CARNET: Procurilo 47 tisuća korisničkih računa s .

poruka: 42
|
čitano: 4.586
|
moderatori: vincimus
+/- sve poruke
ravni prikaz
starije poruke gore
Ovo je tema za komentiranje sadržaja Bug.hr portala. U nastavku se nalaze komentari na "CARNET: Procurilo 47 tisuća korisničkih računa s .".
12 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

ma to je samo nuspojava ovoga. dok su se naši i njihovi kiberili, treća strana um caruje i klade valja. 

I know that you believe you understand what you think I said, but I am not sure you realize that what you heard is not what I meant.
Poruka je uređivana zadnji put uto 24.11.2020 18:48 (Ajar).
Moj PC  
7 0 hvala 0
9 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

evo ja provjerio svoj gmail koji koristim za registraciju na facebook i razne ostale internetske debilane - kaže mi ta stranica da ima 2 breacha i 0 pastea. čitam dolje u faq i dalje mi nije potpuno jasno što znači taj breach?

provjerio mail za banking - tamo 0 breacha i pastea.

yippee ki-yay
 
0 0 hvala 0
8 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
Ajar kaže...

ma to je samo nuspojava ovoga. dok su se naši njihovi kiberili, treća strana um caruje i klade valja. 

 Nemojte nas vise braniti, molim vas  

3 godine
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
Ajar kaže...

ma to je samo nuspojava ovoga. dok su se naši njihovi kiberili, treća strana um caruje i klade valja. 

 jel' ovo cracknuti word kome aktivacija sere???

 

LOL

NULL!=NULL
5 godina
online
Re: CARNET: Procurilo 47 tisuća korisničkih računa

Jeste negativni, možda samo taj office nije dugo vidio KMS server, ne kupuje država Office na komad (nadam se).

 

E sad, koji i čiji KMS... 

 

@Apachy - to znači da se taj tvoj mail pojavio u dumpu baze ili čega već od nekog sajta koji je probijen. Odmah ispod polja za mail ti piše koji sajt i kada. Nisu tebi ušli u mail nego se tvoj mail i pass (hashed ili plaintext) pojavio na netu u sklopu nekog proboja sajta. Koristite MFA (najbolje one app authenticatore, od Google ili MS) jer više niti 2FA sa SMS nije dovoljan, za cca 150 USD, nešto vremena i znanja se i to zaobiđe...

Poruka je uređivana zadnji put uto 24.11.2020 19:07 (Nuclear_Phoenix).
10 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa

100% onaj kineski koji uz taj za Office ima i ona tri za Windows. 

12 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
Nevjerojatno. I jos se idu naslikavati.
 
0 0 hvala 0
12 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Pwned on 19 breached sites and found 7 pastes

 

Dost dobro

Moj PC  
2 0 hvala 0
6 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

ko koristi carnet?

rijeiworhxn9rhis
 
0 1 hvala 0
12 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Ovo baš i nema pretjerano smisla, za neke gmail račune javlja da su "zaraženi" a na njima je dvostruka autentifikacija što bi značilo da uz lozinku netko ima pristup i mobitelu.

 
0 0 hvala 0
6 godina
online
Re: CARNET: Procurilo 47 tisuća korisničkih računa
ivan599 kaže...

Ovo baš i nema pretjerano smisla, za neke gmail račune javlja da su "zaraženi" a na njima je dvostruka autentifikacija što bi značilo da uz lozinku netko ima pristup i mobitelu.

 Ne, nisu procurile lozinke od e-mailova, već od korisničkih računa na nekim stranicama. Osim ako netko ne stavlja istu lozinku na mail i na stranice gdje se rega nema razloga za brigu, eventualno od spamova. I naravno 2FA i jake lozinke su must.

2 mjeseca
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Kada se govori o korisničkim računima i lozinkama, treba znati da korisnički račun ima barem 3 parametra:

1. resurs na kojem je definiran korisnički račun

2. korisničko ime

3. lozinka

(ovo je poznatko svakome tko koristi neki program za spremanje svojih lozinki, tj. parametara korisničkih računa, npr. KeePass).

 

Npr. za (besplatni) Google korisnički račun:

1. Gmail (tj. pripadna lepeza Google usluga: Gmail, Google Drive, YouTube itd.)

2. ime.prezime@gmail.com

3. pripadna lozinka

 

Ako imam samo korisničko ime i lozinku (npr. pero i 123456), a ne znam gdje je taj korisnički račun definiran (npr. točno određeno osobno računalo s MS Windows 10), onda mi to ništa ne koristi, tj. ne mogu ih upotrijebiti za prijavu.

 

Nadalje, danas je na web servisima uobičajeno da se kao korisničko ime koristi e-mail adresa. Npr. korisnički račun za Bug forum ima sljedeća 3 parametra:

1. https://forum.bug.hr (stranica putem koje se pristupa na forum)

2. korisnikova e-mail adresa (npr. ime.prezime@gmail.com)

3. pripadna lozinka

 

I u ovom slučaju ako znam korisničko ime (ime.prezime@gmail.com) i lozinku, a ne znam da se oni odnose na Bug forum, onda ih opet ne mogu upotrijebiti za prijavu. Čak mogu pogrešno zaključiti da se radi o Google korisničkom računu (jer je korisničko ime jednako e-mail adresi na Gmailu). Jedino bih mogao pokušavati prijavu na razne web servise pa možda pogodim neki gdje će prijava s tim parametrima uspjeti (a to pokazuje da nije dobro koristiti istu lozinku na više web servisa).

 

U ovoj vijesti o "curenju" korisničkih računa iz vršne domene .hr nije jasno koji skup parametara se nalazi u toj bazi s Cit0Day.in. Možda ima više detalja na www.cert.hr no te stranice su trenutačno nedostupne :-)

 

-- rpr.

Poruka je uređivana zadnji put uto 24.11.2020 23:40 (rpr).
 
0 0 hvala 0
15 mjeseci
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa

Stari moj, to da se nezna na koju se stranicu email i lozinka odnose rješi skripta u phytonu od par desetaka redova sa najbitnijim (i najpoželjnijim za provalnika) stranicama..

Poruka je uređivana zadnji put uto 24.11.2020 23:49 (markec997).
4 godine
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Carnet sprema lozinke u plantext ... wtf, nemam komentara. 

 

Mislim da je vrijeme da se krene u smjeru nekog Carnet Bug Bounty Programa.

Da li netko već koristi FIDO2/FIDO U2F za prijavu meni se čini zanimljivim i planiram isprobati uskoro, a jeftinija open source verzija dostupno je solokeys.com

 

 

 
0 0 hvala 0
12 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
rpr kaže...

Ako imam samo korisničko ime i lozinku (npr. pero i 123456), a ne znam gdje je taj korisnički račun definiran (npr. točno određeno osobno računalo s MS Windows 10), onda mi to ništa ne koristi, tj. ne mogu ih upotrijebiti za prijavu.

To se lako riješi, ali postoji i veći problem - većina korisnika koristi istu šifru na više servisa. Realno, ako su carnetu ukrali šifre, vrlo vjerojatno je korisnički račun moguće kompromitirati i bez šifre, ali ako korisnik koristi istu šifru za carnet i gmail, onda mu s tom šifrom ulaziš i na gmail koji nije kompromitiran.

 

 

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
12 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
Lil Dice kaže...
ivan599 kaže...

Ovo baš i nema pretjerano smisla, za neke gmail račune javlja da su "zaraženi" a na njima je dvostruka autentifikacija što bi značilo da uz lozinku netko ima pristup i mobitelu.

 Ne, nisu procurile lozinke od e-mailova, već od korisničkih računa na nekim stranicama. Osim ako netko ne stavlja istu lozinku na mail i na stranice gdje se rega nema razloga za brigu, eventualno od spamova. I naravno 2FA i jake lozinke su must.

 

A gdje se može vidjeti na kojim stranicama je napravljen upad?

11 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Meni samo jedna stvar nije jasna.... koristi se termin curenje ili eng. "leak" što podrazumjeva namjerno, insajdersko puštanje podataka u javnost.

Tko je pustio te podatke i zašto nitko za to ne odgovara???

 
1 0 hvala 0
5 godina
online
Re: CARNET: Procurilo 47 tisuća korisničkih računa

Ovdje upišeš mail(ove) koje koristiš i ako je pwned, piše ti dolje ispod na kojem sajtu i kada.

 

Ponavljam - to NE znači da je sam mail probijen nego da je probijen neki sajt na kojem ste se ulogirali sa tim mailom i netko je objavio vaše podatke - mail i lozinku (u čitljivom ili hashed/salted obliku). Ako jedan te isti mail i lozinku koristite za više sajtova, to znači da netko može probati pogađati sa tom objavljenom lozinkom i mailom gdje se može prijaviti. Recimo, pero@gmail.com i lozinka 123456 je otkrivena na adobe breachu. Netko sad može pretpostaviti da taj mail i pass Pero koristi i na Paypalu. Ode na paypal i proba. Još gore ako tu istu lozinku koristi za mail - e onda je stvarno kraj priče.

 

Koristiti MFA gdje se može (app authenticatori) ili 2FA (sms, potvrda na mail). Ne koristiti istu lozinku posvuda, browseri sa razlogom nude onaj secure password generator.

Poruka je uređivana zadnji put sri 25.11.2020 9:52 (Nuclear_Phoenix).
12 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Kaj ovo znači?

 

"Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"

 

Razlog za brigu?

To mi je glavni (g)mail.

 

UPDATE: promjenil sam pass i dodal 2 way provjeru.

Poruka je uređivana zadnji put sri 25.11.2020 10:21 (Armor).
Moj PC  
0 0 hvala 0
9 mjeseci
protjeran
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
sina-k kaže...

Meni samo jedna stvar nije jasna.... koristi se termin curenje ili eng. "leak" što podrazumjeva namjerno, insajdersko puštanje podataka u javnost.

Tko je pustio te podatke i zašto nitko za to ne odgovara???

 Tko ce odgovarati? Boli vodece u carnetu ona stvar...

 

Pogledaj upravu https://www.carnet.hr/o-carnet-u/uprava/ , znaci za vecinu od njih samo citaj kad je poceo raditi u carnetu, koliko im je dugo trebalo da postanu voditelji, onda neki veci voditelji pa ravnatelj itd i na kraju se sjeti da su svi ti sada u UPRAVI!

Za vecinu od njih ovoliko brzo unapredenja nema ni u americi...

11 godina
online
CARNET: Procurilo 47 tisuća korisničkih računa s .

A dobro je promjenio sam sve šifre. Sa 1111 na 2222 

Moj PC  
9 1 hvala 0
2 mjeseca
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa

Evo sada je dostupna stranica https://www.cert.hr/cit0day i iz te vijesti nigdje ne vidim da su provaljeni baš CARNET-ovi korisnički računi (što bi se valjda odnosilo na korisničke račune u sustavu AAI@EduHr).

 

Vijest, koju je objavio hrvatski CERT (dio CARNET-a), samo kaže da se u toj kolekciji od 226 milijuna korisničkih računa nalazi i oko 47000 korisničkih računa koji završavaju nastavkom .hr, što znači da to mogu biti korisnički računi bilo koje organizacije koja otvara korisničke račune unutar vršne domene .hr za svoje radnike i/ili korisnike, npr.

- ISP-ovi: a1.hr, ht.hr, inet.hr, ...

- obrazovne institucije: fer.hr, pmf.hr, fesb.hr, srce.hr, carnet.hr, ...

- državna/lokalna uprava: mingor.hr, zagreb.hr, metkovic.hr, ...

- poduzeća: hep.hr, ina.hr, koncar.hr, pliva.hr, kras.hr, unicreditgroup.zaba.hr, ...

(na https://www.domene.hr navedeno je da je trenutačno registrirano 112285 domena iz .hr).

 

12 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
Nuclear_Phoenix kaže...

Nisam vidio dolje gdje piše breaches iako je to popis a ne konkretna webadresa...malo sam očoravio.

 

Ovdje se može provjeriti dali se vaša lozinka  pojavljivala na nekom od tih popisa. Ne znači da je to baš vaša jer se 12345 pojavila nekoliko miljona puta ali ako je neka specifična promjenite je.

https://haveibeenpwned.com/Passwords

 

2 mjeseca
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
markec997 kaže...

Stari moj, to da se nezna na koju se stranicu email i lozinka odnose rješi skripta u phytonu od par desetaka redova sa najbitnijim (i najpoželjnijim za provalnika) stranicama..

 

Vijest na https://www.cert.hr/cit0day kaže da se radi o kolekciji od 226 milijuna korisničkih računa. Ako uzmemo npr. 100 "najbitnijih i najpoželjnijih" web servisa na koje bi se pokušalo provaliti, onda se radi o pozamašnoj količini posla za koji ti treba jaka globalna bot mreža koja će raditi tjednima da bi se ustanovilo koji par username + password odgovara za ulaz na neki od tih web servisa. To sigurno nije trivijalni zadatak.

12 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

24. studenoga 2020. ..stoga je veoma važno da se u najkraćem roku svi korisnički podaci zaštite prema uputama Nacionalnog CERT-a.

Tijekom narednih dana, Nacionalni CERT će vlasnicima pogođenih korisničkih računa poslati obavijest o kompromitaciji s uputama kako zaštititi  svoj korisnički račun.

 

Nisam još od nikoga čuo da je dobio mail od carneta.

 

 
0 0 hvala 0
12 godina
offline
Re: CARNET: Procurilo 47 tisuća korisničkih računa
LIFO kaže...

Carnet sprema lozinke u plantext ... wtf, nemam komentara. 

 

Mislim da je vrijeme da se krene u smjeru nekog Carnet Bug Bounty Programa.

Da li netko već koristi FIDO2/FIDO U2F za prijavu meni se čini zanimljivim i planiram isprobati uskoro, a jeftinija open source verzija dostupno je solokeys.com

 

 

 Kako ovo funkcionira?

Uh, što volim ovaj režim - drugi rade a ja ležim
11 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

ja sam sve svoje loginove bazirane na Gmailu podesio:

 

npr. AliBaba - lozinak počinje s AB i pass fraza... dakle svi su individualni (2-3 slova znaka naprijed  + skremblana pass fraza od 21 znaka)

 

inače pawnano mi je na DropBoxu i LinkedInu - ali 2012, a ionako DropBox baš ne koristim, a velim sve lozinke zamijenjene već tada (2012)...

 

ali mi stalno dolaze oni wannabe ucjenjivači koji su me snimili kako navlačim kožur'cu na neke zanimljive video-uratke (i pohvaljuju mi ukus )...

 

a web-kamera mi je zadano iskopčana (WebCam On-Off od Sorduma - www.sordum.org - preporuka ima zgodnih alatića)

 

samo šalju mi na prastaru e-adresu iz doba modema (a HT je mijenjao ime i domenu bar 4 puta od tada) i prijete mi da će mi poslati taj video i video mene u radnji svim mojim kontaktima na FaceBooku - koji NIKAD nisam koristio....

 

dakle, nema problema...

 

sve plaćanje mi je preko PayPala koji je vezan na Revolut i to virtualnu karticu, i svugdje mi je gdje su penezeki u pitanju postavljeno upisivanje lozinke (ne pamte ju preglednici) i 2FA - preporučam Authy...

 

a za osjetljivu komunikaciju, tu je ProtonMail (2FA + otisak prsta na mobu, 2FA + lozinka na kompu)

Ju je je? Je ju je!
Poruka je uređivana zadnji put sri 25.11.2020 13:25 (Stric_Jura).
Moj PC  
0 0 hvala 0
9 mjeseci
protjeran
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Meni je na svakoj stranici lozinka password

 

https://prnt.sc/vpt2go

 

Slobodno se logirajte :)

Poruka je uređivana zadnji put sri 25.11.2020 13:27 (SuperHeroj).
 
0 0 hvala 0
5 godina
online
Re: CARNET: Procurilo 47 tisuća korisničkih računa
LIFO kaže...

Carnet sprema lozinke u plantext ... wtf, nemam komentara.

Ne sprema Carnet lozinke u plaintextu, gdje to uopće piše?

10 godina
offline
CARNET: Procurilo 47 tisuća korisničkih računa s .

Može neko malo pojasniti šta znači breached site, vidim da meni izbacuje 6 breached sites and no pastes. 

Moj PC  
0 0 hvala 0
Nova poruka
E-mail:
Lozinka:
 
vrh stranice