Tag Archives: Gmail

Svenska e-postadresser läckta från populär porrsida

Alltid Nyheter, Sveriges Radios nyhetskanal på nätet, hörde av sig till mig igår och undrade om jag kunde svara på lite frågor angående en tråd på Flashback. I tråden berättade en tipsare något väldigt intressant: På en chattserver som under porrsajten YouPorn fanns e-postadresser och lösenord för samtliga registrerade användare sedan 2007 helt okrypterade och öppet tillgänligt utan annat skydd än att de låg i en olänkad mapp.

Om man tittar på tillgängliga data så verkar det som om slarviga programmerare av misstag (eller?) lämnade kvar debugloggning på en öppen URL redan i november 2007. Där har alla registreringar lagrats sedan dess.

Loggarna hittades antagligen av ren tur igår av någon som letade på sidor efter just olänkade mappar på jakt efter pornografi eller just användbart material som det som nu har läckt ut. Det är ett inte helt ovanligt tillvägagångssätt och ofta är det ganska enkelt att gissa sig till namnet på olänkade mappar.

Servern togs snabbt ned av administratörerna, men skadan verkar redan vara skedd – uppgifterna finns redan ute. Det rör sig om uppåt 1,4 miljoner adresser från hela världen och de lösenord de angivit för att logga in på sidan.

Omkring 1400 adresser hade ändelsen .se och får väl anses vara bevisat svenska, men eftersom de allra flesta idag använder adresser från Hotmail och Gmail så är det verkliga antalet berörda svenskar sannolikt mycket högre.

Så vad kan man göra med en läckt e-postadress? Det första och minsta problemet är att det är ganska känsligt med porrsidor, de flesta vill nog hålla sina besök hemliga. Det finns av den anledningen en utpressningsrisk, men den är extremt liten.

Det riktigt stora problemet med det här är att adresserna har läckt ut tillsammans med lösenord. Det är nämligen förvånansvärt många människor som rutinmässigt använder samma lösenord till mängder av olika tjänster. I värsta fall kan alltså den som lägger rabarber på informationen komma åt dessa personers e-post eller Facebook, i annat fall andra tjänster.

Just detta har även hänt här. Hackare har redan börjat gå igenom listorna, och hittat Facebook-konton och e-post de kan komma in på, och har börjat publicera intima bilder som hittats i olika personers e-post.

Som jag skrivit många gånger förr är det oftast e-postkontot som är det viktigaste målet. Kommer man åt ditt e-postkonto är det lätt att komma åt annan information om dig. Den kan till exempel användas för phishing och att stjäla pengar, men man kan också enkelt begära nya lösenord till mängder av andra sidor och registrera nya. Är kaparen skicklig så märker du troligtvis inte heller av att kontot är hackat förrän andra konstiga saker börjar hända.

För ett företag är läckor som denna nästan värre än att få sin sajt hackad, vilket hände porrsajten Brazzers tidigare i år. Troligen sker läckor som denna oftare än vi tror, helt vanliga företag utan porrkopplingar utan att det skrivs värst mycket om det, just för att pornografi är ett känsligt ämne.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Tunisien övervakar Facebook

Via Slashdot.org hittade jag en artikel på Fastcompany.com om att den Tunisiska regeringen övervakar sina medborgare på Facebook. Varför misstänker man övervakning? Jo, tunisiska ISP:er visade sig köra ett Javaskript som stjäl användaruppgifter till olika konton ibland annat sociala medier.

Det här ska vara ett led i myndigheternas kamp för att stävja de kravaller som uppstått på grund av arbetslöshet och hunger.

Tabnapping – ny form av nätfiske

Det är cirka tio år sedan den första webbläsaren med tabs, alltså flikar, dök upp. Nu har gränssnittsexperten Aza Raskin på Firefox upptäckt ett nytt sätt att utnyttja dem för nya äventyr inom den sociala ingenjörskonsten.

Enkelt utryckt fungerar det så att du lämnar en infekterad sida öppen i en flik medan du gör annat i andra flikar. Då tar den tillfället i akt och byter innehåll på den inaktiva fliken – förslagsvis till något som ser väldigt mycket ut som en inloggningssida till Facebook eller Gmail eller liknande. Minnet är som bekant kort och risken stor att man antar att man helt enkelt blivit utloggad från en sajt och snällt försöker logga in igen.

Det här är ett mycket smart men enkelt och troligen effektivt sätt att komma över inloggningsuppgifter och därmed mängder av känslig information. Det är även som många skrivit tidigare svårt att göra något åt problemet med mindre än att Javaskript stängs av i webbläsaren, vilket gör att de sidor som använder javaskript slutar fungera – och det är många. Däremot så rekommenderar jag tillägget NoScript om man använder sig av Firefox. Då kan man enkelt välja per webbsida när javaskript ska tillåtas.

Om tekniken har använts i verkligheten än, det låter jag vara osagt, men Raskin har släppt ut anden ur flaskan med sitt avslöjande. Nu får vi hoppas att webbläsarföretagen gör något åt svagheten innan nätfiskeflottan börjar använda metoden på allvar.

Ett sätt att skydda sig nämns i kommentarfältet till PC för allas artikel – att använda ett program för lösenordshantering som håller koll på att du verkligen befinner dig på rätt adress innan den matar in några uppgifter.

Läs mer på Scam detectives, The Register och PC För Alla.