Intrång hos Foodora – 25 000 svenska konton påverkas

Permalänk
Melding Plague

Intrång hos Foodora – 25 000 svenska konton påverkas

Intrånget mot matleveransföretaget Foodora har exponerat användaruppgifter för nära en halv miljon konton.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Att företag blir hackade, och att användarupgifter blir stulna är sånt som händer. Inte mycket att säga om den saken.

Vad jag undrar över är varför de hade en användardatabas från 2016 liggande på sina system överhuvudtaget?

Permalänk
Lyxfällan 🎮

@Erik_T: det ska tydligen handla om en testserver där de använder den gamla databasen för testsyften.

Visa signatur

"We're with the press, hired geeks!"
Raoul Duke, Fear n' Loathing in Las Vegas

Permalänk
Medlem
Citat:

Lösenorden är dock lagrade i krypterat format (hashat) vilket innebär att de inte kan användas utan att knäcka krypteringen.

Nja. Hashade lösenord är inte kryptering, utan att lösenorden är behandlade med en algoritm som inte kan backas. Om lösenorden är hashade så kan man inte bara ta lösenordet ur databasen och mata in för att logga in, och man kan inte kära någon algoritm för att få ut lösenordet. Frågan nu är vilken hash-algoritm det var samt om hashen var ”saltad”. En bra algoritm som är saltad, så är det ingen större fara. En dålig algoritm, eller en som inte är saltad, så har man snart knäckt rätt många lösenord genom att helt enkelt ”kasta en ordlista” på dem.

Visa signatur

5900X | 6700XT

Permalänk
Medlem

Och jag som precis gjorde en beställning från dem!:/

Visa signatur

Morderkort: Gigabyte Z790 Gaming X AX - Processor: Intel Core i7 13700K 3.4GHz - Grafikkort: ASUS TUF GeForce RTX 4090 24GB Gaming - Interminne: Corsair 32GB (2x16) DDR5 6000MHz Vengeance - SSD: WD Black SN850X 1TB Gen 4 & Seagate FireCuda 510 SSD 2TB - Processorkylning: Arctic Liquid Freezer II 360 - Datorlåda: Lian Li PC-O11 Dynamic Svart - Nätaggregat: ASUS TUF Gaming 1000W Gold - Tillbehör: Mus: Logitech G Pro Wireless, G502 Wireless, Tangentbord: Logitech G915 TKL Lightspeed Tactile, Headset: SteelSeries Arctis Pro Wireless, Skärmar: LG 42" C2, Dell S2417DG 24" 1440p

Permalänk
Skrivet av mpat:

Nja. Hashade lösenord är inte kryptering, utan att lösenorden är behandlade med en algoritm som inte kan backas. Om lösenorden är hashade så kan man inte bara ta lösenordet ur databasen och mata in för att logga in, och man kan inte kära någon algoritm för att få ut lösenordet. Frågan nu är vilken hash-algoritm det var samt om hashen var ”saltad”. En bra algoritm som är saltad, så är det ingen större fara. En dålig algoritm, eller en som inte är saltad, så har man snart knäckt rätt många lösenord genom att helt enkelt ”kasta en ordlista” på dem.

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Permalänk
Medlem

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

Visa signatur

🟢 Main: Ryzen7 5800X | Strix x470-I | 32GB | RTX2070S | Samsung C49RG9
🔵 unRaid: Ryzen5 2700X | B450M DS3H | 32GB
🟠 Tfn: Google Pixel 7 Lime Green

-:| @ eller citera för svar |:-

Permalänk
Medlem
Skrivet av segafreaktwo:

Och jag som precis gjorde en beställning från dem!:/

Och jag är på väg och ska också. 😂

Visa signatur

MSI X99A GODLIKE GAMING | i7-6950X 4.3GHz | 64GB RAM 3200MHz | RTX 2080

Nintendo Switch | PlayStation 5 | Xbox Series X

Min FZ Profil

Permalänk
Medlem

Ytterliggare en anledning till att använda en lösenordshanterare och inte använda samma lösen överallt!

Skrivet av GreyWilk:

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

Krävs det inte bankid eller verifiering med SMS på alla kortköp online numera?

Skrivet av Dinkefing:

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Med kryptering kan du återskapa värdet med rätt nyckel. Med hashning går det inte att återskapa alls (well, förutsatt att hashningen är tillräckligt bra)

T ex när du gjorde ditt konto med lösenordet "password" så hashades det till "j_dfssdg456GSDskdlhfjklsdhflk<zy387uo26y" och sparades ner i databasen.

Nästa gång du loggar in så hashas "password" igen i t ex din webbläsare och skickas sedan till servern och jämförs med värdet i databasen. På så sätt är inte ditt riktiga lösenord exponerat, inte ens när det transporteras.

Sen finns det Salt också. Det är ett värde som läggs på haschen för att göra det ännu svårare. Kanske företag lägger på ett timestamp, användarnamn eller något på haschen som bara dom vet om. Detta gör det ännu svårare att reversera.

Om man känner till hashalgoritmen som används och testar några vanliga lösenord (En modern CPU kan säkert testa några hundra tusen i sekunden, det fnns listor med vanligaste lösenorden osv) så får du ju ut hashen. Då kan du jämföra haschen med det som finns i t ex Foodora läckan och vips så vet du lösenordet!

Är ingen expert på området men det är typ så det fungerar.

Angående kryptering så måste du ju kunna läsa datan igen så datan görs om till något oläsbart men kan reverseras givet rätt nyckel. T ex kan en request ovan med det hashade lösenordet även krypteras hos dig och sedan dekrypteras hos servern så om någon sniffar din trafik går det inte att läsa ändå.

Permalänk
Medlem
Skrivet av Baxtex:

Ytterliggare en anledning till att använda en lösenordshanterare och inte använda samma lösen överallt!

Krävs det inte bankid eller verifiering med SMS på alla kortköp online numera?

Faktiskt inte överallt. Men nästan i alla fall vilket är mycket trevligt!

Visa signatur

🟢 Main: Ryzen7 5800X | Strix x470-I | 32GB | RTX2070S | Samsung C49RG9
🔵 unRaid: Ryzen5 2700X | B450M DS3H | 32GB
🟠 Tfn: Google Pixel 7 Lime Green

-:| @ eller citera för svar |:-

Permalänk
Medlem
Skrivet av Dinkefing:

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Poängen är hur lång tid det tar att köra hashnings-algoritmen. Om man har tillgång till de hashade lösenorden, som här, kan man ”kasta en ordlista” på dem - dvs, köra algoritmen på alla vanliga lösenord och jämföra dem med de hashade lösenorden för att se om något matchar. Om något gör det, så har man knäckt det lösenordet. En algoritm som tar lång tid att köra ger således ett bättre skydd, eftersom man kan testa färre ord på en given tid. En vanlig familj hash-algoritmer heter SHA. SHA0 och SHA1 anses idag osäkra, med SHA2 och SHA3 är OK än så länge. En gammal algoritm som var vanlig på 90-talet och fortfarande syns ibland heter MD5. Den är idag osäker och bör undvikas.

Det där med ett salt kräver en förklaring. Eftersom det inte finns så många algoritmer, kan man köra alla vanliga lösenord genom de vanliga algoritmerna och bygga upp en ordlista en gång, för att sedan köra alla läckta lösenord mot den. För att motverka det kan man ”salta” och lägga till några byte till alla lösenord innan man kör dem i hashen. Även om det saltet är känt, innebär det att man måste köra om algoritmen på hela ordlistan för just den här bitchen lösenord.

Således: är det SHA2 eller 3 med saltade lösenord, så är det nog OK. Har du kört ”bulle” som lösen så är det kört, men med rimlig styrka så klarar du dig. Är det inte saltat, eller med en äldre algoritm, så kan angriparna snart ha knäckt lösenordet.

Visa signatur

5900X | 6700XT

Permalänk
Medlem
Skrivet av GreyWilk:

Faktiskt inte överallt. Men nästan i alla fall vilket är mycket trevligt!

SMS-verifiering är farligt. Det är inte så svårt att göra en man-in-the-middle på SMS, och har du slagit på det så är det ditt fel om någon snor pengar från ditt kort (dvs, banken ersätter dig inte).

BankID är en helt annan nivå på säkerhet.

Visa signatur

5900X | 6700XT

Permalänk
Medlem
Skrivet av Peterrrrr:

Vägrar ett företag teckna kollektivavtal så är det inte seriöst.

Ursäkta? Jag känner till ett antal företag där man valt att inte teckna kollektivavtal men där arbetsgivaren erbjuder bättre villkor än vad medarbetarna hade fått med kollektivavtal. Är detta något som är oseriöst?

Ett kollektivavtal hindrar för övrigt inte en dum hantering av gamla databaser.

Permalänk
Medlem

Att alla bolag som lyckas få sin databas läckt hävdar att sin hashning är säker. Och många gånger kallar dom det kryptering. Hashning och kryptering är inte samma sak.

Även om de har använt en salt för hashningen kommer ändå alla lösenord vara i klartext inom en veckas tid då man använder principen att folk använder samma lösenord på olika ställen. Så man kopplar ihop email-adresser från den här läckan med tidigare läckor där man redan vet vad lösenordet är för en användare och sedan låter man ett botnät räkna bakåt tills man har salten och hashningen.

Men oftast behöver inte bedragarna gå så långt, när det har tillgång till databasen har de oftast tillgång till backend-koden också där salten oftast står i klartext.

Permalänk
Skrivet av loevet:

@Erik_T: det ska tydligen handla om en testserver där de använder den gamla databasen för testsyften.

Bara grejen att de använder kunders data i en bevisligen osäker testenvironment på det sättet är skrämmande. Så svårt är det inte att få fram dummy-data. 🙄

Permalänk
Föredetting

Har konto hos Foodpanda, som har samma moderbolag. Förhoppningsvis inte samma databas.

Visa signatur

Internet of Things. Translation: Anything that connects to the internet, no matter how useless nor how much of a security risk it poses.

Permalänk
Medlem
Skrivet av Peterrrrr:

Vägrar ett företag teckna kollektivavtal så är det inte seriöst.

Du kanske ska hålla dina politiska åsikter för dig själv, och återgå till ämnet.

Visa signatur

Fractal Define 7, Aorus X570 Xtreme, Ryzen 5950X, Fractal Celsius+ S36, 64GB TridentZ Neo CL14/3600 RAM, MSI RTX 3090 Suprim X, 5TB NVMe SSD + 12TB SATA SSD + 64TB Seagate IronWolf Pro HD, Fractal Ion+ 860W Platinum, LG 32GP850 + LG 42C2 OLED

Permalänk
Medlem

Vice VDn:
"Det här var ju tråkigt."

Permalänk
Medlem

Hur drabbar detta enskilda användare? man ser detta titt som tätt men har aldrig riktigt förstått hur detta påverkar personer. identitetsstöld?

Visa signatur

Ryzen 5900X @ Stock, MSI Suprim X 3080 @ game mode.

Permalänk
Avstängd
Skrivet av GreyWilk:

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

Räcker att ha bank-ID krav på internetköp så var det enklare löst.

Visa signatur

Mr. Scriptman

Permalänk
Medlem
Skrivet av Erik_T:

Vad jag undrar över är varför de hade en användardatabas från 2016 liggande på sina system överhuvudtaget?

Två anledningar:

Skattemässiga skäl - i Sverige måste informationen om affären lagras i minst sju år
GDPR - de kan inte ta bort sina kunder enligt ovan

Permalänk
Medlem
Skrivet av mpat:

Det där med ett salt kräver en förklaring. Eftersom det inte finns så många algoritmer, kan man köra alla vanliga lösenord genom de vanliga algoritmerna och bygga upp en ordlista en gång, för att sedan köra alla läckta lösenord mot den. För att motverka det kan man ”salta” och lägga till några byte till alla lösenord innan man kör dem i hashen. Även om det saltet är känt, innebär det att man måste köra om algoritmen på hela ordlistan för just den här batchen lösenord.

Således: är det SHA2 eller 3 med saltade lösenord, så är det nog OK. Har du kört ”bulle” som lösen så är det kört, men med rimlig styrka så klarar du dig. Är det inte saltat, eller med en äldre algoritm, så kan angriparna snart ha knäckt lösenordet.

Saltet bör vara unikt per användare så att det krävs att man hashar om hela sin ordlista varje gång för varje användares lösenord och inte kan använda förberäknade rainbow tables.

Både SHA2 och SHA3 är relativt snabba och inte tänkta för hashning av lösenord. För det finns istället algoritmer som Bcrypt, Scrypt, PBKDF2, etc.

Visa signatur

Antec P280 | Corsair RM750x | ASUS ROG Crosshair VIII Dark Hero | Ryzen 9 5900X | G.Skill Trident Z RGB 3200MHz CL14 @3600MHz CL16 2x16GB | ASUS RTX 3080 TUF OC | WD SN850 1TB | Samsung 970 Pro 1TB | Samsung 860 Pro 1TB | Samsung 850 Pro 1TB | Samsung PM863a 3.84TB | Sound Blaster Z | 2x ASUS PG279Q

Permalänk
Hedersmedlem

*OT raderat*

Visa signatur

Danskjävel så krattar som en skrivare...

Permalänk
Avstängd

Åh fan. Då är det bara att invänta pizzabeställning på över 100 dubbelinbakade calzone special, mums!

Har bytt lösenord nu och har inga sparade betaluppgifter för övrigt. Kör endast unika lösenord överallt som tur var.

De får gärna spamma min hotmail (som är farligt enligt farsan: "hot-mejl") som jag knappt använder ändå så.

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Permalänk
Medlem
Skrivet av blunden:

Saltet bör vara unikt per användare så att det krävs att man hashar om hela sin ordlista varje gång för varje användares lösenord och inte kan använda förberäknade rainbow tables.

Helst ja (man kan använda ett datum, till exempel), men även om det bara är ett fast salt så hjälper det med att man inte bara kan ladda ner en tabell av färdiga lösenord.

Citat:

Både SHA2 och SHA3 är relativt snabba och inte tänkta för hashning av lösenord. För det finns istället algoritmer som Bcrypt, Scrypt, PBKDF2, etc.

Bcrypt är rejält gammalt, vet inte om det är något att rekommendera idag. Scrypt är jättebra, men kräver en hel del minne. PBKDF2 är väl vad jag skulle välja om jag skulle bygga något nytt idag. Nämnde egentligen mest de hashar som är vanligast.

Visa signatur

5900X | 6700XT

Permalänk
Medlem
Skrivet av Chromatic:

Vice VDn:
"Det här var ju tråkigt."

Det kanske var en liten sladd som satt i...

Visa signatur

Dator: Mac

Permalänk
Inaktiv
Skrivet av AplAy:

Åh fan. Då är det bara att invänta pizzabeställning på över 100 dubbelinbakade calzone special, mums!

Har bytt lösenord nu och har inga sparade betaluppgifter för övrigt. Kör endast unika lösenord överallt som tur var.

De får gärna spamma min hotmail (som är farligt enligt farsan: "hot-mejl") som jag knappt använder ändå så.

Attans, vart hungrig nu av denna Foodora reklam.
Tänk en calzone utan deg, mums.

Permalänk
Medlem
Skrivet av TwentyØnePenguins:

Bara grejen att de använder kunders data i en bevisligen osäker testenvironment på det sättet är skrämmande. Så svårt är det inte att få fram dummy-data. 🙄

Det är ”svårt”, trots att ”alla” vet att man inte ska ha skarpt data för test så används det nästan alltid ändå. Lata programmerare som inte orkar generera relevant dummy-data eller anonymisera den skarpa datan...

Visa signatur

Dator: Mac

Permalänk
Medlem
Skrivet av Aka_The_Barf:

Hur drabbar detta enskilda användare? man ser detta titt som tätt men har aldrig riktigt förstått hur detta påverkar personer. identitetsstöld?

I "bästa" fall; hackers får en bättre lösenordsdatabas.

I "medel" fall: tillgång till användarnas alla inlogg; fb, mail etc (då typ majoriteten använder samma överallt)

I "värsta" fall: tillgång till kort- eller kontonummer

Visa signatur

Main: 5800X3D | Arctic Freezer III 360 | ROG STRIX B550-I | 32 GB DDR4@3600 MHz | Asus RTX 4080 Super TUF | Corsair RM850e | Fractal Design Define S

Permalänk
Avstängd
Skrivet av Spretcher:

I "bästa" fall; hackers får en bättre lösenordsdatabas.

I "medel" fall: tillgång till användarnas alla inlogg; fb, mail etc (då typ majoriteten använder samma överallt)

I "värsta" fall: tillgång till kort- eller kontonummer

... och hinner bränna krediten och/eller alla pengar från kontot. Vad för nytta har de om det inte finns pengar att kunna dra ens? De som dock har alla pengar på ett och samma disponibla kort får skylla sig själva, imho. Lär er från min korta & snabba historia nedan:

Jag hade så tills att jag en gång, utan något större riskfyllt beteende på internet från min sida, drabbades av intrång där någon i London hade köpt tvättmedel för 1800 kr från mitt betalkort. Som tur var fick jag tillbaka pengarna och sedan dess har jag aldrig haft alla pengar på samma kortkopplade bankkontonummer.

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |