Prisjakt hackat – användaruppgifter på vift

Permalänk
Skrivet av septembro:

Trist.. :/ Men..

Angående: Prisjakt stärker säkerheten efter läckta mejladresser

"Till dig som använder Prisjakt

Vi har fått kännedom om att ett antal av våra användares email-adresser kommit ut externt, och denna adress tillhör de som exponerats. Vi vill framhålla att vi inte har något som tyder på att några lösenord ska ha lämnat våra system. Naturligtvis ser vi allvarligt på det inträffade och har vidtagit nödvändiga säkerhetsåtgärder.

En allmän rekommendation är ändå att byta lösenord vid jämna mellanrum, oavsett vilken tjänst du använder.

Vi tar er integritet och säkerhet på största allvar och beklagar det inträffade. Har du frågor är du välkommen att kontakta oss på support@prisjakt.nu

Mvh
Prisjakt"

Ok. Så ser mailet ifrån Prisjakt ut. Och det säger?

Har ändrat lösen. Ska e-post adress också ändras iom att det är den som ska "vara på drift"?

Har kontaktat dem och inväntar svar..

Fått svar ifrån Prisjakt:

" Hej,

Tack för ditt mejl.

Vi ber återigen om ursäkt för det inträffade.
Vi ser allvarligt på det här och det faktum att det har inträffat är beklagligt både för oss och våra användare.
Vi utvecklar ständigt vårt IT-säkerhetsarbete, det är en viktig fråga för oss. Intrånget är nu polisanmält.
Vi har inte kunnat hitta något som tyder på att inkräktarna kommit över lösenord. Prisjakt sparar inte lösenord i klartext.
Om du så kan jag byta mejladress åt dig för ditt konto?

Det inträffade då någon fått tag i anställds kontouppgifter på ett otillbörligt sätt.

Men då e-post adresser läckt ut, behöver du uppdatera dina lösenord. Kan du göra det omgående?

Prisjakt har nu gått ut med information:
https://www.prisjakt.nu/nyhet.php?n=424

Hör av dig om du har frågor, så hjälper jag dig vidare.

Återigen vi beklagar det som inträffat!

Vänliga hälsningar
Sandra

Prisjakt Support Sverige"

Så ja, med största sannolikhet eller rättare sagt mest troligen har väl även lösenord blivit hackade. Gör kanske inte så stor skada med ett hackat prisjakt konto iofs, men använder man samma e-post samt samma lösenord på flera olika ställen så är ju risken också desto större att även där bli drabbad - kanske då med större minus. Ja, ni förstår alla själva.. Så säkrast är väl om man nu använder samma inloggningsuppgifter, e-post samt lösenord, på andra ställen att även ändra/uppdatera dem.

Visa signatur

R5 | i5 12600K | RTX 3060 | Z690 | 16 GB RAM | 1 TB M.2 SSD | 3xNH-A14 | NH-D15S | 750 W PSU

Permalänk
Medlem

Detta förklarar ju varför jag nyss blivit spammad med att acceptera 5000kr kupong på IKEA efter man använt prisjakt

Visa signatur

Ny dator Lexius signatur 2018 edition Ryzen 7 2700X@4.35PBO/Vega 64 Nitro+/16 GB DDR4 Patriot Viper4 2866mhz/ ASUS B450 F-Gaming/ 500GB samsung 970 evo m.2ssd / 2TB SSHD/1TB WD BLUE 7200rpm/WD Black TB/1TB SSHD (AMD StoreMi)PSU Be quiet pure power 730W / Mobo Asus B 450 F-Gaming/Hörlurar Sennhieser 58X Mobil Samsung Galaxy S20FE 5G 256GB/8GB Ram Skärm Asus TUF Gaming 144HZ IPS Async

Permalänk

Då var det ju bra att jag skaffade ett konto på Prisjakt pga Sweclockers tävling ganska nyligen. Är det redaktionen som lurade dit folk sen hackade sidan tros?

Permalänk
Medlem

Ibland är folks användaruppgifter hackade utan att dem vet om det. Som i yahoos fall, i flera år faktiskt.

Permalänk
Medlem

Vill ge er ett tips. Kör xxxxxxxxxxx-PINKOD
sen byter ni bara pinkoden ibland

Visa signatur

Chassis: Fractal Design Define R4 CPU-cooling: NH-D14 with Arctic MX-6 paste CPU: Ryzen 5 3600XT MOTHERBOARD: Gigabyte X570 Aorus Elite MEMORY: 2x KF3600C16D4/16GX
GFX: EVGA GeForce RTX 3060 XC 12GB
PSU: Seasonic Focus GX 750W
HDD: Samsung 980 Pro 2TB
MONITOR: Acer predator XB273U

Permalänk
Medlem
Skrivet av Hoggaforfan:

Då var det ju bra att jag skaffade ett konto på Prisjakt pga Sweclockers tävling ganska nyligen. Är det redaktionen som lurade dit folk sen hackade sidan tros?

Hmm intrigen tätnar...

Permalänk

Alltid kört VPN och 'krånglat till' min närvaro på nätet och olika lösen på de FÅ siter jag faktiskt signar upp på. Min filosofi har alltid varit "Bättre försiktig innan än ledsen efter". Alltid fått höra; "Har man inget att dölja så.." "Är man inte pedofil/terrorist/fildelare så.."

Moving on..

Permalänk

Varför bör man byta lösenord om de bara kommit över epostadresser? Det är ju inga hemliga uppgifter direkt.

Skickades från m.sweclockers.com

Visa signatur

Fractal Design Define R4 | i5-3570K | Corsair Vengeance 16GB 1600Mhz | Asus P8Z77-V LE Plus | Intel 520 180GB SSD | Antec TruePower NS 650W | HD7950 Windforce 3X OC | ESI ESP1010e

Permalänk
Medlem
Skrivet av rektor:

Hoppas att lösenorden var hashade och saltade.
Hoppas dom inte använde MD5.

Tur att jag använde en Mailinator throw-away e-postadress och inte min riktiga e-postadress.
Så nu är iaf min riktiga e-postadress ute på vift.
Dock så kan dom nu enkelt hacka mitt Prisjaktkonto genom att begära en lösenordsåterställning.

Hur då? Dom har ju inte lösenordet till ditt mailkonto.

Permalänk
Medlem

Har säkert ett konto där men jag bryr mig inte, har unika lösenord på ett par få ställen som man bryr sig om.

Visa signatur

Ny dator: Acer Predator Orion 5000 (RTX 3080)
[ I7 3770K @ 4.6Ghz | Asus 980 Ti 6GB | 16GB | Asus P8Z77-V PRO | Samsung 830 128GB | Corsair H100 | Cooler Master HAF X | Corsair AX 850W | Samsung DVD±RW ] [ Sony AF9 65" | Sony WF-1000XM3 | HTC Vive | Huawei P40 Pro | PS4 Pro | PS3 Slim | PS2 chippad | PS Vita | DS Lite | SNES Mini ]

Permalänk
Medlem
Skrivet av anon5930:

...tills LastPass får sina användares information läckt.

Lösenorden i Lastpass är starkt krypterade och inte ens de på Lastpass har ditt masterlösenord så de kan ej dekryptera dina lösenord. All kryptering och dekryptering av lösenorden sker lokalt på din dator.

Permalänk

Använder KeePass som bara sparar saker lokalt på datorn av just denna anledning. Vågar inte använda en lösenordstjänst där mina lösenord sparas i "molnet".

Permalänk
Medlem

Det förvånar mig väldigt mycket att så många här på Sweclockers säger att de inte kör med någon passwordmanager. Nog trodde jag att den allmänna kompetensen här var bättre än så?

Tex har jag själv inloggningar på ca 250 (normalt för de flesta) olika sajter och utan en passwordmanager så hade det varit helt omöjligt att ha unika och svåra lösenord på alla de sajterna.

Se nu till att höja säkerheten en gång för alla och skaffa en passwordmanager om ni inte har det. I Lastpass tex kan man göra en säkerhetsgenomgång av alla sparade lösenord och få varningar för svaga, enkla eller gamla lösenord samt varning om någon av dina sparade sajter har blivit hackade. Har man väl gått igenom allt så har man ett bra skydd. Varje gång man ska ha nytt lösenord så genererar man ett långt och komplext i Lastpass så man alltid har svåra och unika lösenord på varje sajt.

Ett måste är även två-faktor login på de viktigaste kontona som mail osv, likt bankdosa. Finns för flera av de vanligaste mailtjänsterna som Gmail, Outlook osv.

Permalänk
Medlem
Skrivet av arkhanari:

Använder KeePass som bara sparar saker lokalt på datorn av just denna anledning. Vågar inte använda en lösenordstjänst där mina lösenord sparas i "molnet".

Och om du får en hårddiskkrasch?

De lösenord som sparas i molnet är starkt krypterade och inte ens de som har hand om tjänsten kan dekryptera dina lösenord då all kryptering och dekryptering sker lokalt på din dator.

Menar du även att du har bättre IT-säkerhet hemma än de har på datacenter med dedikerade säkerhetsexperter som driver och utvecklar systemen?

Permalänk

Roligt att man fixade ett Prisjakt konto efter att man deltog i en SweC tävling...

Visa signatur

PC #1 CPU: R5 1600 @3.8 Motherboard: B350-A PRIME GPU: EVGA 1080 Ti
PC #2 CPU: i7 3770K @4.2 Motherboard: P8P67 GPU: AMD R9 290X

Permalänk
Hedersmedlem

Jag kör Lastpass sedan många år nu och betalar för det. Måste kunna komma åt något hundratal unika lösen var jag än är, så det är perfekt för mig. Har aldrig samma lösen på två ställen sedan jag skaffade det och det är det viktigaste. Fördelarna med molnlagring överväger den eventuella risken, iaf för mig.

Visa signatur

W10, Intel 5820K, Asus X99-S, Crucial DDR4 2133MHz 32GB, Sapphire 290X Tri-X, Intel 730 SSD, WD Black+Green+HGST, Silverstone FT02, Corsair AX1200, Corsair K90, Logitech MX518, Eizo 2736w, Eaton 5115 UPS. Pixel 7 pro

Permalänk

Fick mailet, dock har jag ett lösenord jag inte använder för annat. Ändå dags att börja byta lösenord överallt, med tanke på alla läckor.

Visa signatur

i5 8400 / Gigabyte B360N Wifi / GTX 1080 / CoolerMaster NR200P / EVGA SuperNova GM 650 / Corsair Vengance LPX 16 GB DDR4 @ 2666mhz / Sandisk A110 & OCZ Trion 150 / Noctua NH-L12S

Permalänk
Medlem
Skrivet av Omitron:

Hur då? Dom har ju inte lösenordet till ditt mailkonto.

Haha, tänk om det vore så lätt att hacka någons konto. "Jag vet vad du har för epostadress så jag har tagit över ditt konto!"

Visa signatur

MODERMODEM: Asus ROG Strix Z270E Gaming | i7 7700K | Corsair Hydro H110 | Kingston HyperX Savage 32GB DDR4 RAM | Asus GeForce RTX 3060 Ti TUF OC | Crucial BX100 500GB SSD | Phanteks Enthoo EVOLV | SilverStone Strider Evolution 1200W |

Permalänk
Medlem
Skrivet av MultiMan:

Jag kör Lastpass sedan många år nu och betalar för det. Måste kunna komma åt något hundratal unika lösen var jag än är, så det är perfekt för mig. Har aldrig samma lösen på två ställen sedan jag skaffade det och det är det viktigaste. Fördelarna med molnlagring överväger den eventuella risken, iaf för mig.

Okej. Hur gör du när du vill kolla din prisjakt hos en kompis? Nyfiken.

Då visar du på din telefon. Okej men det borde finnas situationer där du måste logga in på något av dina konton på någon annans dator. Då måste du ladda ner lastpass antar jag? Detta kanske inte är något problem. Men vore intressant att höra din syn på det om du försöker att vara objektiv och inte försvara varför du betalar för det. För jag förstår att det är bra jag vill bara veta hur praktiskt det är.

Visa signatur

Råd tas på eget ansvar.

Permalänk
Medlem
Skrivet av Banco:

Okej. Hur gör du när du vill kolla din prisjakt hos en kompis? Nyfiken.

Då visar du på din telefon. Okej men det borde finnas situationer där du måste logga in på något av dina konton på någon annans dator. Då måste du ladda ner lastpass antar jag? Detta kanske inte är något problem. Men vore intressant att höra din syn på det om du försöker att vara objektiv och inte försvara varför du betalar för det. För jag förstår att det är bra jag vill bara veta hur praktiskt det är.

Själv loggar jag aldrig in med Lastpass på någon annan dator än mina egna, det är ju därför man har LP även på telefonen. Det finns även 2-faktor lösningar till LP där man även måste ha en fysisk nyckel på tex USB om man nu måste logga in på en annan dator. Då kör man det på ett säkert USB med hårdvaruaktiverat skrivskydd.

Permalänk
Skrivet av Omitron:

Och om du får en hårddiskkrasch?

De lösenord som sparas i molnet är starkt krypterade och inte ens de som har hand om tjänsten kan dekryptera dina lösenord då all kryptering och dekryptering sker lokalt på din dator.

Menar du även att du har bättre IT-säkerhet hemma än de har på datacenter med dedikerade säkerhetsexperter som driver och utvecklar systemen?

Om jag får en hårddiskkrasch så har jag så klart säkerhetskopior av mina lösenordsdatabaser.

Jag har bättre IT-säkerhet i den meningen att endast jag kan komma åt den krypterade databasen med mina lösenord och har kontroll över hur många gånger den dupliceras.

Permalänk
Medlem
Skrivet av arkhanari:

Om jag får en hårddiskkrasch så har jag så klart säkerhetskopior av mina lösenordsdatabaser.

Jag har bättre IT-säkerhet i den meningen att endast jag kan komma åt den krypterade databasen med mina lösenord och har kontroll över hur många gånger den dupliceras.

Och endast jag kan komma åt min krypterade databas på Lastpass med mina lösenord då ingen annan har tillgång till mitt masterpassword.
Att hacka din dator är oändligt enklare än att hacka Lastpass. Har du även dina pengar hemma eller har du dem i molnet?

Permalänk
Avstängd
Skrivet av Omitron:

Hur då? Dom har ju inte lösenordet till ditt mailkonto.

Jag använde Mailinator, ett öppet throw-away konto som alla kan nå, det finns inget lösenordsskydd och det finns ingan konton, det är en catchall som tar emot address på *@mailinator.com och visar alla mejl den blir skickad. Det finns ingen säkerhet. Ingen äger något personligt konto eller e-postadress där för det finna inga konton.

Permalänk
Skrivet av ClintBeastwood:

Vad innebär det där?

Det innebär att i ett par veckors tid serverade Prisjakt malware till alla som besökte siten. Jag skulle gissa det var nåt som försöker sno kortuppgifter om man köper på en länk från Prisjakt, men det kanske bara var för att sno inloggningsuppgifter, vad vet jag.
Det är fixat nu, så jag utgår från att de vet om det.

Permalänk
Medlem
Skrivet av Banco:

Okej. Hur gör du när du vill kolla din prisjakt hos en kompis? Nyfiken.

Jag har alltid med mig mobilen så behöver jag lösenord för att logga in någon annanstans öppnar jag appen (LastPass) i mobilen, kollar upp lösenordet för tjänsten (exempelvis Prisjakt) i fråga och loggar in med lösenordet på annan enhet.

Visa signatur

Gaming: MSI MAG X570 TOMAHAWK WIFI | AMD Ryzen 9 5900X | ASUS TUF GeForce RTX 3080 10GB | Corsair Vengeance LPX Black 32GB 3200 MHz | Corsair RM850x V2 | Sabrent 2TB Rocket Nvme PCIe 4.0 | FD Define S | LG 27GP850 | LG 48C1

Permalänk
Prisjakt

Angående läckta mejladresser och användarnan

Vi på Prisjakt förstår att det inträffade vållar oro hos många. Vi jobbar ständigt med att förbättra säkerheten, som är väldigt viktig för oss. Vi är uppriktigt ledsna över att utomstående har kommit över information som de inte skulle komma över.

Vi vill vara tydliga med vad som har läckt, så att var och en kan bedöma vilka åtgärder som kan vara lämpliga. Det handlar om 48 023 användarnamn och mejladresser. Det handlar också om 500 postadresser och personnummer knutna till Min Hembio. Ni som är berörda av läckta personnummer och postadresser har fått ett mejl från info@minhembio.com med titeln "Till dig som använder minhembio.

Vi har noga undersökt vilken information som har varit åtkomlig och det finns ingenting som tyder på att utomstående har kommit åt våra hashade lösenord. Vi sparar inte heller lösenord i klartext.

Vi kan inte redogöra för alla de säkerhetsåtgärder vi har vidtagit, men vi kan försäkra våra användare om att de är omfattande och högst konkreta. Vi har infört en rad nya rutiner och säkerhetsaspekter för att förhindra att något liknande inträffar igen.

Prisjakts supportteam

Permalänk
Medlem
Skrivet av Omitron:

Det förvånar mig väldigt mycket att så många här på Sweclockers säger att de inte kör med någon passwordmanager. Nog trodde jag att den allmänna kompetensen här var bättre än så?

Tex har jag själv inloggningar på ca 250 (normalt för de flesta) olika sajter och utan en passwordmanager så hade det varit helt omöjligt att ha unika och svåra lösenord på alla de sajterna.

Se nu till att höja säkerheten en gång för alla och skaffa en passwordmanager om ni inte har det. I Lastpass tex kan man göra en säkerhetsgenomgång av alla sparade lösenord och få varningar för svaga, enkla eller gamla lösenord samt varning om någon av dina sparade sajter har blivit hackade. Har man väl gått igenom allt så har man ett bra skydd. Varje gång man ska ha nytt lösenord så genererar man ett långt och komplext i Lastpass så man alltid har svåra och unika lösenord på varje sajt.

Ett måste är även två-faktor login på de viktigaste kontona som mail osv, likt bankdosa. Finns för flera av de vanligaste mailtjänsterna som Gmail, Outlook osv.

Jag litar inte på passwordmanagers, och jag förstår inte hur man kan göra det. Tänk om tjänsten man använder som passwordmanager blir hackad? Då är man ju körd...

Visa signatur

sweclocker since '04

Permalänk

@EazeR:

Beror lite på vilken man använder. Personligen använder jag en lokal lösning Keepass (open source och audited). Har över 400 olika lösenord som inte finns sparade online alls (förutom en online kopia som är dubbel krypterad). + självfallet offline backups. (alltid krypterat)

Sen har jag Keepass på telefonen också för att få fram lösenorden när man är utanför hemmet.

Annars finns det bra online lösningar också. t.ex. Lastpass Krypterar ditt vault offline, därför får deras servers endast tillgång till ditt krypterade vault och de har inte nyckeln för att låsa upp det.

Att använda pålitliga lösningar för lösenordshantering är inte riskfritt, men är man försiktigt är det en mycket bättre lösning än återanvändning av sina gamla lösenord och försöka vara lite listig med att ibland ha stor bokstav och skriva 123,321, 12345.

Skulle dock rekommendera Lastpass för nybörjade. Lätt att göra fel med Keepass.

PS: Personen som ansåg att det är lättare att bli hackad som privatperson än säkerhetsexperterna på Lastpass, du har iosf rätt, men måltavlan är betydligt mindre. I säkerhet så är det viktigt att se ens threat level.

Permalänk
Skrivet av Omitron:

Och endast jag kan komma åt min krypterade databas på Lastpass med mina lösenord då ingen annan har tillgång till mitt masterpassword.
Att hacka din dator är oändligt enklare än att hacka Lastpass. Har du även dina pengar hemma eller har du dem i molnet?

Bara jag har den fysiska tillgången till den enhet vari i min lösenordsdatabas ligger. Använder jag Lastpass har deras personal och/eller datahallspersonal fysisk tillgång.

Hur jag förvaltar mina finansiella tillgångar är en annan fråga. Självfallet försöker jag riskdiversifiera och ha så litet som möjligt i osäkra tillgångar vars värde och/eller ägande endast är beroende av digitala funktioner eller... hmm.. vänta nu.. det var ingen seriös fråga va? Du ville bara raljera?

Permalänk
Medlem
Skrivet av EazeR:

Jag litar inte på passwordmanagers, och jag förstår inte hur man kan göra det. Tänk om tjänsten man använder som passwordmanager blir hackad? Då är man ju körd...

Om du hade läst på lite om hur password managers som Lastpass fungerar så hade du sett att allt sparas krypterat i molnet och inte ens de som jobbar på Lastpass kan dekryptera lösenorden då de inte har tillgång till ditt masterlösenord. All kryptering och dekryptering sker lokalt på din dator med ditt masterlösenord som inte sparas i molnet. Masterlösenordet används för att låsa upp de långa krypteringsnycklar som i sin tur används för att kryptera och dekryptera lösenorden.

De har ett dedikerat säkerhetsteam som ständigt jobbar med säkerhet och proaktivt för att förhindra intrång men skulle Lastpass trots allt det ändå bli hackat så kan ingen knäcka din krypterade databas så länge du har ett bra masterlösenord.

Jämför nu med hur du troligtvis gör idag, har samma lösenord på flera sajter då det inte är möjligt att komma ihåg några hundra olika lösenord (så många sajter har de flesta) och faktumet att du aldrig kan få samma säkerhet hemma som på ett datacenter med professionella säkerhetsexperter så har du bra mycket sämre säkerhet än vad du haft med en passwordmanager. Lägg där till faktumet att du troligtvis har ganska enkla lösenord med då du aldrig kan komma ihåg komplexa lösenord som man genererar i en passwordmanager.

Du har redan dina pengar i molnet...