Har nu verifierat 100% att Flashback-läckan stämmer. Dags för admins att agera.

Ja jag fanns med i dumpen med personnr. Mailadressen har jag använt överallt.

För att kunna få fram något av värde ur ett register som innehåller en massa användarnamn med e-postadresser (som inte är av typen förnamn.efternamn@hotmail.com) måste man ju ha tillgång till annan information om e-post-adressen.

För detta ändamål är Piscatus databas med fullständig myndighetsbevakning ett passande verktyg.

Databasen kan ha varit i drift långt innan Researchgruppen fick tag i den. Enligt dem själva fick de tag i den för ca 1 år sedan:

http://www.resume.se/nyheter/media/2014/09/10/researchgruppen-vi-har-hundratusentals-flashback-konton/


Enligt Researchgruppen så har de varit upptagna med att kartlägga de som kommenterar på Avpixlat mm, så de har inte hunnit ta itu med Flashback förrän ganska nyligen:

Det hela är mycket enkelt. Ta bort epost, och inga IP sparas. Då är det omöjligt för Researchgruppen att göra någonting annat än det material de redan har. Epost är idag ingenting annat än en enorm säkerhetsbrist på Flashback och som nu har utnyttjats av de som vill forumet illa. Som .Chole har visat så verkar det alltid finnas sätt att komma åt denna förbannade epost, och folk har inte vett nog att använda en engångsmail.

Så det här får ni fan fixa. Användarna har självklart ett ansvar, men Flashback har också ett ansvar att bygga upp en struktur för forumet som uppmuntrar ett säkert användande. Eposten är helt onödig idag. I synnerhet om många nu börjar använda Guerrillamail eller slaskmail med slumpmässiga bokstäver som ingen kommer komma ihåg i vilket fall. Då är det bättre att hitta ett annat sätt lösa återställning av konton, för vilket det finns många tänkbara alternativ.

När Flashback är så hotat som det är idag, så måste forumets policy bli att lagra absolut så lite information om sina användare som möjligt av säkerhetsskäl. Detta tror jag de flesta här på forumet håller med om.

Bra! Emailadresserna är ett elände ur säkehetssynpunkt. Det hade också varit bra om gamla användare som inte loggat in på 1 år får emailadressen raderad automatiskt. Detta för att skydda användare som slutat använda FB och som inte läst om Researchgruppens åsiktsregister, man ska ju inte straffas för att man inte slaviskt läser svenska nyheter.

En mycket bra poäng

Även om man i teorin kan förbli helt anonym så kommer inte alla användare att göra det som krävs för att vara det. Tycker det låter som en rimlig åtgärd faktiskt. Individen ansvarar ytterst för sin egen anonymitet men här har Flashback faktiskt tabbat sig lite.

I någon av alla dessa trådar framfördes synpunkten att den långa tiden mellan läcka och utnyttjande av uppgifterna till en del skulle ha att göra med preskriptionstiden för dataintrånget.

Blir ju litet med råge, ifall uppgiften att preskriptionstiden är fem år stämmer. 2007 + 5 år skulle vara 2012, möjligen kan man tänka sig att den som ursprungligen läckt/hackat skulle ha väntat tills dess med att börja bjuda ut saken, och att det tog sin lilla tid innan RG nappade. Sedan ännu mer tid medan RG lägger pussel med andra dumpar, snubblar över Disqus-debaclet och prioriterar det inför valet 2014.

Ho vet. Obehagliga saker er press ägnar sig åt där i Sverige i alla fall.

Det skulle den inte. Glömmer man bort det får man skapa ett nytt konto.

Ett alternativ, som jag inte är tillräckligt tekniska begåvad för att kunna avgöra om det skulle funka eller inte, vore att man skrev in sin e-post och den krypterades och sedan jämfördes med den krypterade e-posten i databasen.

Det är märkliga tider vi lever i.

Mången Flashbackare har producerat extremt viktiga och insiktsfulla inlägg genom åren. Axess utsåg Flashback tillsammans med Twitter till den viktigaste debattarenan för politik för någon vecka sedan...

Att värna om användarnas anonymitet är inte bara viktigt som princip. Det är värdefullt för debattklimatet i Sverige och en fråga om demokrati.

Snälla alla, bidra inte med mer datapunkter och info om läckan nu. T.e.x vart olika användarnamn och sånt ligger.

Det är redan klarlagt bortom allt tvivel att läckan är äkta. Men vi vet inte ännu om det finns andra "register" inblandade i den också. Utan den möjligheten blir det också svårare att dementera, och lättare för flickvänner, grannar, arbetsgivare, att snoka.

Nu är det säkert att detta är seriöst och att admins måste göra något. Granskningen behöver inte fortsätta.

Man behöver väl inte lagra en e-post för att använda den som verifiering vid registrering. Frågan är varför verifieringen ens finns kvar. Det finns mängder med gratis e-postleverantörer. Det är enkelt att få en temporär e-post. Har man en Gmail kan man lägga till punkter innan @ för att låta det se ut en helt annan epost för Flashbacks system. Verifiering skyddar mot de som är för lata för att skaffa sig en ny e-post.

Grävet blir inte säkrare för att du gör social engineering utöver personnummer.

Har du koppling personnnumme-> Mail och sedan Mail -> användarnamn har du en koppling personnummer --> användarnamn. Varför skulle de då inte se detta som en koppling? För oavsett om de använder sig av inläggshistorik eller ej så går det att neka.

Anledningen till att de använder sig av inläggen är helt enkelt att användarnamnen inte finns med. Det har inte heller bekräftats av annat än .Chloe med anhang, de säger också att de har "för känslig" information för att kunna bevisa det, men samtidigt syftar de hela tiden till att den står i bokstavsordning. Det är konstigt att de vet detta med tanke på att .Chloe enligt egen uppgift endast kollat upp ~20 användare. Hur vet man då i en databas på 40000 att det är bokstavsordning på användarnamn den är sorterad efter. Speciellt som att den skulle vara scramblad. Det är helt enkelt för mycket spekulationer och löst snack för att jag över huvud taget skulle misstänka att något var på vift.

AB spekulerar och har fått info från vissa av de som hängts ut via tips, inte via FB och det är jag 99,99% säker på.