[ważne] wyciekła baza klientów jednego z parkingów

[pb 2,626]

Dostałem właśnie informację, że z jednego z parkingów (ND?) wyciekła baza loginów i haseł w plaintext, informację przysłało sedo pisząc o "konkurencji", więc nie wiadomo o kogo konkretnie chodzi. Radzą szybko zmienić hasło, szczególnie jeśli się używa tego samego loginu i hasła na różnych parkingach.

[kulas 26]

Dzięki pb za informację.

 

Sprawdźcie również w konfiguracji wypłat czy wszystko gra. Proponuję również zmienić hasło dla wszystkich kont internetowych gdzie loginem był adres z logowania w ND.

 

Czy można powiązać wczorajszą zmianę haseł z tą informacją?

[apze 1,062]

Ja niedostałem takiego meila, why ?

[Luke 84]

Czy można powiązać wczorajszą zmianę haseł z tą informacją?

 

Pierwsze skojarzenie ...

 

@pb dzieki.

[domeny.pl 0]

Jak wiazesz konto z Dropped to michau musi miec dane, wiec teoretycznie mozna sie wlamac do dropped co byloby duzo prostrze jak sądzę.

[K_r 5]

Teraz to na stare hasło nie można się już zalogować

 

Your NameDrive Password

 

As part of a security update, NameDrive has changed the password for your login to access our system.

 

From now on, we will require you to change your passwords every 90 days as part of good security practices.

 

To gain access to your account and to retrieve your new password, please click the following link.

 

Send Password

 

The new password will be sent to the email you use to login to NameDrive.

 

If you don't receive an email in the next 10 minutes, please check your spam filter for any mail from NameDrive.com.

[pb 2,626]

Ja z kolei nie dostałem info o zmianie hasła ND. [edit] Aha, przy logowaniu każą zmienić.

[heden.pl 158]

Ja niedostałem takiego meila, why ?

 

Ja też nie

To może ktoś jeszcze dostał taka informację?

[kulas 26]

Teraz to na stare hasło nie można się już zalogować

To było wczoraj, tylko podejrzewam, że większość zmieniła hasła przesłane z ND na swoje stare :-)

[pokoleniex 1]

To byl chyba mail z sedopro, wiec moze dlatego niektorzy nie dostali.

[szuwar 0]

Powiadomiono nas o możliwości naruszenia bezpieczeństwa kont, dotyczy to mniej niż 1% naszych kont, jednym z nich może być Państwa konto.

 

Choć nie mamy informacji o nieautoryzowanym dostępnie do Państwa konta, zareagowaliśmy natychmiastowo, aby zapewnić całkowite bezpieczeństwo.

[Dropped.pl 209]

Jak wiazesz konto z Dropped to michau musi miec dane, wiec teoretycznie mozna sie wlamac do dropped co byloby duzo prostrze jak sądzę.

Dropped nie zapisuje nigdzie w bazie haseł do NameDrive

[DD 731]

Przyszedł email zarówno z NameDrive (o zmianie hasła) jak i z SedoPro - informację o tym, że w jednym z parkingów wyciekły dane. Sedo zweryfikowało te dane, które były / są dostępne w Internecie i okazało się, że niektóre dane (login i hasło) pasują również w przypadku bazy ich klientów. Po prostu niektórzy używają tych samych haseł dla wielu parkingów. Dlatego należy również zmienić dane do logowania na Sedo, jeśli używało się takich samych danych dla innego serwisu (parkingu).

 

DD

[mikepolarny 16]

Napisałem maila z pytaniem dlaczego trzymali hasla bez szyfrowania.Na razie zero odzewu.Dzisiaj mi sie juz nie chce ale od jutra wszystko stamtad przenosze do Sedo.

[DawPi 0]

No to skąd ta baza jest?

[pb 2,626]

Prawda jest taka że wszyscy mają bezpieczeństwo w dupie i dopiero jak przyjdzie co do czego to jak obuchem w łeb. Sedo w mailu się chwali że trzyma hasła bezpiecznie zaszyfrowane, a to też guzik prawda, bo do API trzeba się logować loginem i hasłem w plaintext, podejrzewam że w ND jest tak samo i na tej linii nastąpił wyciek. Dawno poprosiłem sedo o zmianę tego absurdu i wdrożenie normalnego kodu hex do API, odpisali że może kiedyś to zrobią. To może *teraz* ich programiści dostaną kopa w dupę i zabiorą się za to.

[szuwar 0]

No to skąd ta baza jest?

 

Namedrive

[Noname 49]

To ze do API korzysta sie ze zwyklego hasła nie znaczy ze w bazie nie jest ono kodowane

[kulas 26]

Zmieniłem login email do ND ale jeszcze nie dostałem aktywującego linka. Mam nadzieję, że to tylko chwilowa obsuwa spowodowana licznymi zmianami danych.

[przemowild 1,026]

Zmieniłem login email do ND ale jeszcze nie dostałem aktywującego linka. Mam nadzieję, że to tylko chwilowa obsuwa spowodowana licznymi zmianami danych.

 

zajrzyj do spamu, tam lądują maile z ND

[pb 2,626]

To ze do API korzysta sie ze zwyklego hasła nie znaczy ze w bazie nie jest ono kodowane

 

Ale przesyłanie odbywa się w plaintext, a także po 'drugiej stronie' API hasła moga być przechowywane w plaintext lub w postaci łatwej do odkodowania.

[DESiGNER 34]

Ja dziś właśnie chciałem podejrzeć swoje literówki .Nie mogłem sie zalogować wiec wziąłem opcje przypomnienia hasła . Po paru godz dopiero dostałem mail z namedrive o treści :

 

Witaj,

 

Jest to email informujący Cię o tym, że niektóre konta NameDrive były niedawno celem naruszenia bezpieczeństwa.

Dotyczy to mniej niż 1% naszej bazy danych.

 

Pomimo tego, iż nie uważamy, że Twoje konto zostało naruszone i nie mamy żadnej oznaki o nieautoryzowanym dostępie do niego, pragniemy poinformować Cię w ramach środków ostrożności, że powinieneś zmienić hasło dostępu także na innych stronach internetowych, w których używasz tych samych danych logowania co na stronie NameDrive.pl

 

Twoje hasło w NameDrive zostało dla Ciebie zmienione automatycznie.

 

Jeżeli jeszcze tego nie uczyniłeś, możesz otrzymać nowe hasło logując się do konta na stronie głównej NameDrive.

 

Chociaż zawsze zachowujemy ścisłe środki ostrożności, musimy podjąć jeszcze dalsze działania w celu zwiększenia bezpieczeństwa ze skutkiem natychmiastowym.

 

Jeżeli masz jakiekolwiek pytania, prosimy o kontakt pod adresem info@namedrive.pl.

 

Twoja załoga NameDrive

[Grzesiek86 2]

Czy można powiązać wczorajszą zmianę haseł z tą informacją?

 

A po co nagle mieli by wszystkim bez ostrzeżenia zmieniać hasła? Już wczoraj było oczywiste, że ktoś z poza nd mógł mieć dostęp do tej bazy danych. Szkoda, że tak późno o tym inforują, niektórzy już mogli stracić swoje konta.

 

Prawda jest taka że wszyscy mają bezpieczeństwo w dupie i dopiero jak przyjdzie co do czego to jak obuchem w łeb. Sedo w mailu się chwali że trzyma hasła bezpiecznie zaszyfrowane, a to też guzik prawda, bo do API trzeba się logować loginem i hasłem w plaintext, podejrzewam że w ND jest tak samo i na tej linii nastąpił wyciek. Dawno poprosiłem sedo o zmianę tego absurdu i wdrożenie normalnego kodu hex do API, odpisali że może kiedyś to zrobią. To może *teraz* ich programiści dostaną kopa w dupę i zabiorą się za to.

 

Moim zdaniem zawsze trzeba brać pod uwagę możliwość wycieku danych. Teraz już każdy najprostrzy serwis, który powstaje ma zaimplementowanie szyfrowanie haseł. A tu sie okazauje, że taki "poważny" serwis jak nd ma to w dupie i stosuje przestarzałe metody.

Edited February 5, 2009 by Grzesiek86

[kulas 26]

Ja nie chcę nic krakać ale nie mogę zmienić danych dostępowych w PayPal :/ Zobaczę jutro może ruszy. A ND u mnie dalej nie działa.

[Grzesiek86 2]

Ja nie chcę nic krakać ale nie mogę zmienić danych dostępowych w PayPal :/ Zobaczę jutro może ruszy. A ND u mnie dalej nie działa.

 

Po zmianie hasła na nowe powinno wszystko działać tak jak wcześniej.

A jesli chodzi o zmiane haseł to najlepiej koniecznie zmienić hasło do maila, jeśli miało się takie samo. Inne konta zazwyczaj mozna odzyskać majac dostęp do maila.