Prisjakt hackat – användaruppgifter på vift

Fått svar ifrån Prisjakt:

" Hej,

Tack för ditt mejl.

Vi ber återigen om ursäkt för det inträffade.
Vi ser allvarligt på det här och det faktum att det har inträffat är beklagligt både för oss och våra användare.
Vi utvecklar ständigt vårt IT-säkerhetsarbete, det är en viktig fråga för oss. Intrånget är nu polisanmält.
Vi har inte kunnat hitta något som tyder på att inkräktarna kommit över lösenord. Prisjakt sparar inte lösenord i klartext.
Om du så kan jag byta mejladress åt dig för ditt konto?

Det inträffade då någon fått tag i anställds kontouppgifter på ett otillbörligt sätt.

Men då e-post adresser läckt ut, behöver du uppdatera dina lösenord. Kan du göra det omgående?

Prisjakt har nu gått ut med information:
https://www.prisjakt.nu/nyhet.php?n=424

Hör av dig om du har frågor, så hjälper jag dig vidare.

Återigen vi beklagar det som inträffat!

Vänliga hälsningar
Sandra

Prisjakt Support Sverige"

Så ja, med största sannolikhet eller rättare sagt mest troligen har väl även lösenord blivit hackade. Gör kanske inte så stor skada med ett hackat prisjakt konto iofs, men använder man samma e-post samt samma lösenord på flera olika ställen så är ju risken också desto större att även där bli drabbad - kanske då med större minus. Ja, ni förstår alla själva.. Så säkrast är väl om man nu använder samma inloggningsuppgifter, e-post samt lösenord, på andra ställen att även ändra/uppdatera dem.

Vill ge er ett tips. Kör xxxxxxxxxxx-PINKOD
sen byter ni bara pinkoden ibland

Alltid kört VPN och 'krånglat till' min närvaro på nätet och olika lösen på de FÅ siter jag faktiskt signar upp på. Min filosofi har alltid varit "Bättre försiktig innan än ledsen efter". Alltid fått höra; "Har man inget att dölja så.." "Är man inte pedofil/terrorist/fildelare så.."

Moving on..

Hur då? Dom har ju inte lösenordet till ditt mailkonto.

Lösenorden i Lastpass är starkt krypterade och inte ens de på Lastpass har ditt masterlösenord så de kan ej dekryptera dina lösenord. All kryptering och dekryptering av lösenorden sker lokalt på din dator.

Använder KeePass som bara sparar saker lokalt på datorn av just denna anledning. Vågar inte använda en lösenordstjänst där mina lösenord sparas i "molnet".

Det förvånar mig väldigt mycket att så många här på Sweclockers säger att de inte kör med någon passwordmanager. Nog trodde jag att den allmänna kompetensen här var bättre än så?

Tex har jag själv inloggningar på ca 250 (normalt för de flesta) olika sajter och utan en passwordmanager så hade det varit helt omöjligt att ha unika och svåra lösenord på alla de sajterna.

Se nu till att höja säkerheten en gång för alla och skaffa en passwordmanager om ni inte har det. I Lastpass tex kan man göra en säkerhetsgenomgång av alla sparade lösenord och få varningar för svaga, enkla eller gamla lösenord samt varning om någon av dina sparade sajter har blivit hackade. Har man väl gått igenom allt så har man ett bra skydd. Varje gång man ska ha nytt lösenord så genererar man ett långt och komplext i Lastpass så man alltid har svåra och unika lösenord på varje sajt.

Ett måste är även två-faktor login på de viktigaste kontona som mail osv, likt bankdosa. Finns för flera av de vanligaste mailtjänsterna som Gmail, Outlook osv.

Och om du får en hårddiskkrasch?

De lösenord som sparas i molnet är starkt krypterade och inte ens de som har hand om tjänsten kan dekryptera dina lösenord då all kryptering och dekryptering sker lokalt på din dator.

Menar du även att du har bättre IT-säkerhet hemma än de har på datacenter med dedikerade säkerhetsexperter som driver och utvecklar systemen?

Roligt att man fixade ett Prisjakt konto efter att man deltog i en SweC tävling...

Haha, tänk om det vore så lätt att hacka någons konto. "Jag vet vad du har för epostadress så jag har tagit över ditt konto!"

Själv loggar jag aldrig in med Lastpass på någon annan dator än mina egna, det är ju därför man har LP även på telefonen. Det finns även 2-faktor lösningar till LP där man även måste ha en fysisk nyckel på tex USB om man nu måste logga in på en annan dator. Då kör man det på ett säkert USB med hårdvaruaktiverat skrivskydd.

Om jag får en hårddiskkrasch så har jag så klart säkerhetskopior av mina lösenordsdatabaser.

Jag har bättre IT-säkerhet i den meningen att endast jag kan komma åt den krypterade databasen med mina lösenord och har kontroll över hur många gånger den dupliceras.

Och endast jag kan komma åt min krypterade databas på Lastpass med mina lösenord då ingen annan har tillgång till mitt masterpassword.
Att hacka din dator är oändligt enklare än att hacka Lastpass. Har du även dina pengar hemma eller har du dem i molnet?

Jag använde Mailinator, ett öppet throw-away konto som alla kan nå, det finns inget lösenordsskydd och det finns ingan konton, det är en catchall som tar emot address på *@mailinator.com och visar alla mejl den blir skickad. Det finns ingen säkerhet. Ingen äger något personligt konto eller e-postadress där för det finna inga konton.

Det innebär att i ett par veckors tid serverade Prisjakt malware till alla som besökte siten. Jag skulle gissa det var nåt som försöker sno kortuppgifter om man köper på en länk från Prisjakt, men det kanske bara var för att sno inloggningsuppgifter, vad vet jag.
Det är fixat nu, så jag utgår från att de vet om det.

Vi på Prisjakt förstår att det inträffade vållar oro hos många. Vi jobbar ständigt med att förbättra säkerheten, som är väldigt viktig för oss. Vi är uppriktigt ledsna över att utomstående har kommit över information som de inte skulle komma över.

Vi vill vara tydliga med vad som har läckt, så att var och en kan bedöma vilka åtgärder som kan vara lämpliga. Det handlar om 48 023 användarnamn och mejladresser. Det handlar också om 500 postadresser och personnummer knutna till Min Hembio. Ni som är berörda av läckta personnummer och postadresser har fått ett mejl från info@minhembio.com med titeln "Till dig som använder minhembio.

Vi har noga undersökt vilken information som har varit åtkomlig och det finns ingenting som tyder på att utomstående har kommit åt våra hashade lösenord. Vi sparar inte heller lösenord i klartext.

Vi kan inte redogöra för alla de säkerhetsåtgärder vi har vidtagit, men vi kan försäkra våra användare om att de är omfattande och högst konkreta. Vi har infört en rad nya rutiner och säkerhetsaspekter för att förhindra att något liknande inträffar igen.

Prisjakts supportteam

Jag litar inte på passwordmanagers, och jag förstår inte hur man kan göra det. Tänk om tjänsten man använder som passwordmanager blir hackad? Då är man ju körd...

@EazeR:

Beror lite på vilken man använder. Personligen använder jag en lokal lösning Keepass (open source och audited). Har över 400 olika lösenord som inte finns sparade online alls (förutom en online kopia som är dubbel krypterad). + självfallet offline backups. (alltid krypterat)

Sen har jag Keepass på telefonen också för att få fram lösenorden när man är utanför hemmet.

Annars finns det bra online lösningar också. t.ex. Lastpass Krypterar ditt vault offline, därför får deras servers endast tillgång till ditt krypterade vault och de har inte nyckeln för att låsa upp det.

Att använda pålitliga lösningar för lösenordshantering är inte riskfritt, men är man försiktigt är det en mycket bättre lösning än återanvändning av sina gamla lösenord och försöka vara lite listig med att ibland ha stor bokstav och skriva 123,321, 12345.

Skulle dock rekommendera Lastpass för nybörjade. Lätt att göra fel med Keepass.

PS: Personen som ansåg att det är lättare att bli hackad som privatperson än säkerhetsexperterna på Lastpass, du har iosf rätt, men måltavlan är betydligt mindre. I säkerhet så är det viktigt att se ens threat level.

Bara jag har den fysiska tillgången till den enhet vari i min lösenordsdatabas ligger. Använder jag Lastpass har deras personal och/eller datahallspersonal fysisk tillgång.

Hur jag förvaltar mina finansiella tillgångar är en annan fråga. Självfallet försöker jag riskdiversifiera och ha så litet som möjligt i osäkra tillgångar vars värde och/eller ägande endast är beroende av digitala funktioner eller... hmm.. vänta nu.. det var ingen seriös fråga va? Du ville bara raljera?

Om du hade läst på lite om hur password managers som Lastpass fungerar så hade du sett att allt sparas krypterat i molnet och inte ens de som jobbar på Lastpass kan dekryptera lösenorden då de inte har tillgång till ditt masterlösenord. All kryptering och dekryptering sker lokalt på din dator med ditt masterlösenord som inte sparas i molnet. Masterlösenordet används för att låsa upp de långa krypteringsnycklar som i sin tur används för att kryptera och dekryptera lösenorden.

De har ett dedikerat säkerhetsteam som ständigt jobbar med säkerhet och proaktivt för att förhindra intrång men skulle Lastpass trots allt det ändå bli hackat så kan ingen knäcka din krypterade databas så länge du har ett bra masterlösenord.

Jämför nu med hur du troligtvis gör idag, har samma lösenord på flera sajter då det inte är möjligt att komma ihåg några hundra olika lösenord (så många sajter har de flesta) och faktumet att du aldrig kan få samma säkerhet hemma som på ett datacenter med professionella säkerhetsexperter så har du bra mycket sämre säkerhet än vad du haft med en passwordmanager. Lägg där till faktumet att du troligtvis har ganska enkla lösenord med då du aldrig kan komma ihåg komplexa lösenord som man genererar i en passwordmanager.

Du har redan dina pengar i molnet...