Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Submitter: Stroopwafels

Het forum van forumsoftwareontwikkelaar vBulletin is het afgelopen weekend gehackt. Volgens berichten op het web heeft de dader de gegevens van bijna een half miljoen gebruikers van het forum bemachtigd. Daaronder zouden e-mailadressen en geheime vragen en antwoorden zitten.

De vermeende dader, Coldzer0, zou een man genaamd Mohamed Osama zijn, een malware-analist in Dubai. Volgens informatiegaring van Databreaches.net en @Cyber_War_News heeft hij op meerdere manieren de verantwoordelijkheid voor de hack opgeëist, maar heeft hij zijn berichten daarna ook weer gewist. Zo zou hij een video op YouTube hebben gezet waarin hij de hack heeft vastgelegd en zou hij ook op Facebook met bewijs kenbaar hebben gemaakt dat hij achter de hack zit. Volgens een tweet van een beveiligingsdeskundige van Microsoft zou het gaan om bijna 500.000 accounts.

Forumbeheerder vBulletin zelf heeft nog niets losgelaten over de situatie. Op het moment van schrijven is de website offline maar laat het bedrijf niets los op Twitter. Eerder zou de forumindexpagina van vBulletin vervangen zijn door de text 'Hacked By Coldzer0', maar dat is nu in ieder geval niet meer zo.

Het vBulletin-forum draait op versie 5 van de software. Het is op dit moment niet duidelijk of dat betekent dat alle vBulletin 5-fora kwetsbaar zijn, maar dat is niet uitgesloten. Het is namelijk niet precies duidelijk hoe Osama toegang heeft gekregen tot de servers van vBulletin, maar uit zijn screenshots valt op te maken dat hij shell-toegang heeft weten te krijgen en vrij door de mappen van het systeem kon grasduinen. Voor gebruikers van het vBulletin-forum is het raadzaam om hun wachtwoord daar te veranderen en na te gaan of ze dezelfde combinatie van geheime vraag & antwoord elders gebruiken. In 2013 werd vBulletin ook slachtoffer van een hack.

Osama beweert tegenover @Cyber_War_News dat hij dezelfde hack heeft gepleegd bij de fora van Foxit Corporation. Daar zou hij de info van 260.000 accounts buitgemaakt hebben. Dat forum is echter nog online en er is verder geen bevestiging van een hack in dat geval.

Update, dinsdag 03-11, 12.15: vBulletin heeft beveiligingsupdates voor versies 5.1.4 tot en met 5.1.9 van vBulletin Connect aangekondigd.

vBulletin-hack november 2015vBulletin-hack november 2015vBulletin-hack november 2015vBulletin-hack november 2015vBulletin-hack november 2015

Moderatie-faq Wijzig weergave

Reacties (55)

Het wordt toch stilaan tijd dat ze het hele 'geheime vraag' gedoe ook eens achterwege laten. De wachtwoorden kunnen dan wel met de sterkste hashing algoritmes beveiligd zijn, maar dan heb je nog altijd de geheime vragen en antwoorden (die dan blijkbaar nog niet eens gehashed zijn). Deze zijn zo goed als altijd vragen in verband met de persoonlijke leefsfeer waardoor ze gemakkelijk te achterhalen zijn door een background check over de persoon in kwestie doen.

Mensen beginnen eindelijk iets slimmer te worden in het kiezen van hun wachtwoorden, maar nu worden ze nog steeds verplicht om dan toch maar de naam van hun huisdier of de tussennaam van hun vader te gebruiken in hun 'geheime vraag'. Ik vul hier persoonlijk altijd wat random gegenereerde data van 100 karakters in, aangezien ze mijn email toch hebben om mijn wachtwoord te resetten.

[Reactie gewijzigd door Eppux op 2 november 2015 20:03]

Niemand verplicht je om die vraag waarheidsgetrouw te beantwoorden. Ik heb een stel standaardantwoorden voor die vragen die nergens op trekken.
De gemiddelde Tweaker wel ja.. Maar Henk en Anita van een straat verderop vullen nog steeds de naam van hun huisdier in, en de toeval bestaat dat ze op Facebook ook een fotoalbum hebben met dezelfde naam...
En dat kan je Henk en Anita natuurlijk niet kwalijk nemen, want het hele concept van een geheime vraag is vanuit security perspectief gewoonweg absurd. Bovendien is het aan de beheerders en ontwikkelaars om een kloppend security beleid te voeren.

[Reactie gewijzigd door Alpha Bootis op 2 november 2015 20:52]

Ik weet nog wel dat ik vroeger eens probeerde mijn Paypal e-mail adres te wijzigen omdat ik wou overstappen naar een nieuwe e-mail... wat bleek? Daarvoor was inloggen met mijn wachtwoord blijkbaar neit genoeg.. ik moest antwoord geven op mijn geheime vraag (welke als volgt luidde: "Wegfajdefgkiosntgiujtbrklsdgf" en waarvan ik wist dat er een soortgelijk antwoord moest volgen :+ )

Ik was hier toen echt enorm pissig om geworden...


(inmiddels kun je bij Paypal trouwens gewoon je e-mail wijzigen zonder dat ze je verplichten antwoord te geven op een 'geheime' vraag.. thank god)

[Reactie gewijzigd door Ayporos op 2 november 2015 21:12]

Henk en Ingrid*, anita kennen we niet.
Andere generatie denk ik dan... Hoewel Anita natuurlijk meestal samen met Sjonnie te vinden was, niet met Henk.
Wat je niets gaat helpen als ze vraag EN antwoord bemachtigen

Ik heb dan ook een hekel aan sites die je verplichten van die functionaliteit gebruik te maken.

Ik heb mijn wachtwoorden in een backup in de kluis liggen. Ik kan ze niet vergeten, dus heb die functie ook niet nodig.

[Reactie gewijzigd door Omega Supreme op 2 november 2015 20:46]

Maar dan kan je alleen maar gebruiken voor accounts van mensen die je kent. Voor grote hoeveelheden data is het een goede bescherming.
je hebt maar één login op een server nodig om hem leeg te trekken hoor :+
In principe weinig mis mee, alleen bieden te weinig toko's aan om zelf je vraag te kiezen.
Standaard vragen als "wie is je moeder" of "Hoe oud is je vader" zijn dingen die nog wel eens via het internet, of social engineering, terug gezocht kunnen worden.

Maar als je een random vraag verzint die niemand, ook naasten, niet zomaar kunnen beantwoorden; dan is zo'n ding best veilig. Zolang ie encrypted wordt opgeslagen, ja. Wel klote dat het dan al snel case-sensitive is, maar daar zijn wat trucjes voor uiteraard.
Even het antwoord omzetten naar lowercase voordat je het encrypt (natuurlijk met een site-eigen+gebruiker gebaseerde salt) en je hebt geen case-sensitiveit meer.
De vraag zou je dan niet eens hoeve te encrypten, maar zou je natuurlijk wel kunnen doen, dan natuurlijk met behoud van case.
De vraag moet je ook encrypten, omdat je anders het antwoord kan gaan zoeken via bijvoorbeeld facebook.
Och ja, ik zat nog helemaal met de 'neppe vraag, nep antwoord' strategie in mijn hoofd.
Ik heb dat ook gedaan bij Yahoo, maar die hebben nu mijn account geblokkeerd nadat ik vanaf een onbekende PC probeerde in te loggen (lees: ik heb een nieuw IP adres) en weigeren mijn account te heractiveren tenzij ik de "random bang on keyboard" kan reproduceren. Bovendien weigeren ze mijn account op te heffen...
Persoonlijk vind ik het wel erg zwak hoe vBulletin hierop reageert. Niets terug te vinden op Twitter, en op hun eigen site zie ik 3 relevante berichten:
Appears to have been a server issue. It is being looked into. Closing this because we don't discuss potential vulnerabilities in public.
bron
We take your security and privacy very seriously. Very recently, our security team discovered a sophisticated attack on our network. Our investigation indicates that the attacker may have accessed customer IDs and encrypted passwords on our systems. We have taken the precaution of resetting your account password.
[...]
bron
A security issue has been reported to us that affects the versions of vBulletin listed here: 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8 and 5.1.9 We have released security patches to account for this issue. It is recommended that all users update as soon as possible.
[...]
bron
Uit het eerste en tweede bericht zou ik afleiden dat het een lokaal probleem is, maar uit het derde bericht zou ik toch afleiden dat er een structureel issue is in de software. In beide gevallen vind ik dat je sowieso je gebruikers actief op de hoogte moet stellen van de risico's en dus bijvoorbeeld een mailing uit sturen met mogelijke implicaties. Als vBulletin inderdaad nog steeds gebruik maakt van md5 dan is het een fluitje van een cent om de wachtwoorden te achterhalen. Voor degenen die hun wachtwoorden op meerdere sites gebruiken (natuurlijk zeer onhandig maar wel realiteit) is dat een serieus issue.

Ik heb geen vBulletin account en kan de patches dus niet downloaden (voor downloadlink zie bron van derde bericht) maar ik ben daar wel benieuwd naar eigenlijk.

[Reactie gewijzigd door Ger op 3 november 2015 15:17]

Ik denk dat ze het vooral proberen te verbergen dat ze gehackt zijn om nog niet meer verlies te leiden... De meeste admins vinden versie 5 maar niets en stappen over op andere, zoals Burning Board en xenforo...
Het is tegen de licentie om deze visible source te delen met derden, anders had ik het zonder problemen gedaan. Misschien dat ik morgen even naar een .diff kijk, wellicht een oplossing.
Exploit wordt op dit moment verkocht op 0day . today (een bekende exploit site). Nochtans is dit een bug die al 3 jaar in Vbulletin zat. Op twitter zijn enkele dev's die dit hadden gereported, maar nooit echt goede feedback hebben gekregen.
twitter: https://twitter.com/_cutz/status/661687637552603137
Exploit zelf:
http://pastie.org/pastes/...key=wq1hgkcj4afb9ipqzllsq
ligt het nou aan mij of besteden veel bedrijven veel te weinig tijd en geld aan beveiliging, zo moeilijk is het niet om een extern bedrijf in te huren die uitvoerig de beveiliging test van product x. Voor grote bedrijven die met veel userdata werken zou dit eigenlijk verplicht moeten zijn...

[Reactie gewijzigd door redryder op 2 november 2015 21:20]

Wie zegt dat dit een issue is met de beveiliging van vBulletin? Het kan legio oorzaken hebben, waaronder iemand met een onveilig ww. Of een veilig ww ergens onveilig opgeslagen. Een werkgever kan een hoop doen, maar erg weinig met de wachtwoorden van zelfs admins... Worden ze ergens anders gebruikt en waar wordt het ww opgeschreven?

Misschien een OS of een ander stukje software wat niet wordt ontwikkeld door de mensen die achter vBulletin zitten...

Het kan natuurlijk prima dat vBulletin zo lek is als een mandje, maar gebruikers zijn nog altijd makkelijker te 'hacken' dan de software, zelfs admins...
Wie zegt dat dit een issue is met de beveiliging van vBulletin? Het kan legio oorzaken hebben, waaronder iemand met een onveilig ww. Of een veilig ww ergens onveilig opgeslagen. Een werkgever kan een hoop doen, maar erg weinig met de wachtwoorden van zelfs admins... Worden ze ergens anders gebruikt en waar wordt het ww opgeschreven?
Dan is de veiligheid dus niet op orde. Veiligheid is niet alleen iets technisch, maar een hele mindset binnen een bedrijf. Veiligheid begint bij het bewust maken van het personeel.

Bij mij op het werk is er een jaarlijkse security cursus die voor iedere werknemer verplicht is. Sommige onderwerp zijn zo ontzettend voor de hand liggend, maar het blijkt toch nodig te zijn om dat keer op keer onder de aandacht van de mensen te brengen.
But you can't cure idiots. Serieus niet.
Je kan als bedrijf enorm je best doen, maar dat betekend niet dat het een garantie bied: er hoeft er maar één te zijn die lui is en/of het niet zo nauw neemt met de regeltjes of die hele cursus gewoon klinkklare onzin vindt (maar dat niet laat merken): en je loopt al een risico.
Hoe groter het bedrijf: hoe meer je er van dat soort types tussen hebt zitten. Of ondanks de cursus alsnog denken "ach, wanneer gebeurt dat nou? Risico is nihil!"; en tjakka.

Dan kan de hele mindset over het algemeen prima zijn, het bedrijf kan zijn uiterste best doen om iedereen bij te scholen en ook (random) te monitoren; ja zelfs zware sancties stellen als blijkt dat je je niet goed bezig houdt met veiligheid: maar het probleem... Dat blijft schokkend vaak toch aanwezig...
Helemaal mee eens... de mannier van opeisen is gewoon een ego actie of misschien is het wel gewoon sabotage.

We kunnen nooit helemaal veilig zijn... dat moeten we ons realizeren. :)
Dat niet alleen, het kan ook op een andere manier de server binnen zijn gekomen dan via de gebruikers. Kan ook andere malafide code zijn of iets in de Apache beveiliging?
Ik hoop het niet, want er zijn zat forums die hun software gebruiken.
Veel bedrijven die een WAF of firewall solution kopen, deze gewoon met default settings in hun netwerk knallen en er daarna niets meer mee doen. Ze voelen zich dan veilig want "als iets veel geld kost zal het wel veilig zijn". Een iet of wat goede pentester kan zijn payload zodanig goed encoden dat hij door deze firewalls geraakt (zelfs als je een simpele sql injectie base64 encod'ed geraak je al op veel plaatsen door een WAF). Goh aan wat ligt dit? Geld alleszins niet, want zo een firewall bak aankopen kost veel geld. Tijd? Je moet constant dingen monitoren en updaten. Iets wat veel managers niet snappen (het kost tijd+het brengt niks op voor de gebruiker=> onnodig). Het ligt dus aan verschillende dingen: aanpak van het security beleid, ingesteldheid werknemers,...

[Reactie gewijzigd door lampstoelkast op 2 november 2015 19:41]

Een WAF is de eerste laag, daaronder moeten nog gateways op de proces en servicelaag worden aangebracht voordat je bij de ruwe data terecht komt. Alle voorzien van slimme preventie en detectie mechanismen.. Maar VBulletin is geen Verzekeringsbank
het eerste bedrijf dat een firewall met default settings in productie zet moet ik nog tegen komen. misschien kmo's waar de boekhouder ook wat van it weet, maar da's dan omdat ze niet beter wéten.
Wat heeft de Wife Acceptance Factor hier nu weer mee te maken :+

(p.s. ja, ik weet echt wel wat die andere WAF is)
In mijn brede ervaring als 'media technologie' student (websites maken) is dat nog veel ingewikkelder. In mijn klas van 30 man waren er naar mijn idee zo'n beetje 10 zich bewust van wat ze aan het doen waren en dat als je een SQL injectie op een productieserver heb dat wel degelijk een groter probleem dan een laag cijfer is.

Los daarvan is het ook gewoon duur om heel veel goed opgeleide mensen en een review team te hebben. Voor kleinere bedrijven is het natuurlijk al helemaal snel te laat.
Tja, gewoon een ZZP'er inhuren om je systemen en security te inventariseren en advies te geven, implementeren en bijhouden (SLA).

Maar we hebben het hier over vBulletin, niet een klein MKB met <50 man.

[Reactie gewijzigd door Ayporos op 2 november 2015 21:09]

Denk je dat vBulletin meer dan 50 man heeft rondlopen? Dergelijke software wordt vaak door een man of 10 ontwikkeld, getest en ondersteund. vBulletin geeft zelf aan: tussen de 11 en 50 mensen. https://www.linkedin.com/company/vbulletin-solutions-inc.
Doet niets af aan het feit dat ze al vele jaren rondlopen en ook over de veiligheid van hun software opscheppen
Precies. Okee het is geen 50+ mensen maar hun hele -PRODUCT- is wel 'professionele' forum software, en daar valt natuurlijk veiligheid van deze software ook onder.

Een MKB dat een service of w/e verleent en dit (ook) aanbied via hun website waar je een account kunt aanmaken etc. is natuurlijk iets anders, daar is de website een facilitaire dienst voor het product... in het geval van vBulletin is het het core product zelf. ;)
Op mijn eigen website worden ook gebruikersgegevens opgeslagen, maar geen betalingsgegevens. Webwinkels zouden naar mijn mening bijvoorbeeld nooit creditcard gegevens op hun server mogen bewaren, tenzij ze aan de allerhoogste eisen kunnen voldoen. Alles kan tenslotte ook afgehandeld worden door een betalingsprovider.

Wat betreft andere gebruikersgegevens, alleen bedrijven als Facebook en Google zijn blijkbaar veilig voor hackers, maar deze beschikken over de middelen (veel geld) om de beste programmeurs in te huren en alles goed te testen. Het is toch niet realistisch om te denken dat alle bedrijven hier vele miljoenen in kunnen steken? Wat je natuurlijk wel mag verwachten is dat bedrijven de gegevens niet zomaar in plain tekst opslaan.
en de tweegenoemde bedrijven (en nog enkele grote), hebben genoeg geld, om premies uit te keren aan mensen die beveiligingsgaten ontdekken en hebben er ook een uitgekiend systeem voor. Het lijkt niet veel, maar blijkbaar helpt het wel deels :-)
wie weet is men in de beleving dat het goed is; zo heeft men laten vertellen door een 3th party ...
Het is maar de vraag hoeveel tijd en geld je wil steken in beveiliging. Waterdicht bestaat niet en zelfs als je zwaar investeert in beveiliging heb je geen garantie.

Het is niet zo simpel als alle gaten dichttimmeren, elk gat dat je dichtgetimmerd levert er misschien weer en op, er is geen enkel software pakket óf persoon die je kan wijzen op álle mogelijke lekken.

Het is natuurlijk de vraag hoe moeilijk het was om binnen te komen.
Aan de andere kant is het ook wel weer apart om te zien dat ze toch vrij veel dingen op dezelfde server hadden staan. Gebruikersnamen + wachtwoordherstel op dezelfde server hebben staan, is eigenlijk bijna net zo dom als gebruikersnamen + plain text wachtwoorden op dezelfde server hebben. Al moet je dan nog wel inbreken op de mail voor je erin kunt, maar nu kun je de herstel proberen op de mailadressen.

[Reactie gewijzigd door Martinspire op 2 november 2015 23:21]

Je geeft eigenlijk zelf al het antwoord. Inderdaad besteed men er te weinig tijd en geld aan.

Enigzins begrijpelijk soms. Ik kom uit de grote enterprise wereld, waar multinationals vaak meer dan 10.000 software pakketten in totaal hebben. Een security audit van een enkele applicatie kan al veel geld kosten.

En dat is stap 1. Want als er iets uit die audit komt, dan gaat de teller pas echt lopen. En dat is dan 1 pakket.
Ik denk dat de beveiliging boven gemiddeld op orde is van vbulletin, immers ze verkopen een script die "veilig dient te zijn". Alleen zijn er altijd slimmere mensen. Of mogelijk is het via een medewerker gegaan die wachtwoorden onbedoeld gelekt heeft. Ik heb vandaag al eerder geschreven, we moeten van wachtwoorden af....
VBulletin bestaat al zo lang, ik stel mij zomaar voor dat veel gebruikers daar een prehistorisch, inmiddels tot ' Root ' verheven password hebben gebruikt. Ik gebruik ook nogsteeds millenium-era wachtwoorden als adminwachtwoord 8)7
Bij mij degraderen wachtwoorden altijd afhankelijk van hun leeftijd ;) nog steeds niet goed te praten maar in ieder geval beter.
De drie grootste vBulletin websites:
Black Hat World SEO Forum
Ubuntu Forums
Windows Seven Forums
En zo verder, als je daar ergens een account hebt is een wachtwoordwijziging misschien wel slim.
http://thebiggestforums.c...method=worldrank&start=1/
Er zijn wel grotere vBulletin forums dan dat:Die website (die overigens draait op een aangepast script uit 2009) heeft gewoon een aantal forums toegevoegd.

[Reactie gewijzigd door Zidane007nl op 3 november 2015 07:48]

Ben altijd wel erg benieuwd hoe ze die shells erop krijgen.. Is dat via onveilige PHP functies, fouten in het upload systeem o.i.d.? Ook wel bijzonder slecht hoe die beveiligingsvragen zijn opgeslagen. :/
En wie zegt dat de pentesters alle gaten weten te vinden? Misschien laten ze het ieder jaar wel controleren maar vinden deze partijen ook niets.
Security is geen 1, 2 , 3tje.
Je zou toch denken dat het gigantisch beveiligd zou zijn na de niet zo lang geleden laatste keer: nieuws: Hackers stelen inlogdata op servers van vBulletin Software
https://theadminzone.com/...6961/page-15#post-1017847
"they used an SQLi and gained shell this is now confirmed from a vietnamese news site."

Meer op de link, gezien ik niet weet of het gepast is een wall of text te gebruiken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True