Opera-gebruikers zijn mogelijk besmet via valse update

Gebruikers van de Opera-browser zijn mogelijk besmet met malware nadat het interne netwerk van Opera Software is gehackt. De hackers wisten de hand te leggen op een oud authenticatiecertificaat, waardoor ze malware konden uitbrengen onder de naam van Opera Software.

Opera logo Opera Software zegt dat de systemen inmiddels zijn opgeschoond en dat er geen data van gebruikers is buitgemaakt. Doordat hackers wel het certifcaat voor het ondertekenen van software hebben buitgemaakt, konden ze malware verspreiden die afkomstig leek van Opera zelf. Het is onduidelijk hoeveel schade de hackers precies hebben aangericht. Volgens Opera valt het mee, maar het bedrijf geeft weinig details over de aanval.

Opera Software waarschuwt gebruikers die op 19 juni tussen 03.00 uur en 03.36 uur 's nachts Nederlandse tijd gebruik hebben gemaakt van de Opera-browser, dat er mogelijk via een automatische update van Opera malware op hun systeem is geplaatst. Hen wordt aangeraden om de browser te updaten naar de laatste versie van Opera zodra deze beschikbaar is. De browserbouwer zal een nieuwe versie van Opera uitbrengen, met een nieuw certificaat.

Over de malware geeft Opera ook weinig informatie, het blijft bij een verwijzing naar Virustotal, waar gebruikers kunnen nagaan welke virusscanners de malware detecteren.

Reacties (40)

Verstekbakker 27 juni 2013 16:28

Dat er een hack heeft plaatsgevonden is nog niet het grootste probleem, dat kan iedereen overkomen.

Maar dat een bedrijf er vervolgens geheimzinnig over doet, dat zou echt afgelopen moeten zijn...

HMC @Verstekbakker • 27 juni 2013 16:44

Mee eens, maar de community is wel wat openlijker. Dus lees ook vooral wat zij te zeggen hebben.
Ik kan me voorstellen dat de makers nu nog even damage control doen, met weinig relevante info. Maar als ze eenmaal alles hebben uitgevogeld zullen we wel lezen wat er echt gebeurd is.

Zoals ze hier zeggen: "Opera is voor nerds".
True...and nerds want explanations.

Verwijderd @HMC • 28 juni 2013 09:12

Ik ben nauwelijks een nerd. Maar ik heb wel altijd zo veel mogelijk afstand gehouden tot IE. Heb altijd Netscape gebruikt, nog lang nadat het nog eigenlijk veilig was die te gebruiken. Dus nadat de stekker er uit was gegaan.

Ik denk dat het gebruiken van een underdog browser het voordeel heeft dat je minder risico loopt omdat hackers en malware verspreiders etc. ook gaan voor een hoog rendement. Dus, als ze een grote browser kunnen exploiteren met een of andere hack of zo, dan hebben ze de grootste kans om veel pc's te besmetten. Nij een browser die relatief weinig gebruikers kent is het misschien niet de moeite in termen van de ratio van het aantal gebruikers, de risico's, de moeite en de resultaten van de hack.

Maar misschien zie ik dat wel verkeerd. Maar over het algemeen hoor ik zeer weinig over Opera problemen. Ik kan me niet herinneren dat er eerder een bericht was over Opera en hacks.

DutchReaper 27 juni 2013 16:11

Niet alleen hebben ze dus een certificaat ontfutseld en daarmee hun eigen software ondertekend, maar hebben ze dus ook toegang gekregen tot de webservice die aangeeft of er een nieuwe update is en waar die te downloaden is. Dat is een erg gerichte aanval, dat zijn mensen die ook echt Opera wilde hacken en misbruiken.

Uncle Mel @DutchReaper • 27 juni 2013 16:19

Dat dacht ik ook al. Dit was niet "laten we inbreken en we zien wel wat we vinden". De hackers hadden een duidelijk doel en wisten wat ze nodig hadden om dat doel te bereiken.

Huismus @Uncle Mel • 27 juni 2013 21:39

Dat weet ik niet. Opera gebruikt, geloof ik, een P2P systeem om de updates te verspreiden. Je hoeft dus alleen je eigen software te ondertekenen, jezelf in het P2P netwerk te hangen en de rest gebeurt vanzelf...

Hoe Opera het dan weer heeft kunnen stoppen weet ik niet...

Verwijderd @DutchReaper • 27 juni 2013 16:55

Ze hoeven niet echt toegang tot de webservice gehad te hebben. Je kunt ook gewoon een DNS hack doen en het dataverkeer kapen. Dat kun je helemaal buiten de servers van Opera om doen.

De DNS hacken is ook niet eenvoudig, en vandaar waarschijnlijk dat de aanval maar zo kort heeft kunnen duren.

Het is natuurlijk wel een drama als je certificaat op deze manier misbruikt wordt.

PaulC 27 juni 2013 16:07

Opera Browser op Windows, of ook Opera browsers op bvb. Android ?

watercoolertje

Malware

@PaulC • 27 juni 2013 16:09

Windows ookal kon ik dat in het artikel inderdaad niet vinden (linkje virus total en dan kan je aan de virusnamen herkennen dat het om windows gaat)...

It is possible that a few thousand Windows users, who were using Opera between 01.00 and 01.36 UTC on June 19th, may automatically have received and installed the malicious software.

Orginele artikel spreekt wel duidelijk over windows...

[Reactie gewijzigd door watercoolertje op 23 juli 2024 13:37]

Bent @PaulC • 27 juni 2013 16:09

Enkel Windows gebruikers: http://my.opera.com/secur...era-infrastructure-attack

Verwijderd 27 juni 2013 16:27

Geldt dit ook voor Opera Next?

Timons106 @Verwijderd • 27 juni 2013 17:10

Dat vraag ik mij ook af, ik heb Opera Next dan wel een tijdje niet meer gebruikt. Maar wordt Opera Next dan wel geüpdatet in de achtergrond? En heb ik dan ook de kans dat ik het virus te pakken heb?
Windows Defender geeft niks aan in ieder geval.

NanoSector @Timons106 • 28 juni 2013 00:22

Opera Next geeft je de mogelijkheid om te updaten of niet dmv een pop-up voordat de browser start.

Kiswum 27 juni 2013 19:28

Vandaag een update van Opera Mobile Classic ontvangen voor mijn Android. Ik weet niet of dit de "malware" is of niet, het artikel zegt alleen iets over Windows gebruikers.

Aangezien ik tegenwoordig eerst de changelog nakijk voordat ik update heb ik het niet uitgevoerd:
Inhoud van de update in de playstore
Nieuwe functies

Opera Mobile 12.1 voor Android is inclusief fraudebeveiliging, de beste ondersteuning in zijn klasse voor webstandaarden, en verbeterde compatibiliteit met mobiele sites.

thedicemaster @Kiswum • 27 juni 2013 20:53

updates van Android applicaties staan los van het normale update systeem van opera, dus lijkt het mij onwaarschijnlijk dat de mobile versies besmet zijn.

Ex Nunc 27 juni 2013 16:18

Dit zijn dingen die ik wat minder kan waarderen. Hier heb ik gescand en gelukkig veilig. De tijd was dan voor Nederland ook niet zo erg. Rond 3u in de nacht zitten gelukkig weinig mensen meer online.

Wel erg slecht dat dit soort dingen mogelijk zijn.

DurQ 27 juni 2013 16:07

Geldt dit ook voor Linux gebruikers?

Bent @DurQ • 27 juni 2013 16:09

Enkel Windows gebruikers.: http://my.opera.com/secur...era-infrastructure-attack

Soldaatje @HMC • 27 juni 2013 17:50

Zeg dan iig wat nuttigs. Zoals: de 64-bit versie schijnt niet onderhevig te zijn aan de theft, en desbetreffende data is voornamelijk auto-save passwords en bookmarks, welke u uiteraard niet in Opera gebruikt.

Mag ik dan toch even vragen waar je die info vandaan haalt?
Volgens virustotal is de malware een Win32 bestand, en voor zover ik weet draaien die ook prima onder x64.

there is no evidence of any user data being compromised.

Nogmaals hoe kom je dan aan die info dat er auto-save passwords en bookmarks gestolen zouden zijn? Of zit je gewoon maar wat te roepen, dan heb ik dat niet door.

Wat ik niet snap is hoe software van Opera zich kan updaten met een ONGELDIG certificaat, want dat is al verlopen op 27-01-2013!

Ik vind dit een zeer ernstige zaak en Opera komt hier veel te laat mee naar buiten.
Er kunnen duizenden PC's al een week geïnfecteerd zijn, en niet alle virusscanners detecteren de malware, zoals Avast...
Het ergste wat je kan doen als bedrijf, dat is wat Opera nu heeft gedaan, het vertrouwen schenden van je gebruikers door ze te laat te informeren.
Ik begrijp er niks van, en zonder goede uitleg ga ik weg bij Opera software als gebruiker.

HMC @Soldaatje • 27 juni 2013 18:10

De makers wachten (denk ik) met echte info uitbrengen totdat ze de boel gefixt hebben. Iedere info over wat zij zelf nog niet helemaal hebben vast kunnen stellen over wat er mis is, is hetzelfde als wat u doet. Speculeren.

De community rapporteert slechts haar bevindingen, en die zijn te lezen, als u de tijd neemt.

En ik ben mijn vertrouwen in Opera helemaal niet kwijt.
Een verouderd certificaat is een verouderd certificaat.
Maar niet meteen onveilig.
Maakt u even snel een nieuwe?

Opera is de browser voor de "small few".
Misschien is het zelfs een test vanuit de community.
Hoogst interessant.

Verwijderd @HMC • 27 juni 2013 18:32

Een verouderd certificaat is een verouderd certificaat. Maar niet meteen onveilig.

Ik geloof dat we nu met een gerust hart kunnen zeggen dat het WEL gevaarlijk is.

Bent @HMC • 27 juni 2013 16:55

Nou moe, er wordt door 2 personen wat gevraagd en ik geef daar gewoon antwoord op. Inclusief bronvermelding. Ik kan er ook niets aan dat doen die ook al aangehaald wordt in het artikel en dat die niet in eerste instantie al gelezen waren.
Niet iedereen is het om +2 te doen hoor

HMC @Bent • 27 juni 2013 17:58

Ik begrijp wat u bedoelt, en ik maak geen sneer naar u, maar de bron staat al in het artikel, wat dus betekent dat men even vluchtig kijkt en dan vragen gaat stellen, die al beantwoord zijn.

Uw reactie is goed, zeker, maar dan moeten we de gemiddelde fipo'er ook niet lastigvallen.

Als men de link in het artikel her-"quote" dan voegt dat in mijn ogen weinig toe.
Het is niet dat ik u de +2 niet gun, maar de mods zijn wel een beetje out-of-line de laatste tijd.
Meer emotie dan objectief vermogen om een commentaar op waarde te schatten.
IMHO, that is.

_Thanatos_ @HMC • 27 juni 2013 23:55

Tweakers.net is de berichtgever, en als je geen zin hebt om zelf verder te zoeken naar informatie die T.net niet geeft, dan mag je daar gewoon naar vragen. Daar is niets mis mee. Bovendien komt er (dus) een antwoord waar andere bezoekers ook weer wat aan hebben.