Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Submitter: Stroopwafels

Het Amerikaanse bedrijf Staminus is slachtoffer geworden van een internetaanval, waarbij klantgegevens zijn buitgemaakt en waardoor de diensten van het bedrijf geruime tijd niet beschikbaar waren. Onder de gegevens zijn gebruikersnamen en gehashte wachtwoorden.

Volgens Staminus-ceo Matt Mahvi is er inmiddels een onderzoek gaande naar de precieze gang van zaken bij de aanval. Hij bevestigt dat er sprake was van een indringer, die zich ongeautoriseerd toegang tot het Staminus-netwerk had verschaft. Hij voegt daaraan toe dat naast gebruikersnamen en wachtwoorden van klanten ook contactinformatie en betaalgegevens zijn gestolen.

Deze gegevens waren enkele uren na de uitval van de Staminus-diensten op internet te vinden, zo bericht beveiligingsonderzoeker Brian Krebs. De aanvallers hadden een bericht aan de gegevens toegevoegd, getiteld 'tips voor het runnen van een beveiligingsbedrijf'. Een van de tips was dat het verstandig is om een enkel root-wachtwoord voor alle machines te gebruiken. De adviezen zijn duidelijk sarcastisch bedoeld.

Ook wordt genoemd dat creditcardgegevens het beste in plaintext opgeslagen dienen te worden. Ars Technica geeft echter aan geen dergelijke betaalgegevens in de gelekte data te hebben gevonden. Krebs merkt op dat het niet zelden voorkomt dat anti-ddos-dienstverleners het doelwit zijn van aanvallen, omdat zij vaak ongeliefde klanten hebben. Ook Staminus heeft volgens hem dat soort klanten, waaronder de Ku Klux Klan.

Het beveiligingsbedrijf Staminus is gevestigd in Californië en biedt naast ddos-bescherming ook hostingsdiensten aan. De website van het bedrijf is op het moment van schrijven nog niet beschikbaar.

staminus    De boodschap van de hackers

Moderatie-faq Wijzig weergave

Reacties (44)

Ik denk dat ze er bewust voor hebben gekozen de credidcardgegevens niet vrij te geven, en dat ze daarom niet op internet zijn te vinden. De wachtwoorden zijn nog encrypted dus dat geeft het bedrijf enige tijd om de zaken weer op orde te krijgen en klanten in te lichten.
Deze klanten moeten nu hun wachtwoorden veranderen, dikke kans dat de wachtwoorden al lang zijn gecrackt door de hackers maar ze versleuteld vrijgegeven zijn om de suggestie te wekken dat 'het bedrijf nog enige tijd heeft om de zaken op orde te krijgen en klanten in te lichten'.

(Nog exploitabele) creditcardgegevens zijn bijna nooit op het internet te vinden.
Hackers hebben meestal bepaalde specialisaties. Deze hackers zijn overduidelijk bezig met hacken, niet het exploiteren van creditcard gegevens. Als deze daadwerkelijk te pakken zijn gekregen zijn ze via het netwerk doorgekocht, de black market wordt eigenlijk nauwelijks nog gebruikt vanwege de toegenomen surveillance vanuit opsporingsinstanties.
(Leestip als je meer wilt weten over omgang met gestolen data)

Als de getoonde afbeelding echt is (en de informatie die in de afbeelding staat klopt) ben ik benieuwd of investeerders het bestuur aansprakelijk stellen voor de geleden schade, de security blunder is veel en veel te grof om te accepteren voor zo'n toko.

[Reactie gewijzigd door Viince1 op 11 maart 2016 22:14]

dikke kans dat de wachtwoorden al lang zijn gecrackt door de hackers
Waar baseer je dat op? Als de wachtwoorden netjes gehashed zijn met salt dan is kraken een brute force aanval en dus een kwestie van (heel veel) geduld. Als je een goed wachtwoord hebt gekozen dan is dat echt niet zo 1 2 3 gevonden hoor. De mensen met wachtwoorden als 'secret' zijn natuurlijk wel meteen de pineut.

Wachtwoorden zijn over het algemeen niet zomaar te ontsleutelen omdat hiervoor one way encryptie wordt gebruikt; mits men een goed algoritme heeft gekozen (niet md5) en salt heeft toegevoegd zijn die wachtwoorden redelijk veilig.
De hackers hebben de hele database naar buiten geŽxporteerd en waren root op alle servers. Die salt blijft echt niet lang veilig en daarmee kost decrypten significant minder tijd.

[Reactie gewijzigd door Viince1 op 12 maart 2016 13:27]

Een salt heeft enkel de functie om voorgerekende lijsten met hashes (rainbow table) nutteloos te maken, en kan dus prima deel uitmaken van de hash. Een goede hash moet echter ook worden gegenereerd met een work factor; kortom, het aanmaken (en controleren) van een enkele hash zal dan bijv. een tiende van een seconde zijn (met huidige hardware). Deze work factor moet af en toe worden bijgewerkt (uiteraard het liefste elke ~18 maanden), maar maakt zelfs het kraken van een enkel normaal wachtwoord al snel onredelijk tijdrovend. Daarom is een goede hash prima te kraken, maar moet over het algemeen meer ontmoedigen om het te proberen.
Ja ik ben alleen bang dat die salt ook gewoon plaintext in de database staat. Anders is een rehash niet uitvoerbaar. Het scheelt dan dus dat accounts met hetzelfde pw wel een andere hash hebben, maar voor de rest is het voor het kraken niet relevant. Met een goede dictionary ben je er binnen een week doorheen.
Als ze de servers hebben gehackt gok ik zo dat ze ook de decrypty code hebben gedownload.

[Reactie gewijzigd door SBTweaker op 13 maart 2016 14:49]

De afbeelding is echt en de informatie in het document klopt ook zeker.
Er was zo'n 30GB aan data beschikbaar gemaakt via linkjes onderaan het document waarvan die afbeelding is gemaakt.

just incase; bron: Ik help een bedrijf die daar zijn hosting heeft, de servers lagen er zo'n 15-20 uur uit als ik het goed inschat en Staminus heeft vanaf het begin heel weinig informatie vrij gegeven over wat er nou aan de hand was. Ik werd geinformeerd over dit document vrijdag ochtend.

Na aanleiding van de hackers' tip "Disregard PDO as inconvenient".
Wat ik(student voor Applicatie/media ontwikkeling) dus echt niet snap is hoe zo'n groot bedrijf geen gebruik heeft gemaakt van PDO. Dit is iets wat ik na een half jaar van mijn opleiding al kreeg als leerstof. Waar uit je dus kan opmaken dat de hackers waarschijnlijk gebruik hebben gemaakt van SQL Injection.
Je vertouwt er inherent op dat de informatie die hackers posten betrouwbaar is, dat is riskant. De hackers lijken er alles aan te doen om zoveel mogelijk reputatieschade te genereren voor Staminus: posten over de hack, mooie image maken, klantgegevens laten uitlekken, uiteindelijk het hele netwerk van staminus onderuit halen terwijl dit niet perse nodig was (ze waren blijkbaar al klaar met data-exfiltratie). Het motief is hier niet financieel gewin, dan hadden ze er niet zo'n high profile breach van gemaakt. Het ging hier bewust om het belachelijk maken van Staminus met als doel het bedrijf voor schut zetten / reputatieschade genereren.

De security van Staminus belachelijk maken draagt prima bij aan deze strategie. Ik ben het met je eens dat het lijkt alsof Staminus er een potje van heeft gemaakt, maar vooralsnog kan ik dat alleen onderbouwen met een Pastebin post wat (blijkbaar?) van de hackers afkomt. Niet echt een goede fundering voor het trekken van conclusies.

Jij zegt dat de afbeelding en bewijs echt zijn. Overduidelijk dat ze bestaan; maar vertellen ze ook het waargebeurd verhaal? Hoe ben je hierachter gekomen?

[Reactie gewijzigd door Viince1 op 12 maart 2016 13:29]

Wie vertrouw jij eerder een bedrijf dat zegt dat zn security op orde is, of een hacker die zegt van niet en bewijs daarvan heeft?
Ik vertrouw liever het bewijs wat op forensische intacte manier verzameld is en onderbouwd kan worden, in plaats van een vaag textbestand van de hacker of de uitingen van het bedrijf, beide partijen hebben immers een belang en motieven en kunnen niet objectief beoordelen.
Tot dat er is ben ik voorzichtig met het trekken van conclusies.

Dit kan ik ook onderbouwen. Een paar jaar geleden was er 'de bekende KPN hack'. Veel mensen vormden direct een opinie dat KPN meer aan security had moeten doen, maar achterafbleek pas dat de hack helemaal niet van KPN vandaan kwam,, maar van een webshop waarbij enkel gefilterd op 'kpn-klanten'.
Zo zie je maar dat direct een opinie vormen op basis van de kennis die we nu hebben niet altijd even verstandig is.

[Reactie gewijzigd door Viince1 op 13 maart 2016 14:47]

Ik heb het niet over het verhaal maar dat de gegevens online staat en de website offline is bevestigd voor mij dat ze gehackt zijn. Je denkt dat het bedrijf forensisch bewijs openbaar gaat maken? Heb je btw wel gekeken wat er in de pastebin staat?
Ik ontken niet dat ze gehackt zijn, het staat immers op de website van Staminus zelf.
Ik zeg alleen dat dat de hackers het laten overkomen alsof het kinderlijk eenvoudig is (in de pastebin), en dat neem ik met een korreltje zout.


Het is afwachten of het bewijs openbaar wordt. Bij een rechtzaak zou dit zomaar het geval kunnen zijn, jurisprudentie is immers in veel gevallen openbaar inzichtelijk.

[Reactie gewijzigd door Viince1 op 13 maart 2016 14:51]

Het bewijs staat toch in de pastebin, root wachtwoord en al..
Wie zegt dat ik dat bericht niet heb aangemaakt, of een boze klant, of de hackers die simpelweg Staminus voor schut wilden zetten?
Ceci n'est pas une pipe. Het feit dat er pastebin staat dat de hack zo en zo heeft plaatsgevinden hoeft niet te betekenen dat het ook zo heeft plaatsgevonden. Assumptions are the mother of...

[Reactie gewijzigd door Viince1 op 13 maart 2016 15:44]

Mijn punt is dat die pastebin niet te vertrouwen valt! Dat probeer ik nu al drie keer duidelijk te maken.

Die pastebin kan ik net zo goed getypt hebben, of iemand die wist dat Staminus gehackt is/werd.
Niemand heeft de authenticiteit van die pastebin geverifieerd. Er is geen enkele indicatie dat het root password in de pastebin ook echt werkt op de Staminus machines.

Laat maar, wij gaan hier niet uitkomen. Het is je goed recht om een op het internet gepost bestand te geloven, net zoals het mijn goed recht is dit niet te doen.

[Reactie gewijzigd door Viince1 op 13 maart 2016 21:47]

Interessant, dat de zwarte markt niet meer op die manier wordt gebruikt wist ik niet. Bedankt voor de leestip, daar ga ik me eens even in verdiepen :).
Bijzonder ook, overal hetzelfde rootwachtwoord maar dan ook nog een zwak wachtwoord: http://hastebin.com/raw/oweyukamuj - St4m|nu5 :o
Dit is een grap hoop ik?
Nu ben ik geen anrachist en hou ik van vrede enzo. En dingen kapot maken is altijd kansloos.
Maar als je als veiligheidsbedrijf dat flikt..... dan verdien je het ook (jammer dat het de klanten zijn die de dupe zijn)

"Dan verdien je het ook" zal me niet in dank afgenomen worden, maar ik weet niet hoe ik het gevoel beter kan uitdrukken bij dit ... contrast... Het is een fout die ze bij de boer op de hoek (bijna) niet maken.. om je kapot te schamen...
Terechte opmerking, als dit echt het wachtwoord zou zijn dan verdienen ze het inderdaad.

Kom op, sowieso al als beheerder moet er toch elke keer weer een lichtje branden dat dit wachtwoord veel te simpel is. Die dachten waarschijnlijk dat ze safe waren, maarja...
Haha ja het is wel een ww die aan een paar eisen voldoen toch:D : een hoofdlettertje gebruikt, een leestekentje en een cijfertje. Maar goed of het klopt is natuurlijk een 2e, indien het klopt dan denk ik ook dat dit bedrijf gewoon zijn faillissement zal gaan aanvragen.
Een bedrijf als dit neem je in armen omdat je veiliger te werk wilt gaan, mja als ze zelf hun eigen zaakjes niet eens ''goed'' kunnen beveiligen (feit dat op elk systeem hetzelfde WW gebruikt werd is natuurlijk al genoeg om te weten dat het niet loopt zoals het hoort te lopen) dan vrees ik dat al hun klanten per direct hun vertrouwen in staminus kwijt zijn.

Het is niet zo dat je van staminus afhankelijk bent want er is concurrentie op dit gebied die deze klanten maar al te graag binnen sleept.

Buiten dat klanten van Staminus weg zullen gaan, zullen ze vermoedelijk ook behoorlijke boetes gaan krijgen.
Ik hoop voor jou dat jij nooit vergeet je deur op slot te doen. Je verdient het dan immers om bestolen te worden ;)
Dan kan je je bedrijf ook wel zo goed als stopzetten. (Bij wijze van spreken) Je bevindt je in deze markt en biedt een service aan die hacks/DDoS' zou moeten voorkomen, maar dan ben je zelf de sjaak. Dat is niet goed voor de reputatie. :(
Ho eens even, als ik het goed begrijp bieden zij alleen bescherming voor DDoS aan?
In het artikel staat anders vermeld. :+
Voor veel bedrijven lijkt IT beveiliging een soort loterij. Je geeft er iedere keer geld aan uit en je wint wel kleine prijsjes maar nooit genoeg om uit de kosten te kopen. Meer loten kopen helpt nauwelijks, je blijft maar verliezen.
Velen kiezen daarom de omgekeerde benadering: niks doen. Hoe je het ook bekijkt, niks doen is in ieder geval goedkoop. Omdat ze goedkoop zijn krijgen ze veel klanten en maakt de veilige concurrent geen kans.

Ze gokken er op dat hun bedrijf niet het slachtoffer wordt van een grote hack zoals deze die in de media komt. Na zo'n incident kun je je bedrijf wel sluiten maar voor de meesten pakt die gok helaas goed uit.

Tijd voor een Keuringsdienst van Waren voor IT-hygiene.
Tijd voor een Keuringsdienst van Waren voor IT-hygiene.
Helemaal mee eens! Ik roep dit zelf al jaren. Het enige waar bedrijven gevoelig voor zijn is geld, dus er moeten stevige boetes komen voor bedrijven die met de pet gooien naar hun beveiliging.

Dat, en een algemene eed voor IT ers, zoals ook artsen en advocaten een eed zweren. Het is eigenlijk belachelijk dat als je naar de dokter gaat je je verhaal houdt tegen iemand die een geheimhoudingsplicht heeft, maar die jouw verhaal vervolgens invoert in een computer, terwijl de beheerder van dat systeem geen geheimhoudingsplicht heeft. Als IT ers werken we constant met (gevoelige) informatie maar zijn aan weinig gebonden.

Wat mij betreft zouden we een eed moeten zweren dat we het belang van de gebruiker behartigen. Niet van het bedrijf, maar van de eindgebruiker. Ik heb ook totaal geen respect voor systeembeheerders die pornografie aantreffen op een computer van een gebruiker en dan deze verlinken. Naar mijn mening zouden je geheimen veilig moeten zijn bij de beheerder, zoals je als patiŽnt ook weet dat je geheimen veilig zijn bij je arts.
Een eed lijkt mij onzin.

De essentie is dat je van een leverancier mag verwachten dat die naar eer en geweten alles dat redelijkerwijs te verwachten is doet om zn kennis en kunde op pijl te houden met als doet het behartigen van de belangen van zn klant.

Met de stapel blunders van deze leverancier blijkt dat hier geen sprake van is en dat is een teken van deze tijd. Het komt voort uit het feit dat 'iedereen' gefocust is op snelle winst en voor een dubbeltje op de eerste rang zitten. Dit gaat op voor leveranciers en klanten en vergt een mentaliteitsverandering die het niveau van de klant/leverancierrelatie ontstijgt. Dit is slechts een symptoom van een groter maatschappelijk probleem.
Tijd voor een Keuringsdienst van Waren voor IT-hygiene.
Hoera, nog meer administratie, nog meer regeltjes, nog meer kosten !
Daar zit iedereen op te wachten!
Al je gegevens online daar zit iedereen op te wachten. Wat is er mis met een aantal basis eisen?
Heel pijnlijk voor Staminus dit. Mooie hack hoor trouwens. De sample is om van te smullen. Alleen al de intro:
TIPS WHEN RUNNING A SECURITY COMPANY:
~ Use one root password for all the boxes
~ Expose PDU's to WAN with telnet auth
~ Never patch, upgrade or audit the stack
~ Disregard PDO as inconvenient
~ Hedge entire business on security theatre
~ Store full credit card info in plaintext
~ Write all code with wreckless abandon
Als ik de lijst met slachtoffers bekijk zijn het wel vooral Minecraft-servers.

[Reactie gewijzigd door YellowOnline op 11 maart 2016 22:27]

"Expose PDU's to WAN with telnet auth" is eigenlijk wel de ergste flater ...
Ouch, kan niet anders zeggen Groot geworden door niet meer te investeren ?
Allicht staan die creditcardgegevens niet online. Die zijn geld waard.
Goede recalme voor een 'anti'-ddos bedrijf
En dan ook nog Staminus heten, grappig.
Nouja, het zijn geen security auditers; dus in dat opzicht valt het wat *dat* betreft nog mij.
Maar het is en blijft een zeer trieste zaak. Ik ken Staminus niet zo goed, maar als dit CDN based DDoS protection diensten zijn, dan mogen de klanten waarschijnlijk met hun provider gaan babbelen om complete IP reeksen te wisselen of bakken heen en weer te schuiven; hetgeen natuurlijk enorm tijdrovend is. :(
... En duur, als er nieuwe reeksen moeten komen.

[Reactie gewijzigd door WhatsappHack op 12 maart 2016 01:18]

Zoveel bedrijven die zin beveiliging niet op orde hebben, ik schrik er niet meer van. Vind het alleen nog ronduit informerend welk bedrijf nu weer slachtoffer is, en welke domme dingen ze hebben gedaan of gebruikt.

Natuurlijk is alles hackbaar maar sommige maken het ook echt te makelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True