Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties
Submitter: z1rconium

De site en het forum van Plex zijn gehackt. De dienst raadt gebruikers in een mail aan om het wachtwoord te veranderen. De hacker wil geld zien, anders dreigt hij de data van gebruikers van Plex openbaar te maken.

De hacker, die zichzelf savaka noemt, wil 9,5 bitcoin, omgerekend momenteel rond 2200 euro. Als hij dat geld vrijdag niet heeft, gaat het losgeld met 5 bitcoin omhoog, zo liet hij weten op het forum. Hij zegt zowel data van klanten als software van Plex in handen te hebben. Als Plex niet betaalt, dan verspreidt hij de data die hij heeft via torrents.

Plex laat inmiddels weten aan gebruikers dat de hacker inderdaad ip-adressen, prive-berichten en wachtwoorden van forumaccounts in handen heeft. De wachtwoorden zijn gehasht en gesalt, zo laat Plex weten. Gebruikers moeten een nieuw wachtwoord aanmaken en hebben pas weer toegang tot het forum als zij een nieuw wachtwoord hebben. Betaaldata stond niet op de servers, zo zegt Plex. Plex is een mediaserver om lokale content naar diverse apparaten te kunnen streamen.

Moderatie-faq Wijzig weergave

Reacties (130)

Slecht nieuws dit. |:(

Zojuist ook een mailtje ontvangen (ik heb geen premium account meer). De Gestolen data gaat hoe dan ook online natuurlijk. De hacker wil zoveel mogelijk geld zien, daarom vraagt hij zo "weinig" zodat er zo veel mogelijk mensen geld overmaken.

"Hello,

My name is savaka and I like to hack things. Recently https://plex.tv/ (s) forum & website was compromised by me. I managed to obtain all of your data, customers as well as software and files.
I replaced the index.php of the administrator cpanel with a nice message, but the ones in charge of your data decided that it would be pretty lulzy' to remove the message and place the original index back there.

I gave them until the 3rd of this month to send 9.5 BTC to 1ATBiChdSv9EsFzyknzfXeHcyge1nLGtHS or I would release all this data.
This ransom is still active and on the 3rd: if no BTC payment is made, the ransom wll go up by 5 BTC.

Eventually if no BTC payment is made, the data will be released via multiple torrent networks and there will be no more plex.tv
You can also pay me to remove your data from the content that's going to be released by e-mailing "savbtc@openmailbox.org" - If you send an e-mail without BTC ready to send, I will add your data to a special list.

savaka

P.S I don't care who the BTC comes from as long as the payment is made: no data will be released.
"

Ik vraag me af hoe veilig de wachtwoorden zijn die voorzien zijn van "salt' :?

[Reactie gewijzigd door Armo op 2 juli 2015 08:29]

Als ik het adres opzoek uit de mail op blockchain.info dan zie ik dat hij inmiddels al iets meer dan 18 BTC heeft ontvangen. Aan de datums te zien is dit adres sinds ergens vorige week actief, ik vraag me af hoeveel hiervan als plex ransom betalingen zijn overgemaakt.
Dat was te verwachten. Er zullen meer dan genoeg mensen zijn die denken slim te zijn door zelf te betalen. En wel hierom:

"You can also pay me to remove your data from the content that's going to be released .."

De hacker heeft het "slim" aangepakt.
Zeker als je bedenkt dat de mensen die hem betalen geen enkele manier hebben om te verifiëren of Plex.tv inderdaad zo grondig gehacked is en welke gegevens de hacker in handen heeft.

Deze kerel betalen lijkt me onverstandig, je hebt geen enkele garantie dat hij inderdaad jouw gegevens niet alsnog openbaar maakt.

EDIT: Ik zie hieronder dat dat Plex bevestigt welke gegevens gelekt zijn.

[Reactie gewijzigd door Ximon op 2 juli 2015 09:16]

Ze zijn (helaas) wel grondig gehacked, inclusief plextv (dus je myplex). Hebben ze net al toegeven op reddit:

We're still investigating, but he/she got the (salted) hashed forums passwords, which are used on plex.tv as well (single sign-on). So if the hashes are reversed, they could sign into plex.tv.

Ik vind ik het ronduit slecht dat we hier zelf achter moeten komen. Dit hadden ze in hun waarschuwingsmail moeten zetten! |:(
Je kan je forum account koppelen aan je plex account zodat je single sign-on hebt. Als het forum is gehackt en je hebt hem gekoppeld dan kunnen ze met die hash inloggen op je Plex account. Althans met wat moeite.

Zelf geen ransom email ontvangen tot nog toe.

[Reactie gewijzigd door Jelv op 2 juli 2015 10:00]

Die mensen zijn vooral dom. Het betalen van dit soort afpersers is precies wat er voor zorgt dat dit soort afpersers dit nog doen. Als niemand zou betalen, zou het lang niet zo interessant zijn om te doen.
Even kijken.
24-6: 1 transactie = 1.3346 BTC
25-6: 6 = 1.1389 BTC
26-6: 6 = 4.8065 BTC
27-6: 4 = 2.2507 BTC
28-6: 14 = 3.2335 BTC
29-6: 9 = 3.4127 BTC
30-6: 10 = 2.0040 BTC
1-7: 1 = 0 BTC (?)

Het zou zomaar kunnen dat op de 28e het mailtje is verzonden, omdat daar een piek zit. Maar qua bedrag is het vrij laag.

Even een paar dagen die blockchain in de gaten houden.
Het is geen multisig adres, hij gebruikt 'm al langer dan voor deze hack en hij stuurt ieder klein beetje BTC wat hij krijgt zo snel mogelijk door naar andere adressen.

Daarnaast stuurt hij BTC naar adressen die hij al sinds April gebruikt, dus om op deze manier een web aan adressen samen te stellen om achter de identiteit te komen is een mogelijkheid.

Dit is in ieder geval geen doorgewinterde hacker met jaren ervaring.
Een salt is een unieke reeks karakters wat aan je wachtwoord wordt toegevoegd om deze langer te maken. De salt is uniek per gebruiker, en zorgt er zo voor dat gebruikers met hetzelfde wachtwoord niet dezelfde hash hebben. Verder voorkomt dit dat veel voorkomende wachtwoorden makkelijk op te zoeken zijn dmv een 'rainbow table'.

Een uitstekende uitleg (Engels) is hier te vinden.

[Reactie gewijzigd door Niekfct op 2 juli 2015 08:41]

De salt uniek per gebruiker?
Ik kan mij niet herrinneren dat tot nu toe gezien te hebben. Klinkt wel als een goed idee, maar dan zou je het moeten samen stellen uit gegevens die alleen voor die gebruiker gelden en nooit veranderen... in het user record een extra veld met een salt component?

Net verder gelezen: ja, er wordt een extra veld in het user record opgeslagen... hoe kwetsbaar is dit als de waarde van dit extra veld ook bekend wordt?

[Reactie gewijzigd door rbroen op 2 juli 2015 10:12]

Een salt is alleen bedoeld om te beschermen tegen het gebruik van tabellen met berekende hashes (zgn. rainbow tables), door elke hash verschillend te maken zelfs als gebruikers hetzelfde wachtwoord hebben. In feite maakt dit rainbow tables onbruikbaar en daardoor moet een hacker elke hash apart brute-forcen. Een salt is dan ook alleen zinvol als deze (zo goed als) uniek is per gebruiker. Wanneer je een salt gaat herhalen wordt het weer makkelijker om tabellen te gaan gebruiken.

Een salt zegt echter niks over de moeilijkheid van dit brute-forcen. Het maakt het wachtwoord niet effectief langer of zo. Het berekenen van een individuele hash kost met of zonder salt evenveel tijd. De salt beschermt alleen tegen het kunnen matchen van het resultaat van deze berekening tegen meerdere wachtwoorden. Het is dan ook normaal dat de salt wordt opgeslagen in de database, samen met de password-hash, soms in een aparte kolom, soms in hetzelfde veld als de wachtwoordhash.

Alleen een hash-algoritme dat bewust langzaam is beschermt tegen het aanvallen van het individuele wachtwoord. Algoritmes zoals md5, SHA, e.d. zijn gebouwd om juist héél snel te zijn, waardoor ze niet geschikt zijn voor wachtwoorden. Je kunt er immers vele miljarden per seconde checken. Algoritmes zoals bcrypt en scrypt werken express heel langzaam en hebben een instelbare 'work-factor', waarmee je de 'traagheid' verder kunt verhogen wanneer de computertechniek sneller wordt. Het kost dan bijv. een halve seconde om één hash te berekenen. Nauwelijks genoeg om merkbaar te zijn voor de gebruikers van je site (bijv. bij inloggen), maar onwerkbaar voor een aanvaller die miljarden pogingen moet doen voordat hij een match vindt. bcrypt en scrypt hebben voor het gemak ook ingebouwde salts, dus die hoef je niet meer zelf toe te voegen.

Het is essentieel om niet alleen een salt te gebruiken maar ook een traag hash-algoritme. Zoals altijd bij cryptografie: bedenk niet je eigen oplossing, maar gebruik bewezen libraries die bewezen algoritmes, zoals scrypt, voor jouw taal implementeren.
Dat gebeurd steeds vaker, dat het hashed password en de unieke salt naast elkaar in hetzelfde record worden opgeslagen.
Op zich lijkt dat redelijk onveilig, aangezien je dan weet welke hash is gebruikt voor het wachtwoord. Toch valt dat (momenteel) nog wel mee, aangezien je dan per gebruiker een berekening moet doen om het echte wachtwoord te herleiden. Dit neemt redelijk wat tijd in beslag, mits je een modern hashing mechanisme gebruikt.
Precies. De salt is niet bedoelt om geheim te blijven, maar slechts om rainbow tables tegen te gaan doordat het uniek is per hash. Geheim houden heeft vrijwel geen nut. Je moet het immers érgens opslaan dus als de hacker toegang heeft tot je server moet je er van uitgaan dat zowel de salt als de hash gestolen is. Een juist hashing-algoritme is het enige dat brute-forcing van je wachtwoordhash kan voorkomen.
Modern en vooral (in verhouding) langzaam. Des te meer milliseconden 1 hash duurt, des te langer duurt het om te testen.
De salt uniek per gebruiker?
Ik kan mij niet herrinneren dat tot nu toe gezien te hebben.
het is geen ramp als er 2 salts hetzelfde zijn. Het hele punt van de salt is om te beschermen tegen rainbow tables. Als er nu maar 1000 salts zouden zijn op de hele wereld hebben we al 1000 rainbow tables nodig. Er zijn miljarden en miljarden salts. Zelfs indien er een paar hetzelfde zouden zijn (volgens mij is dat technisch redelijk goed op te vangen) hebben we nog evenveel rainbow tables als salts nodig wat het hele punt van een rainbow table teniet doet.
Je hebt in dat geval inderdaad 1000 RTs nodig, maar je kunt wel precies zien tegen welke RT je moet gaan matchen.
Om die reden is het bijvoorbeeld ook niet handig om je wireless AP te voorzien van een standaard SSID. Je SSID naam wordt namelijk gebruikt als salt bij het hashen van je WPA key. Je kunt bijvoorbeeld gewoon rainbow tables downloaden voor de salt "linksys". Als jij als SSID "vampkesretesnellewifi" kiest moet er eerst een RT gemaakt worden door een attacker. Dit kost tijd. Zeker als je daarnaast nog een sterke WPA-key kiest.
@ rboen Een unieke salt per gebruiker is zeker gewenst. Anders is de salt vrij nutteloos: Een attacker creeert een RT voor de algemene salt + ww en matcht de illegaal verkregen hashes tegen die tabel. Het maakt voor een attacker waarschijnlijk niet uit welke specifieke persoon uit de tabel hij hackt.
Je hebt in dat geval inderdaad 1000 RTs nodig, maar je kunt wel precies zien tegen welke RT je moet gaan matchen.
akkoord, maar dan moeten die rainbow tables wel allemaal op voorhand berekend worden. Met 1000 tables zou dit haalbaar zijn maar in het meer realistische geval van miljarden salts is dit gewoon niet doenbaar
Het gaat dus wel om een kindje. "retty lulzy' to remove the message".. like, duh.

Mensen kunnen beter incasseren en niet betalen. Dit soort kindjes moet je de stille dood geven.
Absoluut niet betalen.
Valt me athans mee, dat hij geen l33t of uber in zijn naam heeft staan.
PLEX heeft mij als Premium member anders nog niks laten weten. :?
Je hebt hier vanmorgen rond 07:00 uur een e-mail over ontvangen.
IMPORTANT SECURITY NOTICE
Dear Plex User,

Sadly, we became aware this afternoon that the server which hosts our forums and blog was compromised. We are still investigating, but as far as we know, the attacker only gained access to these parts of our systems. Rest assured that credit card and other payment data are not stored on our servers at all.

If you are receiving this email, you have a forum account which is linked to a plex.tv account. The attacker was able to gain access to IP addresses, private messages, email addresses and encrypted forum passwords (in technical terms, they are hashed and salted). Despite the password encryption measures, we take your privacy and security very seriously, so as a precaution, we're requiring that you change your password.

Be sure to choose a strong password, never share it, and never re-use passwords for different accounts! Even better, use a password manager (1Password, for example) to manage a unique password for you. Access to your Plex account will be blocked until you do so.

Please follow this link to choose a new password.

We're sorry for the inconvenience, but both your privacy and security are very important to us and we'd rather be safe than sorry!

We will post more detailed information on our blog shortly. Thanks for using Plex!

The Plex Team
Beetje kort door de bocht om te zeggen dat Cogency hier een mail over heeft ontvangen als hij toch echt zelf aangeeft niks te hebben gehoord :P denk dat hij zelf ook wel zijn mail/spam heeft gecontroleerd na dit bericht? Anders heb ik niks gezegd natuurlijk 8)7 Desondanks nuttige informatie ;)
Het was niet offensief bedoeld ;-) Waarschijnlijk zit de mail van hem nog in de queue van Plex :-) I.i.g., bovenstaande is de e-mail die je ontvangt inclusief een reset linkje.
De ultieme hacker zou z'n mail eigenlijk zelf moeten sturen }> , aangezien die toch toegang heeft en een 'reset' paginaatje ook zo gemaakt. Dan heeft deze gelijk het oude en nieuwe wachtwoord als die het slim speelt.

Niet dat ik iemand op ideeën wil brengen...
Ik heb ook geen mail gehad als lifetime premium user. Ik heb geen account op het forum, dus wellicht kom ik niet in de gelekte database voor.
Ja, ik kreeg die ook. Wat ik alleen zo opmerkelijk vind, is dat Plex hier aangeeft dat de hacker geen interessante data heeft, alleen wat forum-troep. Ik weet dat 'one man's junk is another man's treasure', maar om daar nou 9BTC voor de vragen... en dat mensen daar nog voor betalen ook, gaat mijn spreekwoordelijke pet te boven.
Zullen wel (goedgelovige) mensen zijn die overal hetzelfde password gebruiken. Niet zo slim echter om dan te betalen, want dan weet de hacker dat ook :)
Vandaag 3 Juli, en ik heb ook niog steeds geen mail van Plex ontvangen..
Heb je een forum account? Zo niet dan hoef je sowieso nergens bang voor te zijn.
Volgens mij heb ik geluk dat ik op hun fora niet actief ben, ik meen geen forum account te hebben bij Plex, ook heb ik geen mail ontvangen. Kan ik ergens nachecken of ik een forumaccount hebt? In dat geval zou mijn data niet bemachtigd zijn. Klopt dat wat ik zeg?

Ik zie hieronder al het antwoord op mijn vraag :)

[Reactie gewijzigd door tijmenvn op 2 juli 2015 20:17]

Dat je Plex Premium Member bent betekent niet per sé dat je ook een forumaccount hebt (volgens mij). Ik ben Plex gebruiker, nog nooit op het forum geweest, en ik heb ook geen mail gekregen. ;)
Ik kan me niet herinneren dat ik een ooit een forum account heb aangemaakt. Kan er ook niets over vinden in mijn email archief. Ik ben wel op het forum geweest en ook gepost. Met hetzelfde gebruiksnaam als bij myplex. Mede hierdoor vermoed ik dat je myplex wachtwoord gelijk is aan het forum wachtwoord?

Het forum zelf is nu offline overigens.

Edit:
Mijn vermoedens blijken (helaas) te kloppen :(

"We're still investigating, but he/she got the (salted) hashed forums passwords, which are used on plex.tv as well (single sign-on). So if the hashes are reversed, they could sign into plex.tv."

https://www.reddit.com/r/...bstq2/plex_forums_hacked/

[Reactie gewijzigd door Armo op 2 juli 2015 09:10]

IK heb wel een forum account maar heb ook geen mail ontvangen, dus dat zegt ook niet alles volgens mij.
Ik kreeeg vanochtend om 6:39 een mail. Ik denk dat het gewoon een paar uur duurt voordat de complete mailing is verwerkt.
Dat denk ik ook. Als ze in een keer een massamail naar buiten zouden doen dan worden ze binnen korte termijn als spam gemarkeerd.

Plex
IMPORTANT SECURITY NOTICE
Dear Plex User,

Sadly, we became aware this afternoon that the server which hosts our forums and blog was compromised. We are still investigating, but as far as we know, the attacker only gained access to these parts of our systems. Rest assured that credit card and other payment data are not stored on our servers at all.

If you are receiving this email, you have a forum account which is linked to a plex.tv account. The attacker was able to gain access to IP addresses, private messages, email addresses and encrypted forum passwords (in technical terms, they are hashed and salted). Despite the password encryption measures, we take your privacy and security very seriously, so as a precaution, we're requiring that you change your password.

Be sure to choose a strong password, never share it, and never re-use passwords for different accounts! Even better, use a password manager (1Password, for example) to manage a unique password for you. Access to your Plex account will be blocked until you do so.

Please follow this link to choose a new password.

We're sorry for the inconvenience, but both your privacy and security are very important to us and we'd rather be safe than sorry!

We will post more detailed information on our blog shortly. Thanks for using Plex!

The Plex Team
ze hebben volgens het artikel enkel usergegevens van de forumaccounts. waarschijnlijk heb jij dan geen forumaccount.
Ik had mijn mailtje om 07:01 uur.

Dus ik wijzig mijn wachtwoord en besluit mijn gegevens eens te bekijken (wat deel ik) om te ontdekken dat sinds kort scrobblen naar Last.fm ingebakken is, en ik dus niet meer hoef te klootzakken met Python installeren op mijn FreeNAS (wat me tot op heden nog niet gelukt was)
Je krijgt de mail alleen als je forum account gekoppeld is aan je MyPlex account.
Ben een plex pass bezitter maar heb ook niks ontvangen.

Dit soort dingen gebeuren super vaak dus ben op zoek naar een goede gratis password manager. Een offline oplossing lijkt me super onhandig (helft van de tijd zit ik op mobiel/tablet), maar cloud oplossingen zijn vaak duur en lijkt me juist onveiliger. Iemand een goede password generator/manager voor OS X/Windows/iOS?
Ben een plex pass bezitter maar heb ook niks ontvangen.
Je krijgt de mail enkel en alleen als je een forum account hebt, die gekoppeld is aan MyPlex. :)
Ik gebruik Keepass waarbij ik de database op dropbox zet, zelfs als mijn dropbox gehackt zou worden hebben ze nog niks aan de database...
Ik gebruik UPM(universal password manager), deze kan echter geen wachtwoorden genereren voor je. Hij slaat je wachtwoorden encrypted op en geeft je de mogelijkheid dit te synchroniseren naar bijvoorbeeld dropbox. Het is overigens een open source applicatie, daarom kan je er zeker van zijn dat hij geen rare dingen met je wachtwoorden doet.
http://upm.sourceforge.net/
De UPM (keychain) van OSX wel :P.

Heb ook het mailtjes ontvangen, maar dat soort phishing krijg ik wel vaker binnen. Dus ipv op de link in het mailtje, gewoon naar de site gegaan. Inloggen ging wel, maar werd meteen verplicht om een nieuw WW aan te maken. Voor zij die het mailtje (nog) niet hebben gekregen, misschien een idee om in te loggen op de site zelf.
9.5 bitcoin... Is dit een grap? Beetje weinig?

betalen is natuurlijk geen optie, dat is enkel motivatie voor toekomstige hackers.
Nee hoor. Gewoon een slimme onderhandelingstactiek.
Met 'maar' 9.5 BTC hoopt de hacker dat zoveel mogelijk mensen betalen. Indien je een hoog bedrag vraagt, betalen minder mensen en krijg je in totaal gewoon minder geld.
Natuurlijk is de truc dat je ook betaald zonder dat je weet of hij daadwerkelijk de data dan verwijderd (wat mij vrij dom lijkt, dus gewoon vasthouden data en ondertussen cashen).

Het is een ander geval dan ransomware, want dan gaat het om data die voor één persoon belangrijk is, dus daar is de payment/risk wat logischer.
Ik neem aan dat dat bedrag niet per user is?
Nee, maar het maakt de hacker ook niet uit waar de BTC vandaan komen. Plus de zin: "This ransom is still active and on the 3rd: if no BTC payment is made, the ransom wll go up by 5 BTC"
betekent gewoon dat de prijs zal blijven omhoog gaan (zonder melding of hij nu wel of niet het geld heeft gekregen). En dan ook nog zonder garantie dat hij de data uiteindelijk vernietigd.
Daar heb je de blockchain voor, zie een eerdere comment hier.
Misschien had de hacker gehoopt dat hij dit bedrag wel betaald zou krijgen... Of hij heeft gewoon een nette factuur opgesteld aan de hand van z'n uren. ;)
And in exchange we want *zet pink bij mondhoek* , One million dollars
Misschien verwacht hij een cash bitcoin betaling wat naar boven afgerond wordt ;)
Als het zo weinig is en Plex wil niet dokken, is een crowdfunding-actie misschien een optie? :P
Nee, inderdaad, met criminelen moet je geen zaken willen doen.
Dus de privacy van de klanten is hen nog geen 9,5 bitcoin waard. Ze hadden op zijn minst kunnen betalen.
En dan? Dan gaat het bedrag omhoog en zijn ze het geld kwijt. Jij betaalt ook altijd standaard het losgeld bij elke ontvoering/afpersing zonder dat je ook maar enige zekerheid hebt dat de crimineel zich braafjes aan zijn woord houdt? Nooit op in gaan op dit soort flauwekul, al het geld dat je er tegenaan smijt is verloren :)
Iemand die daarna het losgeld alsnog verhoogd weet dat hij nooit meer zijn slag zal thuishalen want hij/zij verliest geloofwaardigheid. Dat er niet betaald word is wel logisch en ook ingecalculeerd, bewijst de mail die hier ergens rondzweeft waarin duidelijk word dat gebruikers de hacker ook kunnen betalen met BTC om hun naam van de lijst te laten halen.
Geloofwaardigheid? Wie zegt dat deze figuur ooit nog onder deze naam een hack uitvoert?
Geloofwaardigheid is alleen belangrijk als je een naam te beschermen hebt. Figuren die in anonimiteit of onder een schuilnaam opereren geven daar niks om.
Mee eens. Niet met dit volk gaan handelen. Het zal ze overigens wel wat klanten gaan kosten, maar dat is nog altijd beter dan dat je wel betaald, iemand daarachter komt en je ineens meer hackers op je dak krijgt.

Ik vind het wel opvallend dat ze vertellen wat er precies gebeurd is, wat de eisen zijn en hoe ze het vervolgens oplossen.

Ik vraag me overigens wel af of elke gebruiker ook een forum-account heeft of wat ze daar verder aan hebben. Want de meeste van dit soort accounts betekenen absoluut niets voor me

[Reactie gewijzigd door Martinspire op 2 juli 2015 09:01]

Nee. Betalen aan afpersers zou wettelijk verboden moeten worden en er zou een forse boete op moeten staan.
Ik weet niet hoe groot de gehackte databases met gegevens zijn, en dus ook niet of die hacker al die gegevens heeft gedownload, maar zo niet, dan zou het offline halen van de servers al genoeg zijn om die boef buiten spel te zetten. Het zal echter ongetwijfeld niet zo simpel liggen.. :/

Wel jammer dat hij het zo speelt. Hij had ook gewoon naar Plex kunnen stappen met het bericht dat hij een beveiligingslek had gevonden, en de details over "het lek" kunnen verkopen voor diezelfde 9,5 BTC. En dat zonder de huidige overlast voor Plex-gebruikers. :(
Jammer zeg je. Ik denk eerder aan ongelofelijk waar hij het lef vandaan haalt. Uit het niets komt gewoon een rauwe gijzeling waarin losgeld wordt geïst plus bijbehorend dreigement . Sommige mensen hebben totaal geen moeite om hun geweten te managen. Bah bah :/

[Reactie gewijzigd door croiky op 2 juli 2015 08:45]

Dit gaat in de toekomst vaker gebeuren op het internet ook op andere platformen.

Ik sta ook niet gek te kijken dat in de toekomt bol.com gehackt wordt en alle privé gegevens en adres gegevens via de deepweb wordt verkocht aan criminelen die aan identiteit vervalsing doen.
Aj aj aj... Wordt nog tijd dat dergelijke webshops eens een optie hebben om eenmalig je adres e.d. in te geven en dat dit niet wordt opgenomen in de database.
Bah, dat vind ik tegenwoordig wel ergerlijk. Overal heb je accounts nodig en een volledige database van persoonlijke data... terwijl je er misschien maar 1 keer wat koopt. Vind dat de wetgeving oid hier op moet inspelen... dat webshops niet standaard accounts willen vergaren, maar ook tijdelijke data prima is. Een account is prima als je er vaker wat bestelt, dat zou dus een optie moeten zijn i.p.v. standaard. Bij RMA e.d. heb je bijvoorbeeld genoeg aan een factuur en bestelnummer, een account is niet per se nodig.
Waar ik meer nieuwsgierig naar ben is hoe lang het zou duren om bijvoorbeeld een wachtwoord te kraken die er als volgt uit zou zien..

Hierismijn999111%

om even wat te noemen als password uiteraard.
De hacker geeft aan dat hij ook toegang heeft tot de (forum) software, grote kans dat hij de statische salt dus ook in zijn bezit heeft.

En aangezien de hash bestaat uit de salt+password, kun je gebruik maken van rainbow tables. Enorm veel wachtwoorden zijn dus heel erg snel op te sporen.

Grote kans dat zelfs jouw voorbeeld password ooit al een keer gegenereerd is.
Ik vraag me af of dit zo is, als die 2 op dezelfde locatie bewaard zouden zijn heeft het geen enkele nut.

mijn voorbeeld ging eigenlijk ook alleen maar om het idee :) Ik maak voor al mijn wachtwoorden gebruik van Hoofdletters Cijfer en leestekens
Niet zozeer op dezelfde locatie, de wachtwoorden staan in de database en de salt staat ergens in een (waarschijnlijk) php bestand.

In 99% van de 'hacks' wordt toegang verschaft tot een database omdat ergens een mysql injectie mogelijk is, of er bijv een kwetsbare phpmyadmin installatie toegankelijk is van buitenaf.

In beide gevallen is het meestal erg moeilijk om zomaar toegang te verkrijgen tot het bestandssysteem, behalve wanneer de mysql user ook schrijfrechten heeft in de www-root. Dus wanneer dit toch het geval is, is het meestal te wijten aan een onoplettende systeembeheerder die een cache of temp map in de public_html heeft staan met 0777 rechten.

Dan is het alleen nog een kwestie van een simpel php bestand uploaden dat de inhoud van alle folders kan weergeven en je kunt door alle php bestanden bladeren.

Tip; kijk eens naar een password manager zoals Dashlane, ik heb momenteel meer dan 200 unieke en extreem moeilijke wachtwoorden.

[Reactie gewijzigd door ouweklimgeit op 2 juli 2015 12:31]

Doordat er gebruik wordt gemaakt van een unieke salt per gebruiker kan men géén rainbow tables aanmaken en gebruiken. Men moet dus elke hash individueel brute-forcen. Helaas kan dat erg snel gebeuren als inderdaad md5 gebruikt is als hash-algoritme! Ik weet niet hoe snel precies, maar MD5 is met moderne hardware (zoals GPU's) nauwelijks veiliger dan platte tekst. Als men die wachtwoorden echt had willen beschermen had men een 'traag' algoritme moeten gebruiken zoals scrypt. Gebruik van MD5 is al tien jaar echt niet meer oké!
We're investigating. The forums machine was definitely compromised, likely via PHP/IPB vulnerability. We have no reason to believe that any other parts of our infrastructure was compromised, but we're investigating
Plex gebruikt IPB (Invision Power Board) als forum software, welke salted MD5 by default gebruikt.

[Reactie gewijzigd door FREAKJAM op 2 juli 2015 09:28]

MD5 wordt toch al jaren afgeraden, zouden ze dat echt nog gebruiken?
Ik hoop het niet, in 2012 werd er al gesproken over het feit dat het wachtwoord hashing systeem van IPB niet veilig is.

Meer info hoe wachtwoord hashing in IPB werkt hier:

IP.Board stores members' passwords as a salted hash. Both the hash and the salt are stored in the database in the members table as members_pass_hash and members_pass_salt, respectively.

The hash is the md5 sum of the md5 sum of the salt concatenated to the md5 sum of the plaintext password. Expressed in PHP code, this is as follows:
$hash = md5( md5( $salt ) . md5( $password ) );
Where:
  • $hash is the value stored in the database column members_pass_hash.
  • $salt is the value stored in the database column members_pass_salt.
  • $password is the plaintext password
The salt, is a string of 5 random characters including letters, numbers and symbols (specifically, ASCII characters 33-126, excluding 92). You can easily generate a salt using the IPSMember::generatePasswordSalt() method.

[Reactie gewijzigd door FREAKJAM op 2 juli 2015 09:46]

Oh ja, want 2x md5 is wél veilig 8)7

Lekker achterhaald van IPB. Anno 2015 mag je van commerciele software toch wel iets beters verwachten. Ik zou er niet gerust op zijn als IPB gebruiker.
Ik vind zelf ook dat je moderne beveiligingsmechanismen moet gebruiken, en wil dit ook niet bagatelliseren. Maar ik vind toch dat men op dit moment een beetje hysterisch doet over de vermeende onveiligheid van MD5 hashing in wachtwoorden.

Voor bovenstaand fragment maak je niet zo snel rainbowtables. Als je target één specifieke gebruiker is, valt dat misschien nog te doen, maar voor een hele database is dat al lang niet meer zo leuk en kost dat heel veel tijd.

De voornaamste reden dat MD5 als kwetsbaar wordt aangemerkt is dat het mogelijk is om twee gelijke hashes te engineeren en daardoor bepaalde beveiligingsmechanismen te omzeilen die niet direct gerelateerd zijn aan het gebruik van MD5 voor wachtwoorden (bijv. certificaten of controlehashes van bestanden). Met een goede salt (en een goed wachtwoord) zit je naar mijn mening met bovenstaand codefragment gewoon veilig.
leesvoer
Rainbow tables, despite their recent popularity as a subject of blog posts, have not aged gracefully. Implementations of password crackers can leverage the massive amount of parallelism available in GPUs, peaking at billions of candidate passwords a second. You can literally test all lowercase, alphabetic passwords which are ≤7 characters in less than 2 seconds. And you can now rent the hardware which makes this possible to the tune of less than $3/hour. For about $300/hour, you could crack around 500,000,000,000 candidate passwords a second.
Anno 2010. Met de gemiddelde setup van iemand hier op Tweakers bereik je tegenwoordig hetzelfde.
Zelf nog niks van Plex vernomen en ik ben ook Premium member. Uit voorzorg mijn password gewijzigd.
Ik heb vanmorgen vroeg al een email van Plex ontvangen met uitleg en een link om het wachtwoord te wijzigen.
En die link is wel te vertrouwen? Hoe weet je dat dat een link is van een pagina die niet door de hacker gecompromiteerd is?
Zonet nog even men mailbox gechecked en ook in de spam box niks terug te vinden van Plex.

Strange...
Dan is je Plex account niet gekoppeld aan je Plex Forum account. :)
Dat zal idd de reden zijn want dat is bij mij niet het geval.
Gebruikers moeten een nieuw wachtwoord aanmaken en hebben pas weer toegang tot het forum als zij een nieuw wachtwoord hebben.

Op de site kan ik wel gewoon met m'n oude wachtwoord inloggen. Waarom is dit?
Dan is waarschijnlijk jouw MyPlex account niet gekoppeld aan die van het forum, gok ik zo. :)
Maar dan heb je ook de e-mail niet gehad. ;)
Klopt, ik heb geen e-mail ontvangen. Uit het bericht maakte ik op dat gebruikersnamen van de site en het forum gehackt waren. Maar dat heb ik dan fout begrepen?
De gegevens van het forum en het blog zijn buitgemaakt. Accounts waarbij er een koppeling is (voor de single sign on) tussen het MyPlex account en het forum account hebben de mail gekregen, want die kunnen het haasje hiervan worden, als ze de passwords weten te reverse engineeren.
Hoe zit het dan met Plex -app(s) op bvb Synology, TV-apps ? (of de install-certificates ervan?)
Als die infected zijn kunnen ze die apparaten ook indirect hacken ?
Voor Samsung TV's wordt de app volgens mij niet door Plex zelf gemaakt, maar door een losse enthousiaste ontwikkelaar dacht ik.
voor de premium users, ik neem aan dat jullie je creditcard gekoppeld hebben aan je plex account ?

ik weet niet hoor, maar is het niet makkelijker om voor de zekerheid je CC te laten blokkeren en een nieuwe aanvragen, dan kan die hacker ook niks meer met je huidige CC gegeven ?!

of denk ik te simpel hier ?
Rest assured that credit card and other payment data are not stored on our servers at all.
Wat ik niet goed begrijp is waarom die data zoveel BTC waard is?
Wat staat er in PLEX wat zo erg is als dat uitlekt?
  • Dat jouw wachtwoordhash 'D68L>)[?mpD!8-8hh!hx~B9Gs5j?@7zJ|Rh>M|+ (;7)ic=ca-9%J+~;xiK5do-+' is?
  • Of misschien erger: dat jouw unencrypted wachtwoord 'I love teddybears" is?
  • Dat jouw meest afgespeelde film 'Frozen' is?
  • Dat je gay-bdsm-pron kijkt?
  • Dat je onder werktijd op het forum zat?
Ik heb het niet dus ik weet het niet, maar ik begrijp graag alle beweegredenen. :)

[update: ik hoor dat je ook prive films en foto's kunt uploaden... dat zou een reden kunnen zijn idd. Is er nog wat anders?]

Het niet traceerbare geld levert zo best wat problemen op met deze gijzelingen (cryptolocker, SynologyCrypt, etc).

[Reactie gewijzigd door Stranger__NL op 2 juli 2015 09:55]

  • Dat jouw meest afgespeelde film 'Frozen' is?
Darn, ben ik blij dat ik geen plex.tv forumaccount heb

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True