Gjennom en artikkel på TV2 fant jeg denne siden: https://haveibeenpwned.com/ og fikk beskjed om at min adobe og disqus-konto var blitt hacket.

Hvilken konsekvenser kan dette få for meg?

Så for å svare på spørsmålet: Hvis du husker hvilke passord du har brukt på de tjenestene som dukker opp på have-i-been-pwned, så bør du absolutt bytte dem ut alle steder hvor du benytter dem i dag. Som de ovenfor prøver å forklare med så lange ord som overhodet mulig, så er det ikke sånn at du har gjort noe galt her, det er tjenesten du har brukt som har blitt hacket. Jeg får også opp samme informasjon som deg på Adobe, fordi Adobe har blitt utsatt for hackerangrep tidligere. Jeg har imidlertid byttet alle mine passord mange ganger i ettertid, så derfor er ikke jeg bekymret.

Hehe :-) ja blir noen lange ord gitt

Det er også litt mere usensurerte sider hvor almenheten kan se hele brukernavn og passord om de har nok info til å søke deg opp, så ville ikke benyttet disse passordene igjen

Hvilke konsekvenser det kan ha avhenger av hvor mange andre steder du har brukt samme passord som på adobe og disqus. Hvis du har brukt det samme passordet på mange sider du er du utsatt, og særlig hvis du har brukt samme passord på e-posten din. Det mest innlysende tiltaket er å nå bytte passord der det trengs.

Keepass, enkelt,ryddig og god plass til å lagre kryptert info der man har passord og brukernavn.

https://keepass.info/

Da trenger du aldri og bruke samme passord igjen

Jeg har F-Secure antivirusprogram på min PC og den finner ikke noe virus eller annet skadelig. Jeg har hørt tidligere at dette programmet er et av de beste antivirusprogram på markedet. Er det noen her som har andre erfaringer?

Ville tatt den siden med en klype salt.
Prøvde akkurat selv og emailen min har visst blitt "pwned" på sider og spill jeg ikke visste at eksisterte engang.

Siden er legit. Jeg har funnet gamle passord fra både meg selv og familiemedlemmer gjennom den, som har blitt lekket fra adobe og lignende. Jeg brukte den også nylig for å finne ut hvorfor en eller annen meksikaner plutselig var inne på en av streaming-tjenestene mine.

Hibp er ikke noe tulleside.

9 brudd på 9 sider jeg aldri har vært innom engang. Har aldri hatt samme passord på noen sider før, her er et eksempel på passordene mine.
80c0s4msWJCgu4rxlpGT

Så det er helt umulig at noen har prøvd å registrere eposten din på en side uten at du vet det?

Dataen som brukes hos Hibp stammer fra ekte lekkasjer og personen bak siden har greit med kred i miljøet.

Registerer meg ikke over alt.. Har registrer denne mailen her på ca 70-90plasser de siste 10årene så nei er tilnærmet umuligt for noen til å bruke mailen min.

Alt som skal til er at noen feilskriver mailen sin under et forsøk på å registrere en konto. Da er det kanskje din email som blir liggende der på en tjeneste du aldri har brukt. Har skjedd meg noen ti-talls ganger (nå har jeg mange epostadresser). Noen tjenester er smarte og krever verifikasjon av epost før bruk av kontoen, andre ikke. Siste jeg hadde var noen fra Russland som registrerte en konto hos Epic Games (Fortnite etc), og de kjører ikke sjekking av konto, så jeg fikk ikke vite om det før noen prøvde på komme seg inn på kontoen. Nå fikk jeg Epic Games til å slette kontoen, men om jeg ikke hadde fått vite om den og noen kom seg til databasen deres, så ville min epostadresse dukket opp der.

Det er greit nok, men husk at sikkerhetbruddet du har oppdaget ikke kommer fra deg, men fra adobe og disqus. Det er de som har hatt et brudd, og det er der din informasjon har blitt lekket fra.

Det er heller ikke uvanlig å oppleve dette. Hvis man har hatt en adresse i mange år, så er det langt ifra usannsynlig at man har registrert seg på en side som i ettertid har vært utsatt for et vellykket angrep.

Så det du sier er at det er helt umulig for meg å opprette en konto på en random nettside med din epostadresse?

I tillegg kan det være at selskaper har byttet navn, solgt kundedatabasen sin, falske brukerkontoer, feilskrevet epost, kanskje du har registrert deg på fylla osv.

Men selv om du har blitt utsatt for en lekkasje så er det ikke krise dersom du bruker forskjellige epostadresser (feks ved bruk av "+" tegn) eller forskjellige passord.

Skulle til å nevne Epic Games selv. Jeg kan heller aldri huske å ha registret en konto der, men fikk jevnlig beskjed om at noen prøvde å logge seg inn på kontoen min.

Når det kommer til eventuelle konsekvenser av å dukke opp på haveibeenpwned er det jo helst dersom du har brukt det samme passordet flere plasser. Jeg finner meg selv på siden der, og opplevde at noen hadde vært inne på Skype-kontoen min og sendt ut en shady lenke til alle kontaktene mine. Der brukte jeg et gammelt passord, som sikkert ligger i listene. Jeg kan også tenke meg at det er sånne lister folk bruker til å f.eks. finne Netflix-kontoer som videreselges for en billig penge, og kjenner flere som plutselig har opplevd ukjente brukere på sin Netflix-konto.

Enkelt og greit, bytt passord. Bruk tofaktor-autentisering og en passord-database, KeePassX f.eks.

Sier ikke at det er en tulleside, sier at jeg ville tatt det som står med en klype salt.

Vil da tro at om noen hadde brukt min e-postadresse til å registrere seg noe sted så ville jeg vel ha fått noe form for mail om det?
Spesielt på sider som krever innlogging med email.
Mange av de sidene krever også en emailverifikasjon før man får brukt brukeren.
Blant annet:
MPGH, Gamigo, gamerzplanet,

Et annet eksempel er spillet War Inc, som blir solgt igjennom microsoft store.
For å installere dette spillet så kreves det at man er logget inn på microsoft kontoen sin.
Jeg hadde aldri hørt om spillet engang før jeg testet i hibp, dette spillet burde da ha dukket opp i min bestillingslogg hos microsoft, men guess what! Det finnes ikke noe som helst tilknytting i det hele tatt.

Har gode 10+ e-post addreser som er aktive, sitter som regel ikke på pcen ruset. Ingen av plassene som jeg har registert meg har byttet navn og er der fremdeles. Kan godt vær de har leaket epost addresen min da Dropbox hadde jo en leak for en god stund siden.

Adobe sin leak bruker 3DES med ukjent nøkkel, så med mindre du skrev passordet inn i passordhint-feltet - eller bruker same passord som noen andre som har gjort nettopp det - så er du rimelig trygg. Disqus brukte derimot saltet SHA1, som er mye enklere å knekke. Et stort antall brukere har nok registrert konto der via f.eks. Facebook-kontoen sin, og de er helt trygge fra passordmisbruk.

Det er ganske mange databaser på avveie rundt i verden, og folk som selger, bytter og samler på de. Flere selges på DarkNet-tjenester blant annet. Det mest populære misbruket blant samlerne, er å kjøre brukernavn/passord-kombinasjoner gjennom automatiserte program som forsøker å logge seg inn på hundrevis av tjenester. Mange tjenester låser deg ute etter 3-5 forsøk, men det gjelder ofte per konto, ikke per IP. Så de kan fint forsøke et par passord de mistenker at vil virke. Igjen sitter de med lange lister over gyldige passord til pornosider, Spotify, Netflix, Steam osv. Disse listene kan de igjen selge videre.

I tillegg finnes det betalingstjenester hvor du kan søke i andres databasesamlinger. Gjør deg selv en tjeneste og aldri bruk samme passord to steder, så unngår du det meste av automatisk hacking.