Stor krasch på Tradera???

[Hugger69]

Hej,
Har någon fler än jag blivit hackad på Tradera idag??
Började få en massa konstiga mejl om auktioner jag blivit överbjuden i men som jag absolut inte skulle ens vara i närheten av att buda i så då börjar man ana oråd....

Har bytt lösenord och stängt kontot tillfälligt i avvaktan på svar från kundtjänst men de går inte att nå varken via telefon, chatt eller annat så nu har väl ryssarna vart frame igen!?

 

[EmWe]

Nej, inte hackat, men gick in och bytte lösenord. Tack för tipset.

 

[Hugger69]

Har nu fått svar från kundtjänst och de bekräftar att jag och väldigt många med mig blivit drabbade!

De skulle återkomma när de rett ut detta men bra att kolla lösen och vilka auktioner ni budar på för jag visste inte alls att jag var intresserad av ett Fleishman ånglok för 1600 kr eller en svart/lila topp från Indiska för 265 kr eller ännu mindre ett gädd-drag för 420 kr, bara får att nämna några saker!

 

[llesurk]

Har nu fått svar från kundtjänst och de bekräftar att jag och väldigt många med mig blivit drabbade!

De skulle återkomma när de rett ut detta men bar at kolla lösen och vilka auktioner ni budar på för jag visste inte alls att jag var intresserad av ett Fleishman ånglok för 1600 kr eller en svart/lila topp från Indiska för 265 kr eller ännu mindre ett gädd-drag för 420 kr, bara får att nämna några saker!

Inte kul att du blivit drabbat! Men rätt kul bud ”du” lagt

 

[Watchie]

Har nu fått svar från kundtjänst och de bekräftar att jag och väldigt många med mig blivit drabbade!

De skulle återkomma när de rett ut detta men bar at kolla lösen och vilka auktioner ni budar på för jag visste inte alls att jag var intresserad av ett Fleishman ånglok för 1600 kr eller en svart/lila topp från Indiska för 265 kr eller ännu mindre ett gädd-drag för 420 kr, bara får att nämna några saker!

Jo men ändå, lite stolpe in med sakerna, fn topp från indiska när man fiskar för sedan latja lite med loket

 

[Highvalley]

Har precis läst ett par trådar om ämnet i en Facebookgrupp för Traderaanvändare. Det ser ut som en lösenordsläcka för mig. Massor av konton, gamla som nya, aktiva och inaktiva, som lägger absurda bud på auktioner, och Tradera uppmanar de drabbade att logga ut och byta lösenord...

 

[Derix]

 

[Hugger69]

Jo men ändå, lite stolpe in med sakerna, fn topp från indiska när man fiskar för sedan latja lite med loket

Eller hur!

 

[repertoire]

Undrar hur det blir med folk som lagt bud legitimt, men nu kan passa på att dra sig ur och hävda systemfel.

 

[Slaskhögen]

Tyckte det kändes konstigt att någon bara pangade in 600 som första bud på en klocka jag kollade på. Den började på 150kr

 

[Highvalley]

Undrar hur det blir med folk som lagt bud legitimt, men nu kan passa på att dra sig ur och hävda systemfel.

Det är ju ändå inget Tradera gör något åt i vanliga fall heller så där blir det väl ingen större skillnad. Då är det nog värre att upptrissade autobud ligger kvar. De verkar ha stora svårigheter att hantera vad det nu är som händer.

 

[Hugger69]

Står på Aftonbladet nu med:

 

[Hugger69]

Som jag har letat efter detta alster av Thore……NOT!

 

[Gekk0]

Låter som att någon kan ha använt sig av mailadresser/lösenord som tidigare har läckts hos andra tjänster. Om man använder samma lösenord på flera ställen är det nog läge att byta lösenord överallt, inte bara hos Tradera.

 

[pemlock]

Om man går på sina inställningar och säkerhet så finns det en knapp för att "logga ut alla sessioner". Använd den.

Att byta lösenord hjälper antagligen inte mot befintliga sessioner som någon redan har öppna.

Sedan kan man tycka att Tradera är lite efter... en sajt där man hanterar pengar borde ha något mer än bara lösenord, t.ex. BankID och/eller en andra faktor. (T.o.m. detta forum kan ha det senare, så det finns inga ursäkter.)

(Och nej, jag verkar inte ha drabbats själv.)

 

[Hugger69]

Om man går på sina inställningar och säkerhet så finns det en knapp för att "logga ut alla sessioner". Använd den.

Att byta lösenord hjälper antagligen inte mot befintliga sessioner som någon redan har öppna.

Sedan kan man tycka att Tradera är lite efter... en sajt där man hanterar pengar borde ha något mer än bara lösenord, t.ex. BankID och/eller en andra faktor. (T.o.m. detta forum kan ha det senare, så det finns inga ursäkter.)

(Och nej, jag verkar inte ha drabbats själv.)

Allt det där gjorde jag igår och läser man runt så ser man nu att Tradera infört BankID för alla budgivare om jag fattat det rätt!?

 

[Hugger69]

Låter som att någon kan ha använt sig av mailadresser/lösenord som tidigare har läckts hos andra tjänster. Om man använder samma lösenord på flera ställen är det nog läge att byta lösenord överallt, inte bara hos Tradera.

Så kan det vara….

 

[snuttjulle]

Allt det där gjorde jag igår och läser man runt så ser man nu att Tradera infört BankID för alla budgivare om jag fattat det rätt!?

Då blir det ju svårt att nå dom utländska köparna.....

 

[pemlock]

Allt det där gjorde jag igår och läser man runt så ser man nu att Tradera infört BankID för alla budgivare om jag fattat det rätt!?

Då blir det ju svårt att nå dom utländska köparna.....

Det borde åtminstone vara valbart för de som kan och vill. Och en andra faktor för inloggningen kan alla ha.
(Jag använder "Authy" på iPhone till alla sajter som jag använder som har stöd för det.)

 

[Hugger69]

Det borde åtminstone vara valbart för de som kan och vill. Och en andra faktor för inloggningen kan alla ha.
(Jag använder "Authy" på iPhone till alla sajter som jag använder som har stöd för det.)

Inget är väl helt säkert....

Authy has been hacked, here is how to protect yourself

Learn how to keep your Authy account as secure as possible even when hackers are involved

www.androidpolice.com

 

[Hugger69]

Då blir det ju svårt att nå dom utländska köparna.....

Ja, hur går det då??

Traderakonton budade utan användare – ”Kontokapning”

Under torsdagskvällen fick flera Tradera-användare sina konton kapade, därav cirkulerade en mängd fejkbud på den digitala marknadsplatsen ett par timmar. – Vi har avaktiverat de konton som drabbades, säger Niclas Hjelm, säkerhetsansvarig på Tradera.

www.svt.se

 

[pemlock]

Inget är väl helt säkert....

Authy has been hacked, here is how to protect yourself

Learn how to keep your Authy account as secure as possible even when hackers are involved

www.androidpolice.com

Mjo, fast rubriken är en aning vilseledande, eller överdriven i alla fall. Det påverkade 93 konton av 75 miljoner? Så, nej, man kan inte påstå att "Authy has been hacked" i största allmänhet.

Och som de påpekar på slutet. Visst, sånt kan hända alla system, men det är just därför man har flera faktorer. Det räcker inte med att hacka Authy (eller någon av de andra liknande produkterna som finns), de måste komma över namn och lösenord också, samtidigt. Man ska ju fortfarande ha unika lösenord på alla ställen.

 

[Hugger69]

Mjo, fast rubriken är en aning vilseledande, eller överdriven i alla fall. Det påverkade 93 konton av 75 miljoner? Så, nej, man kan inte påstå att "Authy has been hacked" i största allmänhet.

Och som de påpekar på slutet. Visst, sånt kan hända alla system, men det är just därför man har flera faktorer. Det räcker inte med att hacka Authy (eller någon av de andra liknande produkterna som finns), de måste komma över namn och lösenord också, samtidigt. Man ska ju fortfarande ha unika lösenord på alla ställen.

Ok,
Så hur funkar det Authy då, du som är användare?

 

[pemlock]

Ok,
Så hur funkar det Authy då, du som är användare?

Principen är slumpmässiga koder som byts var 30:e sekund. När du slår på användning av det, t.ex. här på KS, så visas normalt en hemlig nyckel som en QR-kod som man scannar med appen. Då har servern och du samma nyckel som den utgår ifrån för att generera slumpkoder, så den vet vilken kod just du ska ha en given tidpunkt. När man loggar in så ger man lösenord som vanligt, och sedan får ska man dessutom ge den kod som visas i appen just då.

Det finns ett antal app:ar som funkar enligt samma princip. (Server-ändan bryr sig normalt inte om exakt vilken du använder.) En annan är t.ex. Aegis, och skulle man redan råka ha Microsoft Authenticator (i jobbet t.ex.) så går det antagligen att använda den.

När vi ändå är inne på ett utbildningsstickspår:
Man pratar om en andra faktor ("second factor", 2FA), just för att det är två. De man brukar räkna upp är:
1. Något bara du vet, dvs lösenord eller PIN
2. Något bara du har, dvs ovan nämnda nyckel i en app, eller något hårdvarutoken, t.ex. RSA SecurID
3. Något bara du är, t.ex. fingeravtryck.
Man vill alltid ha 1. Man kan ha 2. eller 3. som andra faktor, eller gå in för alla tre. Så nu vet ni det.

 

[Hugger69]

Principen är slumpmässiga koder som byts var 30:e sekund. När du slår på användning av det, t.ex. här på KS, så visas normalt en hemlig nyckel som en QR-kod som man scannar med appen. Då har servern och du samma nyckel som den utgår ifrån för att generera slumpkoder, så den vet vilken kod just du ska ha en given tidpunkt. När man loggar in så ger man lösenord som vanligt, och sedan får ska man dessutom ge den kod som visas i appen just då.

Det finns ett antal app:ar som funkar enligt samma princip. (Server-ändan bryr sig normalt inte om exakt vilken du använder.) En annan är t.ex. Aegis, och skulle man redan råka ha Microsoft Authenticator (i jobbet t.ex.) så går det antagligen att använda den.

När vi ändå är inne på ett utbildningsstickspår:
Man pratar om en andra faktor ("second factor", 2FA), just för att det är två. De man brukar räkna upp är:
1. Något bara du vet, dvs lösenord eller PIN
2. Något bara du har, dvs ovan nämnda nyckel i en app, eller något hårdvarutoken, t.ex. RSA SecurID
3. Något bara du är, t.ex. fingeravtryck.
Man vill alltid ha 1. Man kan ha 2. eller 3. som andra faktor, eller gå in för alla tre. Så nu vet ni det.

Toppen, tack för förklaringen och det verkar helt klart intressant!

Ursäkta en dum fråga då för jag hänger nog inte riktigt med ändå....jag måste väl ha ett fast lösenord som är kopplat till tex KS?
Hur kopplar jag tex Authenticator, som jag råkar ha via jobbet, till lösenordet på KS?

 

[pemlock]

Toppen, tack för förklaringen och det verkar helt klart intressant!

Ursäkta en dum fråga då för jag hänger nog inte riktigt med ändå....jag måste väl ha ett fast lösenord som är kopplat till tex KS?
Hur kopplar jag tex Authenticator, som jag råkar ha via jobbet, till lösenordet på KS?

Det är inte kopplat till lösenordet i sig, men till ditt konto. Som sagt, när du slår på "Tvåstegs verifiering" (som det kallas här) så dyker det upp en QR-kod som du skannar med appen. Alternativt visar den en kod som du måste knappa in för hand. Nu har jag inte gjort det i Authenticator, men jag gissar att du använder "Annat (Google, Facebook osv)" där när du lägger till ett konto.

---

 

[Hugger69]

Det är inte kopplat till lösenordet i sig, men till ditt konto. Som sagt, när du slår på "Tvåstegs verifiering" (som det kallas här) så dyker det upp en QR-kod som du skannar med appen. Alternativt visar den en kod som du måste knappa in för hand. Nu har jag inte gjort det i Authenticator, men jag gissar att du använder "Annat (Google, Facebook osv)" där när du lägger till ett konto.

---

Ah, ok du måste ändra inställning på den sida du ska in på?
Då är jag med och det stämmer med det du säger även i Authenticator!

 

[pemlock]

Ah, ok du måste ändra inställning på den sida du ska in på?
Då är jag med och det stämmer med det du säger även i Authenticator!

Ja, det är något man slår på på den sajt man loggar in på. Normalt hittar man det under säkerhetsinställningarna för kontot, där man byter lösenord och sånt.

Förutom Klocksnack, andra vanliga ställen där man kan göra det: facebook, linkedin, PayPal, och Amazon.

På många ställen kan man välja att de bara frågar efter andra koden när man loggar in från en enhet som de inte känner igen, så att man inte måste göra det varje gång när man använder den vanliga datorn eller telefonen. (KS frågar igen var 30:e dag tror jag.)