Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Donderdag werd bekend dat een onderdeel van hobbysite HCC slachtoffer is geworden van datadiefstal. Naar schatting van HCC zijn 300 leden getroffen. Tweakers heeft echter vernomen dat het aantal getroffen leden rond de tienduizend ligt.

In een mededeling op de HCC-site, die inmiddels offline is, werden de leden op de hoogte gesteld van het voorval. Later gebeurde dit ook via e-mail. HCC-woordvoerder Bert Janssen laat Tweakers weten dat alleen namen en e-mailadressen van gebruikers van de seniorenacademie zijn buitgemaakt. Van een beperkte groep contentbeheerders zijn echter ook gehashte wachtwoorden in handen van derden gekomen.

Driehonderd leden hebben een e-mail van de hacker ontvangen, HCC gaat er daarom vanuit dat dit ook het aantal ontvreemde namen en e-mailadressen omvat. Het is onduidelijk wat de inhoud van deze e-mail is of op welke wijze de hack precies heeft plaatsgevonden. Janssen bevestigt dat de hacker onder de naam 'de mentor' contact heeft gezocht met HCC.

Tweakers beschikt over een claim van een anonieme bron dat van 300 leden niet alleen namen en e-mailadressen zouden zijn buitgemaakt, maar ook wachtwoorden. Daarnaast zouden er nog eens tienduizend leden zijn waarvan in ieder geval namen en e-mailadressen zijn gelekt, zo luidt de claim. Janssen stelt dat dit niet overeenkomt met de bevindingen van HCC en dat het daarbij om speculatie gaat. Volgens de bron zouden onderdelen van de site op verouderde versies van het contentmanagementsysteem Joomla draaien. Bovendien zou er gebruikgemaakt worden van plugins die als onveilig bekendstaan.

HCC bestaat uit verschillende groeperingen met een eigen bestuur, waaronder ook de seniorenacademie. Er is een hoofdbestuur dat de gehele organisatie aanstuurt. Vanuit het hoofdbestuur staan 'op korte termijn' bijeenkomsten gepland met het bestuur van de seniorenacademie.

hcc-hack

Moderatie-faq Wijzig weergave

Reacties (33)

offtopic:
De beveiliging was incontinent :+
. Maar goed het is best goed dat ze hier mee uit (durven) komen. Daar kan menig bedrijf een voorbeeld aan nemen
Weet niet of het een kwestie is van durven. 300 mensen hebben namelijk een mail gehad van de hacker, volgens het artikel. Ze waren er dus toch wel achter gekomen.
Dan ben je als organisatie eigenlijk wel gedwongen wel een bericht naar buiten te brengen.

Overigens, vanaf 1 januari 2016 gaat de meldplicht datalekken in. Dan ben je wettelijk verplicht om mensen te informeren wanneer het fout is gegaan (hoewel je natuurlijk altijd kan kiezen voor de boete van 810.000 euro of 10% van je wereldwijde omzet, welke hoger uitvalt).
Ik vind het nog altijd het veiligst om een wachtwoord manager te gebruiken, en de "generate password" functie te gebruiken voor elke site waarop je je registreerd, dan hebben hacks zoals deze geen invloed. :)

[Reactie gewijzigd door ZehDoctoR op 13 november 2015 14:25]

De vraag is natuurlijk: is de wachtwoordmanager te vertrouwen? Zijn je wachtwoorden veilig als iemand je computer (lees: harde schijf) steelt?
Dan genereer je de volgende dag voor al die websites nieuwe, probleem opgelost.
Oh? Hoe ga je dat aanpakken als al de oude wachtwoorden op de gestolen schijf staan?
Het bestand staat gewoon in de cloud ... (encrypted) onder een niest zeggende naam...

En indien dat niet het geval is, password reset via je email adres / telefoon nummer. Er zijn genoeg mogelijkheden.

Vergeet niet wanneer de dief mijn schijf heeft kunnen stelen, hij nog niet het bestand heeft kunnen decrypten. Laat staan dat hij de disk encryption al heeft weten te omzeilen.

Het geval bestaat er hem in wanneer iemand het bestand weet te bemachtigen, zonder dat ik dit weet, dan heeft hij alle tijd om het te kraken.

Maar jah, wie gaat daar nu moeite insteken als er al makkelijkere prooien ....

Enfin: volledig offtopic hier ...

[Reactie gewijzigd door seth007 op 13 november 2015 16:06]

U maakt nooit backups? Ik weet het, weer een extra beveiligingsrisico, maar voorkomt wel veel prolemen in geval van diefstal/schade.
Waarom zou iemand in godsnaam in mijn huis inbreken en dan alleen mijn harde schijf stelen in de hoop dat ze passworden vinden van mijn paypal account om vervolgens minimale bedragen te stelen? Zo een dief/hacker zou ik gaan opzoeken in de gevangenis om hem gratis een les in economie te geven.
Ik bedoelde eigenlijk het feit dat een crimineel jouw computer jat en dan op genoemde computer een wachtwoordenmanager vind. Als jij al jouw wachtwoorden van al jouw diensten heeft kan die crimineel flink wat schade aanrichten...
In het algemeen zijn password managers versleuteld ;)
Zonder het masterpassword kan je niks.
Ik vind het persoonlijk pas naar dat je extreem veel moeite moet doen om weer in je accounts te komen omdat je password database gestolen is. Sommige sites zoals bankzaken kunnen prima om foto's van je ID vragen waardoor je al snel een of twee dagen compleet 'off the grid' bent.

Het liefste werk ik gewoon nog met een set lange zinnen of woorden die mij aanspreken als wachtwoord, deel deze dan in afhankelijk van hoe belangrijk iets is. Zin 1 bijvoorbeeld voor veel sites die niet van belang zijn, zin 2 voor een paar forums waar ik soms inlog, woordenset 3 of 4 voor belangrijke sites en zin 5 voor bankzaken.

Wat wel handig is om bij te houden welke je waarvoor gebruikt, dan weet je direct welke zinnen niet meer veilig zijn en welke je moet vervangen.

EDIT: Oh, natuurlijk wel soms even een hoofdletter en of leesteken plaatsen in een zin. Anders is hij niet zo moeilijk te raden met een bruteforce tool in combinatie met een wordlist

[Reactie gewijzigd door smiba op 13 november 2015 15:22]

Zeker hier naar gekeken? :)
https://xkcd.com/936/

p.s. Het klopt ook nog eens.
De gene die ik gebruik ( 1Password ) versleutelt de wachtwoorden wel goed, alleen heeft een file met een lijst van websites die opgeslagen zijn ( boeit mij persoonlijk niets maar is misschien wel een minpuntje ).
Danku, ik zal daar wel even een kijkje nemen.
Hoe zit t met Android?
Kijk voor referentie:
http://myers.io/2015/10/22/1password-leaks-your-data/

Heb de Android app nog niet gebruikt i.v.b. een bug met dropbox
En wat hebben ze dan van je? Ik gebruik voor random sites nooit de wachtwoorden die ik voor paypal/digid zou gebruiken. Ook mijn mail adressen heb ik een hele stapel voor nonsens sites.

Maar uiteraard zullen er in die 10.000 genoeg tussen zitten die dat wel hebben.
Het is wel erg makkelijk om nu grappen over de associatie met lekken en senioren te gaan maken :+
HCC, ik wist niet dat het nog bestond. Er was een tijd dat door hen de Jaarbeurshallen werden afgehuurd en mensen daar dik in de rij stonden.
Nu zijn ze niet eens meer in staat om hun CMS te patchen blijkbaar.
De laatste dBase patches waren blijkbaar niet geïnstalleerd :o
Het is wel erg makkelijk om nu grappen over de associatie met lekken en senioren te gaan maken
Tsja, een mailtje van iemand die De Mentor heet. Dementor. Ik vind het moeilijk hoor...
Mochten er wachtwoorden bemachtigd zijn, dan zijn deze versleuteld en zodoende niet bruikbaar voor de hacker zonder geavanceerde decoderings-mogelijkheden.
In de aanname dat de versleuteling bestaat uit een hash functie: is er salt toegepast? Dat bepaalt namelijk hoe 'geavanceerd' de 'decoderings-mogelijkheden' van 'de hacker' moeten zijn om achter de wachtwoorden te komen.

[Reactie gewijzigd door The Zep Man op 13 november 2015 15:14]

Driehonderd leden hebben een e-mail van de hacker ontvangen, HCC gaat er daarom vanuit dat dit ook het aantal ontvreemde namen en e-mailadressen omvat.

Dat is wel een erg kort door bocht redenatie, 300 mensen hebben een mail van de hacker ontvangen dus dat zal wel alles zijn.
dat is hetzelfde als zeggen, er zijn maar 2 lijken gevonden in de kelder van der seriemoordenaar dus voor de rest niets aan de hand, pure speculatie.
De HCC was ooit de grootste vereniging van Nederland.
Vele van die hobbyisten hebben hun weg gevonden binnen de digitale wereld.

Ik ben ooit lid geweest en weet nog dat Computer Totaal! werd geleverd met het clubblad (of andersom). In den beginnen stond het zelfs in Computer Totaal.

Wist niet eens dat deze vereniging nog bestond, maar schijnbaar wel.

[Reactie gewijzigd door jqv op 13 november 2015 17:37]

Dat die club nog bestaat. Het is in ieder geval bepaald niet meer wat het geweest is, als ze hun website om Joomla draaien.
wat is er precies mis met je site op joomla draaien? moet elke club met technische achtergrond zijn eigen website/cms bouwen? lijkt me niet..

ze zijn ook echt niet de enige:
http://community.joomla.org/labels/joomla-portfolio.html
Helemaal niets! Wel is het zo dat CMS-systemen zoals Joomla erg vaak gekozen worden door clubs die onder hun leden weinig kennis van websitebeheer hebben. Dus kiezen ze voor een concept waar eigenlijk iedereen mee uit de voeten kan. Van professionals verwacht je eigenlijk een andere opzet. Toch kiezen voor Joomla of een vergelijkbare kan dan twee oorzaken hebben:
1. Gebrek aan tijd.
2. Gebrek aan redactieleden die alles voldoende in hun vingers hebben.

Geen idee hoe alles momenteel reilt en zeilt daar bij HCC. Ooit had de club wel terdege bestaansrecht. In een tijd toen de ontwikkeling van hobby-computers begon bijvoorbeeld. Maar onvermijdelijk kwam er geleidelijk een verzadigingspunt. Bestaande leden kregen steeds meer kennis en ervaring en nieuwe potentiele leden hadden die kennis allang via andere leden opgedaan. Zelf ben ik maar een beperkt aantal jaren lid geweest, voornamelijk door het toen automatische abonnement van Computer Totaal. Ik haakte af doordat dit blad in toenemende mate steeds minder iets nieuws te vertellen had.

Door zo'n artikel als dit ben wel een beetje wel een beetje nieuwsgierig geworden. Zijn de leden die er nu nog zijn hoofdzakelijk senioren die zijn blijven hangen, of kwam er gedurende de afgelopen jaren toch nog wel jonge aanwas van betekenis die met hun kennis ook bijdroegen aan de club?
Waarom verwacht je van "professionals" (hier ook niet van toepassing overigens) een andere opzet? Ik zou hooguit verwachten van iedereen (amateurs en professionals) dat ze hun site up to date houden (maar dat is hier niet het punt, dit stukje discussie gaat over de keuze van joomla).

Er is niks mis of onprofessioneel aan kant en klare oplossingen zoals joomla of wordpress. Sterker nog, als je denkt het zelf beter te kunnen moet je van goede huizen komen!

[Reactie gewijzigd door Prulleman op 13 november 2015 16:15]

wat is er precies mis met je site op joomla draaien?
Op zich niets, behalve (uit het nieuwsartikel):
Volgens de bron zouden onderdelen van de site op verouderde versies van het contentmanagementsysteem Joomla draaien. Bovendien zou er gebruikgemaakt worden van plugins die als onveilig bekendstaan.
Nee, je hoeft niet je eigen site/CMS bouwen, maar je moet wel je infrastructuur actueel en veilig houden.
Ze zijn zo te zien zelfs nog erg actief:
https://www.hcc.nl/vereniging/agenda
HCC is volgens mij nog steeds de grootste computerclub ter wereld. Zelf actief binnen http://apple.hcc.nl met o.a. www.tiplijsten.nl waarmee we elke maand meer dan 8000 iPhone, iPad en Mac tiplijsten versturen.
De beveiliging was ook op hobbyniveau? :+
Van alle 100 vereniging is er maar één of twee die de beveiliging en updates goed op orde heeft.

Het zou veel beter zijn als hosters niet meer aan particuleren webruimte zouden verhuren, maar alleen de front-end van een CMS die de hosters zelf up-to-date houden.
Niet alle particuliere hosting is perse van een vereniging (als het al zo is dat maar 2 van de 100 verenigingen hun CMS updates bijhouden). Er zijn legio particuliere sites die gewoon gemaakt worden in platte html (al dan niet mbv een 'mooi pakket') waarbij dit in zn geheel niet speelt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True