Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!

Intrång hos Foodora – 25 000 svenska konton påverkas

Trädvy Permalänk
Cyberman
Registrerad
Dec 1999

Intrång hos Foodora – 25 000 svenska konton påverkas

Intrånget mot matleveransföretaget Foodora har exponerat användaruppgifter för nära en halv miljon konton.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Registrerad
Feb 2015

Att företag blir hackade, och att användarupgifter blir stulna är sånt som händer. Inte mycket att säga om den saken.

Vad jag undrar över är varför de hade en användardatabas från 2016 liggande på sina system överhuvudtaget?

Trädvy Permalänk
Lyxfällan 🎮
Andreas Eklöv
Plats
Stockholm
Registrerad
Dec 2015

@Erik_T: det ska tydligen handla om en testserver där de använder den gamla databasen för testsyften.

"We're with the press, hired geeks!"
Raoul Duke, Fear n' Loathing in Las Vegas

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Citat:

Lösenorden är dock lagrade i krypterat format (hashat) vilket innebär att de inte kan användas utan att knäcka krypteringen.

Nja. Hashade lösenord är inte kryptering, utan att lösenorden är behandlade med en algoritm som inte kan backas. Om lösenorden är hashade så kan man inte bara ta lösenordet ur databasen och mata in för att logga in, och man kan inte kära någon algoritm för att få ut lösenordet. Frågan nu är vilken hash-algoritm det var samt om hashen var ”saltad”. En bra algoritm som är saltad, så är det ingen större fara. En dålig algoritm, eller en som inte är saltad, så har man snart knäckt rätt många lösenord genom att helt enkelt ”kasta en ordlista” på dem.

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Aug 2013

Och jag som precis gjorde en beställning från dem!:/

Morderkort: Gigabyte Z390 AORUS MASTER - Processor: Intel Core i9 9900K 3.6 GHz 16MB - Grafikkort: Gigabyte Extreme ED Aorus 1080ti 11GB - Interminne: Corsair 16GB (2x8GB) DDR4 3000MHz CL15 Vengeance RGB PRO - SSD: Samsung 970 EVO 250GB, Samsung 860 EVO 1TB, Samsung 850-Series EVO 500GB - Processorkylning: Corsair Hydro H115i RGB Platinum - Datorlåda: Lian Li PC-O11 Dynamic Svart - Nätaggregat: Corsair RM850X 850W v2 - Tillbehör: Mus: Logitech G Pro Wireless, G502 Wireless, Tangentbord: CM Masterkeys Pro S, Headset: Kingston HyperX Cloud Flight, Skärm: Dell S2417DG 24-tums 1440p

Trädvy Permalänk
Medlem
Registrerad
Sep 2019
Skrivet av mpat:

Nja. Hashade lösenord är inte kryptering, utan att lösenorden är behandlade med en algoritm som inte kan backas. Om lösenorden är hashade så kan man inte bara ta lösenordet ur databasen och mata in för att logga in, och man kan inte kära någon algoritm för att få ut lösenordet. Frågan nu är vilken hash-algoritm det var samt om hashen var ”saltad”. En bra algoritm som är saltad, så är det ingen större fara. En dålig algoritm, eller en som inte är saltad, så har man snart knäckt rätt många lösenord genom att helt enkelt ”kasta en ordlista” på dem.

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Trädvy Permalänk
Medlem
Plats
Skaune
Registrerad
Okt 2002

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

🟢 Main: Ryzen7 2700X | Strix x470-I | 32GB | RTX2070S | Samsung C49RG9
🔵 unRaid: Ryzen5 2600 | B450M DS3H | 32GB
🟠 Tfn: OnePlus 6T Thunder Purple

-:| @ eller citera för svar |:-

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Feb 2010
Skrivet av segafreaktwo:

Och jag som precis gjorde en beställning från dem!:/

Och jag är på väg och ska också. 😂

MSI X99A GODLIKE Gaming | i7 6850K 4.5GHz | 32GB RAM | GIGABYTE RTX 2080 GAMING OC

Trädvy Permalänk
Medlem
Registrerad
Jan 2011

Ytterliggare en anledning till att använda en lösenordshanterare och inte använda samma lösen överallt!

Skrivet av GreyWilk:

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

Krävs det inte bankid eller verifiering med SMS på alla kortköp online numera?

Skrivet av Klappa:

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Med kryptering kan du återskapa värdet med rätt nyckel. Med hashning går det inte att återskapa alls (well, förutsatt att hashningen är tillräckligt bra)

T ex när du gjorde ditt konto med lösenordet "password" så hashades det till "j_dfssdg456GSDskdlhfjklsdhflk<zy387uo26y" och sparades ner i databasen.

Nästa gång du loggar in så hashas "password" igen i t ex din webbläsare och skickas sedan till servern och jämförs med värdet i databasen. På så sätt är inte ditt riktiga lösenord exponerat, inte ens när det transporteras.

Sen finns det Salt också. Det är ett värde som läggs på haschen för att göra det ännu svårare. Kanske företag lägger på ett timestamp, användarnamn eller något på haschen som bara dom vet om. Detta gör det ännu svårare att reversera.

Om man känner till hashalgoritmen som används och testar några vanliga lösenord (En modern CPU kan säkert testa några hundra tusen i sekunden, det fnns listor med vanligaste lösenorden osv) så får du ju ut hashen. Då kan du jämföra haschen med det som finns i t ex Foodora läckan och vips så vet du lösenordet!

Är ingen expert på området men det är typ så det fungerar.

Angående kryptering så måste du ju kunna läsa datan igen så datan görs om till något oläsbart men kan reverseras givet rätt nyckel. T ex kan en request ovan med det hashade lösenordet även krypteras hos dig och sedan dekrypteras hos servern så om någon sniffar din trafik går det inte att läsa ändå.

Trädvy Permalänk
Medlem
Plats
Skaune
Registrerad
Okt 2002
Skrivet av Baxtex:

Ytterliggare en anledning till att använda en lösenordshanterare och inte använda samma lösen överallt!

Krävs det inte bankid eller verifiering med SMS på alla kortköp online numera?

Faktiskt inte överallt. Men nästan i alla fall vilket är mycket trevligt!

🟢 Main: Ryzen7 2700X | Strix x470-I | 32GB | RTX2070S | Samsung C49RG9
🔵 unRaid: Ryzen5 2600 | B450M DS3H | 32GB
🟠 Tfn: OnePlus 6T Thunder Purple

-:| @ eller citera för svar |:-

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av Klappa:

Vad är skillnad mot hash-algoritm och vilka typer finns det och en kryptering och vilka typer finns där?

Poängen är hur lång tid det tar att köra hashnings-algoritmen. Om man har tillgång till de hashade lösenorden, som här, kan man ”kasta en ordlista” på dem - dvs, köra algoritmen på alla vanliga lösenord och jämföra dem med de hashade lösenorden för att se om något matchar. Om något gör det, så har man knäckt det lösenordet. En algoritm som tar lång tid att köra ger således ett bättre skydd, eftersom man kan testa färre ord på en given tid. En vanlig familj hash-algoritmer heter SHA. SHA0 och SHA1 anses idag osäkra, med SHA2 och SHA3 är OK än så länge. En gammal algoritm som var vanlig på 90-talet och fortfarande syns ibland heter MD5. Den är idag osäker och bör undvikas.

Det där med ett salt kräver en förklaring. Eftersom det inte finns så många algoritmer, kan man köra alla vanliga lösenord genom de vanliga algoritmerna och bygga upp en ordlista en gång, för att sedan köra alla läckta lösenord mot den. För att motverka det kan man ”salta” och lägga till några byte till alla lösenord innan man kör dem i hashen. Även om det saltet är känt, innebär det att man måste köra om algoritmen på hela ordlistan för just den här bitchen lösenord.

Således: är det SHA2 eller 3 med saltade lösenord, så är det nog OK. Har du kört ”bulle” som lösen så är det kört, men med rimlig styrka så klarar du dig. Är det inte saltat, eller med en äldre algoritm, så kan angriparna snart ha knäckt lösenordet.

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av GreyWilk:

Faktiskt inte överallt. Men nästan i alla fall vilket är mycket trevligt!

SMS-verifiering är farligt. Det är inte så svårt att göra en man-in-the-middle på SMS, och har du slagit på det så är det ditt fel om någon snor pengar från ditt kort (dvs, banken ersätter dig inte).

BankID är en helt annan nivå på säkerhet.

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av Peterrrrr:

Vägrar ett företag teckna kollektivavtal så är det inte seriöst.

Ursäkta? Jag känner till ett antal företag där man valt att inte teckna kollektivavtal men där arbetsgivaren erbjuder bättre villkor än vad medarbetarna hade fått med kollektivavtal. Är detta något som är oseriöst?

Ett kollektivavtal hindrar för övrigt inte en dum hantering av gamla databaser.

Trädvy Permalänk
Medlem
Registrerad
Feb 2018

Att alla bolag som lyckas få sin databas läckt hävdar att sin hashning är säker. Och många gånger kallar dom det kryptering. Hashning och kryptering är inte samma sak.

Även om de har använt en salt för hashningen kommer ändå alla lösenord vara i klartext inom en veckas tid då man använder principen att folk använder samma lösenord på olika ställen. Så man kopplar ihop email-adresser från den här läckan med tidigare läckor där man redan vet vad lösenordet är för en användare och sedan låter man ett botnät räkna bakåt tills man har salten och hashningen.

Men oftast behöver inte bedragarna gå så långt, när det har tillgång till databasen har de oftast tillgång till backend-koden också där salten oftast står i klartext.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2017
Skrivet av loevet:

@Erik_T: det ska tydligen handla om en testserver där de använder den gamla databasen för testsyften.

Bara grejen att de använder kunders data i en bevisligen osäker testenvironment på det sättet är skrämmande. Så svårt är det inte att få fram dummy-data. 🙄

i5-3350p | 12GB DDR3 | GTX 980 | SSDNow V300 120gb | Micron SSD 128gb | WD Green 3TB och 1TB | HX650w | Arc Mini R2

Trädvy Permalänk
Skribent
Jonas Klar
Plats
Skatteverkets Inläsningscentral
Registrerad
Aug 2008

Har konto hos Foodpanda, som har samma moderbolag. Förhoppningsvis inte samma databas.

Internet of Things. Translation: Anything that connects to the internet, no matter how useless nor how much of a security risk it poses.

Trädvy Permalänk
Medlem
Plats
Märsta
Registrerad
Aug 2008
Skrivet av Peterrrrr:

Vägrar ett företag teckna kollektivavtal så är det inte seriöst.

Du kanske ska hålla dina politiska åsikter för dig själv, och återgå till ämnet.

Fractal Define 7, Aorus X570 Xtreme, Ryzen 3950X, Fractal Celsius+ S36, 64GB G.Skill Trident Z Neo (3600 CL16), ASUS Strix RTX 2080 Ti, Aorus NVMe 2TB + 2x Samsung 850 EVO 2TB SSD.

Trädvy Permalänk
Medlem
Plats
Lilla Edet
Registrerad
Jan 2010

Vice VDn:
"Det här var ju tråkigt."

Trädvy Permalänk
Medlem
Plats
Tullinge
Registrerad
Jun 2005

Hur drabbar detta enskilda användare? man ser detta titt som tätt men har aldrig riktigt förstått hur detta påverkar personer. identitetsstöld?

Ryzen 3700x @ auto, Palit GTX 1080 GR Premium

Trädvy Permalänk
Medlem
Registrerad
Feb 2013
Skrivet av GreyWilk:

Orsaken till att jag aldrig sparar kortuppgifter på sidor utan skriver in det manuellt varje gång

Räcker att ha bank-ID krav på internetköp så var det enklare löst.

Trädvy Permalänk
Medlem
Registrerad
Okt 2015
Skrivet av Erik_T:

Vad jag undrar över är varför de hade en användardatabas från 2016 liggande på sina system överhuvudtaget?

Två anledningar:

Skattemässiga skäl - i Sverige måste informationen om affären lagras i minst sju år
GDPR - de kan inte ta bort sina kunder enligt ovan

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av mpat:

Det där med ett salt kräver en förklaring. Eftersom det inte finns så många algoritmer, kan man köra alla vanliga lösenord genom de vanliga algoritmerna och bygga upp en ordlista en gång, för att sedan köra alla läckta lösenord mot den. För att motverka det kan man ”salta” och lägga till några byte till alla lösenord innan man kör dem i hashen. Även om det saltet är känt, innebär det att man måste köra om algoritmen på hela ordlistan för just den här batchen lösenord.

Således: är det SHA2 eller 3 med saltade lösenord, så är det nog OK. Har du kört ”bulle” som lösen så är det kört, men med rimlig styrka så klarar du dig. Är det inte saltat, eller med en äldre algoritm, så kan angriparna snart ha knäckt lösenordet.

Saltet bör vara unikt per användare så att det krävs att man hashar om hela sin ordlista varje gång för varje användares lösenord och inte kan använda förberäknade rainbow tables.

Både SHA2 och SHA3 är relativt snabba och inte tänkta för hashning av lösenord. För det finns istället algoritmer som Bcrypt, Scrypt, PBKDF2, etc.

Antec P280 | Corsair RM750x | ASUS ROG Strix X370-F Gaming | Ryzen 9 3900X | G.Skill Trident Z RGB 3200MHz CL14 @3600MHz CL16 2x16GB | ASUS GTX 1080 Ti Strix Gaming OC | Samsung 970 Pro 1TB | Samsung 860 Pro 1TB | Samsung 850 Pro 1TB | Samsung PM863a 3.84TB | Sound Blaster Z | ASUS PG279Q + QNIX QX2710

Trädvy Permalänk
Forumledare
f.d. screamin-daemon
Registrerad
Jan 2005

*OT raderat*

Synpunkter eller frågor gällande modereringen? Då kan du kontakta mig eller moderatorerna.
Danskjävel så stavar som en kratta...

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Jan 2011

Åh fan. Då är det bara att invänta pizzabeställning på över 100 dubbelinbakade calzone special, mums!

Har bytt lösenord nu och har inga sparade betaluppgifter för övrigt. Kör endast unika lösenord överallt som tur var.

De får gärna spamma min hotmail (som är farligt enligt farsan: "hot-mejl") som jag knappt använder ändå så.

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Trädvy Permalänk
Medlem
Registrerad
Okt 2016
Skrivet av blunden:

Saltet bör vara unikt per användare så att det krävs att man hashar om hela sin ordlista varje gång för varje användares lösenord och inte kan använda förberäknade rainbow tables.

Helst ja (man kan använda ett datum, till exempel), men även om det bara är ett fast salt så hjälper det med att man inte bara kan ladda ner en tabell av färdiga lösenord.

Citat:

Både SHA2 och SHA3 är relativt snabba och inte tänkta för hashning av lösenord. För det finns istället algoritmer som Bcrypt, Scrypt, PBKDF2, etc.

Bcrypt är rejält gammalt, vet inte om det är något att rekommendera idag. Scrypt är jättebra, men kräver en hel del minne. PBKDF2 är väl vad jag skulle välja om jag skulle bygga något nytt idag. Nämnde egentligen mest de hashar som är vanligast.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2005
Skrivet av Chromatic:

Vice VDn:
"Det här var ju tråkigt."

Det kanske var en liten sladd som satt i...

Dator: Louqe|3900xt|2080ti|32GB|2TB SSD

Trädvy Permalänk
Medlem
Registrerad
Aug 2018
Skrivet av AplAy:

Åh fan. Då är det bara att invänta pizzabeställning på över 100 dubbelinbakade calzone special, mums!

Har bytt lösenord nu och har inga sparade betaluppgifter för övrigt. Kör endast unika lösenord överallt som tur var.

De får gärna spamma min hotmail (som är farligt enligt farsan: "hot-mejl") som jag knappt använder ändå så.

Attans, vart hungrig nu av denna Foodora reklam.
Tänk en calzone utan deg, mums.

3800X stock - Gigabyte B550I AORUS PRO AX - G.Skill Trident Z Neo 32GB mm
https://valid.x86.fr/chlq2j

1600X @4.3GHz 1.63V - Gigabyte AB350N-Gaming WIFI-CF - 16GB 3200MHz
https://valid.x86.fr/g5aaif ก็็็็็็็็็็็็็

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2005
Skrivet av TwentyØnePenguins:

Bara grejen att de använder kunders data i en bevisligen osäker testenvironment på det sättet är skrämmande. Så svårt är det inte att få fram dummy-data. 🙄

Det är ”svårt”, trots att ”alla” vet att man inte ska ha skarpt data för test så används det nästan alltid ändå. Lata programmerare som inte orkar generera relevant dummy-data eller anonymisera den skarpa datan...

Dator: Louqe|3900xt|2080ti|32GB|2TB SSD

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Okt 2011
Skrivet av Aka_The_Barf:

Hur drabbar detta enskilda användare? man ser detta titt som tätt men har aldrig riktigt förstått hur detta påverkar personer. identitetsstöld?

I "bästa" fall; hackers får en bättre lösenordsdatabas.

I "medel" fall: tillgång till användarnas alla inlogg; fb, mail etc (då typ majoriteten använder samma överallt)

I "värsta" fall: tillgång till kort- eller kontonummer

Main: AMD Ryzen 1700 @ 3.95GHz | Fractal Design Celsius S360 | Asus Prime B350-Plus| 32 GB DDR4@3400 MHz | MSI RTX 2080 TI Gaming X Trio | Corsair RM750 | Fractal Design Define-S
Server0: HP MicroServer Gen. 8

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Jan 2011
Skrivet av Spretcher:

I "bästa" fall; hackers får en bättre lösenordsdatabas.

I "medel" fall: tillgång till användarnas alla inlogg; fb, mail etc (då typ majoriteten använder samma överallt)

I "värsta" fall: tillgång till kort- eller kontonummer

... och hinner bränna krediten och/eller alla pengar från kontot. Vad för nytta har de om det inte finns pengar att kunna dra ens? De som dock har alla pengar på ett och samma disponibla kort får skylla sig själva, imho. Lär er från min korta & snabba historia nedan:

Jag hade så tills att jag en gång, utan något större riskfyllt beteende på internet från min sida, drabbades av intrång där någon i London hade köpt tvättmedel för 1800 kr från mitt betalkort. Som tur var fick jag tillbaka pengarna och sedan dess har jag aldrig haft alla pengar på samma kortkopplade bankkontonummer.

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |