Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 38, views: 39.773 •
Submitter: filenox

Op Pastebin zijn de inloggegevens van 55.000 Twitter-accounts verschenen. Twitter claimt echter dat het bij een groot deel van de gegevens om spam-accounts gaat. Het bedrijf heeft uit voorzorg de wachtwoorden van een aantal accounts gereset.

Niet alleen zitten er volgens Twitter veel spam-accounts bij de op Pastebin gepubliceerde data, er zouden ook veel gegevens dubbel zijn geplaatst. Volgens het bedrijf zou dit bij in ieder geval 20.000 gepubliceerde accountgegevens het geval zijn. Verder zouden in veel gevallen de gebruikersnaam en het wachtwoord niet bij elkaar horen.

Het bedrijf achter de sociale-netwerksite heeft nog niet bevestigd of ontkend dat er 'echte' accounts zijn gehackt. Twitter geeft in een reactie tegenover CNet en diverse andere media aan het voorval nog in onderzoek te hebben en kan nog niet met zekerheid zeggen hoeveel gebruikers daadwerkelijk getroffen zijn door de hack. Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen. Twitter raadt bezorgde gebruikers aan om hun wachtwoord aan te passen.

Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

Reacties (38)

zou wel fake wezen... alleen om aandacht
mwah, gewoon met password dictionaries accounts buit gemaakt waarschijnlijk... Valt te verwachten dat veel van die spam accounts inderdaad zo een wachtwoord hebben...
Zoals ik eerder vandaag op Quora schreef:
I've studied some of the data in the pastebin files, and I came to the following conclusions :
  • The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack.
  • The passwords didn't come from a completely unrelated database where users just had the same passwords and they happened to work on Twitter. There are too many spam accounts in the files, and spam accounts normally don't register for multiple websites, not to mention using the same passwords.
  • It's not a dump of a very old "basic authentication" (pre-OAuth (2010)) database, as there are some very new accounts in the dump.
Speculations :
  • They could've come from a database that houses information of spam accounts, possibly because they're selling them. Would definitely explain the number of spam accounts, just not the celebrities.
  • A SSL certificate could have been forged and placed on a proxy between Twitter and the users, stealing xAuth passwords. Again, unlikely.
  • The actual Twitter architecture could have leaked the data. It's probably very unlikely, but not impossible.
  • A third party site that uses xAuth could have been using a non-encrypted connection for third party users. This would allow an attacker to intercept the passwords but that doesn't explain the spam accounts.
"The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack."

Ik ben het hier niet mee eens. Als de wachtwoorde. Met MD5 gehashed waren (meer dan 12 characters) dan is dit zeer makkelijk te decrypten. Er zijn genoeg sites met een database waar miljarden gehashte wachtwoorden in staan zoals deze:
288116504f5e303e4be4ff1765b81f5d

Als je zoek op http://www.md5decrypter.co.uk/ dan kan je zien dat deze hash Welkom01 is. Het ligt eraan welke encryption is gebruikt, maar hashes over 12 characters zijn niet altijd moeilijk om te "kraken".
Wel als ze user-based salts gebruiken. Voor elke unieke salt moet je dan een Rainbow-table hebben (en werken de standaard tables dus niet). Tevens 'decrypt' je een hash niet, je vind een match. En ik denk dat Twitter er wel eens een groepje cryptografen/experts naar heeft laten kijken/ontwerpen/auditen/snuffelen.
Ik mag toch hopen dat twitter geen MD5 daarvoor gebruikt. En dan zeker niet unsalted. Hoewel een beetje GPU, daar ook wel achter komt. Sinds wanneer werd het gebruik van MD5 als hashing afgeraden? 1996! Ik kan me niet voorstellen dat een bedrijf als twitter hiervoor MD5 gebruikt.
Meestal is md5 de basis, vervolgens worden er andere encrypties over gedaan, die dingen kraak je niet. Dit is gewoon een brute forced lijst.
Wat TvdW volgens mij bedoelt is dat het wachtwoord langer dan 12 tekens is en niet de hash (dat is immers altijd zo met MD5).

Een rainbow-table maken van alle wachtwoorden van 12 tekens lang, bestaande uit (hoofd- en kleine) letters en cijfers, is bijna niet te doen. Er zijn in totaal 3E21 mogelijke wachtwoorden (dat is drie duizend miljard miljard). Stel je slaat deze mogelijkheden (12 tekens) samen met hun MD5-hash (32 tekens) op, dan kost dat je 44 tekens per mogelijkheid. Als we uitgaan van een eenvoudig geoptimaliseerde opslagvorm, waarbij elk teken een byte kost maar er verder niets wordt opgeslagen, ben je dus 44 bytes per wachtwoord kwijt. Dit kost in totaal 1E23 bytes opslagruimte, omgerekend 1E11 terabyte (141 miljard terabyte).

Als we uitgaan van een optimale opslagvorm, waarbij enkel de hashes worden opgeslagen in bytevorm (16 bytes) en het originele wachtwoord wordt teruggerekend aan de hand van het nummer van de hash, kost dit alsnog 5E10 terabyte (51 miljard terabyte) om op te slaan.

Stel dat iemand dit opslagprobleem heeft opgelost, dan moet 'ie eerst nog alle hashes berekenen en later nog de database doorzoeken om het wachtwoord behorend bij een bepaalde hash te vinden. Dat is simpelweg nog niet te doen met de huidige technieken (of je moet eeuwig wachten).

Overigens staat op de website die jij noemt dat ze 8,7 miljard hashes kennen. Als dat allemaal hashes van 12 tekens lange wachtwoorden zijn, zouden ze slechts 0,0000000003% van alle mogelijkheden kennen …

[Reactie gewijzigd door Ulster Seedling op 9 mei 2012 13:35]

Ja en nee.

De "ruimte" van 8-12-character string is inderdaad erg groot, maar de ruimte van *dictionary* woorden met of zonder voor- of achtervoegsel van 1-2 cijfers is dat dan weer niet.

Wat een aanvaller doet is patronen zoeken in lijsten van reeds bekende wachtoorden, die patronen genereren, en daar dan tabellen van maken. Geeft geen enkele garantie dat je een wachtwoord voor een specifiek account vindt, maar geeft *wel* een hoge kans dat je heel snel tenminste 1 wachtwoord vindt uit aan lijst met encrypted wachtwoorden. Dat zounden b.v. de wachtwoorden kunnen zijn die ze gepubliceerd hebben.

Nu helpen salt tables ook daar weer tegen, dus wat dat betreft heb je weer gelijk.
Dat is juist mijn punt. Al is het wachtwoord 55 characters. Wanneer men MD5 gebruikt blijft het 128 bit (32 characters). Hij geeft aan dat het wachtwoord "moeilijk" te kraken is, maar dat maakt dus niet uit.

Je vergeet MD5 collision. Dus deze cijfers kloppen bij lange na niet.

"The security of the MD5 hash function is severely compromised. A collision attack exists that can find collisions within seconds on a computer with a 2.6 GHz Pentium 4 processor (complexity of 224.1).[18] Further, there is also a chosen-prefix collision attack that can produce a collision for two chosen arbitrarily different inputs within hours, using off-the-shelf computing hardware (complexity 239).[19] The ability to find collisions has been greatly aided by the use of off-the-shelf GPUs. On an NVIDIA GeForce 8400GS graphics processor, 16–18 million hashes per second can be computed. An NVIDIA GeForce 8800 Ultra can calculate more than 200 million hashes per second."

MD5 is in geen enkel geval veilig ;)

Source:
http://en.wikipedia.org/wiki/MD5
Je denkt toch serieus niet dat ze bij Twitter nog md5 gebruiken?
Muah, ik heb bij een bank waar ik werkte van een dienst de accountgegevens als plain text aangetroffen in de database. Daar heb ik maanden over door moeten zeuren voordat er besloten werd het toch maar te gaan versleutelen.

Ik sta nergens meer van te kijken op dat gebied in ieder geval.
Zou het niet gewoon een gehackte DNS server zijn + MitM attack? Gewoon een kleinere ISP DNS server.

Bots zijn meestal geprogrammeerd om Security Certificate errors te negeren en er zijn nog steeds meer dan genoeg mensen die Cert errors gewoon negeren en doorgaan, etc.

[edit]
Typo => DSN => DNS

[Reactie gewijzigd door CMG op 9 mei 2012 17:11]

knap hoor van die hackers |:(
Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

[Reactie gewijzigd door demilord op 9 mei 2012 12:47]

Twitter geeft dus toe een groot deel spamaccounts te hebben, maar ze doen er dus niks aan. Net als de beveiliging trouwens, iedereen kan daar zo alle gegevens ontvreemden.
Het zouden ook geblokkeerde accounts spam-accounts kunnen zijn?
Ik weet niet waar jij dat vandaan haalt. Twitter zegt al jaren dat spamaccounts een probleem zijn maar dat false positives een groter probleem zijn. En hoe kom je erbij dat ze niks aan beveiliging doen? Ik lijk me te herinneren dat ze zelfs een paar maanden geleden een beveiligingsbedrijf hebben overgenomen om hun beveiliging nog beter te maken.

Het is sowieso nog niet eens bewezen dat deze inloggegevens daadwerkelijk van Twitter komen en dat het niet gewoon een lijstje is met willekeurig gegenereerde informatie.
Het lijkt er eerder op dat een of andere Twitter-spammer zijn database gehackt is, dan Twitter zelf.

Overigens zitten in die database dan vaak ook weer gehackte accounts, want zelfs intelligente mensen vullen hun wachtwoord ook klakkeloos overal in.

"Vul hier je Twitter-wachtwoord in en wij vertellen je wie jou geblocked heeft" en dat soort onzin.
Ik vermoed dat de wachtwoorden van deze accounts gewoon door middel van brute-force achterhaald zijn. Vermoedelijk ergens een bug in een API of oude interface waardoor deze brute-forces niet afgevangen zijn.
De kans dat er sprake is van een bruteforce is inderdaad aanwezig. (Vooral aangezien de wachtwoorden zo simpel zijn.)

Het kunnen echter ook gewoon accounts zijn die aangemaakt zijn door de hackers zelf. Er zijn nog steeds professionele youtube account creators met capaches die behoorlijk snel ingevoerd kunnen worden (auttomatisch op een credit systeem). Mensen met 20k accounts zijn niet zeldzaam in de hackscene. Deze accounts worden meestal met proxy's gebruikt om video's te liken/views erbij te krijgen, maar ik kan me goed voorstellen dat er ook dergelijke programma's voor Twitter zijn om reclame te verspreiden.

Een andere mogelijkheid is natuurlijk dat de computer van een twitter spammer gehacked is.
"Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan"

"Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen."

Gezien deze 2 quotes lijkt mij dan het om een brute force ging.
ik heb net de psswds gekregen: het zijn door een bot aangemake accounts met random psswds...
Met het gevaar te reageren op een sarcastische post:

a) wat is de dominantie grens op individuen?
b) je kiest er zelf voor om lid te worden
c) door veel mensen wordt het vrij uiten van hun mening juist als privilege gezien.
d) je doel is niet om de website stinkend rijk te maken. Als je problemen hebt met winst voor succesvolle ondernemingen dan heb je het zwaar in de huidige maatschappij denk ik. Boodschappen zal je wel niet doen bij Appie, je fiets zal wel niet van Gazelle zijn, en je rijdt niet in een Duitse auto.
Wat doe je nu zelf dan?
Volgens mij is er nog steeds vrijheid van meningsuiting in de meeste democratische landen, dus wat jij vindt mag je best verkondingen, maar dat je vindt dat een ander zijn mening maar voor zich moet houden, daar ben ik niet echt mee akkoord, eender waar ze die mening tentoon stellen ;)

Trouwens, Twitter of Facebook verplichten niemand tot iets, dus ik zie niet in wat ze overschrijden? :?

[Reactie gewijzigd door Fire69 op 9 mei 2012 13:21]

Ik vind het eerlijk gezegd een goede actie omdat facebook en twitter de dominatie grens op individuen zwaar overschrijden. Ik vind dat mensen al hun meningen of deels hun meningen en verlangens gewoon voor zichzelf moeten houden ipv deel te nemen aan zulke websites en ze op die manier stinkend rijk maken.
Daar kiezen mensen zelf voor. Als men geen facebook of twitter wilt gebruiken, dan gebeurt het niet. Het is niet alsof die Zuckerberg of die eigenaren van twitter met een pistool naast je staan en gebieden dat je nu aan facebook of twitter moet beginnen.
Zelf heb ik namelijk geen facebook en twitter account en dat houd ik liever zo.
Het is wel zo dat het een trend is onder de mensen en het veel gebruikt wordt. Met name jeugd van de catergorie 12 tot 17 is hier gevoelig voor en denken dat wanneer ze geen facebook, twitter of whatsapp gebruiken ze buiten de boot vallen. Maar het is nog steeds een vrije keus.

Op dit item kan niet meer gereageerd worden.