Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Submitter: filenox

Op Pastebin zijn de inloggegevens van 55.000 Twitter-accounts verschenen. Twitter claimt echter dat het bij een groot deel van de gegevens om spam-accounts gaat. Het bedrijf heeft uit voorzorg de wachtwoorden van een aantal accounts gereset.

Niet alleen zitten er volgens Twitter veel spam-accounts bij de op Pastebin gepubliceerde data, er zouden ook veel gegevens dubbel zijn geplaatst. Volgens het bedrijf zou dit bij in ieder geval 20.000 gepubliceerde accountgegevens het geval zijn. Verder zouden in veel gevallen de gebruikersnaam en het wachtwoord niet bij elkaar horen.

Het bedrijf achter de sociale-netwerksite heeft nog niet bevestigd of ontkend dat er 'echte' accounts zijn gehackt. Twitter geeft in een reactie tegenover CNet en diverse andere media aan het voorval nog in onderzoek te hebben en kan nog niet met zekerheid zeggen hoeveel gebruikers daadwerkelijk getroffen zijn door de hack. Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen. Twitter raadt bezorgde gebruikers aan om hun wachtwoord aan te passen.

Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

Reacties (38)

Reactiefilter:-138033+121+24+30
Moderatie-faq Wijzig weergave
zou wel fake wezen... alleen om aandacht
Zoals ik eerder vandaag op Quora schreef:
I've studied some of the data in the pastebin files, and I came to the following conclusions :
  • The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack.
  • The passwords didn't come from a completely unrelated database where users just had the same passwords and they happened to work on Twitter. There are too many spam accounts in the files, and spam accounts normally don't register for multiple websites, not to mention using the same passwords.
  • It's not a dump of a very old "basic authentication" (pre-OAuth (2010)) database, as there are some very new accounts in the dump.
Speculations :
  • They could've come from a database that houses information of spam accounts, possibly because they're selling them. Would definitely explain the number of spam accounts, just not the celebrities.
  • A SSL certificate could have been forged and placed on a proxy between Twitter and the users, stealing xAuth passwords. Again, unlikely.
  • The actual Twitter architecture could have leaked the data. It's probably very unlikely, but not impossible.
  • A third party site that uses xAuth could have been using a non-encrypted connection for third party users. This would allow an attacker to intercept the passwords but that doesn't explain the spam accounts.
"The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack."

Ik ben het hier niet mee eens. Als de wachtwoorde. Met MD5 gehashed waren (meer dan 12 characters) dan is dit zeer makkelijk te decrypten. Er zijn genoeg sites met een database waar miljarden gehashte wachtwoorden in staan zoals deze:
288116504f5e303e4be4ff1765b81f5d

Als je zoek op http://www.md5decrypter.co.uk/ dan kan je zien dat deze hash Welkom01 is. Het ligt eraan welke encryption is gebruikt, maar hashes over 12 characters zijn niet altijd moeilijk om te "kraken".
Wat TvdW volgens mij bedoelt is dat het wachtwoord langer dan 12 tekens is en niet de hash (dat is immers altijd zo met MD5).

Een rainbow-table maken van alle wachtwoorden van 12 tekens lang, bestaande uit (hoofd- en kleine) letters en cijfers, is bijna niet te doen. Er zijn in totaal 3E21 mogelijke wachtwoorden (dat is drie duizend miljard miljard). Stel je slaat deze mogelijkheden (12 tekens) samen met hun MD5-hash (32 tekens) op, dan kost dat je 44 tekens per mogelijkheid. Als we uitgaan van een eenvoudig geoptimaliseerde opslagvorm, waarbij elk teken een byte kost maar er verder niets wordt opgeslagen, ben je dus 44 bytes per wachtwoord kwijt. Dit kost in totaal 1E23 bytes opslagruimte, omgerekend 1E11 terabyte (141 miljard terabyte).

Als we uitgaan van een optimale opslagvorm, waarbij enkel de hashes worden opgeslagen in bytevorm (16 bytes) en het originele wachtwoord wordt teruggerekend aan de hand van het nummer van de hash, kost dit alsnog 5E10 terabyte (51 miljard terabyte) om op te slaan.

Stel dat iemand dit opslagprobleem heeft opgelost, dan moet 'ie eerst nog alle hashes berekenen en later nog de database doorzoeken om het wachtwoord behorend bij een bepaalde hash te vinden. Dat is simpelweg nog niet te doen met de huidige technieken (of je moet eeuwig wachten).

Overigens staat op de website die jij noemt dat ze 8,7 miljard hashes kennen. Als dat allemaal hashes van 12 tekens lange wachtwoorden zijn, zouden ze slechts 0,0000000003% van alle mogelijkheden kennen …

[Reactie gewijzigd door Ulster Seedling op 9 mei 2012 13:35]

Ja en nee.

De "ruimte" van 8-12-character string is inderdaad erg groot, maar de ruimte van *dictionary* woorden met of zonder voor- of achtervoegsel van 1-2 cijfers is dat dan weer niet.

Wat een aanvaller doet is patronen zoeken in lijsten van reeds bekende wachtoorden, die patronen genereren, en daar dan tabellen van maken. Geeft geen enkele garantie dat je een wachtwoord voor een specifiek account vindt, maar geeft *wel* een hoge kans dat je heel snel tenminste 1 wachtwoord vindt uit aan lijst met encrypted wachtwoorden. Dat zounden b.v. de wachtwoorden kunnen zijn die ze gepubliceerd hebben.

Nu helpen salt tables ook daar weer tegen, dus wat dat betreft heb je weer gelijk.
Dat is juist mijn punt. Al is het wachtwoord 55 characters. Wanneer men MD5 gebruikt blijft het 128 bit (32 characters). Hij geeft aan dat het wachtwoord "moeilijk" te kraken is, maar dat maakt dus niet uit.

Je vergeet MD5 collision. Dus deze cijfers kloppen bij lange na niet.

"The security of the MD5 hash function is severely compromised. A collision attack exists that can find collisions within seconds on a computer with a 2.6 GHz Pentium 4 processor (complexity of 224.1).[18] Further, there is also a chosen-prefix collision attack that can produce a collision for two chosen arbitrarily different inputs within hours, using off-the-shelf computing hardware (complexity 239).[19] The ability to find collisions has been greatly aided by the use of off-the-shelf GPUs. On an NVIDIA GeForce 8400GS graphics processor, 16–18 million hashes per second can be computed. An NVIDIA GeForce 8800 Ultra can calculate more than 200 million hashes per second."

MD5 is in geen enkel geval veilig ;)

Source:
http://en.wikipedia.org/wiki/MD5
Wel als ze user-based salts gebruiken. Voor elke unieke salt moet je dan een Rainbow-table hebben (en werken de standaard tables dus niet). Tevens 'decrypt' je een hash niet, je vind een match. En ik denk dat Twitter er wel eens een groepje cryptografen/experts naar heeft laten kijken/ontwerpen/auditen/snuffelen.
Ik mag toch hopen dat twitter geen MD5 daarvoor gebruikt. En dan zeker niet unsalted. Hoewel een beetje GPU, daar ook wel achter komt. Sinds wanneer werd het gebruik van MD5 als hashing afgeraden? 1996! Ik kan me niet voorstellen dat een bedrijf als twitter hiervoor MD5 gebruikt.
Meestal is md5 de basis, vervolgens worden er andere encrypties over gedaan, die dingen kraak je niet. Dit is gewoon een brute forced lijst.
Je denkt toch serieus niet dat ze bij Twitter nog md5 gebruiken?
Muah, ik heb bij een bank waar ik werkte van een dienst de accountgegevens als plain text aangetroffen in de database. Daar heb ik maanden over door moeten zeuren voordat er besloten werd het toch maar te gaan versleutelen.

Ik sta nergens meer van te kijken op dat gebied in ieder geval.
Zou het niet gewoon een gehackte DNS server zijn + MitM attack? Gewoon een kleinere ISP DNS server.

Bots zijn meestal geprogrammeerd om Security Certificate errors te negeren en er zijn nog steeds meer dan genoeg mensen die Cert errors gewoon negeren en doorgaan, etc.

[edit]
Typo => DSN => DNS

[Reactie gewijzigd door CMG op 9 mei 2012 17:11]

mwah, gewoon met password dictionaries accounts buit gemaakt waarschijnlijk... Valt te verwachten dat veel van die spam accounts inderdaad zo een wachtwoord hebben...
Twitter geeft dus toe een groot deel spamaccounts te hebben, maar ze doen er dus niks aan. Net als de beveiliging trouwens, iedereen kan daar zo alle gegevens ontvreemden.
Het zouden ook geblokkeerde accounts spam-accounts kunnen zijn?
Ik weet niet waar jij dat vandaan haalt. Twitter zegt al jaren dat spamaccounts een probleem zijn maar dat false positives een groter probleem zijn. En hoe kom je erbij dat ze niks aan beveiliging doen? Ik lijk me te herinneren dat ze zelfs een paar maanden geleden een beveiligingsbedrijf hebben overgenomen om hun beveiliging nog beter te maken.

Het is sowieso nog niet eens bewezen dat deze inloggegevens daadwerkelijk van Twitter komen en dat het niet gewoon een lijstje is met willekeurig gegenereerde informatie.
Ik vermoed dat de wachtwoorden van deze accounts gewoon door middel van brute-force achterhaald zijn. Vermoedelijk ergens een bug in een API of oude interface waardoor deze brute-forces niet afgevangen zijn.
De kans dat er sprake is van een bruteforce is inderdaad aanwezig. (Vooral aangezien de wachtwoorden zo simpel zijn.)

Het kunnen echter ook gewoon accounts zijn die aangemaakt zijn door de hackers zelf. Er zijn nog steeds professionele youtube account creators met capaches die behoorlijk snel ingevoerd kunnen worden (auttomatisch op een credit systeem). Mensen met 20k accounts zijn niet zeldzaam in de hackscene. Deze accounts worden meestal met proxy's gebruikt om video's te liken/views erbij te krijgen, maar ik kan me goed voorstellen dat er ook dergelijke programma's voor Twitter zijn om reclame te verspreiden.

Een andere mogelijkheid is natuurlijk dat de computer van een twitter spammer gehacked is.
Het lijkt er eerder op dat een of andere Twitter-spammer zijn database gehackt is, dan Twitter zelf.

Overigens zitten in die database dan vaak ook weer gehackte accounts, want zelfs intelligente mensen vullen hun wachtwoord ook klakkeloos overal in.

"Vul hier je Twitter-wachtwoord in en wij vertellen je wie jou geblocked heeft" en dat soort onzin.
"Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan"

"Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen."

Gezien deze 2 quotes lijkt mij dan het om een brute force ging.
knap hoor van die hackers |:(
Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

[Reactie gewijzigd door demilord op 9 mei 2012 12:47]

ik heb net de psswds gekregen: het zijn door een bot aangemake accounts met random psswds...
Aangezien je op twitter toch al alles deelt wat er in je leven gebeurt, kan je password er ook nog wel bij..

Zo hebben ze vast gedacht :P

Op dit item kan niet meer gereageerd worden.



LG Nexus 5 (2015) Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True