CARNET: Procurilo 47 tisuća korisničkih računa s .

evo ja provjerio svoj gmail koji koristim za registraciju na facebook i razne ostale internetske debilane - kaže mi ta stranica da ima 2 breacha i 0 pastea. čitam dolje u faq i dalje mi nije potpuno jasno što znači taj breach?

provjerio mail za banking - tamo 0 breacha i pastea.

 jel' ovo cracknuti word kome aktivacija sere???

LOL

100% onaj kineski koji uz taj za Office ima i ona tri za Windows. 

Pwned on 19 breached sites and found 7 pastes

Dost dobro

Ovo baš i nema pretjerano smisla, za neke gmail račune javlja da su "zaraženi" a na njima je dvostruka autentifikacija što bi značilo da uz lozinku netko ima pristup i mobitelu.

Kada se govori o korisničkim računima i lozinkama, treba znati da korisnički račun ima barem 3 parametra:

1. resurs na kojem je definiran korisnički račun

2. korisničko ime

3. lozinka

(ovo je poznatko svakome tko koristi neki program za spremanje svojih lozinki, tj. parametara korisničkih računa, npr. KeePass).

Npr. za (besplatni) Google korisnički račun:

1. Gmail (tj. pripadna lepeza Google usluga: Gmail, Google Drive, YouTube itd.)

2. ime.prezime@gmail.com

3. pripadna lozinka

Ako imam samo korisničko ime i lozinku (npr. pero i 123456), a ne znam gdje je taj korisnički račun definiran (npr. točno određeno osobno računalo s MS Windows 10), onda mi to ništa ne koristi, tj. ne mogu ih upotrijebiti za prijavu.

Nadalje, danas je na web servisima uobičajeno da se kao korisničko ime koristi e-mail adresa. Npr. korisnički račun za Bug forum ima sljedeća 3 parametra:

1. https://forum.bug.hr (stranica putem koje se pristupa na forum)

2. korisnikova e-mail adresa (npr. ime.prezime@gmail.com)

3. pripadna lozinka

I u ovom slučaju ako znam korisničko ime (ime.prezime@gmail.com) i lozinku, a ne znam da se oni odnose na Bug forum, onda ih opet ne mogu upotrijebiti za prijavu. Čak mogu pogrešno zaključiti da se radi o Google korisničkom računu (jer je korisničko ime jednako e-mail adresi na Gmailu). Jedino bih mogao pokušavati prijavu na razne web servise pa možda pogodim neki gdje će prijava s tim parametrima uspjeti (a to pokazuje da nije dobro koristiti istu lozinku na više web servisa).

U ovoj vijesti o "curenju" korisničkih računa iz vršne domene .hr nije jasno koji skup parametara se nalazi u toj bazi s Cit0Day.in. Možda ima više detalja na www.cert.hr no te stranice su trenutačno nedostupne :-)

-- rpr.

Carnet sprema lozinke u plantext ... wtf, nemam komentara. 

Mislim da je vrijeme da se krene u smjeru nekog Carnet Bug Bounty Programa.

Da li netko već koristi FIDO2/FIDO U2F za prijavu meni se čini zanimljivim i planiram isprobati uskoro, a jeftinija open source verzija dostupno je solokeys.com

A gdje se može vidjeti na kojim stranicama je napravljen upad?

Ovdje upišeš mail(ove) koje koristiš i ako je pwned, piše ti dolje ispod na kojem sajtu i kada.

Ponavljam - to NE znači da je sam mail probijen nego da je probijen neki sajt na kojem ste se ulogirali sa tim mailom i netko je objavio vaše podatke - mail i lozinku (u čitljivom ili hashed/salted obliku). Ako jedan te isti mail i lozinku koristite za više sajtova, to znači da netko može probati pogađati sa tom objavljenom lozinkom i mailom gdje se može prijaviti. Recimo, pero@gmail.com i lozinka 123456 je otkrivena na adobe breachu. Netko sad može pretpostaviti da taj mail i pass Pero koristi i na Paypalu. Ode na paypal i proba. Još gore ako tu istu lozinku koristi za mail - e onda je stvarno kraj priče.

Koristiti MFA gdje se može (app authenticatori) ili 2FA (sms, potvrda na mail). Ne koristiti istu lozinku posvuda, browseri sa razlogom nude onaj secure password generator.

 Tko ce odgovarati? Boli vodece u carnetu ona stvar...

Pogledaj upravu https://www.carnet.hr/o-carnet-u/uprava/ , znaci za vecinu od njih samo citaj kad je poceo raditi u carnetu, koliko im je dugo trebalo da postanu voditelji, onda neki veci voditelji pa ravnatelj itd i na kraju se sjeti da su svi ti sada u UPRAVI!

Za vecinu od njih ovoliko brzo unapredenja nema ni u americi...

Evo sada je dostupna stranica https://www.cert.hr/cit0day i iz te vijesti nigdje ne vidim da su provaljeni baš CARNET-ovi korisnički računi (što bi se valjda odnosilo na korisničke račune u sustavu AAI@EduHr).

Vijest, koju je objavio hrvatski CERT (dio CARNET-a), samo kaže da se u toj kolekciji od 226 milijuna korisničkih računa nalazi i oko 47000 korisničkih računa koji završavaju nastavkom .hr, što znači da to mogu biti korisnički računi bilo koje organizacije koja otvara korisničke račune unutar vršne domene .hr za svoje radnike i/ili korisnike, npr.

- ISP-ovi: a1.hr, ht.hr, inet.hr, ...

- obrazovne institucije: fer.hr, pmf.hr, fesb.hr, srce.hr, carnet.hr, ...

- državna/lokalna uprava: mingor.hr, zagreb.hr, metkovic.hr, ...

- poduzeća: hep.hr, ina.hr, koncar.hr, pliva.hr, kras.hr, unicreditgroup.zaba.hr, ...

(na https://www.domene.hr navedeno je da je trenutačno registrirano 112285 domena iz .hr).

Vijest na https://www.cert.hr/cit0day kaže da se radi o kolekciji od 226 milijuna korisničkih računa. Ako uzmemo npr. 100 "najbitnijih i najpoželjnijih" web servisa na koje bi se pokušalo provaliti, onda se radi o pozamašnoj količini posla za koji ti treba jaka globalna bot mreža koja će raditi tjednima da bi se ustanovilo koji par username + password odgovara za ulaz na neki od tih web servisa. To sigurno nije trivijalni zadatak.

 Kako ovo funkcionira?

Meni je na svakoj stranici lozinka password

https://prnt.sc/vpt2go

Slobodno se logirajte :)

Može neko malo pojasniti šta znači breached site, vidim da meni izbacuje 6 breached sites and no pastes.