Andre der har modtaget en mail fra Cardrunners? Få lige tjekket op på jeres pass osv.
"Dear ******,
Last night we identified and stopped an illegal intrusion of the CardRunners servers.
While no customer credit card or financial information was compromised, we have confirmed that the following customer information related to your account may have been compromised:
Email Address
Encrypted Password
IP Address
Out of an abundance of caution, we have forced your password to be reset. If you use your CardRunners username or password for other unrelated services or accounts, we recommend that you change them as well.
Your new password is: **********
CardRunners will never contact you in any way asking for any personally identifiable information so please be vigilant in not providing such information to anyone that represents themselves as working for CardRunners.
We regret any inconvenience this causes and want to ensure you that we will continue to work to ensure that additional measures are taken to protect your private information.
Regards,
CardRunners Support"
Har heldigvis ikke samme pass til min mail så er vel home free?
Cardrunners hacked
De kan også se dit brugernavn derinde. Og har du fx samme brugernavn + password på pokerkonti, eller samme password på Moneybookers tilknyttet den email, Er det et problem.
@Beck.
Øh nej.
"Encrypted password" er lækket, dvs. de kan kun se dit password i krypteret form (sikkert MD5-hash). Risikoen for at de gætter dit password er dermed stort set lig nul forudsat at dit password ikke er uhyre simpelt (f.eks samme tegn 4 til 6 gange).
Det største problem er læk af e-mail hvilket kan betyde mere spam.
Har os modtaget mail :(
@Krabo
Stort set lig nul er desværre ikke nul, og selvom CR selv har været ude at sige at risikoen for at den bliver knækket er meget meget lille, anbefaler de stadig at folk ændrer password andre steder hvor de evt måtte have brugt samme password.
@Krabo
Aaah.. Det er vidst ikke helt sandt, MD5 passwordet kan knækkes ved brug af en rainbow table, bruteforce- eller dictionary angreb.
Men det kommer an på hvordan passwordet er krypteret, MD5-hash er standarden men det kan også være saltet også ville det være endnu sværere at knække.
De kunne lige have givet folk et par dage til at finde ud af hvilken kode de har brugt til deres account. Fedt at skulle ændre alle sine 7 forskellige koder.
@NDAC
Hvad er det i min post der ikke er sandt? Alt kan jo knækkes vha. bruteforce hvis du bare har nok tid, så er det ikke lidt retarderet at nævne dette i dit indlæg? Jeg skriver netop at med MINDRE passwordet er meget simpelt så er det meget usandsynligt at dit password kan genskabes udfra en hash-værdi. Og hvordan mener du selv et dictionary-attack ville virke mod et ikke-simpelt password?
Dit indlæg vil jeg bare betragte som kværulantisk og/eller et forsøg på at fyre en masse fine ord af for at virke "smart"...
Jeg aner ikke, hvad CR bruger, men kan dog bidrage med, at MD5-algoritmen ikke bør bruges i kommerciel sammenhæng længere, idet den er blevet knækket; derimod er SHA1-algoritmen i dag standard. At alt skulle kunne knækkes er i og for sig korrekt, men dog kun i teori.
