Kuten osa teistä on huomasikin, sivustollemme murtauduttiin 20.5.2015. Murron jäljet on siivottu ja sivusto toimii jälleen normaalisti. Salasanat joita murrossa kenties kalasteltiin ovat salattu mutta salauksesta huolimatta pyydämme vaihtamaan sivuston salasanan. Jos käytät muissa instansseissa samaa salasanaa, suosittelemme vaihtamaan salasanan näissäkin paikoissa.
Salasanan vaihdon ohje:
1. klikkaa sivuston yläreunassa olevaa nickiäsi
2. valitse muokkaa välilehti
3. syötä vanha salasanasi (jos et muista sitä, seuraa pyydä uutta salasanaa linkkiä)
4. syötä uusi salasana, vahvista se
5. scrollaa sivun alalaitaan, tallenna.
Huolestuneille tiedoksi, tällä sivustolla ei ole luottokorttitietoja, eivätkö ne käy täällä edes kääntymässä kauppaa käytettäessä.
Lisää keskustelua aiheesta Täällä
Pieneen Kotkaan ei mahdu paljon vikoja.
Se valkoinen kikseri.
Vaan kun ei pysty.
HUPS! SINULLAPAS EI OLLUTKAAN OIKEUKSIA TÄNNE! (VIRHE 403)
Näin sanoo.
Olitko foorumin puolella vai etusivun puolella? kokeiletko vielä toisella?
Pieneen Kotkaan ei mahdu paljon vikoja.
Se valkoinen kikseri.
Vaihdoin salasanani, mutta en päässyt kirjautumaan enää uudella salasanalla. Vanhan toki ehdin korvata avainnipusta, mutta ainakaan muistini mukainen vanha passu ei kelvannut.
Tilasin kertakäyttökirjautumismailin ja vaihdoin salasanan uudestaan, jos vaikka olisin typottanut. Ei toiminut, kokeilin uudestaan, eikä toimi vieläkään. Olen siis nyt sisällä tällä tokalla kertakäyttömailitunnarilla.
Salasanan vaihdettuani hallintapaneelisivu sanoo, että tiedot tallennettu onnistuneesti, mutta sivun ylälaidassa on punaisessa boksissa virheilmoitus
Warning: getimagesize(http://www.moottoripyora.org/sites/d...08615953.jpg): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 551 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: filesize(): stat failed for public://styles/thumbnail/public/pictures/picture-122540-1408615953.jpg funktiossa drupalvb_update_user() (rivi 552tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: file_get_contents(http://www.moottoripyora.org/sites/d...08615953.jpg): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 554 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Sama virhe tuli myös kun tein ipad:llä SS vaihdon. Kokeilin sen jälkeen pc:llä ja uusi salasana toimi, nyt myös ipad:llä kirjauduttu uudella.
Sachs 50cc 6x, Solifer SM 50cc -78 ... Vt750 - 06, FJR -07, VFR 1200 XC => KTM 1290 SAS />Alias/karivei
Salasanan vaihto onnistu ja uusi toimi kerrasta.
Sama virheilmoitus tuli minullakin näkyviin, mutta ei sillä vissiin ollut mitään merkitystä? Ipadillä tehty tämä
1290SDR
Voisiko tästä salasanojen vaihdosta laittaa sen keltaisen huomiorivin tuonne sivujen ylälaitaan? Se pistää vähän paremmin silmiin sieltä. Mikä muuten on ylläpidon arvio sille, että profiilitiedoissa jäsenillä lukevat täydelliset nimi- ja osoitetiedot ovat levinneet murtautujien matkassa maailmalle?
Kuten tavallista, ongelma oli mitä ilmeisimmin käyttäjässä.
Kotikoneella pääsin uudella salasanalla kirjautumaan ihan sujuvasti; ilmeisesti onnistuin töissä typottamaan uutta salasanaa luodessa ja perään kirjautuessa aina jotenkin väärin.
Pahoitteluni jos ylläpito tuhlasi aikaa asian kanssa.
Minkä takia tästä ei ole tiedotettu sähköpostitse jokaiselle foorumin käyttäjälle, lähetetty viesti jokaisen yksityisviestilootaan ja merkitty kissan kokoisin kirjaimin sivuston ja foorumin etusivuille? Yleensä kun tietomurto tapahtuu, niin asiaan tartutaan reippaasti mahdolliset vahingot minimoiden. Harvemmin näkee näin vetelää toimintaa.
Salasanan vaihto ei onnistu. samoja ongelmia kuin edellisilläkin. Päästää kyllä muuttamaan kertakäyttösalasanan pyynnön jälkeen, muttei mene läpi, vaan tulee noita HUPSeja ja herjaa Ongelmatilanteessa....
Ei oikein vakuuta tuo järjestelmän toiminta.
T: HLu (Lumumba)
Sivustolla on sellaista ikuisuusvikaa, että joutuu kirjautumaan sisään kahteen kertaan: kohtaan "keskustelu" ja sitten toisen kerran jossakin muussa kohtaa. Kun salasana on vaihdettu, sivusto herjaa "Hups, sinulla ei ole oikeuksia blaa blaa", mutta siitä ei pidä nolostua vaan kirjautua sillä uudella salasanalla mustasta palkista uudelleen sisään. Tästä ei pääsä eroon ennen kuin koko hevonpaska on hävitetty ja tehty uutta tilalle.
1000
Suurin osa taitaa itse mähliä sen uuden salasanan ja kirjoitella sitä jotenkin väärin.
Duunissa kuulee ja näkee samaa jatkuvasti samaa, se uusi salasana pitää aina hakata hirveällä kiireellä ja typot yllättää.
Jotain, jossain, silloin tällöin!
Jos kerta tiedot on menetetty niin miksi ette forceta salasanojen vaihtoa eli nollaa kaikkien salasanan ja lähetä uutta sähköpostiin? Ja joku tieto siitä kirjautumisen yhteyteen...
Poista häiritsevät mainokset: https://getadblock.com/
ABSillinen turbobusa powered by delvac.
Kyllä. Tuollaisen vastauksen saa aina kun soittaa asiakaspalveluun jossa on töissä työhönsä kyrpiintynyt ihminen.
Foorumissahan ei voi mitään vikaa olla. Ei, ei.
Ja mallikkaasti hoidettu tiedottaminen eteenpäin. Laittakaa nyt helvetti tämä edes nastalla pysymään etusivulla uusimmissa keskusteluissa tai laittakaa tiedote jokaiselle aihealueelle.
Ex:Yamaha MT-01, Suzuki SV 1000, Suzuki GSF 600S, KTM LC4 640 / varastettu, Honda CBR 900 RR, Yamaha YZF 750 R, Husqvarna WRE 125, Honda monkey
Vaihdoin salasanani, avatar ei latautunut profiili-sivulla ja salasanan vaihdon jälkeen tuli virheilmo:
Warning: getimagesize(http://www.moottoripyora.org/sites/d...23486092.png): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 551 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: filesize(): stat failed for public://styles/thumbnail/public/pictures/picture-117723-1423486092.png funktiossa drupalvb_update_user() (rivi 552 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
Warning: file_get_contents(http://www.moottoripyora.org/sites/d...23486092.png): failed to open stream: HTTP request failed! HTTP/1.0 500 Internal Server Error funktiossa drupalvb_update_user() (rivi 554 tiedostossa /var/www/html/sites/all/modules/luxus/drupalvb/drupalvb.inc.php).
https://reissu.org
Kyllä, tietomurto tapahtui.
Mukaansa hakkerit saivat tietokantamme, jotka sisältävät käyttäjätunnukset, nimet ja osoitteet sekä salasanat kryptatussa ja sekoitetussa muodossa. Näillä tiedoilla ei pysty ihmeempiä tekemään eivätkä nämä tiedot hakkereita juurikaan kiinnosta.
Kuten aiemmin jo kerroimme sivustolla ei ole tallessa esim. luottokorttien numeroita tai muuta arkaluontoista, esim. kaupan maksut menevät välittäjän kautta suojatulla yhteydellä. (Paytrail)
Foorumi on nyt putsattu ja tarkistuksia jatketaan edelleen, puhdistustyö kesti pitkään koska haittaohjelmia on hankala löytää koodin seasta ja puhdistus piti tehdä manuaalisesti.
Hankalan murrosta teki se että samaan aikaan meillä oli ongelmia kehityspalvelimen kanssa josta ei saatu tuotua foorumin backuppeja tuotantoon. Kehityspalvelin on nyt siirretty toiseen paikkaan vastaavan tilanteen välttämiseksi. Tuomme päivitetyt ohjelmistot tuotantoon heti kun ne on testattu kehityspalvelimella. Tulemme myös parantamaan proseduureja ylläpidon ja tiedotuksen osalta tämän kaltaisissa tilanteissa.
Terveisin
Petteri Laaksonen
Puheenjohtaja
Motorg Ry
Kryptausten purkuun löytyy keinoja. Bruteforce ja tarpeeksi aikaa, jos ei muuta. Tällä tavalla esimerkiksi itse selvitin bitcoin-lompakkoni salasanan, joka oli jäänyt vuosien saatossa unohduksiin. Asian selvittelyyn meni parisenkymmentä riviä koodia ja viitisen minuuttia googlailua. Asiansa osaavilla on varmasti muitakin työkaluja käytössä.
Täydellisten nimi- ja osoitetietojen avulla voidaan tehdä yllättävänkin paljon kiusaa. Jos esimerkiksi paypal- tai muu vastaava maksutili on avattu samalla sähköpostilla, niin monesti tiliin pääsee käsiksi osoitetietojen avulla. Tähän varmaan joku tulee itkemään, että foliopipoilua ja todennäköisyys lähenee nollaa. Itku on aiheellista aina siihen asti kunnes joku huomaakin paypal-tilillään muutaman tonnin edestä ostoja. Vähän sama kuin maksukortin kopioiminen maksuautomaatilla, tai maksupäätteellä. Eipä sekään ketään kosketa, kunnes se koskettaa.
Tilanteen vähättely on mielestäni perseestä.
Trying is the first step towards total failure.
Aprilia Tuono Factory '17
Mä vaihdoin salasanan ja tuli tällaiset kaksi ilmoitusta… (liitteessä)
RF900R, ZX6R, (XJ600S)
Vaikka ylläpito on epäilemättä oppinut tästä asiasta paljon, ja tehnyt sinänsä hyvää työtä siinä, ettei foorumille kirjoitettua sisältöä kadonnut (tai "jouduttu" kadottamaan), niin nostaisin esiin muutaman asian.
Yksi niistä on jälkitiedottamisen tarkkuus. Vaikka ajalla ei tässä nimenomaisessa tapauksessa olekaan kovin oleellista merkitystä, niin on se nyt vähän noloa, että tiedotetaan murron tapahtuneen 20.5., ja sitten linkitetään siihen viestiketju josta käy ilmi, että murron näkyvistä tunnusmerkeistä etusivulla on ilmoitettu jo 16.5.
Toinen asia on käyttäjän itsensä vastuu omista tiedoistaan.
Jos joku nyt vuosien julkisen jankkauksen jälkeenkin edelleen käyttää samaa salasanaa ja mahdollisesti myös samaa käyttäjätunnusta useissa nettipalveluissa, niin voi kyllä mennä peilin eteen ruoskimaan itseään omasta tyhmyydestään. Se nyt vaan on väistämätön tosiasia, että näistä ilmaisista suurien massojen käytössä olevista foorumi/www-julkaisualustoista löytyy jatkuvasti kriittisiä haavoittuvuuksia, joiden kautta ne on enemmän tai vähemmän helppo murtaa. Edes se ei auta että alusta päivitettäisiin ylläpidon toimesta heti kun uusi versio julkaistaan, koska myös ennestään tuntemattomien haavoittuvuuksien kautta hyökkäyksiä tapahtuu.
Lisäksi omaa tietoturvaansa voi parantaa sillä, että rekisteröityy näihin "turhanpäiväisiin" nettifoorumeihin eri sähköpostiosoitteella kuin "tärkeisiin" palveluihin, joista esimerkkinä toimikoon vaikka tuo mainittu Paypal tai muut rahaa/luottokorttitietoja sisältävät palvelut. Tällöin murtotapauksessa sähköpostiosoitetta ei voi hyödyntää kuin ehkä roskapostin kohteena, ja tarvittaessa foorumille voi vaihtaa uuden mailiosoitteen ja sulkea vaikka koko vanhan vuodetun osoitteen pysyvästi. Nykyisenä ilmaispostien aikana tämä järjestely ei vaadi ihan kauheaa panostusta, ja ainakin hotmailissa tarvittaessa homma hoituu useiden postilaatikoiden sijasta myös postialiaksilla.
Näin vaikuttaa olevan.
Todennäköisesti tälläkään ei ole mitää sen kummempaa informaatioarvoa, mutta kun tää Macci ja Safari (nettiselain) osaa haistella jotenkin nettisivujen käyttäjätunnus- ja salasanakentät ja täyttää ne automaattisesti sekä ehdottaa tyhjään salasanakenttään automaattisesti jotain kryptistä salasanaa jonka se käyttäjätunnuksen kera tallentaa "Safarin muistiin", niin jostain syystä Safariin tallentuu moottoripyora.org:ssa sähköpostiosoite + foorumin salasana eikä nikki + salasana. Eli jos kirjaudun ulos, ja sitten meen kirjautumaan takaisin sisään, niin se ehdottaa että mun nikki onkin sama kun mun sähköpostiosoite. Periaatteessa tämä ei kai ole kummoinenkaan juttu, mutta silti mun kulmakarva toisessa silmässä nousee. Tää ei sinänsä haittaa, koska Safarin asetuksessa voi helposti korjata tuon automaattisen nikin + salasanan haluamakseen.
RF900R, ZX6R, (XJ600S)
Yks asia mikä minua ärsyttää on että edes kirjautumis-sivu ei ole https/ssl-salattu, vaan ihan perus kryptaamaton http. Tosi mukava kirjautua avoimista langattomista verkoista kun kuka vaan voi napata tunnuksen ja salasanan.
Hoitakaa nyt se SSL edes kirjautumis-sivulle, ei vaadi paljon !!