Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 19, views: 9.957 •

Hackers hebben ingebroken op de servers van Scribd en daarbij de gegevens van gebruikers gestolen. Het gaat daarbij om gebruikersnamen, e-mailadressen en versleutelde wachtwoorden. Een deel van die wachtwoorden kon mogelijk worden achterhaald.

Scribd maakt niet duidelijk van hoeveel gebruikers de gegevens zijn ontvreemd. In totaal heeft de dienst 100 miljoen gebruikers. De dienst geeft wel aan dat er waarschijnlijk geen documenten en betalingsgegevens zijn buitgemaakt. Wel kregen de aanvallers de beschikking over gebruikersnamen, e-mailadressen en versleutelde wachtwoorden.

Hoewel de wachtwoorden van gebruikers zijn versleuteld en van een salt zijn voorzien, zijn de wachtwoorden van een klein deel van de gebruikers mogelijk wel achterhaald door de aanvallers. Het is niet duidelijk hoe dat heeft kunnen gebeuren, maar waarschijnlijk gaat het om minder dan 1 procent van de gebruikers. De dienst heeft getroffen gebruikers een mail gestuurd, maar gebruikers kunnen ook zelf controleren of ze zijn getroffen.

Scribd Password Checker

Reacties (19)

Minder dan 1 procent bij 100 miljoen gebruikers vind ik alsnog aanzienlijk...
Minder dan 1 procent zegt natuurlijk net niks. 0,00001% is ook minder dan 1 procent. Blijft natuurlijk slordig.
Natuurlijk wel, als het écht minder dan 0,00001% is, dan zegt de woordvoerder ook wel 'minder dan 0,00001%'. Je gaat een hack natuurlijk niet overdrijven in grootte
Minder dan 1 procent is natuurlijk een ruim begrip. Dat kan 0,9 procent zijn, maar ook 0,00000001 procent.
Als een bedrijf zegt "minder dan één procent" betekent dat in de volksmond gewoon "tussen de 0.9 en 1 procent".

Ik denk niet dat als er 0.3% is gelekt, dat ze dan zullen zeggen dat minder dan 40% is gelekt, alhoewel ze daar feitelijk absoluut gelijk in zouden hebben.. :)

Het lijkt me helemaal mooi als een bedrijf dagelijks claimt dat er die dag minder dan 98% van de persoonlijke gegevens zijn gelekt..

[edit] "Als een bedrijf zegt" aan de eerste zin toegevoegd..

[Reactie gewijzigd door kramer65 op 5 april 2013 13:53]

Minder dan één procent betekent in de volksmond gewoon "tussen de 0.9 en 1 procent".
In de volksmond is het gewoon minder dan één procent. Alleen techneuten en wetenschappers neuzelen over tienden van procenten...
Serieus? Voor mij is minder dan 1 toch echt gewoon alles wat kleiner is dan 1.
Aanzienlijk als in toch 1 miljoen gebruiker(s)?
Ik zou 10.000 al teveel vinden.

Niet gek dat mensen meerdere accounts, email adressen hebben en wachtwoorden. Leuker of handiger word het d'r niet van.
Zo'n salt blijkt dan ook niet 100 % waterdicht te zijn. Om het wachtwoord te achterhalen zou je dan toch de salt zelf ook moeten hebben? Terwijl aangegeven wordt dat alleen gebruikersnamen, e-mailadressen en versleutelde wachtwoorden zijn achterhaald.

...

Nu ik even de informatie op de support pagina van Scribd lees, staat daar "We believe the information accessed was limited to general user information, which includes usernames, emails, and encrypted passwords. " Which includes.... Dus misschien dat ze de salt (per user?) ook hebben kunnen achterhalen. Het enige wat je dan volgens mij nog moet doen is per user (!!) een rainbow table maken. (Correct me if i'm wrong).

[Reactie gewijzigd door dukejunior op 5 april 2013 13:37]

Mocht er inderdaad gebruik gemaakt worden van per-user salts, en deze salts zijn in handen gekomen van de hackers moeten deze inderdaad een rainbow table maken worden voor elke unieke salt.

Nu is het probleem dat het nog steeds lastig is om te bepalen welke versleuteling er precies gebruikt is, dus is het maken van deze rainbow tables alsnog een lastige opgave.
(Er even van uitgaande dat Scribd dit niet aan de grote klok hangt)
Maar per user een rainbow table maken heeft geen zin. Dan kun je net zo goed 'gewoon' kraken. Immers gooi je na het maken van de rainbow table die toch weer weg, aangezien je het voor een andere gebruiker niet kan gebruiken.

En nee, een salt is niet 100% waterdicht, maar het is ook slechts een technisch om rainbow-tables tegen te gaan (en dat is gelukt). Het is niet gezegd dat een wachtwoord dan niet meer te kraken is. (Sterker nog, waarschijnlijk is het over 20 jaar met een huis-tuin-en-keuken computer binnen een paar minuten te kraken.)
PAS OP om zomaar naar de scribd website te gaan als je een actieve facebook login hebt!
Ik ben er zojuist pijnlijk achtergekomen dat facebook een privacy-instelling heeft die "Instant personalization" heet.

Dit geeft Facebook Partners de mogelijkheid om zonder toestemming jouw persoonlijke informatie te gebruiken. In geval van Scribd, krijg je dus automagisch ineens een account-pagina. (scribd.com/username) Het is echt niet duidelijk hoe je je hiervan weer kunt afmelden op scribd.com.

Uiteindelijk heb ik deze facebook instelling uitgezet onder privacy => "apps" en ook daar de toegang naar scribd ingetrokken.

Ernstig dit...

[Reactie gewijzigd door amoen op 5 april 2013 14:34]

Al één gehackt paswoord is al te véél.
Dus: Scribd is niet goed beveiligd
Wat kort door de bocht dit.

Als iemand als wachtwoord "password" heeft ingevuld, dan is het zeer waarschijnlijk dat dit account als 1 van de eerste "gehackt" (hash berekent met salt) wordt.

Mensen die een wachtwoord gebruiken die op de lijst staat met 100 meest gebruikte wachtwoorden zijn bij elk lek de pineut want hash-crackers gebruiken nou net de lijsten met wachtwoorden die veel voorkomen.
Nouja, inbreken en accountgegevens jatten is natuurlijk wat anders dan een wachtwoord goed gokken... Dus jouw redenatie is ook een beetje kort door de bocht.

[Reactie gewijzigd door _Thanatos_ op 5 april 2013 20:37]

Waar reset ik mijn scribd wachtwoord?
Wil dat voor de zekerheid maar even doen, maar kan het nergens vinden.
Zo zie je maar, als je maar op genoeg sites je gegevens achterlaat, komt het vanzelf een keer in het wild. En dan kun je privacy-settings instellen zo strak (of losjes) als je onderbroek, maar dat helpt natuurlijk niets als er ingebroken wordt.

Kan beter de sites waar je persoonsgegevens achterlaat, tot een minimum beperken, en aan de rest gewoon bogus geven. Zeker nooit geven wat ze niet nodig hebben. Zo heeft Google niet mijn telefoonnummer nodig om te functioneren, en heeft een 13-in-een-dozijn blogje niet mijn e-mail adres nodig om op te kunnen posten.

Een gemiddelde site waar je een account "nodig" hebt, kun je prima voorzien van een auto-alias adres (in de vorm username+alias@domein.com) of een trashmail-adres als je geen mail van ze hoeft te ontvangen. En iedere site een apart wachtwoord geven natuurlijk - want als je overal hetzelfde gebruikt, hang je, want die kwajongens gaan natuurlijk op andere sites met jouw wachtwoord "gokken".
Die website is zoal niet pluis staat een hoop illegale content op achter een paywall.
Heel veel technische normen die enkele honderde euro's kosten, die kon je daar altijd gratis bekijken.
En ja toen hoorde je mij niet klagen ;)
Maar nu moet je er voor betalen wat inhoudt dat ze geld over iemand anders zijn rug verdienen.

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Gamecontrollers Smartphones Processors Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013