Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: Kiswum

Tapatalk is slachtoffer geworden van een hack waarbij onder andere versleutelde wachtwoorden zijn gestolen van gebruikers van de supportfora. Ook zijn er mogelijk wachtwoorden in plain text achterhaald. Het is nog onduidelijk hoeveel gegevens er precies zijn gestolen.

Op de supportfora zelf geeft een admin van Tapatalk toe dat er hackers zijn binnengedrongen op de servers. Onder de databasegegevens die zijn gestolen bevinden zich wachtwoorden die worden gebruikt om op de supportfora in te loggen. Wachtwoorden die worden gebruikt om op de Tapatalk-applicatie zelf in te loggen zouden niet zijn gestolen.

De gestolen wachtwoorden zijn voorzien van encryptie waardoor zij niet meteen bruikbaar zijn. Toch heeft Tapatalk een e-mail verstuurd naar zijn gebruikers met de vraag om een nieuw wachtwoord in te stellen. Overigens zijn ten tijde van de hack zijn ook enkele instellingen veranderd, waardoor de inloggegevens van gebruikers onversleuteld in handen zijn gekomen van de hackers: volgens Tapatalk zijn de hackers al op 9 december binnengedrongen en zijn inlogpogingen vanaf die datum onderschept. Hoeveel wachtwoorden er in totaal in handen van de hackers zijn gekomen is niet duidelijk.

Tapatalk is software die websitebouwers kunnen gebruiken om hun forumsoftware geschikt te maken voor gebruik op mobieltjes. Hiervoor is een speciale api ontwikkeld. Gebruikers kunnen met de applicatie meerdere fora tegelijkertijd gebruiken.

Tapatalk

Moderatie-faq Wijzig weergave

Reacties (25)

Het vreemde van het mailtje die gebruikers en beheerders hebben ontvangen, dat is de link om het wachtwoord te wijzigen: https://sendy.tapatalk.co...tA/uXVPvqFPUsGeQqM2edS4cw

Er is op het forum, dus terecht, gevraagd of het bericht legitiem is. Volgens Paul van Tapatalk, is het bericht echt van hem afkomstig.
Meer info over de hack zal binnenkort wel verschijnen, niet alle beheerders waren namelijk beschikbaar ivm de tijdzones..

Hier het gehele bericht:


Dear Tapatalk Forum Community,

Today we discovered that someone had used an exploit in a third party plugin on the Tapatalk support forums, leading to the disclosure of email addresses and encrypted passwords, and possibly passwords in cleartext if you attempted to login since December 9th.

Due to this incident, please log into www.tapatalk.com/v2 and change your password.

Please choose a strong password, containing a mix of upper and lower case letters, numbers and even symbols if possible.
Never use the same password on more than one site. Passwords should be unique to each site they access in order to comply with basic security best practices.
No other systems appear to have been affected and we will continue to perform audits. In the meantime our support forums will be brought back online but we will be rolling back the site approximately a week as a precaution. Posts and messages since that time will not be restored in this process.

Again, all passwords have been invalidated and will no longer work. Please reset your password using the reset password page and then following the instructions provided in the email.

We are sorry for this inconvenience and thank you for your patience,

The Tapatalk Team


Privacy Policy

© Copyright 2014, Tapatalk, Inc.
2105 Colorado Avenue, Santa Monica, CA 90404
Edit typo

[Reactie gewijzigd door Kiswum op 14 december 2014 17:34]

Ontwikkelaars van forum software (bijvoorbeeld SMF) zijn over het algemeen ook niet heel erg te spreken over de programmeer kwaliteiten van Tapatalk.
De Tapatalk ontwikkelaars zouden niet altijd even netjes met de code omgaan. Er wordt dan een modificatie geschreven die niet goed is. Dit heeft in het verleden vaker tot security issue's geleid. Wel jammer, want de gebruikers zijn er gek op.

[Reactie gewijzigd door Mr. Jinx op 15 december 2014 11:13]

Een aantal grote grote voordelen van Tapatalk t.a.v. Tweakers Forum:
- Direct plaatjes uploaden voor je bericht
- Instant messaging, je weet wanneer er wordt gereageerd in je favoriete topic (iedereen kan dit makkelijk instellen)
- Diverse fora via 1 url/app te benaderen

Dit was voor mij dan ook een reden om niet meer via de url van de XDA pagina's te gaan, maar direct via de app.
Dat kan wel zo zijn, maar als die voordelen bekocht moeten worden met veiligheidsproblemen omdat Tapatalk hun code niet op orde heeft (en dan heb ik het nog niet eens over het schenden van licenties en het niet in acht nemen van Trademarks.) schiet je er per saldo niet zo heel veel mee op.

Het is inderdaad exact zoals Mr Jinx het zegt en wat je al bevestigd: de gebruikers zijn er gek op.
Het zou alleen fijn zijn als Tapatalk wat meer aandacht zou geven aan hun codebase, want die is af en toe echt om te janken.
Vandaag ook een mail gehad van Tapatalk. Als webmaster heb je natuurlijk nog een grotere plicht om er alles aan te doen om de data van je gebruikers te beschermen. [...]* Wachtwoorden zijn natuurlijk gelijk veranderd.

*Dan maar voor de zekerheid... :P

[Reactie gewijzigd door CurlyMo op 15 december 2014 11:16]

Als je dan zo verantwoordelijk bent, moet je dan echt dit soort details hier wel uit de doeken doen?
Het zijn meestal administrators die een account op het supportforum van Tapatalk. Vaak gebruiken ze als e-mail adres wel de domeinnaam van het forum waarop ze een account hebben. Hopelijk zijn ze dan slim genoeg om niet hetzelfde paswoord te gebruiken, want anders zijn er een hoop forums in 1 klap gehacked.
Weeral een slag voor 9-lives...
Hoezo? Tapatalk wordt op veel meer fora gebruikt hoor
Idd maar helaas is 9-lives er weer onrechtstreeks bij betrokken :(
Dat er ingebroken wordt in het forum van Tapatalk staat volledig los van de hack bij 9lives. Ik snap echt niet hoe je hier een verband in kunt zien?
Tapatalk is supportsoftware voor forums, waarmee je dus op onder andere 9-lives in kan loggen. Doen gebruikers dat, dan liggen nu hun wachtwoorden (weer) op straat.

edit: 9-lives dus waarschijnlijk niet! :)

[Reactie gewijzigd door Travelan op 14 december 2014 14:15]

Euh nee, het support forum van Tapatalk is gehacked. Als je problemen, vragen had omtrent Tapatalk kan je daar terecht.

Accounts van fora die Tapatalk gebruiken, hebben hiermee niets mee te maken.
Het gaat over het supportforum van Tapatalk. Dit is een forum van Tapatalk zelf, voornamelijk bedoeld voor webmasters die suggesties hebben of problemen ondervinden bij het implementeren van de Tapatalk plugin in hun eigen forum.

Er is totaal geen verband tussen de forums die de Tapatalk plugin gebruiken en het supportforum van Tapatalk zelf.

Quote vanop het Tapatalk support forum:
Only the support forums were affected, not the admin panel (unless you use the same password everywhere, a very bad practice) and not the Tapatalk plugin installed onto your site or the app on your phone.

What the hell, hoe moeilijk kan het zijn. Het niveau is hier echt bedroevend laag. En dan nog de pretentie hebben om anderen erop te wijzen "te leren lezen".

[Reactie gewijzigd door breezie op 14 december 2014 14:06]

Er zijn schijnbaar nog steeds teveel sites waarvan de devs het nodig vonden om wachtwoorden van de gebruikers op te slaan. En kijk wie er nu (mogelijk) de dupe zijn.
Het opslaan van wachtwoorden kan ik nog enigszins begrijpen, maar in plain tekst?!..
Sterker nog, er zijn zat bedrijven die wachtwoorden van accounts in plaintext opslaan. Zelfde de grotere Hosters van Nederland. Maar ik mag niets zeggen van de NCSC dat er ergens in Nederland als sinds maart een beveiligings probleem is.

Test vooral de functie "wachtwoord vergeten" uit.
Wow ... mag ik je aanraken .... je hebt informatie waar iedereen op zit te wachten ...
maar je mag niets zeggen .....
Bahh, heb liever niet dat je me wilt aanraken. Niets tegen jou verder hoor. ;)
Ik weet waar je gratis .... kan halen ... maar ik mag niets zeggen....
Ik mag niet zeggen bij wie, maar mag wel zeggen dat mensen de wachtwoord vergeten functie mogen testen. Dan zie je vrij snel of het bedrijf je wachtwoorden in plaintext op slaat.
Zoiets als het ingevoerde wachtwoord, per mail weer terug krijgen. Na dat je zegt het vergeten te zijn. Mail... over plaintext gesproken :)

[Reactie gewijzigd door wica op 14 december 2014 18:02]

Is één van de eerste functies die ik test op een site ( zouden idd meer mensen moeten doen )

Mijn eerste registratie-ww is dan meestal ook mijnWachtwoord01! ( echt waar ;) )
Als ik die dan terugkrijg, gaat er een reminder in mijn keepass, dat ik vaker moet wisselen

Maargoed, jij bent ( net als ik ) geen n00b die in zo'n valkuil valt, maar helaas zijn tegenwoordig veel Tweakers dat (nog) wel


het aanraken laat ik dan ook maar achterwege ... niet op zondagavond graag
maarja, als je het wachtwoord niet terug krijgt, maar een resetlink, betekent dat nog niet dat je wachtwoord daar wel gehasht opgeslagen wordt, voor hetzelfde geldt dat je wachtwoord daar ook gewoon plaintext wordt opgeslagen....
Dat maakt het verschil tussen 6 wekelijks ww wijzigen en 3 wekelijks ( of vaker, indien het nodig blijkt )

Met de PWgenerator van keepass is het zo gebeurt, en aangepast
Klopt, dat je een random of wachtwoord linkje terug krijgt, zegt nog niets over hoe het in de Database is opgeslagen.

Het geeft alleen een indicatie, dat er wel een beetje over nagedacht is.
Volgende test is iets met characters die wel vaak in een token gebruikt worden zoals. {...} Een ineens krijg je maar een deel van je wachtwoord terug. Toch duidelijk er iets grondigs verkeerd is.

Overgens, { }, zijn we achter gekomen met medewerking van een helpdesker van het bedrijf. Die zo vriendelijk was het wachtwoord op te noemen via de telefoon, zonder een controle.

Dit alles is te testen, zonder dat je voor hacken beschuldigt mag worden. Je gebruikt ten slotte een functie, die je ter beschikking gesteld is door het betreffende bedrijf en als je er legaal een account hebt.
Ik had de e-mail van Tapatalk ook gekregen, en ik gebruik Tapatalk onder andere voor XDA en andere forumen te bezoeken die Tapatalk ondersteunen. Maar eerlijk gezegd maak ik mij niet hele grote zorgen over deze hack, al zou ik dat natuurlijk wel moeten doen maar je hoort het tegenwoordig zo vaak dat het net is alsof het niks voorstelt.
Is dat die irritante webpage die ik regelmatig zie als ik met mijn ipad forum sites bezoek? mooi. tot nu toe altijd afgewezen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True