Plaintext-wachtwoorden miljoenen accounts gratis hostingbedrijf liggen op straat

Een database met namen, e-mailadressen en plaintext-wachtwoorden van meer dan 13 miljoen klanten van de gratis hostingaanbieder 000webhost is op internet gezet. Het hostingbedrijf gaf de wachtwoorden aanvankelijk zonder er ruchtbaarheid aan te geven een reset.

De database met gegevens van meer dan 13 miljoen accounts zou door criminelen voor 2000 dollar verhandeld worden. De melding over het uitlekken van de gegevens komt van Troy Hunt, die met zijn site Haveibeenpwned gebruikers laat zoeken of hun account gehackt is. Dat deed hij eerder bijvoorbeeld bij Adobe en Ashley Madison. De hack bij 000webhost zou al vijf maanden geleden hebben plaatsgevonden en nu op de derde plek staan in de top tien van grootste uitlek-incidenten na een hack.

Hunt probeerde na een tip over de hack contact te zoeken met 000webhost maar het bedrijf uit Litouwen bood nauwelijks werkende manieren om abuse-meldingen door te geven. Deze week gaf het bedrijf echter alle wachtwoorden een reset, wat er op duidt dat de boodschap van Hunt of een andere tipgever toch aangekomen is. Ook is ftp-toegang tot accounts tot 10 november uitgeschakeld. Het hostingbedrijf geeft echter nergens de reden van de maatregelen aan, waardoor de kans aanwezig is dat gebruikers hun oude wachtwoord opnieuw hanteren.

De beveiliging van 000webhost was al niet bepaald op orde, constateerde Hunt. Zo was de inlogpagina van gebruikers niet met tls/ssl versleuteld. Daarnaast kon het bedrijf gebruikers hun wachtwoorden sturen, wat er op duidt dat deze in plaintext opgeslagen waren. Verder waren de credentials in de url te vinden bij errormeldingen bij het registreren.

De site Forbes en Hunt hebben van meerdere accounts kunnen verifiëren dat het om authentieke gegevens gaat die op straat zijn komen te liggen en ook een gebruiker van Tweakers laat weten dat zijn gegevens uitgelekt zijn. Inmiddels heeft 000webhost de hack toegegeven. "Een hacker misbruikte een exploit in een oude PHP-versie om bestanden te uploaden en toegang te krijgen tot onze systemen", schrijft het bedrijf. De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.

000webhost

IT-banen

Reacties (114)

Xantis 28 oktober 2015 19:01

Het is echt niet te geloven dat er anno 2015 nog bedrijven zijn die plaintext wachtwoorden opslaan

maniak @Xantis • 28 oktober 2015 19:16

En die reactie ook "De hoster claimt de encryptie van wachtwoorden verbeterd te hebben." - alsof ze al encrypted waren..

Jan Jansen @maniak • 28 oktober 2015 21:32

Het zou ook kunnen zijn dat ze eerst DES als encrypty hadden gebruikt. In combinatie met een salt waarde kun je dit ook weer decrypten, en dan de gebruiker het ww. weer versturen. DES is echter wel 'makkelijk' te ontcijferen als je de database in handen krijgt, en je maakt gebruik van snelle hardware. Het zou dus kunnen zijn dat ze nu gebruik maken van 3DES encryptie / decryptie wat al weer een stuk lastiger te hacken is.

Lees nu het hele artikel, (link hieronder), en zie dat de onderzoeker heeft gezien dat het plain text ww waren. Dus inderdaad slecht.

[Reactie gewijzigd door Jan Jansen op 24 juli 2024 17:09]

FleaBite @Jan Jansen • 29 oktober 2015 09:30

Wachtwoorden mogen gewoon nooit geëncrypteerd worden. Want het probleem met encryptie is decryptie. Waarom zou je een wachtwoord ooit willen kunnen decrypteren. De enige veilige manier van wachtwoorden opslaan is trage salted hashes te gebruiken.

Jan Jansen @FleaBite • 11 november 2015 08:11

Bij gewone login gegevens om toegang te krijgen tot de website zou je scrypt kunnen gebruiken. Maar soms maakt de applicatie ook gebruik van externe koppelingen die b.v. met webservice moeten worden benaderd. Heb je een advies over welke methode hierbij het beste kan worden gebruikt?

K4F @maniak • 28 oktober 2015 20:09

Er staat niet dat er niks gedaan is aan beveiliging. Dat encryptie van wachtwoorden weinig helpt bij volledige toegang is wel duidelijk.

Hier geldt gewoon; pay peanuts, get ....

[Reactie gewijzigd door K4F op 24 juli 2024 17:09]

Qalo @maniak • 29 oktober 2015 12:53

Technisch klopt het dan wat ze zeggen: van geen encryptie tot "enige mate" van encryptie is tóch beter. Maar je hebt gelijk: het is een eersteklas blamage. Wachtwoorden in platte tekst opslaan is anno 2015 bijzonder dom en naïef....

ilaurensnl @maniak • 28 oktober 2015 19:24

Als je de wachtwoord opslaat met een saltkey, kan je deze ook decrypten.

Dus het kan wel degelijk zijn dat de wachtwoorden geencrypt waren, alleen deze kan net zo snel weer gedecrypt worden, als je toegang tot de bestanden hebt.

Als het plaintext op straat is gekomen, betekend dat niet gelijk dat er geen encryptie op gegooit is.

[Reactie gewijzigd door ilaurensnl op 24 juli 2024 17:09]

McRubz @ilaurensnl • 28 oktober 2015 19:57

Een salt is een extra waarde die je aan een (per definitie one-way) hash functie kunt meegeven om wachtwoorden te beschermen tegen het gebruik van zogenoemde rainbow tables.

Je kunt een salt dus zeker nooit gebruiken om een wachtwoord te decrypten.

churchill9 @McRubz • 29 oktober 2015 00:40

Dat is niet helemaal waar.
Je kan wel een rainbow table gebruiken aangezien de salt meestal in het begin van je wachtwoord staat alleen moet je het voor elk wachtwoord weer opnieuw doen, waardoor dit een heel werkje wordt.

En je hebt sowieso wel je salt nodig om te decrypten, maar die heb je aan het begin van je wachtwoord zitten.

Dreeke fixed @churchill9 • 29 oktober 2015 06:56

Je kan deze ook aan het einde zetten, en per paswoord een nieuwe salt gebruiken. Succes met het generenen van rainbow tables

kritischelezer @ilaurensnl • 28 oktober 2015 21:37

Bij een goed wachtwoord (Over 10 tekens met mixed characters) duurt het wel even om john the ripper aan het werk te zetten, al heb je nog zo mooie rainbow tabellen.

ilaurensnl @kritischelezer • 28 oktober 2015 22:02

Ik bedoelde eigenlijk een key, ik heb dit verward met salt. Er zijn encrypties waarmee je een bepaalde key kan gebruiken voor encryptie en decryptie.

Maar jij en @McRubz hebt gelijk.

[Reactie gewijzigd door ilaurensnl op 24 juli 2024 17:09]

Herko_ter_Horst

@maniak • 28 oktober 2015 19:26

Ik encrypt mijn passwords altijd met 4-ROT13.

Golodh @Herko_ter_Horst • 28 oktober 2015 20:09

@Herko_ter_Horst

*knikt begrijpend* Het beste kan je dat inderdaad al doen voordat je je wachtwoord opgeeft bij een nieuw account. Op die manier staat er jouw wachtwoord altijd encrypted in hun database. Slim bekeken!

trogdor @Golodh • 28 oktober 2015 22:48

2 keer +1 grappig :-)

Verwijderd @Herko_ter_Horst • 29 oktober 2015 17:24

Ik altijd met ROTi masala..weet niet of dat ook goed is?

Pim0377 @maniak • 28 oktober 2015 20:55

Ja als je van 0.0 encrypted naar de meest simpel te hacken encryptie gaat...is het in theorie al een verbetering natuurlijk

twilex @maniak • 29 oktober 2015 14:53

Encryptie van 0 naar 0,5 is inderdaad een verbetering

Verwijderd @Xantis • 28 oktober 2015 19:50

Ik zou het graag anders zien, maar helaas is het "heel normaal". Diverse billing/provisioning systemen - gebruikt door duizenden hosting bedrijfjes - slaan het wachtwoord namelijk nauwelijks encrypted op. Dat wil zeggen: er is een decrypt functie die eenvoudig aan te roepen is als je eenmaal toegang hebt, bijvoorbeeld zoals bij dit oude PHP lek.

Hetzelfde geld overigens voor grotere partijen. Zo heb ik een aantal servers bij IBM en in hun control panel kan ik ook wachtwoorden opvragen zonder ze te resetten. Die staan dus ergens plain-text of zijn in elk geval eenvoudig te decrypten. Nu kan ik de wachtwoorden natuurlijk op die servers zelf veranderen, maar voor andere diensten niet. Bovendien zullen er mensen zijn die het standaard wachtwoord ingesteld laten.

Dreeke fixed @Verwijderd • 29 oktober 2015 06:53

Je hoeft paswoorden te decripten

Encrypten is voldoenden, daarna hashes vergelijken is voldoende.

brinkdinges

@Dreeke fixed • 29 oktober 2015 08:44

Volgens mij bedoelt glaasjejus ook dat de mogelijkheid tot decrypten het probleem is.

Tweekzor @Dreeke fixed • 29 oktober 2015 08:45

Encrypten != hashen. Iets dat je encrypt kun je ook weer decrypten, bij een hash is dit onmogelijk. Zie ook deze link voor een uitgebreide uitleg: https://danielmiessler.co...oding_encryption_hashing/

Bor Coördinator Frontpage Admins / FP Powermod @Xantis • 29 oktober 2015 08:55

Dat zijn er jammer genoeg (en onbegrijpelijk) nog steeds aardig veel. Ik merk het af en toe bij het registreren op een website of bij het resetten van een wachtwoord. In beide gevallen krijg je soms het ingevoerde wachtwoord (gelukkig gebruik ik overal verschillende sterke wachtwoorden) terug per e-mail (ook nog eens plain tekst verzonden). Schandalig!

batjes @Bor • 29 oktober 2015 12:01

Ach meerdere internet providers hebben klanten wachtwoorden plaintext opgeslagen en deze zijn in te zien door klantenservice medewerkers

Verwijderd @Xantis • 28 oktober 2015 20:13

Het is echt niet te geloven dat er anno 2015 nog bedrijven zijn die plaintext wachtwoorden opslaan

Dat zijn bedrijfsgeheimen, dus dat gaan bedrijven niet aan de grote klok hangen uiteraard.

Xthemes.us 28 oktober 2015 19:02

Plaintext-wachtwoorden miljoenen accounts gratis hostingbedrijf liggen op straat

De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.

Tjah elke vorm van encryptie is beter dan geen encryptie, liever (en is dit ondertussen niet wettelijk verplicht?) doen ze hetzelfde als de rest van wereld en slaan ze geen wachtwoorden op maar enkel een hash.

JonasDG @Xthemes.us • 28 oktober 2015 22:58

Denk niet dat hier wetten over bestaan, eerder richtlijnen.
Het zou je verbazen hoeveel bedrijven dit nog doen trouwens, Coyote is de eerste die me te binnen schiet.

Verwijderd @JonasDG • 29 oktober 2015 08:53

Het CBP heeft hier guidelines voor opgesteld. Hoewel er 0,0 controle is zover ik weet en er alleen achter de feiten aan wordt gelopen (kortom, wanneer het misgaat of bij een tip) hebben ze wel de bevoegdheid om boetes uit te delen. http://www.nu.nl/internet...bij-privacyschending.html

In een notendop komt het erop neer dat je persoonsgegevens voldoende beveiligd dient op te slaan. Denk inderdaad aan gehashte wachtwoorden etc. Het staat wel lekker vaag omschreven overigens.

Edit: geld overigens voor Nedeland

[Reactie gewijzigd door Verwijderd op 24 juli 2024 17:09]

trogdor @Xthemes.us • 28 oktober 2015 22:51

en is dit ondertussen niet wettelijk verplicht?

Blijkbaar niet in Lithouwen.

[Reactie gewijzigd door trogdor op 24 juli 2024 17:09]

CAPSLOCK2000

Netwerk en systeembeheer

28 oktober 2015 22:06

Ik verbaas me dan weer over jullie verbazing

Websites die hun beveiliging niet op orde hebben zijn schering en inslag. Onveilige IT is eerder de regel dan de uitzondering. Dat gaat af en toe flink fout.
Het lijkt ons niks te kunnen schelen. Je zou misschien denken dat een fout als deze zo'n bedrijf de kop zou kosten maar dat zal niet gebeuren. Gratis is veel belangrijker dan veilig voor de meeste mensen.

CEx @CAPSLOCK2000 • 29 oktober 2015 16:21

Ach, dit zie je ook terugkomen in de fysieke wereld.
Zichtbare sleutels achter glas aan handige sleutelhaakjes, extra knip die niet gebruikt wordt want extra handeling.
Waardevolle spullen in het zicht, openstaande deuren achter bedrijfspanden, etc.

Denk je dat mensen er van leren als het wel misgaat? Nee ze zijn vooral heel erg slachtoffer.

thetrueman2 28 oktober 2015 19:01

Niet echt de verassing van de eeuw. Veel gegevens waren inderdaad via het beheerpaneel in te zien waarbij een X aantal tekens werd vervangen door sterretjes.

Wel een paar keer gebruikt voor schoolprojecten, maar zeer zeker geen goed idee om daar een 'echte' site te hosten.

Neemt echter de verantwoordelijkheid van de beheerders niet weg. Werkelijk van den zotte dat deze gegevens niet wettelijk beter beveiligd moeten worden.

Jeldert 28 oktober 2015 19:01

De hoster claimt de encryptie van wachtwoorden verbeterd te hebben.

Van niets naar iets kan je inderdaad zien als een verbetering. Welkom in 2015

fritek373 28 oktober 2015 19:07

Volledige artikel van de onderzoeker. Hieruit blijkt dat die gasten echt geen idee hadden waar ze mee bezig waren... Hij moest een half jaar wachten voordat er actie werd ondernomen; op mails,tweets en Facebook berichten werd ook niet gereageerd. De site is al vele jaren terug gemaakt door een aantal beginnende programmeurs. Al lijken ze de site wel te hebben onderhouden sinds dien...

[Reactie gewijzigd door fritek373 op 24 juli 2024 17:09]

trogdor @fritek373 • 28 oktober 2015 23:52

Gaat niet echt geweldig sinds de eigenaar vermoord is.

JelleDJs 28 oktober 2015 19:14

Ik dacht laat ik eens voor de gein checken of mijn mail ook daarbij hoorde, want ik heb die site volgens mij wel eens gebruikt en ja hoor... Mijn mail zit bij deze hack. Gelukkig deed ik er niks meer mee.

Inloggen en wachtwoord opvragen via forgot password werkt ook totaal niet.

[Reactie gewijzigd door JelleDJs op 24 juli 2024 17:09]

Dacuuu 28 oktober 2015 19:15

En ik sta er ook tussen, gelukkig gebruik ik hun hosting voor wat dump files en gebruik ik keepass om elke account een wachtwoord te geven.

Vanochtend al problemen met inloggen via ftp bij 000hosting. Weet nu dus de reden.

[Reactie gewijzigd door Dacuuu op 24 juli 2024 17:09]

Greyish 28 oktober 2015 19:19

Dat 000webhost plaintext wachtwoorden opslaat had ik al door . Laatst was m'n account non-actief gezet omdat er geen activiteit meer op was. Wanneer ik het weer activeerde kreeg ik netjes m'n ftp details te zien met het wachtwoord erbij... Ongelooflijk onprofessioneel eigenlijk. Ik ben benieuwd of mijn gegevens ook zijn gelekt - al waren de sites die ik daar hostte puur voor de test ofc...

XthinkZ 28 oktober 2015 19:40

Ik heb juist voor gratis/onbelangrijke accounts een juist heel makkelijk wachtwoord dat binnen no time te kraken is.

Puur omdat als het gehacked is, ik heel snel weet dat ik doelwit ben ergens en beter moet gaan letten op m'n belangrijkere accounts.

Dat zegt natuurlijk niks, maar als zulke accounts gehacked worden, dan hebben ze in ieder geval niks belangrijks.

Op dit item kan niet meer gereageerd worden.

Plaintext-wachtwoorden miljoenen accounts gratis hostingbedrijf liggen op straat

Lees meer

IT-banen

Reacties (114)

Sorteer op:

Weergave: