Hacker sikret seg 32 millioner kontoer

- 3 av 10 nettsteder lagrer passord i ren tekst.

Rockyou.com ble nylig tappet for over 32 millioner brukerkontoer, etter først å ha blitt advart om en alvorlig sårbarhet av sikkerhetsselskapet Imperva.

Nettjenesten leverer applikasjoner til sosiale nettverk som Facebook og Myspace.

Advarselen gjorde hackeren bak stuntet oppmerksom på svakheten. Ved hjelp av et angrep kjent som SQL-injisering fisket han enkelt ut opplysningene.

Alt viste seg å være lagret i ren tekst.

- Håpløst amatørmessig. Det er til sammen 32.603.388 kunder. Passordene er lagret i ren tekst og jeg er sikker på at over halvparten av kontoene fungerer med Myspace og andre nettsteder, skriver hackeren som kaller seg «Igigi» i et blogginnlegg.

Det er kjent at mange brukere benytter samme brukernavn og passord i forskjellige nettjenester. Det er en enorm sikkerhetsrisiko.

- Tell hvor mange av disse som benytter betalingstjenesten PayPal. Hvis bare ti prosent har konto hos dem, og jeg bare tar 10 dollar fra hver enkelt, så ville det blitt en fin sum, sier hackeren i et intervju med nettstedet ReadWriteWeb.

Hackeren hevder han selv jobber i sikkerhetsbransjen, og ikke har til hensikt å publisere eller utnytte brukeropplysningene.

Nå er han en jaget mann, men mener selv han ikke har gjort noe galt.

- Det er Rockyou som burde bli tatt, fordi de har utsatt disse menneskene for fare. Jeg gjorde dette for å illustrere et poeng.

Det skal ikke ha vært første gang «Igigi» har hacket nettsteder. I intervjuet sier han at så mange som hvert tredje nettsted lagrer brukeropplysninger i ren tekst.

I stedet burde nettstedene benytte tredjepartstjenester som Facebook, Google, OpenID eller OAuth for å autentisere brukere, fortsetter han.

Videre anbefaler han nettsteder som lagrer personopplysninger å beskytte dataene med sikkerhetsstandarder som PCI-DSS (Payment Card Industry Data Security Standard) eller saltede hashverdier.

Til toppen