Tietovuoto
Ossi Jääskeläinen, MikroPC, 28.11.2011, 11:03"Suljin Helistin.fi:n, koska en kestänyt katsoa ylilautakulttuuria"
MikroPC:n saaman palautteen mukaan tietomurron kohteeksi joutunutta Helistin.fi:n keskustelupalstaa ei sulkenut palvelun ylläpito, vaan sivuston ylläpitäjän salasanan haltuunsa saanut henkilö.
Lisää uusimmasta tietovuodosta:
Salasanat saatiin selville vanhentuneeseen Phpbb2-keskustelupalstaan kohdistuneen tietomurron avulla. Helistin.fi-sivustolla käytettiin palautteen mukaan Phpbb:n versiota 2.0.2, joka julkaistiin elokuussa 2002. Tämän jälkeen palveluun ei ole asennettu lainkaan tietoturvapäivityksiä. Päivitys klo 17:28: Julkaistun tiedotteen mukaan palvelun tietoturvapäivitykset "olivat ajan tasalla", eli versionumero ei pidä paikkaansa. Sen sijaan käytössä oli toisiksi uusin, joulukuussa 2006 julkaistu versio 2.0.22.
Salasanoja leviteltiin suomalaisella Ylilauta.fi-keskustelupalstalla. MikroPC:n saaman palautteen mukaan eräs keskustelupalstan käyttäjä kyllästyi Helistin.fi:n keskustelupalstan sotkemiseen ja käyttäneensä vuodettuja ylläpitäjän tunnuksia sulkeakseen keskustelupalstan.
Viestissä mainittu "ylilautakulttuuri" viittaa suomalaiseen Ylilauta.fi-keskustelupalstaan, joka on aiemminkin toiminut erilaisten tietovuotojen lähteenä.
Ylilaudalla keskustellaan nimettömänä eikä ylläpito sensuroi keskusteluaiheita paitsi viranomaisten pyynnöstä; tähän päivään mennessä Ylilaudan keskusteluista on syntynyt 26 "fobbajuttua" eli tutkintapyyntöä.
"Vaikka vika oli selvästi Helistin.fi-ylläpidossa, sillä heillä on Phpbb-foorumisovelluksen vanha versio 2.0.2 käytössä, en kestänyt katsoa kuinka ylilautakulttuuria alettiin välittömästi viljellä foorumille. Tämän takia kirjauduin vuodetulla ja toimivalla ylläpidon tunnuksella foorumisovelluksen hallintapaneeliin ja käänsin sulkubitin päälle jottei foorumille pääsisi enää kirjautumaan. Tämä johti koko Helistin.fi sivuston toimimattomuuteen – olen tulokseen tyytyväinen", MikroPC:n saamassa viestissä sanotaan.
Salasanat vuodettiin Ylilauta.fi-keskustelupalstalle puoli kahden aikaan yöllä. "Käänsin sulkubittiä neljän aikaan", salasanat haltuunsa saanut taho kertoo MikroPC:lle sähköpostitse. "Ilmoitin jo tätä ennen [kello] 03:15 vuodosta Cert-fi:lle sekä laajalle joukolle Helistin.fi-ylläpitoa."
Viestin lähettänyt henkilö sanoo myös, ettei hän ole tietovuodon takana, eikä myöskään kytköksissä haktivistiryhmä Anonymoukseen.
"En ole vuotanut tunnuksia. En halunnut aiheuttaa vuodetuilla tunnuksilla haittaa. En kestänyt katsoa ylilautakulttuurin viljelyä. En ole kytköksissä anonymousfinlandiin."
Kirjoitushetkellä Helistin.fi on poissa käytöstä. Samat tunnukset käyvät kuitenkin lukuisiin muihin palveluihin. Nämä palvelut ovat yhä toiminnassa, mutta Helistin.fi kertoo Facebook-seinällään, että palveluihin kirjautuminen on tietomurron takia toistaiseksi pois käytöstä.
"Hävetkää Helistin.fi-ylläpito! Teidän heikot salasananne käyvät jokaiseen palveluunne, ja vaivauduitte sulkemaan vain Helistin.fi:n!", palautteen lähettäjä moittii.
Päivitetty klo 11:49: lisätty tieto Helistin.fi:n Facebook-seinällä olevasta viestistä, jonka mukaan kirjautuminen on toistaiseksi estetty.
Tämän lisäksi kaikki salasanat ja muut selväkielisenä luettavissa.
Ei ole mitään merkitystä kuinka nerokas tai hölmö salasana on, jos palvelun ylläpito ei huolehdi velvollisuuksistaan.
Varsinkin sellaisten rekisterien ylläpitäjät, jotka ovat sitoutuneet rekisteriselosteeseen ovat yksiselitteisesti rikkoneet velvoitteitaan datan suojaamisessa.
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.
Tähän kommenttiin 1 vastausta
Viittaus sivustoon http://ylilauta.fi/, jonne salasanalista ensiksi vuodettiin. Tämän seurauksena helistin.fi keskustelut joutuivat laudalla päivystävien hyökkäyskohteeksi. Ylilautakulttuuriin voit tutustua parhaiten sivuston osiossa http://ylilauta.fi/b/