Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 114 reacties

Een database met namen, e-mailadressen en plaintext-wachtwoorden van meer dan 13 miljoen klanten van de gratis hostingaanbieder 000webhost is op internet gezet. Het hostingbedrijf gaf de wachtwoorden aanvankelijk zonder er ruchtbaarheid aan te geven een reset.

De database met gegevens van meer dan 13 miljoen accounts zou door criminelen voor 2000 dollar verhandeld worden. De melding over het uitlekken van de gegevens komt van Troy Hunt, die met zijn site Haveibeenpwned gebruikers laat zoeken of hun account gehackt is. Dat deed hij eerder bijvoorbeeld bij Adobe en Ashley Madison. De hack bij 000webhost zou al vijf maanden geleden hebben plaatsgevonden en nu op de derde plek staan in de top tien van grootste uitlek-incidenten na een hack.

Hunt probeerde na een tip over de hack contact te zoeken met 000webhost maar het bedrijf uit Litouwen bood nauwelijks werkende manieren om abuse-meldingen door te geven. Deze week gaf het bedrijf echter alle wachtwoorden een reset, wat er op duidt dat de boodschap van Hunt of een andere tipgever toch aangekomen is. Ook is ftp-toegang tot accounts tot 10 november uitgeschakeld. Het hostingbedrijf geeft echter nergens de reden van de maatregelen aan, waardoor de kans aanwezig is dat gebruikers hun oude wachtwoord opnieuw hanteren.

De beveiliging van 000webhost was al niet bepaald op orde, constateerde Hunt. Zo was de inlogpagina van gebruikers niet met tls/ssl versleuteld. Daarnaast kon het bedrijf gebruikers hun wachtwoorden sturen, wat er op duidt dat deze in plaintext opgeslagen waren. Verder waren de credentials in de url te vinden bij errormeldingen bij het registreren.

De site Forbes en Hunt hebben van meerdere accounts kunnen verifiëren dat het om authentieke gegevens gaat die op straat zijn komen te liggen en ook een gebruiker van Tweakers laat weten dat zijn gegevens uitgelekt zijn. Inmiddels heeft 000webhost de hack toegegeven. "Een hacker misbruikte een exploit in een oude PHP-versie om bestanden te uploaden en toegang te krijgen tot onze systemen", schrijft het bedrijf. De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.

000webhost

Moderatie-faq Wijzig weergave

Reacties (114)

Het is echt niet te geloven dat er anno 2015 nog bedrijven zijn die plaintext wachtwoorden opslaan
En die reactie ook "De hoster claimt de encryptie van wachtwoorden verbeterd te hebben." - alsof ze al encrypted waren..
Het zou ook kunnen zijn dat ze eerst DES als encrypty hadden gebruikt. In combinatie met een salt waarde kun je dit ook weer decrypten, en dan de gebruiker het ww. weer versturen. DES is echter wel 'makkelijk' te ontcijferen als je de database in handen krijgt, en je maakt gebruik van snelle hardware. Het zou dus kunnen zijn dat ze nu gebruik maken van 3DES encryptie / decryptie wat al weer een stuk lastiger te hacken is.

Lees nu het hele artikel, (link hieronder), en zie dat de onderzoeker heeft gezien dat het plain text ww waren. Dus inderdaad slecht.

[Reactie gewijzigd door Jan Jansen op 28 oktober 2015 21:37]

Wachtwoorden mogen gewoon nooit geŽncrypteerd worden. Want het probleem met encryptie is decryptie. Waarom zou je een wachtwoord ooit willen kunnen decrypteren. De enige veilige manier van wachtwoorden opslaan is trage salted hashes te gebruiken.
Bij gewone login gegevens om toegang te krijgen tot de website zou je scrypt kunnen gebruiken. Maar soms maakt de applicatie ook gebruik van externe koppelingen die b.v. met webservice moeten worden benaderd. Heb je een advies over welke methode hierbij het beste kan worden gebruikt?
Er staat niet dat er niks gedaan is aan beveiliging. Dat encryptie van wachtwoorden weinig helpt bij volledige toegang is wel duidelijk.

Hier geldt gewoon; pay peanuts, get ....

[Reactie gewijzigd door K4F op 28 oktober 2015 20:11]

Technisch klopt het dan wat ze zeggen: van geen encryptie tot "enige mate" van encryptie is tůch beter. Maar je hebt gelijk: het is een eersteklas blamage. Wachtwoorden in platte tekst opslaan is anno 2015 bijzonder dom en naÔef....
Als je de wachtwoord opslaat met een saltkey, kan je deze ook decrypten.

Dus het kan wel degelijk zijn dat de wachtwoorden geencrypt waren, alleen deze kan net zo snel weer gedecrypt worden, als je toegang tot de bestanden hebt.

Als het plaintext op straat is gekomen, betekend dat niet gelijk dat er geen encryptie op gegooit is.

[Reactie gewijzigd door ilaurensnl op 28 oktober 2015 22:05]

Een salt is een extra waarde die je aan een (per definitie one-way) hash functie kunt meegeven om wachtwoorden te beschermen tegen het gebruik van zogenoemde rainbow tables.

Je kunt een salt dus zeker nooit gebruiken om een wachtwoord te decrypten.
Dat is niet helemaal waar.
Je kan wel een rainbow table gebruiken aangezien de salt meestal in het begin van je wachtwoord staat alleen moet je het voor elk wachtwoord weer opnieuw doen, waardoor dit een heel werkje wordt.

En je hebt sowieso wel je salt nodig om te decrypten, maar die heb je aan het begin van je wachtwoord zitten.
Je kan deze ook aan het einde zetten, en per paswoord een nieuwe salt gebruiken. Succes met het generenen van rainbow tables :+
Bij een goed wachtwoord (Over 10 tekens met mixed characters) duurt het wel even om john the ripper aan het werk te zetten, al heb je nog zo mooie rainbow tabellen.
Ik bedoelde eigenlijk een key, ik heb dit verward met salt. Er zijn encrypties waarmee je een bepaalde key kan gebruiken voor encryptie en decryptie.

Maar jij en @McRubz hebt gelijk.

[Reactie gewijzigd door ilaurensnl op 28 oktober 2015 22:06]

Ik encrypt mijn passwords altijd met 4-ROT13.
@Herko_ter_Horst

*knikt begrijpend* Het beste kan je dat inderdaad al doen voordat je je wachtwoord opgeeft bij een nieuw account. Op die manier staat er jouw wachtwoord altijd encrypted in hun database. Slim bekeken!
2 keer +1 grappig :-)
Ik altijd met ROTi masala..weet niet of dat ook goed is?
Ja als je van 0.0 encrypted naar de meest simpel te hacken encryptie gaat...is het in theorie al een verbetering natuurlijk :)
Encryptie van 0 naar 0,5 is inderdaad een verbetering ;)
Ik zou het graag anders zien, maar helaas is het "heel normaal". Diverse billing/provisioning systemen - gebruikt door duizenden hosting bedrijfjes - slaan het wachtwoord namelijk nauwelijks encrypted op. Dat wil zeggen: er is een decrypt functie die eenvoudig aan te roepen is als je eenmaal toegang hebt, bijvoorbeeld zoals bij dit oude PHP lek.

Hetzelfde geld overigens voor grotere partijen. Zo heb ik een aantal servers bij IBM en in hun control panel kan ik ook wachtwoorden opvragen zonder ze te resetten. Die staan dus ergens plain-text of zijn in elk geval eenvoudig te decrypten. Nu kan ik de wachtwoorden natuurlijk op die servers zelf veranderen, maar voor andere diensten niet. Bovendien zullen er mensen zijn die het standaard wachtwoord ingesteld laten.
Je hoeft paswoorden te decripten :)
Encrypten is voldoenden, daarna hashes vergelijken is voldoende.
Volgens mij bedoelt glaasjejus ook dat de mogelijkheid tot decrypten het probleem is.
Encrypten != hashen. Iets dat je encrypt kun je ook weer decrypten, bij een hash is dit onmogelijk. Zie ook deze link voor een uitgebreide uitleg: https://danielmiessler.co...oding_encryption_hashing/
Dat zijn er jammer genoeg (en onbegrijpelijk) nog steeds aardig veel. Ik merk het af en toe bij het registreren op een website of bij het resetten van een wachtwoord. In beide gevallen krijg je soms het ingevoerde wachtwoord (gelukkig gebruik ik overal verschillende sterke wachtwoorden) terug per e-mail (ook nog eens plain tekst verzonden). Schandalig!
Ach meerdere internet providers hebben klanten wachtwoorden plaintext opgeslagen en deze zijn in te zien door klantenservice medewerkers :)
Het is echt niet te geloven dat er anno 2015 nog bedrijven zijn die plaintext wachtwoorden opslaan
Dat zijn bedrijfsgeheimen, dus dat gaan bedrijven niet aan de grote klok hangen uiteraard.
Plaintext-wachtwoorden miljoenen accounts gratis hostingbedrijf liggen op straat
De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.
Tjah elke vorm van encryptie is beter dan geen encryptie, liever (en is dit ondertussen niet wettelijk verplicht?) doen ze hetzelfde als de rest van wereld en slaan ze geen wachtwoorden op maar enkel een hash.
Denk niet dat hier wetten over bestaan, eerder richtlijnen.
Het zou je verbazen hoeveel bedrijven dit nog doen trouwens, Coyote is de eerste die me te binnen schiet.
Het CBP heeft hier guidelines voor opgesteld. Hoewel er 0,0 controle is zover ik weet en er alleen achter de feiten aan wordt gelopen (kortom, wanneer het misgaat of bij een tip) hebben ze wel de bevoegdheid om boetes uit te delen. http://www.nu.nl/internet...bij-privacyschending.html

In een notendop komt het erop neer dat je persoonsgegevens voldoende beveiligd dient op te slaan. Denk inderdaad aan gehashte wachtwoorden etc. Het staat wel lekker vaag omschreven overigens.

Edit: geld overigens voor Nedeland

[Reactie gewijzigd door NightFox89 op 29 oktober 2015 08:54]

en is dit ondertussen niet wettelijk verplicht?
Blijkbaar niet in Lithouwen.

[Reactie gewijzigd door trogdor op 28 oktober 2015 22:51]

Ik verbaas me dan weer over jullie verbazing ;)
Websites die hun beveiliging niet op orde hebben zijn schering en inslag. Onveilige IT is eerder de regel dan de uitzondering. Dat gaat af en toe flink fout.
Het lijkt ons niks te kunnen schelen. Je zou misschien denken dat een fout als deze zo'n bedrijf de kop zou kosten maar dat zal niet gebeuren. Gratis is veel belangrijker dan veilig voor de meeste mensen.
Ach, dit zie je ook terugkomen in de fysieke wereld.
Zichtbare sleutels achter glas aan handige sleutelhaakjes, extra knip die niet gebruikt wordt want extra handeling.
Waardevolle spullen in het zicht, openstaande deuren achter bedrijfspanden, etc.

Denk je dat mensen er van leren als het wel misgaat? Nee ze zijn vooral heel erg slachtoffer.
Niet echt de verassing van de eeuw. Veel gegevens waren inderdaad via het beheerpaneel in te zien waarbij een X aantal tekens werd vervangen door sterretjes.

Wel een paar keer gebruikt voor schoolprojecten, maar zeer zeker geen goed idee om daar een 'echte' site te hosten.

Neemt echter de verantwoordelijkheid van de beheerders niet weg. Werkelijk van den zotte dat deze gegevens niet wettelijk beter beveiligd moeten worden.
De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.
Van niets naar iets kan je inderdaad zien als een verbetering. Welkom in 2015 8)7
Volledige artikel van de onderzoeker. Hieruit blijkt dat die gasten echt geen idee hadden waar ze mee bezig waren... Hij moest een half jaar wachten voordat er actie werd ondernomen; op mails,tweets en Facebook berichten werd ook niet gereageerd. De site is al vele jaren terug gemaakt door een aantal beginnende programmeurs. Al lijken ze de site wel te hebben onderhouden sinds dien...

[Reactie gewijzigd door fritek373 op 28 oktober 2015 20:10]

Gaat niet echt geweldig sinds de eigenaar vermoord is.
Ik dacht laat ik eens voor de gein checken of mijn mail ook daarbij hoorde, want ik heb die site volgens mij wel eens gebruikt en ja hoor... Mijn mail zit bij deze hack. Gelukkig deed ik er niks meer mee.

Inloggen en wachtwoord opvragen via forgot password werkt ook totaal niet.

[Reactie gewijzigd door JelleDJs op 28 oktober 2015 19:18]

En ik sta er ook tussen, gelukkig gebruik ik hun hosting voor wat dump files en gebruik ik keepass om elke account een wachtwoord te geven.

Vanochtend al problemen met inloggen via ftp bij 000hosting. Weet nu dus de reden.

[Reactie gewijzigd door Dacuuu op 28 oktober 2015 19:17]

Dat 000webhost plaintext wachtwoorden opslaat had ik al door . Laatst was m'n account non-actief gezet omdat er geen activiteit meer op was. Wanneer ik het weer activeerde kreeg ik netjes m'n ftp details te zien met het wachtwoord erbij... Ongelooflijk onprofessioneel eigenlijk. Ik ben benieuwd of mijn gegevens ook zijn gelekt - al waren de sites die ik daar hostte puur voor de test ofc...
Ik heb juist voor gratis/onbelangrijke accounts een juist heel makkelijk wachtwoord dat binnen no time te kraken is.

Puur omdat als het gehacked is, ik heel snel weet dat ik doelwit ben ergens en beter moet gaan letten op m'n belangrijkere accounts.

Dat zegt natuurlijk niks, maar als zulke accounts gehacked worden, dan hebben ze in ieder geval niks belangrijks.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True