Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties, 16.934 views •
Submitter: MN03

De website AndroidForums van Phandroid is gehackt en kwaadwillenden hebben de accountgegevens van meer dan een miljoen geregistreerde gebruikers weten te benaderen. De wachtwoorden stonden versleuteld op de server.

De hackers wisten via een bekende exploit binnen te dringen bij AndroidForums. Phandroid zegt dat het gat gedicht is en raadt gebruikers aan hun wachtwoord aan te passen. Bij andere systemen binnen het netwerk zou niet binnengedrongen zijn. Onder andere gebruikersnamen, e-mailadressen en gesalte wachtwoord-hashes werden ingezien, net als minder gevoelige data als ip-adressen en informatie over forumactiviteiten. De beheerders van AndroidForums sluiten niet uit dat data de systemen uitgesmokkeld is.

De beheerders denken dat het ging om een poging een groot aantal e-mailadressen in handen te krijgen, maar ook sluiten ze niet uit dat de hackers hun actie voor de lol deden. Als eerste zijn de wachtwoorden van mensen die betrokken zijn bij AndroidForums vervangen en de beheerders raden gebruikers aan hun wachtwoord via UserCP of de 'forgot your password?'-optie aan te passen. Ook luidt het advies om wachtwoorden op andere sites aan te passen als deze vergelijkbaar zijn. Het forum heeft in totaal 1.034.235 geregistreerde leden, hoewel veel van hen niet actief zullen zijn.

Reacties (35)

plaats iets nuttigs of plaats gewoon niks '-_-

*ontopic*
ik lees de laatste tijd steeds meer nieuws dat data op straat ligt door een hack. Maar wat schieten hackers er mee op door dit soort data open en bloot op straat te leggen?
Grote kans dat sommige van de gebruikers hun acount naam met wachtwoord het zelfde zijn voor andere zaken :) Hotmail wachtwoorden gmail ect Je zal je verbazen hoe dom sommige mensen zijn en dezelfde account gegevens vooral als je aanmeld\gebruikers naam je email adres is, en dan het zelfde wachtwoord overal gebruiken.
vroeger gebruikte ik als pw: goeiemorgenadmin op verschillende forums, lijkt me idd zoals jij zegt verstandig om verschillende accounts met verschillende paswoorden te hebben en dan heel zekers met name websites die voor je prive van belang zijn, paypal accounts, persoonlijke mailboxen, google+, etc

ontopic: 1.034.235 geregistreerde leden das wel best veel, hopelijk veranderen de android folks hun pw'en snel en worden ze gespaard van een spam plaag op hun mailbox
ontopic: 1.034.235 geregistreerde leden das wel best veel, hopelijk veranderen de android folks hun pw'en snel en worden ze gespaard van een spam plaag op hun mailbox
Maar moeten ze eerst die hashes om weten te zetten naar bruikbare wachtwoorden want aan een hash heb je niks hoor en valt ook niet zo 1 2 3 een wachtwoord te halen.
Als de wachtwoorden gesalt zijn niet nee, maar anders...
Ik gebruik al een tijdje KeePass.

1. voor elke site een ander wachtwoord.
2. je hoeft de wachtwoorden niet zelf te onthouden.
3. je kunt zodoende zeer lange wachtwoorden gebruiken.

http://keepass.info/

[edit] bericht layout

[Reactie gewijzigd door PietPuk.nl op 13 juli 2012 14:33]

Vooral de accounts die niet veel gebruikt worden zijn hier gevoelig voor. Daarvan zullen password en usename vaker hetzelfde zijn bij accounts van dezelfde gebruiker op andere sites.
In principe weinig behalve dat hun E-peen een paar centimeter groeit.

Maar eigenlijk is het wel een voordeel dat ze dit lekken. Als dit niet zou gebeuren zou de data nog steeds toegankelijk zijn voor iedereen maar heb je er gewoon geen weet van.

Dan is het een gevalletje, geen klachten dus er zal wel niets mis zijn, nu worden mensen gedwongen om eens goed over wachtwoordbeheer na te denken
Maar eigenlijk is het wel een voordeel dat ze dit lekken. Als dit niet zou gebeuren zou de data nog steeds toegankelijk zijn voor iedereen maar heb je er gewoon geen weet van.
Het is nooit goed dat ze het lekken. Ze dienen het te melden aan de eigenaar van de site, dan ben je netjes bezig. Die gegevens lekken vind ik crimineel, en heeft een hoog 'kijk mij eens stoer zijn' gehalte.

Echte hackers doen dat niet.
Mja in een perfecte wereld meld je dat. En doet de site eigenaar er ook wat mee.

In de echte wereld wordt je gewoon aangeklaagd als je het meld (Al dan niet bij het moederbedrijf) zonder alle data op straat te gooien. ( Zie simpel-hacker )

Ook gaan de meeste bedrijven slecht om met dit soort lekken en communiceren ze niet naar de klanten dat er een lek geweest is, of pas veel te laat.

M.i. is het publiceren van dit soort gedoe bijna een noodzakelijk kwaad geworden :/

[Reactie gewijzigd door Rmg op 13 juli 2012 12:22]

ik neem aan dat je bedoelt "publiceren dat er een lek is", niet de daadwerkelijke gegevens zoals hier
Inderdaad, ik gebruik bijvoorbeeld een wachtwoord voor Forums, een ander wachtwoord voor mijn e-mail, en weer een ander unieke wachtwoorden voor DigID, mijn bank, Alternate, werk.
Dus de impact zal voor mij wel meevallen.
Het nuttige van hacken ?
  • Lol / omdat het kan
  • Patsen tegenover je vrienden
  • Bedrijven en overheden dwingen scherp te zijn op beveiliging
  • Die gegevens (met name emailadressen) zijn geld waard
Redenen genoeg. Sommige zijn voor het goede doel, andere niet.

Het openbaar maken van grote hoeveelheden data van onschuldige gebruikers is altijd een laffe daad ! Een beperkt aantal bewijst ook je punt en is voor de slachtoffers nog te overzien.
Dat is een grote hoeveelheid data wat er is buitgemaakt. Goed om te zien dat er sprake is van een beveiliging met de wachtwoorden, jammer alleen dat de handel toch is buitgemaakt.
De wachtwoorden stonden versleuteld op de server.
en gesalte wachtwoord-hashes werden ingezien
Vervelend, maar de beveiliging was in ieder geval optimaal.
Niets aan de hand; password aanpassen en klaar.

Eindelijk een site die het wel op orde heeft...
Volgens WC-eend wel in ieder geval ;-)
Maar je lijkt inderdaad gelijk te hebben.

Ik begrijp alleen niet waarom ze aanraden hetzelfde wachtwoord op andere sites te wijzigen. Als je ww gehashed en gesalt was, dan is dit toch absoluut niet nodig?

[Reactie gewijzigd door Martao op 13 juli 2012 11:02]

Je moet niet denken dat een salt de heilige graal is. Ja, het is één van de veiligere manieren om passwords op te slaan, maar het kan nog steeds gekraakt worden. Afhankelijk van de implementatie en de lengte van je password is het in ieder geval één van de manieren waarmee je je het minst zorgen hoeft te maken.

Trouwens, hoe weet jij dat een bedrijf niet liegt als ze zeggen dat het gehasht en gesalt was. Met zo'n pr-probleem maken bedrijven vaak rare sprongen (deze laatste opmerking is meer gericht aan killingdjef, zoals je zelf ook al zegt met wc-eend :))

[Reactie gewijzigd door SidewalkSuper op 13 juli 2012 12:14]

Die het wel op orde heeft? Ze hadden blijkbaar een lek op de website, niet helemaal in orde dus.

Bovendien is naar mijn mening salting van passwords wel het minimale wat je anno 2012 kunt doen.

Nu we het toch weer over hacks hebben, hetzelfde zojuist met NVIDIA gebeurd: http://www.nvidia.com/content/devzone/index.html

[Reactie gewijzigd door Sniffert op 13 juli 2012 11:18]

Ieder systeem is per definitie lek, een niet-inbreekbaar systeem/huis/whatever bestaat simpelweg niet. Dus moet je je zaakjes daarachter op orde hebben. En volgens eigen zeggen, hadden ze dat. (Vandaar mijn WC-eend opmerking_
De hackers wisten via een bekende exploit binnen te dringen
Goed dat ze de wachtwoorden netjes versleuteld hadden, maar om nou te spreken van optimale beveiliging en het op orde hebben...
Eindelijk een site die het wel op orde heeft...
Als ze het op orde had stond dit artikel er niet.
Soit, al die gehackte forums begint lichtjes vervelend te worden.
Niks, maar dan absoluut niks is 100% veilig. Zelfs de database van heel het CIA kan gehacked worden bijv.

Het gaat er juist om dat websites er alles aan doen om hun gebruikers in te dekken mocht er wel ooit wat mis gaan. Zo te zien heeft dit forum dat ook gedaan met de salted en hashed wachtwoorden. Waarschijnlijk gaan de hackers hier niks aan hebben, behalve dat ze de email adressen kunnen verkopen aan spammers/scammers.

Dus dit forum heeft het wel op orde gehad. Anders zou niemand ter wereld zijn zaken op orde hebben.
Nondeju.. wat is dat met die forums tegenwoordig?

Is die software allemaal zo beroerd slecht!?
Vooral vaak slecht beheerd. Als je niet regelmatig je forumsoftware bijwerkt, dan hebben scriptkiddies al snel "known vulnerabilities" te pakken. (Weet niet of dat hier het geval was)

Het nadeel van forumsoftware is ook dat er, inherent aan de software, altijd schrijfrechten moeten zijn voor gebruik vanaf het publieke internet. Dat wil dus zeggen: aangezien internetgebruikers moeten posten, is er een mechanisme voor internetgebruikers om te kunnen schrijven.

Bij niet-user-gegenereerde content kun je gewoon het meeste met leesrechten afdoen voor de gebruikers vanaf internet (meestal gebeurt dit binnen een database.).

Zodra er dan via een exploit controle is over een bepaalde gebruiker is het dan lastiger om privileges te escaleren.

Overigens is het meest kwetsbaar natuurlijk de admin-accounts en administratiepanels. Je ziet helaas nog te vaak dat die niet goed beschermd worden, door regelmatig wachtwoorden te wijzigen, non-defaultaccountnamen te gebruiken en toegang met extra authenticatie (bvb. ip-adres) af te schermen.

[Reactie gewijzigd door Keypunchie op 13 juli 2012 11:27]

Is die software allemaal zo beroerd slecht!?
Zoals Keypunchie opmerkt is het probleem vaak toe te schrijven aan inadequaat beheer. Helaas telt ook inderdaad ook mee dat de meest populaire forumsoftware (vBulletin en phpBB; AndroidForums draait vBulletin) best slecht is.

Dit is aan verschillende factoren toe te schrijven, maar het is een combinatie van de ebrekkige veiligheid in de taal PHP (en dan heb ik het niet over bugs in de implementatie, maar gebreken in het typesysteem en de belangrijkste APIs), aan slecht ontwerp van de forumsoftware (modulariteit is in phpBB ver te zoeken, wat onderhoud van de code bemoeilijkt), en aan incompetentie van de developers (vaak een kwestie van blind vertrouwen in gebruikersinput, wat verschillende directe oorzaken kan hebben, maar meestal is onkunde de onderliggende oorzaak).

[Reactie gewijzigd door 164019 op 13 juli 2012 21:10]

Wow, het is weer hacker's day geloof ik. NVidia forum ook al gehackt... onlangs nog een onderdeel van Yahoo... het houdt ook niet op. Slecht beheer overal, maar ook gewoon uitermate snuggere gasten die alle gaten weten te vinden. Het zou mogelijk moeten zijn om hackers om zulke redenen van het internet af te sluiten. (Samen invoeren met het internet rijbewijs waar sommigen weleens over roepen :))
Welkom in de 21e eeuw.
Dit gaat nu de gewoonte worden. Zo weel hack-nieuws in een dag .
Dat het nu nieuws is, is alleen omdat het om steeds meer or steeds belangrijkere gegevens gaat.
Met de tijd gaan we dit op gelijke voet zien als een fysieke inbraak.

[Reactie gewijzigd door Essox Lucius op 13 juli 2012 12:51]

Ik weet niet of dit zozeer slecht nieuws is. Het past immers wel bij het open karakter van Android.
Zo te lezen ben ik niet de enige die dacht na het lezen van dit bericht; Alweer??
Komkommertijd, zomervakanties die aanbreken misschien?

http://tweakers.net/archieven/tag/hackers#tab:news
Ik heb in een eerder artikel vandaag al een stukje geplaatst over mijn idee om e-mails niet uit laten lekken, maar dat is niet rendabel.

Maar kan er nu echt niets gedaan worden aan het feit dat e-mail adressen lekken?

Het probleem is dat je ze niet kan salten en hashen, omdat je het adres nodig hebt... Maar is er geen enkele andere oplossing?

Ik vind het nog steeds ronduit schandalig dat e-mail addressen op straat liggen.

Edit: Typo

[Reactie gewijzigd door skiwi2 op 13 juli 2012 13:58]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True