<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Mar 19, 2014 at 10:54 PM, Joseph Goldman <span dir="ltr"><<a href="mailto:joe@apcs.com.au" target="_blank">joe@apcs.com.au</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">I think the news article in question is more referencing that
    Melbourne IT store the password in cleartext in the DB, so only DB
    data exposure would be required to compromise customers domains.<br></div></blockquote><div><br></div><div>That is what they are claiming. However the claim appears to be made based on the fact that they are able to obtain the clear-text password, not on any actual proof that it's stored in clear-text.</div>
<div><br></div><div>They even explicitly quote the fact that MelbIT claim to encrypt all data with "28-bit" (sic, it's actually 128 bit on their website) encryption, but still claim that it's obviously stored in clear-text.</div>
<div><br></div><div>  Scott</div></div></div></div>