SweKerhet - tråden om säkerhet

Stor och stor vet jag inte om den blev.
En patch för en annonserad sårbarhet i curl släpptes idag, verkar inte så allvarlig som många hade väntat.

CVE-2023-38545

Daniels blogg för den intresserade:
https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/

I övrigt så tycker jag att det är ett bra initiativ!

Jag vet sen tidigare att jag fått träff på ett gammalt, kasst lösenord som jag använde på många ställen (det var ett fem tecken långt ord, ett känt produktnamn, och siffrorna 123). Fast jag kollade inte med mejl, utan jag sökte i en stor klartextdatabas över lösenord.

För ganska många år sen gick jag helt över till mycket längre, slumpade och mer komplexa lösenord som är unika för varje ställe. Men jag glömde ett. Instagram. Och i våras smällde det till, mitt konto var blockat pga "otillåten aktivitet". Jag använde det knappt mer än för att titta på bilder som släkt och vänner lagt upp, men jag kan bara anta att det blev "hackat", dvs nån använde mitt svaga lösenord, gjorde nåt dumt med det och fick det blockat.

https://cert.se/ är bra att följa med

Du länkade en artikel från gårdagen angående en kommande release, som är gjord.

Jag länkade till releasen.

Ingen fara, jag menar inte att låta grinig heller- god morgon förresten

Kanon initiativ! Har själv också blivit mer säkerhetsmedveten sedan jag började drifta egen DC hemma för olika behov och jag kör flera containers, däribland curl hotet är aktuellt att patcha bort nu om 1h

Bra länkar som alla andra kommit med!

Kommer ut nya databaser dagligen så man bör anta att nästan alla ens konton är läckta. Alla svenska sidor har ju blivit hackade flera gånger om

Sista stora CVEn är nog de runt Webm eller HTTP/2 Rapid reset CVE-2023-44487, CURL var ju tippad att bli stor men får se hur det går senare idag när folk tittat mer på det.

På mina email konton jag använder nu mera var det noll på haveibeenpwned däremot min gamla mail fick träff på 14 st läckor. Har avveklat denna sen ett bra tag tillbaka och använder Bitwarden plus 2FA på alla ställen som tillåter det.

Dom stora var Adobe oktober 2013 153 miljoner konton, Heroes of Newerth december 2012 8 miljoner användare, Sweclockers 2015 255k användare, Unreal Engine Augusti 2016 530k användare, XSplit November 2013 3 miljoner. Alla dom släppte Email adressen, lösenord och användarnamn.

Märkte av att det hade läkt lösen och mail adress då vissa av mina spelkonto blev tagna (Blizzar konto, minecraft konto och GTA konto) även jag hade olika lösenord. Lyckades att återfå kontona och byta mail adress/lösenord. Någon av dom hade ingen 2FA möjlighet när jag bytte mail och lösen.

25 gånger, men har 2 factor authentication på allt nu för tiden så det är oftast lugnt.

Vilken tänkte du på?

För alla tre jag nämnde påverkar ju mer eller mindre hela Sverige och egentligen hela världen i längden.

Visst inte direkt men t.ex CURL verkar gå att använda för MITM vilket kan leda till intrång på företag och då ta din data från företag.
HTTP/2 är ju främst DDoS och kan dra ner mycket.

Webm ledde ju till sårbarheter i alla IOS enheter, allt baserat på Chromium eller Electron

Tack för inlägget, det gör att man får upp ögonen för sin egen säkerhet på nätet.

Min huvudmailadress, en gmail har 10 på haveibeenpwned

Ah du menar så.

Nej troligen inte, diskussionerna på kontoret pekar dock på att troligen många större företag är påverkade.
Vi hanterar den då som kritisk.

Bättre än väntat, Sweclockers och Trillian 2015 efter det har jag "klarat" mig

Dom läckta jag hade var verkligen 'dåliga' på oviktiga skräpkonton - en som jag använde sedan anno dazumal och med dagens ögon för få tecken är fortfarande inte med i någon av listorna - den var förvisso default maskingenererad och jag lyckades lära mig den utantill - idag är det betydligt längre password i de flesta fallen - och börja gå allt mer till passfraser på saker som inte kan hanteras automagiskt med lösenordshanterare - och det har också sina problem med att somliga ställen inte tar mer än 16 tecken för passorden (hur tänkte man här ???) eller tjatar om att det skall vara stora, små, minst en symbol, siffror - tecken trots att man matar in en armlång diceware maskinslumpad passfras... - borde finnas en gräns typ vid 16 tecken när systemet inser att det är en passfras som skrivs och därmed inte har regler längre och inte en password...

På en gammal mejladress: SweC läcka och på en annan Adobe, Trillian och Gravatar (som jag inte har en aning om vad det är, känner inte alls igen något sådant).
Nya mejladressen (sedan några år tillbaka) inget

Sedan många år tillbaka använder jag lösenordshanterare med olika lösenord till varje sida, 2fa när det går.

Jag sparar aldrig lösenord till mejl-konton eller router på datorn/lösenordshanterare.

Men ett stort fel man gör att vara inloggad på tjänsterna hela tiden.

Orkar inte skapa konto på andra siten. Min seriösa mail var ok men min gamla hotmail var pwned 7 gånger men det var väll väntat med tanke att jag gjorde den runt 2000

haveibeenpwned: med det konto jag inte är lika noga med, 10. Övriga 0.

Vill inte skapa ett konto på dehashed

Fick en attack mot mitt Bitwarden konto för några dagar sen (det lyckades inte), kändes mindre skoj

Denna är lite rolig har väl 6-7st där