Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 21, views: 20.070 •
Submitter: Rick-Jan

Het forum van Notebook Review, waar zich meer dan 500.000 leden voor aangemeld hebben, is getroffen door een hack. De criminelen kwamen binnen via een recent ontdekt lek in de vBulletin-forumsoftware en ze wisten mogelijk gegevens van leden te ontvreemden.

De beheerder van het Notebook Review-forum meldt de hack op de site en ook zijn alle leden van het forum via mail gewaarschuwd. "We hebben onze logs nagekeken en geconstateerd dat de hashes van gebruikersnamen en wachtwoorden mogelijk benaderd zijn door de criminele hackers die verantwoordelijk zijn voor de inbreuk", schrijft site-admin 'Cleonard'.

Het is volgens hem mogelijk dat een hacker met genoeg capaciteiten de hashes kan ontsleutelen, wat er op duidt dat er van redelijk zwakke md5-hashes gebruikgemaakt is. De hackers maakten gebruik van een lek in de vBulletin-forumsoftware. Hoewel Notebook Review geen details geeft over het lek, zegt de admin dat meerdere fora de afgelopen weken slachtoffer zijn geworden. Mogelijk gaat het daarom om de kwetsbaarheid die eind augustus gevonden werd en waar de ontwikkelaars van de vBulletin-software toen voor waarschuwden.

Notebook Review raadt zijn gebruikers aan de wachtwoorden voor het forum te wijzigen en ook die van andere sites aan te passen als daar hetzelfde wachtwoord wordt gebruikt. Het forum van de site heeft meer dan 577.000 geregistreerde gebruikers, al zullen daar veel slapende gebruikers bij zitten.

Reacties (21)

Ik ben toch benieuwd hoe de conclusie getrokken wordt dat er van MD5 hashes gebruik gemaakt wordt? Voor SHA1 zonder salt, om maar wat te noemen, zijn ook gewoon rainbow tables te genereren.
Je betaald dan wel ruim 200 euro voor een vBulletin license maar de kwaliteit is helaas ver onder de maat, wat maar weer blijkt.
Dat is wel wat simplistisch ;). Alsof een betaald product geen bugs zou kunnen bevatten.
Nou, met 200 euro voor een licentie zou je wel een veiligheidsgarantie moeten hebben zeg..
Je denkt met 200 euro voor forum software waar je 500k gebruikers op hebt veiligheidsgarantie zou moeten hebben? Dat zal een fractie zijn van hun overie kosten. Als je een veiligheidsgarantie wil zal je heel veel meer moeten betalen (als een bedrijf het ooit al zou geven).
Ik heb het vermoeden dat Fawn het redelijk sacastisch bedoeld, Sissors....
Waar het vooral op neerkomt is dat je geld neertelt voor een product dat vervolgens lek is, terwijl het gratis en opensource alternatief (phpBB bijvoorbeeld) hier geen last van heeft.

Bovenstaande opmerking slaat overigens niet op het artikel, maar op een clientside exploit waar ik een paar jaar geleden tegenaan gelopen ben toen ik een vB forum onderhield als moderator (toentertijd was het injecteren van javascript in formulieren al een breed bekend risico en ik heb toen ook de nodige voorzorgsmaatregels in ong. 30 minuten doorgevoerd). Dat was geen hopeloos achterhaalde versie van vB maar gewoon de laatste versie (major/minor weet ik zo niet meer, dacht dat dat vB3.x was).
De opmerking over de kwaliteit van vB is dus niet misplaatst.

Overigens zie ik het volgende op de website van vB:
In order to prevent this issue on your vBulletin sites, it is recommended that you delete the install directory for your installation. The directories that should be deleted are:

4.X - /install/
5.X - /core/install

After deleting these directories your sites can not be affected by the issues that we’re currently investigating.
Volgens mij is bij forum software het verwijderen van de /install folders na het installeren altijd een goed idee. Ik weet dat phpBB forums niet beschikbaar zijn zo lang de install folders bestaan.

@Rembert:
Waar beweer ik in godsnaam dat je bij welke aankoop van 200 euro dan ook een veiligheidsgarantie mag verwachten? Of dat phpBB geen last van lekken heeft? Leg me aub geen woorden in de mond. Ik geef een voorbeeld van een eenvoudig te voorkomen exploit dat ik destijds bij vB wel tegen gekomen ben en bij phpBB niet. Ik had ook gezegd kunnen hebben dat het IPB was, of YaBB, of wat dan ook, maar daar heb ik geen ervaring mee dus dat ga ik dan ook niet beweren.

@Zidane007nl:
Waar beweer ik dat phpBB niet 'zo lek als een mandje' is? Zie @Rembert voor onderbouwing.

[Reactie gewijzigd door Zyppora op 12 september 2013 18:43]

200 euro en een veiligheidsgarantie verwachten is natuurlijk onzin. 200 euro is een schijntje voor de hoeveelheid werk die er in zit.

phpBB geen last van lekken? Ik werk al een paar jaar niet meer met phpBB maar heb mijn share van lekken wel gehad. Even gekeken. phpBB 3.0.11 heeft op dit moment ook last van een lek, een CSRF exploit. Kennelijk doet phpBB geen referer checking. http://iedb.ir/exploits-398.html

Gebruikers moeten eindelijk eens leren dat ze niet overal hetzelfde wachtwoord gebruiken. En, ze moeten eindelijk eens overstappen naar een goede password manager, bv. KeyPass. Zelf gebruik ik 1Password.

Een gekeken of mijn notebookreview password ook op andere sites actief is. Hmm. Ja dus. Oud simpel wachtwoord. Direkt overal gewijzigd.
een CSRF exploit. Kennelijk doet phpBB geen referer checking.
Even mierenneuken :p, een CSRF vulnerability. Daarnaast is referer checking ook niet de meest slimme manier om je tegen CSRF-vulnerabilities te beveiligen. Het meest veilige is een POST-parameter (form) met een random token.
Dan heb je vroeger zeker geen phpBB gedraaid? phpBB 2 was zo lek als een mandje.
200 euro voor een licentie is een fooitje in de softwarewereld. Voor aardig wat enterprise grade softwareoplossingen betaal je dit al voor 2 gebruikers per jaar :D
Laatst was er een artikel die het fenomeen van cloud computing bij brute force behandelde: een simpele hacker huurt 100 servers en brute-forced een hash.

Volgens onderstaand artikel zijn SHA1 hashes nog niet snel binnen handbereik. Dat verklaart waarom er in het artikel MD5s worden genoemd.

Over SHA-1 collisions en wanneer ze bereikbaar worden:
https://www.schneier.com/...2/10/when_will_we_se.html
Van een hackers oogpunt is het gewoon niet redelijk om 100 servers in te huren daarvoor.
Voor belangrijke data wordt sowieso ook een veel betere encryptie/hashing function gebruikt(mag worden gehoopt).
De hackers zouden dan net zo goed de emails van die gebruikers kunnen verkopen aan spammers om daar geld mee te verdienen

[Reactie gewijzigd door looc op 12 september 2013 16:29]

vBulletin, snap niet dat mensen dat nog gebruiken ... Vanaf versie 4 is het alleen maar slechter geworden ... :X

En het is vragen om moeilijkheden met die kwetsbaarheid waarna gelinkt wordt. Altijd de install map verwijderen nadat het forum ge´nstalleerd of geupgrade is ...
.. wat er op duidt dat er van redelijk zwakke md5-hashes gebruikgemaakt is..
Eh? Vbulletin heeft gewoon een per user salt, en zelfs zijn eigen optie in tools als hashcat.
vBulletin < v3.8.5
vBulletin > v3.8.5
http://hashcat.net/hashcat/

De aanname dat het MD5 zou zijn lijkt me niet meer dan een wilde gok.
heb daar ook een 'slapende' account. Op het forum aldaar zijn vele mensen (net als ik) op zoek hoe en waar je je account kan laten verwijderen.
Heb me daar ooit ook geregistreerd omdat ik vragen had over mijn laptop, is toch ongelooflijk dat je gehacked kan worden door een site dat je jaren geleden maar een keer gebruikt hebt.
Dat is niet ongelofelijk, maar een stukje eigenschuld.
Zelf gebruik ik voor dat soort fora een simpel wachtwoord, zodra ik het wel vaker ga gebruiken en er informatie op komt te staan die ik van belang acht dan krijgt ook dat forum een eigen wachtwoord.
Dan kan alleen je account daar nog gehacked worden en is de schade meestal wel te overzien.
Jij bent niet gehackt door die site. Die site is gehackt door mensen die nu bij jouw gegevens kunnen. :+
Tja, dat krijg je er van als je informatie op internet achter laat. Dat kan ooit eens een keer onverwachts naar boven komen. Wie weet wat voor forums en sites waar je je ooit hebt ingeschreven gehackt gaan worden. Het leven zit vol verrassingen.
Vraagje: Is er eigenlijk software om al je online accounts makkelijk in te beheren, ik bedoel niet een password manager, maar een stuk software wat al je registraties bijhoudt en security warnings geeft over de gebruikte software (vBulletin/phpBB/tweakers/other) of zie ik nu een gat in de markt? Ikzelf probeer altijd een account te laten verwijderen als ik het niet meer gebruik, maar in de praktijk moet ik bijna altijd mailen met de beheerder. Ik moet dan maar hopen dat hij/zij het account daadwerkelijk delete. Ik vermoed dat vaak het account inactief gezet wordt.
Vraagje: Is er eigenlijk software om al je online accounts makkelijk in te beheren,
Nope, want een beetje site zorgt ervoor dat je niet ziet wat de achterliggende software is. Sowieso zegt een vBulletin/phpBB versie bijv niets, de site-manager kan hem niet updaten of er kan maatwerk aan vast zitten, of iemand heeft plugins geinstalleerd of ... of ...
Ikzelf probeer altijd een account te laten verwijderen als ik het niet meer gebruik, maar in de praktijk moet ik bijna altijd mailen met de beheerder. Ik moet dan maar hopen dat hij/zij het account daadwerkelijk delete. Ik vermoed dat vaak het account inactief gezet wordt.
Een beetje behoorlijke site-beheerder zal idd niet je account deleten, maar deze alleen op inactief zetten. Want deleten is zwaar met een DBMS erachter en levert allemaal gaten op de site op.

Jij moet niet willen deleten, jij moet gewoon nadenken wat je erop zet.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013