Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Varoitukset > 2007 > CERT-FI varoitus 07/2007

CERT-FI varoitus 07/2007

13.10.2007

Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

Tiedostossa vaikuttaa olevan noin 80000 suomalaisen internet-verkkopalvelun käyttäjien käyttäjätunnustiedot. Erityisesti yhteisöpalvelujen käyttäjien syytä olla tarkkana ja mahdollisesti varmuuden vuoksi vaihtaa salasanansa.

CERT-FI on saanut ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisten verkkopalvelujen, lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä. Tiedostossa näyttäisi olevan myös joitakin satoja selväkielisiä salasanoja.

CERT-FI selvittää parasta aikaa, mihin palveluihin tunnukset mahdollisesti liittyvät. CERT-FI on myös yhteydessä verkkopalveluntarjoajiin, teleyrityksiin ja poliisiviranomaisiin.

Jos on syytä epäillä oman verkkopalvelusalasanan joutuneen vääriin käsiin, salasana on syytä vaihtaa välittömästi. Jos käyttää samaa salasanaa useissa eri verkkopalveluissa, kaikkien samaa salasanaa käyttäneiden palvelujen salasanat on vaihdettava.

CERT-FI:n tietojen mukaan julkaistut käyttäjätunnukset on hankittu muun muassa hyödyntämällä ylläpitäjien itse kehittämissä lisäkomponenteissa tai kolmannen osapuolen tuottamissa komponenteissa olleita käyttäjän antaman syötteen puutteelliseen tarkistukseen liittyviä haavoittuvuuksia. Tämäntyyppiset haavoittuvuudet ovat olleet viime vuosina hyvin tyypillisiä web-sovelluksissa.

Yhteisö- ja keskustelupalvelujen ylläpitäjien on suositeltavaa selvittää, onko julkaistujen listalla käyttäjien salasanoja. Mikäli on syytä epäillä, että salasanat on saatu esimerkiksi tietomurron yhteydessä, asiasta olisi syytä ilmoittaa viranomaisille, esimerkiksi CERT-FI:lle ja poliisille.

CERT-FI seurasi tapauksen kulkua Tietoturva nyt! -artikkeleissa:

Salasanatiedostotapaus - tilannepäivitys 19.10.

Salasanatiedostotapauksen poliisitutkinta eteni

Salasanatiedostotapaus - tilannepäivitys 17.10.

Lisäys murrettujen yhteisöpalvelujen luetteloon

Salasanatiedostotapaus - tilannepäivitys 15.10.

Mesenet.org -yhteisöpalvelu ajettu alas tietoturvapäivityksiä varten

Täydennys murrettujen yhteisöpalvelujen luetteloon

Salasanatiedostotapauksen tilanne sunnuntai-iltana 14.10

Käyttäjätunnustiedoston selvittely etenee

Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

Lisäksi Keskusrikospoliisi julkaisi tapauksen tutkinnasta seuraavat tiedotteet:

KRP:n tiedote 15.10.

KRP:n tiedote 18.10.

VAROITUKSEN KOHDERYHMÄ:

  • Suomalaisten internet-yhteisöpalvelujen käyttäjät
  • Yhteisöpalvelujen ja keskustelupalvelujen ylläpitäjät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Salasanojen vaihto
  • Verkossa julkaistun salasanalistan vertaaminen oman palvelun käyttäjätietokantaa vasten (ylläpitäjät)

LISÄTIETOA:

  • CERT-FI julkaisee tilanteen edistymisen mukaan myös Tietoturva nyt! -artikkeleita.

PÄIVITYSHISTORIA:

13.10.2007, kello 19.48: Julkaistu

13.10.2007, kello 20.58: Lisätty ohjeita palvelujen ylläpitäjille

16.10.2007, kello 16.00: Lisätty maininta murretuista sovelluksista

19.10.2007, kello 17.15: Tarkennettu hyödynnettyihin haavoittuvuuksiin liittyvää tietoa

12.11.2007, kello 11.00: Lisätty yhteenveto tapauksen seurannasta

 Kommentoi 
Sivua päivitetty 12.11.2007   Tulostusversio Tulostusversio