Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update

ReplaceDirect en Twindis hebben te maken met een datalek als gevolg van een 'menselijke fout'. Meerdere Tweakers melden dat ze phishingmails ontvangen op basis van de gelekte gegevens. Betaalgegevens zijn volgens moederbedrijf MyMicro Group niet uitgelekt en het lek is nu dicht.

Volgens communicatie van ReplaceDirect en Twindis naar hun klanten gaat het om namen, adressen, e-mailadressen, versleutelde wachtwoorden en de bestelhistorie van klanten. De twee webwinkels zijn onderdeel van dezelfde infrastructuur. Transacties worden door een ander bedrijf afgehandeld en de financiële gegevens zijn dus buiten schot gebleven. Moederbedrijf MyMicro Group zegt bij klanten een wachtwoord-reset door te hebben gevoerd omdat het niet kan garanderen dat de versleutelde wachtwoorden niet ontsleuteld worden door een kwaadwillende. Dit geldt mogelijk alleen voor gebruikers wier gegevens ook daadwerkelijk gelekt zijn. Wat voor encryptie de twee webwinkels precies hanteren, wil algemeen directeur Mark Lebouille niet kwijt aan Tweakers.

Naar aanleiding van het lek zegt het bedrijf een extra diepgaande veiligheidstest uit te laten voeren op zijn systemen. Op maandag 25 april maakte een klant melding van een phishingmail op basis van gegevens die bekend zijn bij de webwinkels. Op dinsdag 26 april werd het lek ontdekt en direct gedicht. Het gat, dat ontstaan is door een verkeerde firewall-instelling, is mogelijk nog langer dan dat aanwezig geweest.

Op het Tweakers-forum maken gebruikers melding van de phishingmails. Deze mails zijn aangekleed om sterk te lijken op communicatie van PayPal. Kwaadwillenden proberen op deze manier de inloggegevens van gebruikers te achterhalen. Gebruikers met een account bij ReplaceDirect of Twindis doen er goed aan om hun wachtwoorden te veranderen als deze op andere sites hetzelfde zijn als bij de webwinkels in kwestie. Bovendien is het zaak om kritisch te blijven wat betreft e-mails van bijvoorbeeld PayPal. De phishingmails zijn op het eerste gezicht namelijk zeer overtuigend.

Update, 13:46: het blijkt dat niet alleen ReplaceDirect maar ook zustersite Twindis te maken heeft met hetzelfde datalek. Het artikel is hierop aangepast.

Door Mark Hendrikman

Nieuwsposter

27-04-2016 • 12:52

112 Linkedin Google+

Submitter: TheFearThe1337

Reacties (112)

Wijzig sortering
Hmmz, dat + teken verhaal kende ik nog niet, de puntjes wel. Ideaal tijdens de ontwikkeling van een inlogsysteem dat controleert op unieke mailadressen :)
Het fatsoen? Ze zijn bij de wet verplicht dit te melden bij het meldpunt datalekken en degene die getroffen zijn door het datalek, sinds 1 januari 2016.
Helaas doet niet elk bedrijf dat, zie mijn voorbeeld over GSMWEB. Punt is, is er ooit een bedrijf beboet die deze wet overtrad? En stond de boete in verhouding met de laksheid van dit bedrijf?
Dan heeft het nog steeds weinig te maken met fatsoen, maar met het volgen van de wet. Dat bedrijven dit aan de laars lappen is een ander verhaal.
Gezien de toegestane karakters, max 64 karakters (6 bits), is de maximale sterkte van het wachtwoord 120 bits. Ruim voldoende indien het wachtwoord goed gekozen is!
Een langer wachtwoord hoeft dan ook niet altijd om de extra entropie te gaan, het kan ook gewoon gaan om het feit dat je wilt dat het niet de 1e collission is.
Of het de 1e of 100e collission is maakt natuurlijk niet uit. Immers als er een string gevonden is, die de gewenst hash produceert, is de aanvaller binnen.

De lengte van het wachtwoord is in eerste instantie enkel om brute force en aanverwante aanvallen tegen te gaan. Zodra je echter een bepaalde lengte hebt, is meer tekens irrelevant. Immers of het 100 miljoen jaar duurt, of 2 biljoen jaar duurt om iets te kraken maakt immers uit. Dus of je dan de 1e of 2e collission bent maakt niet uit, want mathematisch zit je gewoon veilig. Meer sloten op een reeds goed beveiligde deur is onzinnig.

Een tweede nevenvoordeel van een langer wachtwoord is dan enkel dat je meer entropie hebt in de resulterende hash. Echter zodra je boven de sterkte van het algorithme uitkomt gaat die eventuele extra entropie verloren.

Het gevaar is dan verder dat omdat langere wachtwoorden moeilijk zijn, je vanwege de extra lengte weer (onbewust) patronen gaat gebruiken. Je wachtwoord is dan juist zwakker in zogenaamde token-patroon aanvallen. En laat die juist tegenwoordig de meeste gebruikte en ook meest gevaarlijke aanvallen zijn.

Dat brengt me op het volgende punt: dat je helemaal niet weet hoe de aanvaller te werk gaat. Zo goed als 100% zeker dat die helemaal niet serieel te werk gaat met a,b,c,...z,aa,ab,..,etc en dus jouw langere wachtwoord wellicht helemaal niet een lagere collission is, maar juist een van de eerste ivm een patroon. Je weet het niet.

Beter is je te richten op een minimale lengte van laten we zeggen 12 a 16 tekens ivm brute force, en alle andere aandacht besteden aan zo veel mogelijk "randomness".

Gebruik je een computer gegenereerd wachtwoord, gebruik dan de maximale lengte en je weet dat het goed zit ook al is het beperkt tot 'maar' 20 tekens (of effectief zelfs maar 15 - 120 bits). En gebruik je een niet-computer gegenereerd wachtwoord, is het beter de pijlen daar op te richten ipv het langer te willen maken want dat zet meer zoden aan de dijk.
Een wachtwoord langer dan 20 tekens of zo je wilt een passphrase, is bijvoorbeeld veiliger als je het beter kunt onthouden dan een misschien encryptietheoretisch sterker wachtwoord dat korter is maar op een postit genoteerd moet worden.

[Reactie gewijzigd door mae-t.net op 28 april 2016 02:03]

Uiteraard, maar dat is een geheel ander punt. Overigens de postit is niet noodzakelijk slecht. Als de aanvaller in China zit bijvoorbeeld. Persoonlijk adviseer ik echter mensen wel degelijk depostiot tehcniek. Dwz tijdelijk, totdat je het uit je hoofd kent. Daarna kan de postit in een papieren boekje thuis in de kast.

Maar je geeft wel mooi mijn punt aan: "Een wachtwoord langer dan 20 tekens of zo je wilt een passphrase, is bijvoorbeeld veiliger als je het beter kunt onthouden"

En daarom adviseer ik altijd geen onnodig lange wachtwoorden te gebruiken. Mensen gaan namelijk bijna altijd patronen gebriuken, zoals een passphrase. Passphrases zijn vaak een appletje eitje voor hackers. Zelfs veel Tweakers zijn niet goed op de hoogte hoe hacker te werk gaan in het aanvallen van passworden. Die denken dat de gangbare techniek nog steeds dictionary, brute force of rainbow tables is. In realiteit zijn het patroon-aanvallen, en elke patroon is dan dodelijk voor de sterkte in je wachtwoord. Hoe makkelijker voor de mens, hoe makkelijker voor de computer.

Dus 12 a 16 tekens echt of bijna random is doorgaans veel beter dan een laten we zeggen 32 tekens lange passphrase, zelfs als het hash algorithme het niet effectief zou afkappen op 20 tekens.
Dat is inderdaad een stukje dat ik niet zo goed onder de knie heb. Hoe moet ik me een patroonaanval voorstellen op een zin die uit al dan niet bestaande woorden en misschien ook nog wel leestekens en cijfers bestaat? De mogelijkheden lopen dan zo hard op dat zelfs een patroon ontdekken lastiger kan zijn dan in korte wachtwoorden, althans dat veronderstel ik?

[Reactie gewijzigd door mae-t.net op 1 mei 2016 00:56]

Er zijn twee problemen. Als je je lange zin/phassfrase moeilijk gaat maken (in feite meer echt random) wordt het inderdaad sterker, maar dat is niet het idee van een lange zin. Waarom niet 16 tekens 100% random? Omdat dat lastig is, en dus kiest men een 32 tekens zin, die men dan probeert weer moeilijk te maken. Maar niet te moeilijk, want dan kan de persoon hem niet onthouden. Dus je komt met een hybride iets wat patronen heeft (zodat je het kunt onthouden) en random.

Tweede probleem is dat wat jij kan bedenken andere mensen ook bedenken. Jij denkt dat je iets unieks doet met leestekens en hoofdletters, maar het blijkt dat andere mensen heel toevallig exact soortgelijke aanpassingen maken. Menslijke hersenen zijn nu eenmaal getraind in patronen en dus maken we zelfs schijnbaar willekeurige anapassingen met patronen.

Hackers hebben databases met miljarden entries waar ze met statistische analyse deze patronen analyseren. Dus zelfs die ene schijnbaar ogenschijnlijk wilelkeurige reeks tekens blijkt vaak voor te komen en wordt dus eerder geprobeerd dan andere tokens. De computer probeert met behulp van krachtieg GPU's eerst de veelvoorkomende tokens, en plaatst deze ook nog eens in allerlei semi-willekruige volgordens.

En tenslotet wat jij in het Nederlands als willekruige ziet, blijkt wellicht in het Lets of Kroatisch een grappige hippe afkorting te zijn. 8-)

Langere zinnen zijn een doodlopende weg. Ze bieden geen meerwaarde voor brute force tov een 12 a 16 tekens random wachtwoord en het is Russisch roulette of ze beter zijn tegen patroon-herkenning. En ergste is dat ze onbedoeld verkeerde gewoonten (namelijk patronen gebruiken) stimuleren bij minder technische gebruikers. Niet aan beginnen of meteen mee stoppen. Gebruik voor belangrijke zaken echt random gegenereerde zaken.

En voor niet belanghrijke zaken, maakt het doorgaans geen bal uit. Zorg ervoor dat die wegwerp wachtwoorden uniek zijn en je zit goed.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True