The exposed information contains e-mail addresses and passwords. This information can be used to identify porn consumers, but for some users more than a reputation is at stake.

It is common knowledge that even today a surprisingly large portion of Internet users use the same passwords for many (or all) of the services they use on the Internet, whether it is e-mail accounts, Facebook, PayPal, or other services.

For a security professional it is baffling how coders working on a website with such sensitive content can make mistakes of this magnitude. Allegedly hundreds of megabytes of data has been secured by people with unknown goals. Cyber criminals can easily go through these e-mail addresses and match them with passwords and this way gain access to e-mail accounts. Once they are in, they can secure even more sensitive information to use in phishing attacks, theft, or fraud.

It is difficult not to compare this case with the hacking of porn site Brazzers earlier this year, even though in this case the site wasn’t hacked.

Looking at the data, it seems like a careless programmer accidentally(?!) left debug logging on to a publicly accessible URL as early as November 2007, and it has been storing all registrations ever since.

Yesterday, it was found, probably by ”accident” by someone sweeping websites for publicly accessible, but non-linked (”hidden”) folders, looking for.. either porn or sensitive material like this, and struck gold.

Hackers have already started going through the lists, checking which users have the same password for e-mail or Facebook, and have posted some intimate pictures found in some users sent/received e-mail.

For more information, contact: blog@eurosecure.com

Om man tittar på tillgängliga data så verkar det som om slarviga programmerare av misstag (eller?) lämnade kvar debugloggning på en öppen URL redan i november 2007. Där har alla registreringar lagrats sedan dess.

Loggarna hittades antagligen av ren tur igår av någon som letade på sidor efter just olänkade mappar på jakt efter pornografi eller just användbart material som det som nu har läckt ut. Det är ett inte helt ovanligt tillvägagångssätt och ofta är det ganska enkelt att gissa sig till namnet på olänkade mappar.

Servern togs snabbt ned av administratörerna, men skadan verkar redan vara skedd – uppgifterna finns redan ute. Det rör sig om uppåt 1,4 miljoner adresser från hela världen och de lösenord de angivit för att logga in på sidan.

Omkring 1400 adresser hade ändelsen .se och får väl anses vara bevisat svenska, men eftersom de allra flesta idag använder adresser från Hotmail och Gmail så är det verkliga antalet berörda svenskar sannolikt mycket högre.

Så vad kan man göra med en läckt e-postadress? Det första och minsta problemet är att det är ganska känsligt med porrsidor, de flesta vill nog hålla sina besök hemliga. Det finns av den anledningen en utpressningsrisk, men den är extremt liten.

Det riktigt stora problemet med det här är att adresserna har läckt ut tillsammans med lösenord. Det är nämligen förvånansvärt många människor som rutinmässigt använder samma lösenord till mängder av olika tjänster. I värsta fall kan alltså den som lägger rabarber på informationen komma åt dessa personers e-post eller Facebook, i annat fall andra tjänster.

Just detta har även hänt här. Hackare har redan börjat gå igenom listorna, och hittat Facebook-konton och e-post de kan komma in på, och har börjat publicera intima bilder som hittats i olika personers e-post.

Som jag skrivit många gånger förr är det oftast e-postkontot som är det viktigaste målet. Kommer man åt ditt e-postkonto är det lätt att komma åt annan information om dig. Den kan till exempel användas för phishing och att stjäla pengar, men man kan också enkelt begära nya lösenord till mängder av andra sidor och registrera nya. Är kaparen skicklig så märker du troligtvis inte heller av att kontot är hackat förrän andra konstiga saker börjar hända.

För ett företag är läckor som denna nästan värre än att få sin sajt hackad, vilket hände porrsajten Brazzers tidigare i år. Troligen sker läckor som denna oftare än vi tror, helt vanliga företag utan porrkopplingar utan att det skrivs värst mycket om det, just för att pornografi är ett känsligt ämne.

Nu är det inte så enkelt att man kan ladda ned ett sånt verktyg och börja skjuta vilt omkring sig mot företag som förargat en på något sätt. Den som använder verktyg som Hoic eller föregångaren Loic upplåter oftast egentligen bara sin dator som nod för att delta i en attack, som en frivillig del i ett tillfälligt botnät. En ensam dator med verktyget kan inte göra så mycket skada, dock naturligtvis beroende på vilka ”attackskript” (”boosters”) man använder.

Hoics föregångare Loic användes i Anonymous attack mot Paypal i somras. Redan den var effektiv, så det är helt självklart att den kraftfullare storebrorsan Hoic kan ställa till med stor (tillfällig) skada. Ett varningens ord: den som till äventyrs får för sig att det vore en bra idé att ladda ner Hoic och bidra till en attack bör tänka en gång till, risken att åka fast är inte obefintlig även om den är liten.

DDoS-attacker har blivit ganska vanliga som protestform i olika grupper och det kommer antagligen att bli värre. Angrepp mot myndigheter och företag är naturligtvis allvarliga och väldigt svåra att stoppa och skydda sig mot, men jag rekommenderar ändå den briljanta xkcd-strippen nedan för ytterligare lite perspektiv.

Glad alla hjärtans dag på er!

HTML/ScrInject.B är ett samlingsnamn för Html-sidor som innehåller bland annat iframe-taggar som skickar webbläsaren till skadlig kod.

HTML/ScrInject.B var inte bara största hotet i Sverige utan i både Europa och världen. Den stora ökningen kan ha att göra med en topp i Internetanvändandet under julhelgerna. Det brukar gå att se ett samband mellan vissa typer av hot och ett ökat surfande inför jul som kommer igång någon gång i november.

ESET:s Daniel Novomesky tror att ökningen även kan ha att göra med att fler och fler aktörer försöker sprida skadlig kod med hjälp av ”vuxeninnehåll”, en mycket vanlig strategi.

Ytligt sett är nummer två på listan, HTML/Iframe.B, ungefär samma sak.

Win32/Toggle är en så kallad PUA, Potentially Unwanted Application, det vill säga mjukvara du antagligen inte vill ha. I detta fall är det OpenCandy som ligger bakom.

OpenCandy kan man komma i kontakt med när man installerar en rad olika program, oftast freeware, när man får alternativet att installera till exempel en toolbar. Irritationen blir stor när man snabbklickar sig igenom installationen och missar att tacka nej till värdelös mjukvara som är svår att bli av med.

Detektionen Win32/HackKMS är ett crackverktyg eller en keygen. Hotet är inte av det allvarligare slaget, utan finns också listat som PUA (se ovan).

Win32/Agent.SDF.Gen är en trojan som kan skapa en autorun.inf-fil i rotkatalogen och därigenom köra sig själv automatiskt och kopiera och sprida sig.

Vad kan jag säga? Passa på!

Ett problem med avtal som Acta är att det nästan krävs specialkunskaper för att orka sätta sig in i problematiken. Vilka beslutar vad om vem? Och varför? Och varför ett handelsavtal?

Har man inte ett starkt och personligt förhållande till nätet är det kanske svårt att ta Acta personligt, men det är ett avtal som kan komma att påverka oss alla i allra högsta grad.

I Rapports bilder från demonstrationerna framgår det tydligt att det är en ung generation som är ute på gatorna (även om det fanns undantag också, i form av anonymormor). Kanske har de äldre och mer etablerade generationerna redan demonstrerat klart, kanske orkar eller vill de inte tro att de olika avtal som diskuteras faktiskt kan ha oönskade konsekvenser.

Problemet när en motståndsrörelse känns ung är att den kan avfärdas som just ung. Det är lätt för den generation som klättrat lite högre i hierarkierna att bara se protesterande ungdomar. Kanske har det att göra med skillnaden mellan de som ser nätet som ett praktiskt sätt att betala räkningar och de som har tillbringat en stor del av sin uppväxt där? De förstnämnda har lättare att bortse från huvudfrågan – ska vi verkligen ha spelare på planen som mer än de andra får diktera villkoren under pågående match – medan de andra ser en stor del av livsrummet stå på spel.

Har du inte läst så mycket om Acta så gjorde PR Nyhetsguiden ett väldigt begripligt inslag med röster från både för- och emotsidan tidigare idag.

Lyssna: Valeria: ”Vi ska tänka på saken, sedan ska vi rösta ja eller nej”

Attacken utfördes (i alla fall till viss del) av ett skript på en hemsida som skapade flera samtidiga anslutningar till regeringens hemsida:

Så länge som besökaren har den hemsidan uppe så öppnas fler och fler anslutningar till regeringens hemsida. Om tillräckligt många personer har den sidan öppen samtidigt så blir det så många förfrågningar mot den attackerade hemsidan, att den inte längre klarar av all trafik, vilket även hände med regeringens hemsida:

Tillsammans med meddelanden på Twitter om att attacken inletts finns en länk till en av sidorna där attacken körs. På så sätt kan många kanske ovetandes bli en del av attacken:

The moment for fight is RIGHT NOW #acta #anonfamily lazooors are on TARGET: regeringen.se #anonhive http://länk #svpol #anonymous

Efter att regeringen.se varit otillgänglig ett par gånger under dagen följdes det upp med mer kritik mot Acta:

Regeringen.se TANGO DOWN for second time today, Bildt, Ask, Rheinfeldt u are FIRED. Take ur #acta and get the fuck out!

Det var främst en sida på blogg.se som användes för attackerna, men tidigare har AnonOpsSweden även lagt ut fler länkar där man kan ”hjälpa till att attackera”:

Där ser man en lista på några hemsidor som har blivit hackade, och de har lagt in extra sidor där ”attackskriptet” finns. En intressant sak är att alla tre hemsidor som blivit hackade, tillhör olika hunduppfödare och kennlar! Alla tre hemsidor ligger även hos webbhotellet One.com.

Förmodligen så har de lyckats tagit sig in på deras hemsidor genom att de har haft samma lösenord på One.com, som de har haft på någon annan hemsida som blivit hackad, t.ex. bloggtoppen.se förra året. Genom att kolla upp de e-postadresser och lösenord som spridits kan de ta sig in på personernas e-postkonton om de har använt samma lösenord där. På så sätt kan de sedan ta sig vidare till deras webbhotell, antingen om de åter igen har samma lösenord, eller om de har kvar inloggningsuppgifter från webbhotellet i sin gamla e-post.

Varför de valde just tre hundsidor vet jag dock inte..

Endpoint security är som alla ESET:s program snabba och påverkar systemets prestanda minimalt. Med Endpoint Security tar ESET traditionen med snabba program vidare genom att använda vitlistning av filer som kontrolleras mot en ryktesdatabas.

Detta och mycket annat ingår: