TIETOVUOTO
Ossi Jääskeläinen, MikroPC, 28.11.2011, 10:02Vuodetut salasanat toimivat monilla muillakin sivustoilla
Tänään netissä julkaistut yli 70 000 Helistin.fi-verkkopalvelun käyttäjätunnusta ja salasanaa toimivat myös lukuisilla muilla sivustoilla.
Helistin.fi-sivuston takana on oululainen Terve Media. Samat käyttäjätunnukset käyvät yhtiön sivujen mukaan myös lukuisiin muihin Terve Median palveluihin, kuten Poliklinikka.fi, Huoltamo.com, Kimallus.fi, Pudottajat.fi, Terkkari.fi, Verkkoklinikka.fi ja Terverekry.fi.
Lisää uusimmasta tietovuodosta:
Lisäksi Terve Median palveluihin kuuluvat Tohtori.fi, Mustapippuri.fi sekä Laakariportaali.fi. Pelkästään Lääkäriportaalilla on yli 15 000 käyttäjää eli 86 prosenttia suomalaisista lääkäreistä.
Terve Median palvelut ovat yhä toiminnassa, mutta Helistin.fi kertoo Facebook-seinällään, että palveluihin kirjautuminen on tietomurron takia toistaiseksi pois käytöstä.
Vuotaneet käyttäjätunnukset ja salasanat ovat peräisin Helistin.fi-verkkopalvelun Phpbb2-keskustelupalstalta. Googlen välimuistissa olevasta versiosta näkee, että sivustolle on murtauduttu ja sen nimeksi on vaihdettu "Spurdolauta.fi" sekä otsikoksi "Ebin hax.. spurdo sparde".
Phpbb2 on vanhentunut järjestelmä
MikroPC:n saaman tiedon mukaan Helistin.fi-palvelussa oli käytössä Phpbb:n versio 2.0.2, joka julkaistiin elokuussa 2002. Sen jälkeen keskustelupalsta-alustaan on julkaistu yli 20 tietoturvapäivitystä. Jos versiotieto pitää paikkansa, palvelun ylläpito on siis laiminlyönyt keskustelupalstan päivitystä yli yhdeksän vuoden ajan! Päivitys klo 17:28: Julkaistun tiedotteen mukaan palvelun tietoturvapäivitykset "olivat ajan tasalla", eli versionumero ei pidä paikkaansa. Sen sijaan käytössä oli toisiksi uusin, joulukuussa 2006 julkaistu versio 2.0.22.
Phpbb2-keskustelupalstan tuki lopetettiin jo vuonna 2008. Muilla Terve Median sivustoilla Phpbb2-keskustelualusta ei ole käytössä.
Phpbb2 ei ole nykymittapuulla turvallinen järjestelmä, sillä se tallentaa salasanat tietokantaan yksinkertaisina md5-tarkistussummina (Wikipedia). Md5-tarkistussummat on helposti murrettavissa, ja etenkin lyhyiden sekä yksinkertaisten merkkijonojen – siis huonojen salasanojen – md5-tarkistussummat on murrettu jo valmiiksi ja ne voidaan selvittää niin kutsutun rainbow table -menetelmän avulla (Wikipedia, englanniksi).
Phpbb:n uudempi 3-versio tallentaa salasanat huomattavasti turvallisemmin. Phpbb2-järjestelmää ei siis missään nimeissä kannattaisi käyttää enää, etenkin kun Phpbb:n 3-versio julkaistiin jo lähes neljä vuotta sitten.
Helistin.fi:n murrettu keskustelupalsta näyttää Googlen välimuistin mukaan tältä:
Päivitetty 10:04: lisätty kuvankaappaus jutun loppuun; 10:07 lisätty väliotsikko; 11:51 lisätty tieto, että kirjautuminen on pois käytöstä toistaiseksi.
Tuosta nimestä päätellen teinit olleet selvästi asialla, ei tuota spurdo-termiä juuri muut käytä.
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.