ma to je samo nuspojava ovoga. dok su se naši i njihovi kiberili, treća strana um caruje i klade valja. 

evo ja provjerio svoj gmail koji koristim za registraciju na facebook i razne ostale internetske debilane - kaže mi ta stranica da ima 2 breacha i 0 pastea. čitam dolje u faq i dalje mi nije potpuno jasno što znači taj breach?

provjerio mail za banking - tamo 0 breacha i pastea.

 Nemojte nas vise braniti, molim vas  

 jel' ovo cracknuti word kome aktivacija sere???

LOL

Jeste negativni, možda samo taj office nije dugo vidio KMS server, ne kupuje država Office na komad (nadam se).

E sad, koji i čiji KMS... 

@Apachy - to znači da se taj tvoj mail pojavio u dumpu baze ili čega već od nekog sajta koji je probijen. Odmah ispod polja za mail ti piše koji sajt i kada. Nisu tebi ušli u mail nego se tvoj mail i pass (hashed ili plaintext) pojavio na netu u sklopu nekog proboja sajta. Koristite MFA (najbolje one app authenticatore, od Google ili MS) jer više niti 2FA sa SMS nije dovoljan, za cca 150 USD, nešto vremena i znanja se i to zaobiđe...

100% onaj kineski koji uz taj za Office ima i ona tri za Windows. 

Nevjerojatno. I jos se idu naslikavati.

Pwned on 19 breached sites and found 7 pastes

Dost dobro

ko koristi carnet?

Ovo baš i nema pretjerano smisla, za neke gmail račune javlja da su "zaraženi" a na njima je dvostruka autentifikacija što bi značilo da uz lozinku netko ima pristup i mobitelu.

 Ne, nisu procurile lozinke od e-mailova, već od korisničkih računa na nekim stranicama. Osim ako netko ne stavlja istu lozinku na mail i na stranice gdje se rega nema razloga za brigu, eventualno od spamova. I naravno 2FA i jake lozinke su must.

Kada se govori o korisničkim računima i lozinkama, treba znati da korisnički račun ima barem 3 parametra:

1. resurs na kojem je definiran korisnički račun

2. korisničko ime

3. lozinka

(ovo je poznatko svakome tko koristi neki program za spremanje svojih lozinki, tj. parametara korisničkih računa, npr. KeePass).

Npr. za (besplatni) Google korisnički račun:

1. Gmail (tj. pripadna lepeza Google usluga: Gmail, Google Drive, YouTube itd.)

2. ime.prezime@gmail.com

3. pripadna lozinka

Ako imam samo korisničko ime i lozinku (npr. pero i 123456), a ne znam gdje je taj korisnički račun definiran (npr. točno određeno osobno računalo s MS Windows 10), onda mi to ništa ne koristi, tj. ne mogu ih upotrijebiti za prijavu.

Nadalje, danas je na web servisima uobičajeno da se kao korisničko ime koristi e-mail adresa. Npr. korisnički račun za Bug forum ima sljedeća 3 parametra:

1. https://forum.bug.hr (stranica putem koje se pristupa na forum)

2. korisnikova e-mail adresa (npr. ime.prezime@gmail.com)

3. pripadna lozinka

I u ovom slučaju ako znam korisničko ime (ime.prezime@gmail.com) i lozinku, a ne znam da se oni odnose na Bug forum, onda ih opet ne mogu upotrijebiti za prijavu. Čak mogu pogrešno zaključiti da se radi o Google korisničkom računu (jer je korisničko ime jednako e-mail adresi na Gmailu). Jedino bih mogao pokušavati prijavu na razne web servise pa možda pogodim neki gdje će prijava s tim parametrima uspjeti (a to pokazuje da nije dobro koristiti istu lozinku na više web servisa).

U ovoj vijesti o "curenju" korisničkih računa iz vršne domene .hr nije jasno koji skup parametara se nalazi u toj bazi s Cit0Day.in. Možda ima više detalja na www.cert.hr no te stranice su trenutačno nedostupne :-)

-- rpr.

Stari moj, to da se nezna na koju se stranicu email i lozinka odnose rješi skripta u phytonu od par desetaka redova sa najbitnijim (i najpoželjnijim za provalnika) stranicama..

Carnet sprema lozinke u plantext ... wtf, nemam komentara. 

Mislim da je vrijeme da se krene u smjeru nekog Carnet Bug Bounty Programa.

Da li netko već koristi FIDO2/FIDO U2F za prijavu meni se čini zanimljivim i planiram isprobati uskoro, a jeftinija open source verzija dostupno je solokeys.com

To se lako riješi, ali postoji i veći problem - većina korisnika koristi istu šifru na više servisa. Realno, ako su carnetu ukrali šifre, vrlo vjerojatno je korisnički račun moguće kompromitirati i bez šifre, ali ako korisnik koristi istu šifru za carnet i gmail, onda mu s tom šifrom ulaziš i na gmail koji nije kompromitiran.

A gdje se može vidjeti na kojim stranicama je napravljen upad?

Meni samo jedna stvar nije jasna.... koristi se termin curenje ili eng. "leak" što podrazumjeva namjerno, insajdersko puštanje podataka u javnost.

Tko je pustio te podatke i zašto nitko za to ne odgovara???

Ovdje upišeš mail(ove) koje koristiš i ako je pwned, piše ti dolje ispod na kojem sajtu i kada.

Ponavljam - to NE znači da je sam mail probijen nego da je probijen neki sajt na kojem ste se ulogirali sa tim mailom i netko je objavio vaše podatke - mail i lozinku (u čitljivom ili hashed/salted obliku). Ako jedan te isti mail i lozinku koristite za više sajtova, to znači da netko može probati pogađati sa tom objavljenom lozinkom i mailom gdje se može prijaviti. Recimo, pero@gmail.com i lozinka 123456 je otkrivena na adobe breachu. Netko sad može pretpostaviti da taj mail i pass Pero koristi i na Paypalu. Ode na paypal i proba. Još gore ako tu istu lozinku koristi za mail - e onda je stvarno kraj priče.

Koristiti MFA gdje se može (app authenticatori) ili 2FA (sms, potvrda na mail). Ne koristiti istu lozinku posvuda, browseri sa razlogom nude onaj secure password generator.

Kaj ovo znači?

"Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"

Razlog za brigu?

To mi je glavni (g)mail.

UPDATE: promjenil sam pass i dodal 2 way provjeru.

 Tko ce odgovarati? Boli vodece u carnetu ona stvar...

Pogledaj upravu https://www.carnet.hr/o-carnet-u/uprava/ , znaci za vecinu od njih samo citaj kad je poceo raditi u carnetu, koliko im je dugo trebalo da postanu voditelji, onda neki veci voditelji pa ravnatelj itd i na kraju se sjeti da su svi ti sada u UPRAVI!

Za vecinu od njih ovoliko brzo unapredenja nema ni u americi...

A dobro je promjenio sam sve šifre. Sa 1111 na 2222 

Evo sada je dostupna stranica https://www.cert.hr/cit0day i iz te vijesti nigdje ne vidim da su provaljeni baš CARNET-ovi korisnički računi (što bi se valjda odnosilo na korisničke račune u sustavu AAI@EduHr).

Vijest, koju je objavio hrvatski CERT (dio CARNET-a), samo kaže da se u toj kolekciji od 226 milijuna korisničkih računa nalazi i oko 47000 korisničkih računa koji završavaju nastavkom .hr, što znači da to mogu biti korisnički računi bilo koje organizacije koja otvara korisničke račune unutar vršne domene .hr za svoje radnike i/ili korisnike, npr.

- ISP-ovi: a1.hr, ht.hr, inet.hr, ...

- obrazovne institucije: fer.hr, pmf.hr, fesb.hr, srce.hr, carnet.hr, ...

- državna/lokalna uprava: mingor.hr, zagreb.hr, metkovic.hr, ...

- poduzeća: hep.hr, ina.hr, koncar.hr, pliva.hr, kras.hr, unicreditgroup.zaba.hr, ...

(na https://www.domene.hr navedeno je da je trenutačno registrirano 112285 domena iz .hr).

Nisam vidio dolje gdje piše breaches iako je to popis a ne konkretna webadresa...malo sam očoravio.

Ovdje se može provjeriti dali se vaša lozinka  pojavljivala na nekom od tih popisa. Ne znači da je to baš vaša jer se 12345 pojavila nekoliko miljona puta ali ako je neka specifična promjenite je.

https://haveibeenpwned.com/Passwords

Vijest na https://www.cert.hr/cit0day kaže da se radi o kolekciji od 226 milijuna korisničkih računa. Ako uzmemo npr. 100 "najbitnijih i najpoželjnijih" web servisa na koje bi se pokušalo provaliti, onda se radi o pozamašnoj količini posla za koji ti treba jaka globalna bot mreža koja će raditi tjednima da bi se ustanovilo koji par username + password odgovara za ulaz na neki od tih web servisa. To sigurno nije trivijalni zadatak.

24. studenoga 2020. ..stoga je veoma važno da se u najkraćem roku svi korisnički podaci zaštite prema uputama Nacionalnog CERT-a.

Tijekom narednih dana, Nacionalni CERT će vlasnicima pogođenih korisničkih računa poslati obavijest o kompromitaciji s uputama kako zaštititi  svoj korisnički račun.

Nisam još od nikoga čuo da je dobio mail od carneta.

 Kako ovo funkcionira?

ja sam sve svoje loginove bazirane na Gmailu podesio:

npr. AliBaba - lozinak počinje s AB i pass fraza... dakle svi su individualni (2-3 slova znaka naprijed  + skremblana pass fraza od 21 znaka)

inače pawnano mi je na DropBoxu i LinkedInu - ali 2012, a ionako DropBox baš ne koristim, a velim sve lozinke zamijenjene već tada (2012)...

ali mi stalno dolaze oni wannabe ucjenjivači koji su me snimili kako navlačim kožur'cu na neke zanimljive video-uratke (i pohvaljuju mi ukus )...

a web-kamera mi je zadano iskopčana (WebCam On-Off od Sorduma - www.sordum.org - preporuka ima zgodnih alatića)

samo šalju mi na prastaru e-adresu iz doba modema (a HT je mijenjao ime i domenu bar 4 puta od tada) i prijete mi da će mi poslati taj video i video mene u radnji svim mojim kontaktima na FaceBooku - koji NIKAD nisam koristio....

dakle, nema problema...

sve plaćanje mi je preko PayPala koji je vezan na Revolut i to virtualnu karticu, i svugdje mi je gdje su penezeki u pitanju postavljeno upisivanje lozinke (ne pamte ju preglednici) i 2FA - preporučam Authy...

a za osjetljivu komunikaciju, tu je ProtonMail (2FA + otisak prsta na mobu, 2FA + lozinka na kompu)

Meni je na svakoj stranici lozinka password

https://prnt.sc/vpt2go

Slobodno se logirajte :)

Ne sprema Carnet lozinke u plaintextu, gdje to uopće piše?

Može neko malo pojasniti šta znači breached site, vidim da meni izbacuje 6 breached sites and no pastes.