Hostingbedrijf Linode stelt wachtwoorden opnieuw in na mogelijke hack

Het Amerikaanse hostingbedrijf Linode heeft de wachtwoorden van alle gebruikers opnieuw ingesteld nadat de gegevens van twee klanten op een 'externe machine' gevonden zijn. Het bedrijf, dat sinds kerst door ddos-aanvallen wordt geplaagd, zegt niet te weten wie achter de aanvallen zit.

Linode laat in een blogpost weten dat er ongeautoriseerd is ingelogd op drie accounts van klanten van het bedrijf. Naar aanleiding daarvan is Linode een onderzoek begonnen en vond het de gegevens van twee klanten op 'externe machines'. Hieruit leidt het hostingbedrijf af dat onrechtmatige toegang tot de klantendatabase mogelijk is geweest. Deze database bevat e-mailadressen, gebruikersnamen, gehashte wachtwoorden en versleutelde two-factor seeds. Daarom heeft Linode als voorzorgsmaatregel de wachtwoorden van alle klanten opnieuw ingesteld.

Linode heeft al sinds kerst last van aanhoudende ddos-aanvallen op onder andere zijn dns-diensten, waardoor die niet geheel uitvielen, maar slecht te bereiken waren. Het bedrijf laat weten dat alle diensten sinds dinsdag weer normaal functioneren. Het is niet duidelijk of er verband bestaat tussen de ddos-aanvallen en het uitlekken van klantgegevens. Ook zou zich niemand als verantwoordelijke hebben gemeld.

Een medewerker van PagerDuty, een bedrijf dat andere bedrijven waarschuwt als zich dergelijke incidenten voordoen, claimt dat een aanval waarbij in juli 2015 klantgegevens uitlekten ook te wijten was aan dit lek bij Linode. Het zou dus lang geduurd hebben totdat het hostingbedrijf naar buiten kwam met informatie over dit incident. Onduidelijk is welke waarde aan deze claim gehecht kan worden, aangezien de medewerker zelf bij Linode heeft gewerkt. Linode kwam een aantal jaar geleden in het nieuws nadat er bij een hack bitcoins waren buitgemaakt.

IT-banen

Reacties (32)

xehbit 6 januari 2016 12:10

Krijg erg vaak te horen dat je je prima kan beschermen tegen DDos aanvallen. Helaas hebben ook deze services een limiet aan bandbreedte. Je kan er miljoenen in stoppen om het meeste (kleine DDos aanvallen) tegen te gaan. Maar er zijn zat DDos aanvallen geweest welke ontzettend veel bandbreedte gebruiken.

Helaas kan je er dan vrij weinig aan doen.

SED @xehbit • 6 januari 2016 12:58

Dat is inmiddels wel achterhaald. Er zijn diverse grote aanbieders die wel degelijk DDOS tegenhouden. Voor methoden daarbij gebruikt zie bijv deze: https://www.cloudflare.com/ddos/

Ook in NL hebben we de beschikking over de wasstraat.

http://www.nbip.nl/achtergrond-anti-ddos-dienst/

Gomez12 @SED • 6 januari 2016 13:31

Dat is enkel het commerciele verkooppraatje van wij van wc-eend.

In de praktijk is een DDOS gewoon niet tegen te houden zolang die maar groot genoeg is.

Een ddos is enkel vanuit gemaksoogpunt te detecteren, de 1e ddos'es die waren 100% niet te detecteren (of men noemde het vroeger ook wel eens het slashdot effect voor techsites) want het waren gewone requests.

Bijv een DNS-amplification is enkel vanuit gemaksoogpunt ontstaan, als alle quick-fixes gedetecteerd kunnen worden dan zullen de hackers enkel maar teruggrijpen naar grotere botnets en niet te detecteren Ddos'en door gewoon 100% valide requests te doen.

SED @Gomez12 • 6 januari 2016 15:31

Elke DDOS is te tackelen. Dat het erg irritant is, veel bandbreedte opsnoept en altijd veel colateral damage met zich meebrengt geeft aan dat we er tegen moeten optreden.
Vooral de doorsnee hoster zal er erg veel last van hebben. Grote bedrijven, zoals Microsoft, Apple en Google hebben voldoende power om elke DDOS inmiddels te kunnen tackelen. Ook de eerder genoemde initiatieven kunnen deze aan. Dat is dus geen commercieel verkooppraatje maar realiteit die helaas nog niet voor een ieder betaalbaar is. Dat laatste is waar de schoen wringt.

JackBol @SED • 6 januari 2016 16:43

Dat ben ik niet helemaal met je eens. Je moet vooraf een infrastructuur bouwen met een bepaalde capaciteit. Als je daar overheen gaat is het game-over.

Tozz @SED • 6 januari 2016 17:01

Je geeft het zelf al aan.. Omdat de schoen wringt bij de financien is het dus niet altijd te tackelen. Uiteraard, met een paar miljard kun je alles laten fixen. Echter, elk bedrijf heeft helaas te maken met een budget dat niet onbeperkt is. Een partij als MS, Google en Apple hebben aanzienlijk grotere budgetten dan een partij als Linode of een willekeurige andere hoster.

Zo'n partij als Linode kan daarom zo'n anti-ddos service zich niet veroorloven en derhalve niet tackelen.

Geld is overal altijd uiteindeiljk een issue.

Gomez12 @SED • 6 januari 2016 18:29

Snap je wel wat een DDOS is?

Een DDOS is per definitie niet te tackelen. Als iemand een BotNet creeert van alle computers / servers van MS / Apple / Google / Amazon en daarmee een cloudflare aanvalt dan valt cloudflare om.

Maar ok, dan pakken we even cloudflare die jij noemt en dan gaan we googlen : nieuws: Amsterdamse Cloudflare-servers kampen met grootschalige ddos-aanvallen
Yep, perfect gehandeld. Konden ze echt aan.

En natuurlijk het is 2 jaar oud nieuws, nu zullen ze er nog wat meer geld ingepompt hebben en zullen ze nog grotere aanvallen wel aankunnen maar het is enkel maar wachten op nog grotere DDOS-aanvallen die het weer laten aanvallen omvallen.

Je kan een DDOS enkel maar tackelen als je geinvesteerd hebt zodat je die grootte van DDOS kan tackelen, groter kan je niet tackelen. En niemand gaat onbeperkt investeren, terwijl een DDOS een bijna onbeperkte grootte kan hebben.

SED @Gomez12 • 6 januari 2016 18:57

Als ik beton stort op de snelweg dan kan er inderdaad ook geen auto meer door. Is dat een zwakheid van snelwegen?
De DDOS die men nu heeft en kent is tegen te houden. Daar zijn inmiddels ( kostbare maar haalbare) oplossingen voor. Wasstraten zoals boven gelinkt zijn beschikbaar en werken.
Dat je theoretisch iets kunt wil nog niet zeggen da thet gebeurt of haalbaar is. Alle grote bedrijven tegelijk zo hacken dat ze een megabotnet vormen is goed voor fantasietjes. Niet reeel haalbaar dus geen gevaar.
En ja de DDOS nemen steeds toe, vandaar dat er nu ook oplossingen zijn. DNS is te beschermen en rommel over het net pompen is herkenbaar, volgt patronen en is dus filterbaar o.a. Wasstraten doen nog wat meer, zie daarvoor link.
Al diegenen die denken dat er toch niks tegen te doen is blijven moedeloos en werkeloos aan de zijkant toekijken en berusten in hun onnodige lot.
Daarmee geven ze macht aan die idioten die DDOS sen ipv er iets aan te doen.

Gomez12 @SED • 6 januari 2016 20:21

Als ik beton stort op de snelweg dan kan er inderdaad ook geen auto meer door. Is dat een zwakheid van snelwegen?

Nope, maar ik beweer dan ook niet dat auto's altijd over snelwegen kunnen rijden, dat beweer (/elke DDOS is tegen te houden)

DNS is te beschermen en rommel over het net pompen is herkenbaar, volgt patronen en is dus filterbaar o.a. Wasstraten doen nog wat meer, zie daarvoor link.

Dat is juist het bewijs dat het nooit kan werken, ze lopen achter de feiten aan (/ze markeren iets als rommel als ze gezien hebben dat het problemen geeft)

Al diegenen die denken dat er toch niks tegen te doen is blijven moedeloos en werkeloos aan de zijkant toekijken en berusten in hun onnodige lot.
Daarmee geven ze macht aan die idioten die DDOS sen ipv er iets aan te doen.

Onzin, het is geen kwestie van niets doen, maar gewoon praktisch kijken en dan zie je dat vele partijen gewoon niets tegen ddos'es kunnen doen.
Een web-hoster (zoals linode) kan niet een 200 dollar per maand per site abbo afnemen bij jouw cloud-flare, oftewel die gaat gewoon down en gaat in 1e instantie gewoon de prijs opvragen en de rit uitzitten.

SED @Gomez12 • 6 januari 2016 20:43

Het hoeft geen kapitalen te kosten en de eerdere link gaf al een antwoord.
http://www.nbip.nl/achtergrond-anti-ddos-dienst/
Dus ook Linode kan schade beperken of voorkomen. Als een groot deel van de DDOS zijn doel voorbij schiet zal de hype vanzelf afnemen en neemt het effect verder toe.
Dus ja: DDOS is oplosbaar.
Samenwerken is hier het antwoord.

himlims_ 6 januari 2016 10:57

blijf me er over verbazen hoe kinderlijk eenvoudig een ddos uit te voeren is, en hoe lastig dat is voor slachtoffer.

JackBol @himlims_ • 6 januari 2016 11:01

Er is voldoende te doen tegen een DDoS, maar dan moet moet je wel vooraf maatregelen implementeren.
Maar bij de meeste bedrijven heerst toch een 'als het kalf verdronken is'-mentaliteit, helaas.

himlims_ @JackBol • 6 januari 2016 11:06

zoals?
contrast is groot; het stelt helemaal niets voor om zon aanval op te zetten (investering/kosten is nihil). Goed beveiligen, hardware en personeel kost vermogen [..]

JackBol @himlims_ • 6 januari 2016 11:13

zoals?

http://lmgtfy.com/?q=anti-ddos

Je kan Anti-DDoS gewoon als service afnemen bij verschillende partijen.
Voor volumetrische aanvallen kan je tijdens een aanval laat je je prefix naar hen routeren, ze scruben het en sturen het clean naar je door via een VPN of directe link.

Precisie aanvallen kan je ook zelf afwenden met een IPS.

contrast is groot; het stelt helemaal niets voor om zon aanval op te zetten (investering/kosten is nihil). Goed beveiligen, hardware en personeel kost vermogen [..]

Contrast is niet groter dan in de echte wereld. Zonder maatregelen kan ik zo het warehouse van Bol.com binnenlopen en 10 iPhones meenemen. Toch investeren ze een vermogen in beveiligen, hardware en personeel.

[Reactie gewijzigd door JackBol op 23 juli 2024 05:50]

hackerhater @JackBol • 6 januari 2016 11:40

Ja en nee.
Ook die anti-DDOS services hebben maar zoveel bandbreedte. Er zijn al aanvallen gedetecteerd die zelfs die services niet kunnen tegenhouden.

Fawn @hackerhater • 6 januari 2016 16:34

"er zijn aanvallen gedetecteerd" is heel wat anders dan kinderlijk eenvoudig.
Je kunt er dus wel degelijk iets aan doen, het is alleen niet 100% waterdicht. (evenals vrijwel alle andere typen beveiliging)

hackerhater @Fawn • 6 januari 2016 16:41

Als slachtoffer is er bar weinig aan te doen als je zoveel verkeer over je heen krijgt.

Dat de ISP's overal ter wereld en (DNS-)servers hun zaakjes beter voor elkaar moeten hebben zodat hun infra niet misbruikt kan worden voor een DDOS, dat klopt compleet.

Onze eigen DNS-servers zijn zo ingericht dat ze vertikken om antwoord te geven voor een domein dat niet bij ons gehost is.
Nog niet eens een foutmelding, gewoon 0 response

JackBol @hackerhater • 6 januari 2016 16:47

Een botnet huren dat 1 Gb/s aan verkeer kan genereren kost ongeveer 200$/uur.
Serieuze DDoS'en zijn tegenwoordig 100Gb/s. Dan heb je het over 20k$ per uur. Je moet wel serieus een probleem met iemand hebben om dat geld uit te geven.

hackerhater @JackBol • 7 januari 2016 10:01

Met dns amplification attacks hoeft dat helaas niet.
Door de DNS servers te misbruiken kan je de aanval rustig 100X zo groot maken

https://blog.cloudflare.com/65gbps-ddos-no-problem/

Dykam @JackBol • 6 januari 2016 12:13

Als grote host moet je het zelf doen, je kan het niet zomaar als infrastructuur afnemen. Dat werkt gewoon niet, dat kan alleen praktisch als je puur web-host e.d. bent. A.k.a. volgens mij doet Linode het al, alleen bleek het blijkbaar niet genoeg,

Tozz @JackBol • 6 januari 2016 16:53

Wat hackerhater al zei, die "scrubbing services" hebben ook maar beperkt bandbreedte. Die kunnen eigenlijk alleen "normale" aanvallen afslaan. Echt grote zijn zij ook niet tegen opgewassen.

Daarnaast zijn deze diensten echt absurd duur. Dat kan een gemiddeld bedrijf niet heel lang volhouden.

het contarct is denk ik wel groter dan dat jij aangeeft. Want in de echte wereld is de kans op diefstal in verhouding klein omdat er een kans is dat de inbreker wordt gepakt. Bij een DDoS aanval is die kans verwaarlooswaar, waardoor elke nitwit zo'na anval kan plegen en bovendien gewoon kan worden ingekocht voor een paar euro.

Gomez12 @himlims_ • 6 januari 2016 13:25

Het is dan ook geen moeilijk principe, je kan net zo goed een ddos in de echte wereld uitvoeren.

Een ddos is in de echte wereld niets anders dan een file of een kassa wachtrij, als je daar een paar miljoen extra auto's / klanten aansluit dan stopt alles ook.

himlims_ @Gomez12 • 6 januari 2016 13:38

vershil is dat je in echte wereld de mensen bij de bron kunt aanpakken, of gewoonweg toegang weigeren. ddosje is toch iets annoniemer (torhammer bijvoorbeeld)

Mar.tin @himlims_ • 6 januari 2016 13:47

Toch ligt het iets moeilijker dan dat, als je een DDOS vertaalt naar een wachtrij bij een kassa of zelfs enkel de toegang tot een winkel, hoe ga je dan filteren op wat een echte klant is en iemand die enkel de orde komt verstoren?

Ga je dan alle mensen toegang ontzeggen?

Gomez12 @himlims_ • 6 januari 2016 14:41

Dus jij gaat als winkel mensen die spullen pakken en willen afrekenen de toegang weigeren...

Puik businessplan...

Maar hetzelfde kan je digitaal doen hoor, gooi je firewall compleet dicht (weiger toegang) en je hebt totaal geen last meer van de ddos hoor. Alleen is je site onbereikbaar want je weigert de toegang.

Vigilate 6 januari 2016 10:58

Onder de blog staat er in een reactie: 'To clarify, when you say “user credentials on an external machine”, are we talking about hashed passwords? or plaintext passwords?'.

Dat is ook iets wat mij het eerste binnen schiet als ik z'n titel lees. Gelukkig dat het dit keer gehashte wachtwoorden waren en dat ze direct actie ondernomen hebben want de schade groter had kunnen zijn.

TheNephilim

@Vigilate • 6 januari 2016 11:13

The user table contains usernames, email addresses, securely hashed passwords and encrypted two-factor seeds.

Dus het zou wat dat betreft goed geregeld moeten zijn, al is het natuurlijk de vraag hoever die maatregelen gaan.

[Reactie gewijzigd door TheNephilim op 23 juli 2024 05:50]

Vigilate @TheNephilim • 6 januari 2016 12:18

Uiteraard, het kan net zo goed md5 zijn, al hoop ik niet dat voor de gebruikers.

Wat dat betreft zou ik daar nog niet van schrikken. 'Fatsoenlijke beveiliging' is tegenwoordig zeldzaam.

Verwijderd @Vigilate • 6 januari 2016 14:21

Aangezien ze gebruik maken van versleutelde 2 factor seeds denk ik niet dat de wachtwoorden dan via md5 werken. Ik ben het met je eens dat het beter is van het slechte uit te gaan, tenzij bewijs anders laat zien, maar het gebruik van 2 factor is voor mij wel het bewijs dat ze niet helemaal achterlijk zijn.

Yarisken 6 januari 2016 11:12

U wapenen tegen DDos kost geld. Daarom doen veel bedrijven dit niet.
Als ik naar mijn baas zou gaan hiervoor dan zou die is hard lachen :-).

sumac @Yarisken • 6 januari 2016 12:16

Tenzij je een bank, provider of andere grote instelling bent. Na een paar keer is de lol eraf, en wordt er gewoon budget gereserveerd.

Verwijderd 6 januari 2016 18:32

000webhosting laatst ook.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: