Netsundhedsplejerske.dk



Sundheds-hjemmeside hacket: Kodeord opbevaret som klartekst

Via Version2 - , indsendt af arne_v

Brevkassen Netsundhedsplejerske.dk er blevet hacket af ukendte gerningsmænd. Brugernes e-mail-adresser og kodeord blev således lækket i februar.

Det er et problem, blandt andet fordi kodeordene blev opbevaret i klartekst.

Det er specielt et problem med ukrypterede kodeord i klartekst, hvis en bruger har det samme password flere steder.

At kodeordene ligger som klartekst betyder også, at sidens administratorer kan se brugernes kodeord. Normalvis løses det problem ved at hashe kodeord, det vil sige køre kodeordet igennem en algoritme, som krypterer kodeordet.

Hjemmesiden fungerer som brevkasse, hvor brugerne kan skrive til sundhedsplejersken Helen Lyng Hansen. Tdligere opgørelser viser, at sitet næsten har 75.000 månedlige brugere.

Heini Hansen, hjemmesidens administrator og Helens mand, siger, at de underettede alle deres brugere, da de fandt ud af, at sitet var blevet hacket og nulstillede alles kodeord.

Det nævnes dog ikke, om de nye kodeord ligger som klartekst, eller hvorfor det var tilfældet med de gamle kodeord. Han vil helst ikke gå for meget i detaljer omkring hjemmesiden, da de frygter flere angreb.

Betalingsdelen af sitet er underlagt en anden tjeneste og skulle ikke være kompromitteret.

Lækket af brugernes kodeord og e-mails blev opdaget, da en bruger brugte Troy Hunts tjeneste “Have I been pwned”, der for nylig blev opdateret til at dække 500 millioner lækkede passwords.

 





Gå til bund
Gravatar

#1 kgp43 9. mar. 2018 06:55

Der burde være lovgivning på dette område, som giver bødestraf hvis kodeord gemmes ukrypteret.

Gravatar

#2 CableCat 9. mar. 2018 19:27

Hjemmesiden www.emailkonsultation.dk opbevare også deres kodeord i klartekst. Jeg kunne få mit kodeord advide af min læge (for en del år siden, det kan være ændret).
Standardisering gennem tvang, giver frihed.
Gravatar

#3 arne_v 10. mar. 2018 01:36

#2

At du kan få det gamle kodeord at vide betyder at det ikke opbevares hashet men enten klartekst *eller* krypteret.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#4 arne_v 10. mar. 2018 01:39

#1

Jeg vil sige hvis gemmes som andet end hashet.

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#5 CableCat 12. mar. 2018 12:07

Man kan bruge public/private key. Hvis private key'en er gemt offline. På den måde har man mulighed for at omlægge sit password system. Uden at forstyre brugerne. hvilket øger sandsynlighed for at man faktisk får det gjort, når det er nødvendigt.
Standardisering gennem tvang, giver frihed.
Gravatar

#6 arne_v 12. mar. 2018 17:54

#5

Altså i tilfælde af at et web site har haft dårlig sikkerhed som har tilladt de sorte hatte at hapse bruger databasen, så skal vi stole på at samme web site har så god sikkerhed at den private nøgle som skulle være offline faktisk også er det?
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login