16.7.2013

Tietoturvatiedote

Palvelusta paljastui tänään tietoturva-aukko. Tietoturva-aukko korjattiin muutamassa minuutissa.

Hieman alle tuhannen vuonna 2006 rekisteröityneen käyttäjän sähköpostiosoitteet joutuivat vääriin käsiin tämän tietoturva-aukon vuoksi 4.7.2013. Käyttäjien salasanoja ei tallenneta selväkielisessä muodossa. Hyökkääjä sai käsiinsä salasanasta ja satunnaisesta merkkijonosta (suolasta) lasketun hash-arvon, mutta koska tätä "suolaa" ei saatu, on erittäin epätodennäköistä, että salasanoja saataisiin selvitettyä. Varmuuden vuoksi nämä käyttäjät joutuvat vaihtamaan salasanansa. Jos samaa salasanaa on käyttänyt muissa palveluissa, niin niidenkin vaihtaminen on suositeltavaa.

Adresseja allekirjoittaneiden tiedot pysyivät turvassa.

Hyökkäys tapahtui SQL-injektion avulla. Ylläpito on käynyt läpi kaikki hyökkääjän tekemät tietokantakyselyt ja tämän vuoksi on tiedossa tarkalleen mitä tietoja hyökkääjä sai.

Ylläpito pahoittelee tapahtunutta ja ottaa opiksi tästä.