Lek bij Nexus Mods betreft een database-dump uit 2013

Nexus Mods-beheerder Dark0ne heeft laten weten dat er inderdaad zoals vermoed een database-dump van de website is gemaakt, maar dat het gaat om een dump van 22 juli 2013 waarin 4,2 miljoen gebruikersnamen, e-mailadressen en hashed & salted wachtwoorden zitten.

Dark0ne vertelt op de Nexus Mods-nieuwspagina dat hij het relatief waarschijnlijk acht dat de hacker inmiddels geen toegang meer heeft tot de database van de site. Zijn redenering daarvoor is dat de hacker anders wel een veel recentere versie van de database gepubliceerd zou hebben. Bovendien is de beveiliging sindsdien aanzienlijk verbeterd, vertelt hij verder. Wie op of voor 22 juli 2013 een Nexus Mods-account heeft aangemaakt en dus bij de eerste 4,2 miljoen gebruikers zit, doet er goed aan om zijn of haar wachtwoord te veranderen als ze dat sindsdien nog niet hebben gedaan.

Hoewel een geforceerde reset van alle wachtwoorden bij Nexus Mods een mogelijkheid is, aarzelt Dark0ne om dat te doen. Volgens hem zitten er namelijk veel gebruikers bij de site die geen toegang meer hebben tot het e-mailadres dat ze in hun profiel hebben staan; een algehele reset van de wachtwoorden zou ze dan hun account kosten.

Om de beveiliging aan te scherpen belooft de beheerder om onder andere de account security niet meer via het forum te laten lopen, maar via de site zelf. Dat schept de mogelijkheid om de encryptie van de gegevens op de server verder op te voeren. Ook aan tweetrapsauthenticatie wordt gewerkt. Daarnaast wil hij een uitgebreider loggingsysteem implementeren om het doen en laten van gebruikers inzichtelijker te maken en zo gemakkelijker verdachte activiteit op te sporen. Tot slot worden binnenkort full-page notifications op de website ingevoerd om gebruikers gemakkelijker van dit soort situaties op de hoogte te stellen. Binnenkort toont de site een testnotificatie die meteen gepaard gaat met het advies aan iedereen om zijn wachtwoord te veranderen. "Het idee is dat we in het ergste geval een hacker opzadelen met een lading data die een nachtmerrie is om te kraken."

De verdachte .dll-bestanden waar hij op 7 december over sprak, waren inderdaad door de hacker geüpload naar de site. Het bleek dat de drie modmakers bij wier mods het bestand toegevoegd was, zeer zwakke wachtwoorden gebruikten die 'binnen enkele seconden door een cracker achterhaald kunnen worden', ondanks het feit dat de wachtwoorden versleuteld in de database zitten. De mods in kwestie zijn 'BetterBuild', 'Rename Dogmeat' en 'Higher Settlement Budget'. Gebruikers van deze mods doen er goed aan om te controleren of het verdachte bestand, dsound.dll, op hun computer staat. Het Hewlett-Packard Enterprise Security Research Team heeft Dark0ne bijgestaan bij het grip krijgen op de situatie en zij hebben inmidels het verdachte bestand in handen.

Nexus Mods is een website die een grote hoeveelheid modificaties voor games als The Elder Scrolls V: Skyrim en de Fallout-games host. Daarnaast heeft het team de Nexus Mod Manager ontwikkeld, die het installeren van mods aanzienlijk toegankelijker en simpeler maakt. De site heeft onlangs de mijlpaal van tien miljoen gebruikers bereikt.

Door Mark Hendrikman

Redacteur

08-12-2015 • 13:34

15

Submitter: Yamotek

Reacties (15)

15
15
12
0
0
0
Wijzig sortering
Ik vind het klasse zoals dit is opgepakt door NM. Een voorbeeld voor anderen.
Anoniem: 146875 @Oyxl8 december 2015 15:06
Toch is de site niet bepaald het schoolvoorbeeld voor goede security. Als je het wachtwoord verandert en er te veel moeilijke tekens in stopt, bijvoorbeeld een backslash, quote, etc. dan kun je soms niet meer inloggen omdat de site deze tekens niet juist kan hashen. Ik heb mijn twijfels over de gebruikte hashing en salting methodes.

Al heb ik dat ook bij de ING, daar kun je ook maar beperkt veilige wachtwoorden gebruiken... niet te veel vreemde tekens
Dan heb jij een verkeerd beeld van een veilig wachtwoord. Complexiteit (in jouw optiek) door speciale karakters te gebruiken doet onder tegenover een langer wachtwoord. Maak het jezelf daarom niet te lastig, en verzin een leuk riedeltje en plak dat achter elkaar als wachtwoord.
Hashed & Salted is dat wel te kraken?
Ja hoor. Kwestie van tijd/rekenkracht. Als je geïnteresseerd bent: Coding Horror over Speed Hasing
De salt voorkomt alleen maar de rainbow tables. Wat op zich prima is, want dat zorgt er dus voor dat je als hacker/kraker rekenkracht moet inschakelen om de password+salt te achterhalen.
Echter: als je toegang hebt tot de server en de database, dan weet je vrijwel gegarandeerd ook wat de salt is. Die salt voeg je aan je programma toe wat de boel kraakt en dan kom je dus alsnog uit op een wachtwoord van bijvoorbeeld 6 tekens wat binnen een paar tellen te kraken is.

Nexus Mods maakt ook gebruik van IPB, en IPB gebruikt nog steeds het zeer zwakke MD5 voor de wachtwoorden. Dat wordt al zo'n 10 jaar afgeraden, want zoals je in het artikel van Coding Horror kunt lezen is MD5 ontworpen voor snelheid: iets wat je nu juist niet wil als het om wachtwoorden gaat.
Daar gaat het niet om. Als een website je niet toestaat om ', ", \, ) of andere te gebruiken, dan proberen ze waarschijnlijk SQL injection tegen te gaan. Maar voor een hashing function maakt die quote helemaal niet uit, dus waarom zou je bepaalde karakters moeten verbieden? Ofwel doen ze dus iets met je wachtwoord wat ze helemaal niet moeten doen, ofwel zijn ze niet erg competent en begrijpen ze hashing functions niet.
In ieder geval, veel vertrouwen geeft het mij ook niet als ik dit tegenkom bij een website. Anno 2015 is er geen excuus meer voor dat soort gepruts.
Ten eerste begrijp je me verkeerd. Ik heb het over de manier waarop gereageerd is op de feiten die hebben plaatsgevonden. Zoals het een goed ITer betaamt (even zijn kunde daargelaten), wordt er iets geconstateerd, erkend! (belangrijk) en adequaat uitgezocht.

Geen loze uitspraken, geen paniek, geen verwarring, alles open en duidelijk.

Dat is bijzonder lovenswaardig.

Ten tweede, zoals Trix0r al aangeeft, ligt het veilige aan wachtwoorden niet slechts aan het gebruik van vreemde tekens. Een combinatie van een lang wachtwoord met daarin meerdere vreemde tekens is bijv. veel veiliger dan een kort wachtwoord slechts bestaand uit vreemde tekens. Het is natuurlijk wel zo, dat een lang wachtwoord dat bestaat uit alleen vreemde tekens, veiliger is dan een even lang wachtwoord zonder vreemde tekens. De vraag is dan, kun je het zonder hulpmiddelen onthouden.
Wat kan een kwaadwillige eigenlijk met een gehackte MMN account doen? Buiten al die gehackte accounts gebruiken om een of andere virus-mod te liken zodat andere niet gehackte mensen die downloaden omdat ze denken dat die goed is, kan ik niet veel bedenken.
ze kunnen bestanden toevoegen aan de mods van de accounts die gehackt zijn, omdat de speler deze mod download om ermee te spelen kan je er zeker van zijn de deze bestanden uitgevoerd gaan worden, een makkelijker manier om een virus op een computer te zetten.
Als auteur van twee relatief grote mods ben ik gelukkig (voor de gebruikers van m'n mods) meerdere keren daar m'n wachtwoord vergeten, waardoor ik 'm al best vaak gereset heb naar iets nieuws. =P Zeker voor een tijd geleden toen er nog wel meer files geïnfecteerd werden. Daarbij dachten ze ook dat het door gehackte accounts kwam.

Nu ga ik meer op een onderbuikgevoel af na jarenlange ervaring met de site, maar volgens mij is security ook niet Dark0ne's sterkste punt. Bij de gehele staff heb ik altijd nog het gevoel dat het meer een soort geavanceerde hobbyisten blijven, dan echt experts; zeker m.b.t. beveiliging.

Iig mooi dat HP bijgesprongen heeft, want anders zou het nog best imagoschade veroorzaakt kunnen hebben als ze geen duidelijkheid konden geven aan de gebruikers.

[Reactie gewijzigd door DS4XX op 5 augustus 2024 06:23]

Tja, bethesda.net zal wellicht betere beveiliging brengen voor FO4-mods.

(Ter verduidelijking: de Nexus is in het verleden gehackt en serveerde toen geïnfecteerde files. Downloads werden nooit offline gehaald om de gebruikers te beschermen, ook toen de staff wist dat er iets mis was.)

[Reactie gewijzigd door Enai op 5 augustus 2024 06:23]

Nexus mod manager is door fans van games gemaakt en de bedoeling van de webite is dat iedeereen vrij is om mods te uploaden en te downloaden. De uitgever staat er los tegenover en kan niks afdwingen

[Reactie gewijzigd door silverchaoz op 5 augustus 2024 06:23]

Nexus Mod Manager is de app die ze maken, niet de naam van de website.
Anoniem: 221563 @Enai8 december 2015 13:39
En waarom zou dat zo zijn? :S
nevermind

Kansloze comment. De mijne dus.

[Reactie gewijzigd door Oyxl op 5 augustus 2024 06:23]

Op dit item kan niet meer gereageerd worden.