førens tid. Især da de tilsyneladende ikke er snedige nok til ikke at blive opdaget.
I øvrigt vil jeg ikke tro at der er nogen der er snedig nok til at bruge et stærkt password og samtidgt dumme nok til at antage at TGG ike kan bruteforce det på 6 måneder (hvis det var det de ville, hvilket der ikke er meget der tyder på).
#183 Inden du roder dig ud i en debat om hvem der er ofret og medskyldige ville det gavne dig at læse staffeloven. Du har forsætligt valgt et svagt password, men newz.dk har ikke forsætligt lavet en fejl i deres system. Uanset hvor fortørnet du kan være over at oplysninger du betragter som værende fortrolige er røget på nettet, så er der ikke en domer i landet der ville straffe newz.dk for medlagtighed.
#192 Det er jo sådan nogle ting man gør i den alder. I virkeligheden tror jeg de skal være glad for at dette ikke var noget de gjorde i førens tid. Især da de tilsyneladende ikke er snedige nok til ikke at blive opdaget.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund