VARNING - Läs detta, byt ditt lösenord

Lagras inte lösenorden hashade? Isåfall borde admin ha tillgång till databasen för alla hashes och den vägen kunna köra rainbowtables eller liknande för att få fram lösenorden relativt enkelt.

Dom behöver ju bara logga in på FB med det stulna lösenordet och
ändra användarens registrerade mailadress så skickas det nya
automatiskt dit, och den riktiga användaren kan inte få tillbaka
det om de sen ändrar lösenordet. Då blir man ju tvungen att skapa en
ny användare för det lär väl knappas gå att be och få sitt gamla¨
konto tillbaka.

Jag är lite osäker i min sak, men jag personligen skulle plockat lösenorden innan dom hashades. Det är således en fråga om vilken man litar på, jag litar på root och admin att inte sprida mitt lösenord vidare. Med datorer kan man göra mycket.

Just nu verkar det vara en enmansshow, en moderator från ett annat forum som därifrån driver sin vendetta med Flashback. I det forumet får hon i en tråd berätta för forumets medlemmar och besökare hur det hela förlöper. Nåväl, både forumets admin och vår lille vän uppger att hon inte har tillgång till den typen av användaruppgifter som lösenord etc. Så förhåller det sig säkert, men som alltid gäller det att vara försiktig med till vem man lämnar ut uppgifter om sig själv.

Det forumets admin eller en representant därifrån kommer nog inom någon dag att lämna sin version över det hela och vilken säkerhetsnivå de har. Det är bra! Under tiden kan vi alla fundera över hur vår Admin på Flashback skulle reagera om någon moderator härifrån drev en personlig konflikt mot ett annat forum, för att i en tråd här rapportera händelseutvecklingen? Kanske skulle våra medlemmar bli upprörda och vår Admin tycka att det skadade Flashbacks anseende?

Men det är också bra att rannsaka sig själv! Det nya forum det talats om så mycket de senaste dagarna, det har på FB inte bara sagts snälla ord om det . Medlemmar har till och med lagt ut adressen till en privatperson som sades stå bakom den registrerade domänen (vilken i efterhand visade sig leda till fel person). Vad vinner man på att lägga upp sådan information här? Vi vet också att en Flashbackmedlem registrerat sig på det andra forumet i en f.d. FB-moderators namn för att helt enkelt jävlas både med ex-moderatorn och med forumet i fråga. Troligen är det också en FB-medlem som registrerat sig på det andra forumet enbart för att få klistra in namn och adress till den som sägs vara Admin på forumet (vilket också visade sig vara en felaktig uppgift).

För min del är jag ytterst tacksam om det inte ligger några spänningar mellan de båda forumen. Det finns plats för oss båda och det ska självklart vara okej att skriva på båda forumen. Självklart ska vi ha högt i tak när vi diskuterar varandra, men om vi från båda sidor kunde enas om att lägga de lägsta angreppen åt sidan och åtminstone respektera personers privatliv som finns bakom nicken?

För närvarande ser jag bara förlorare i den här historien, men så behöver det naturligtvis inte alltid förbli. Personer från båda sidor har uppfört sig illa, men det går med all sannolikhet att rätta till.

/Evert



EDIT: Här finns nu ett uttalande från det aktuella forumets admin

http://www.belowsurface.se/forum/viewtopic.php?t=141

Det är ganska lätt att fixa lösenord från ett forum om forumet har funktionen "maila mitt lösenord". Bara för moderatorn att ändra e-mailen till sin egen, be om lösenordet, och sen ändra tillbaka.

Nej, de flesta forum har lösenordet sparat som md5-hash och då kan de inte dekrypteras.

Vad som sker om du glömt ditt lösenord är att ett nytt lösenord skapas och skickas över, samt att en md5-hash för detta skapas i databasen.

Aha

Kan det ha gått till på ett liknande sätt som nedanstående för den som har tillgång till hotmailadresser?
http://www.flashback.org/showthread.php?p=3409451#post3409451

Titta även några poster ner:
http://www.flashback.org/showthread.php?p=3497500#post3497500

Jag kan inte dementera eller konfirmera att händelserna här har gått till på det sättet men det är det mest troliga förloppet.

Inget intrång har skett i fbs databas och även om det finns indikationer på att bruteforce har prövats på vissa konton (därav uppmaningen att folk skall höra av sig om de fått ett mail om det) så handlar det med största sannolikhet om vanlig social engineering (dvs man lär känna personen och lirkar ur dem informationen som behövs för att få tillgång till resurser som kan användas för att få direkttillgång till det man är ute efter, alternativt att man får tillgång till resurser som indirekt gör att man får tillgång till det (som i fallet du beskriver ovan där man skaffar tillgång till mailaddressen som sedan kan användas för att begära nytt lösenord)).
Bruteforce innebär att man helt sonika gissar lösenord i hopp om att man råkar snubbla över det rätta och det finns ganska bra skydd mot det här på flashback (den berömda rutan om att du har X inloggningsförsök kvar innan kontot spärras i 15 minuter) så det är inget man behöver vara direkt orolig för om man inte har ett lösenord som är trivialt (ditt användarnamn eller något annat exremt lättgissat).
Men, får man ett mail om att någon försökt logga in 5 gånger och misslyckats rekommenderas det att man byter lösenord till något starkt om man inte redan har det samt kontakta någon mod eller admin med ip samt tidpunkt.

Man kan pröva hur starkt ens lösenord är här: https://www.testalosenord.se/

I detta fallet handlar det antagligen om konton som på något sätt har (haft) någon ankytning till de bannade användarna och det är i rent preventivt syfte denna varning har gått ut i forumet. Dels för att administrationen skall få reda på eventuella fall som vi inte redan kände till och dels för att informera användarna om att intrång/intrångsförsök mot flera konton skett.

Edit:
Jag vill även kommentera inlägget från det berörda forumets admin som Fet-Evert länkade till.
Personen ifråga är tydligen inte särskilt insatt i säkerhetsfrågor och har flera fel i sitt inlägg (även om denne har rätt att man inte kan spåra lösenord med ip, vilket jag inte vet vem som påstått?), även om dennes budskap trots det kommer fram. Jag avstår att kommentera dennes uttalande om de specifika händelserna här då jag varken får dementera eller konfirmera något utan admins tillåtelse.
Det allvarligaste felet personen gör är att påstå att tekniken (typen av forum) hindrar administrationen från att se lösenord. Saken är den att användarna (till skillnad från de som driver forumet) inte kan avgöra om systemet (programvara och hårdvara) är att lita på eller om det har blivit förändrat på något sätt när det sattes i drift. Säkerhet handlar om att lita på de som hanterar känslig information och gör man inte det så kvittar det vilken teknik de påstår sig använda. phpbb, vbulletin, etc. kan alla sättas upp så att administratören kan se allt vad denne vill se av vad som görs på sidan utan att det syns någon skillnad utåt. Därför skall man aldrig uppge känsliga uppgifter (vilket ett lösenord som används annorstädes i känsliga ärenden i allra högsta grad är) till någon (eller något) som man inte har fullt förtroende för.
Sådana fall som adminen på det berörda forumet inte påstår finns händer hela tiden runt om oss... Tidningarna skriver inte om det för att det inte skett på ett så pass smaskigt sätt ännu för att de skall få bra rubriker, samt att uppfattningen om någon som delger känsliga uppgifter till en källa de inte litar på är att de i regel får skylla sig själva.

hör inte detta hemma i konspiratinsteorier egentligen?

Varningen som gått ut bygger på konkreta uppgifter. Vissa av kommentarerna här hör möjligen hemma där men det kanske är dem du syftar på?

Hehehe, ja inte fan är det admin på den sidan som gör något sådant här, det märks på tex. det smidiga uttalandet:
Ja det var ett nytt programmeringsspråk för min del.

I övrigt så finns det massor av småprogram för er som vill generera svårknäckta lösenord - ta och sök på Download.com tex. och använd orden "password generator" så hittar du dessa:
http://www.download.com/3120-20_4-0.html?tag=srch&qt=password+generator&tg=dl-20&search.x=0&search.y=0&search=+Go%21