Inloggegevens van 65 miljoen Tumblr-gebruikers verschijnen online

Op de site 'have I been pwned' van beveiligingsonderzoeker Troy Hunt zijn de inloggegevens van 65 miljoen Tumblr-gebruikers verschenen. Deze zijn afkomstig van een hack die in 2013 heeft plaatsgevonden. De wachtwoorden zijn gehasht en voorzien van een salt.

Tumblr Eerder deze maand had Tumblr laten weten dat het bij de uitgelekte gegevens zou gaan om 'een aantal e-mailadressen van Tumblr-gebruikers'. Nu blijkt echter dat het om veel meer gegevens gaat. Deze werden op de site The Real Deal te koop aangeboden voor 0.4 bitcoin, omgerekend ongeveer 192 euro. De verkoper is dezelfde die ook de LinkedIn-gegevens verkocht onder de naam 'Peace'. Op de site van de onderzoeker kunnen gebruikers nagaan of hun gegevens deel uitmaken van de hack.

Het is niet duidelijk welk algoritme voor het hashen van de gegevens is gebruikt; de verkoper beweerde dat het zou gaan om het verouderde sha1-algoritme, zo laat Motherboard in een bericht weten. Het feit dat er ook een salt aan de wachtwoorden is toegevoegd, heeft het gevolg dat ze moeilijker te kraken zijn. De verkoper vraagt dan ook een relatief lage prijs voor de gegevens.

Onderzoeker Troy Hunt schat in dat de helft van de wachtwoorden inmiddels gekraakt zou kunnen zijn, omdat de gegevens al in 2013 zijn buitgemaakt. Op zijn site neemt de Tumblr-hack nu de derde plaats in van grootste hacks tot nu toe, na Adobe en LinkedIn. Hunt vermoedt zelf dat er een verband is tussen de recente grote incidenten en verwacht dat er hoogstwaarschijnlijk nog meer grote hacks bekend zullen worden in de nabije toekomst.

Voor het weekend bood verkoper 'Peace' ook een verzameling van 360 miljoen inloggegevens van MySpace-gebruikers aan via dezelfde site, waarvan er 111 miljoen een gebruikersnaam hebben. De wachtwoorden waren alleen gehasht en niet voorzien van een salt. Een analyse wees uit dat het meestgebruikte wachtwoord 'homelesspa' bleek te zijn; dit was populairder dan 'password1' of 'abc123', aldus Motherboard. De populariteit bleek het gevolg te zijn van het feit dat dit wachtwoord werd gebruikt om automatisch accounts te genereren.

IT-banen

Reacties (33)

maxxie85

30 mei 2016 14:30

Wat houd het toevoegen van een salt toe? Ik lees het vaker maar toch wel benieuwd hoe dat werkt.

Joecatshoe @maxxie85 • 30 mei 2016 14:55

Twee identieke plain-tekst wachtwoorden zullen ook een identieke hash opleveren. Een salt zorgt ervoor dat de hash toch verschillend is. Dit doet men door extra characters (de salt) toe te voegen aan het wachtwoord alvorens te hashen. De salt is verschillend per wachtwoord, waardoor je bij identieke wachtwoorden toch een andere hash krijgt.

In het geval van een hack zou het zonder salt voor de hackers heel makkelijk maken om identieke wachtwoorden er uit te plukken, vandaar dat men dit doet als extra beveiliging.

CU2morO @Joecatshoe • 30 mei 2016 17:07

Waar komt die salt vandaan dan? Die moet toch ook bekend zijn bij het inloggen om de (salted) hash te kunnen reproduceren en te matchen tegen het opgeslagen wachtwoord in de database?

Is dat doorgaans één salt voor het hele systeem, of wordt zoiets op iets arbitrairs, maar statisch, als bijvoorbeeld een user ID gebaseerd?

Kan de salt dan niet samen met de rest van de (hashed) passwords gestolen worden, daarmee de complete toegevoegde waarde van een salt teniet doen?

[Reactie gewijzigd door CU2morO op 25 juli 2024 16:23]

Artaex @CU2morO • 30 mei 2016 17:25

Die salt wordt soms los in de database opgeslagen, maar kan ook gebaseerd zijn op bepaalde gebruikersgegevens; zoals een e-mailadres, gebruikersnaam of registratiedatum (om maar wat te noemen).

Als de salt voor het hele systeem hetzelfde is, dan hebben gebruikers met hetzelfde wachtwoord ook hetzelfde gehashte wachtwoord.

[Reactie gewijzigd door Artaex op 25 juli 2024 16:23]

the_stickie @Artaex • 31 mei 2016 09:43

Als dit het geval is kun je de salt net zo goed weg laten.

Niet helemaal; de salt zorgt dan alsnog voor dat de hacker de salt moet hebben/raden én nieuwe rainbowtables moet genereren. Het koopt alvast wat tijd.

Artaex @the_stickie • 31 mei 2016 13:32

Oké dat is inderdaad waar

lordfragger @CU2morO • 30 mei 2016 17:21

Er zijn verschillende mogelijkheden, de ene al wat complexer dan de andere.

Je kan inderdaad 1 salt nemen voor alles. Op het eerste zicht lijkt dat inderdaad niet veel toe te voegen, maar er bestaat zoiets als rainbow tables. Door de salt zijn die al nutteloos omdat je dan bij het genereren ook die salt moet gebruiken.

Een andere manier is een random salt gebruiken en samen met de username opslaan. Heeft zowat hetzelfde effect als de eerste oplossing, maar bijkomend zijn 2 hashes van wachtwoorden (dus met elk een unieke salt) uniek.

Redelijk veelgebruikt is het paswoord en de username (of ander gekend attribuut) samen plakken en hashen. Hier zit een extra laagje veiligheid in doordat je op basis van de DB dump niet kan zeggen welke waarden samen geplakt zijn.

Dan kan je ook nog combinaties van die manieren gebruiken, wat de kans kleiner maakt dat het "algoritme" dat je gebruikt hebt achterhaald wordt.

gybrus @CU2morO • 30 mei 2016 17:22

De salt zorgt er voornamelijk voor dat identieke wachtwoorden voor individuele gebruikers een andere hash opleveren. Dit maakt rainbow tables namelijk nutteloos.
https://en.wikipedia.org/wiki/Rainbow_table

Het is daarom niet perse nodig om iets heel spannends met de salt te doen, om die reden staat deze meestal met een fixed size, of achter de hash, of de wachtwoord hash is met een delimiter en de salt base64 encoded.

Het genereren van een salt wordt meestal door een random string generator gedaan.

SBTweaker @CU2morO • 31 mei 2016 14:56

je kan bijvoorbeeld id maal een priemgetal berekenen en dan naar hexadecimaal converteren in je code. Of de created_at value o.i.d. het gaat erom dat de hacker niet door een wachtwoord te ontcijferen meerdere wachtwoorden heeft (omdat ze er in de database hetzelfde uitzien) maar ze allemaal een voor een moet ontcijferen.

maxxie85

@Joecatshoe • 30 mei 2016 15:48

dankjewel, helemaal duidelijk nu.

vide @maxxie85 • 30 mei 2016 15:42

Het toevoegen van een salt per gebruiker maakt het gebruik van zogenaamde "rainbow tables" onmogelijk. Dit zijn lange lijsten van wachtwoorden en bijbehorende hash. Zonder salt kan je gewoon eenmalig een lijst van wachtwoorden gaan hashen en dan gaan vergelijken of die hashes voorkomen. Zoals Joecatshoe het al zei: hetzelfde wachtwoord geeft zonder salt dezelfde hash.

Door te salten moet je dit voor iedere individuele account weer opnieuw gaan doen waardoor de hoeveelheid werk om te kraken veel groter is. Maar SHA1 is een heel snel hash-algoritme, je kan miljoenen combinaties per seconde proberen waardoor bruteforcen dus zeker een optie is.

Jexecute 30 mei 2016 13:44

Vanwaar het verband van 'homelesspa' met Tumbler dan?
Zijn er effectieve cijfers ergens te vinden van de hoeveel gebruikte wachtwoorden?

nvm, zelf ff verder opgezocht:

"LeakedSource believes that this password was automatically generated by MySpace. “The accounts with password “homelesspa” seem to be automatically generated as all the emails that use this password follow the same format,” a blog post reads.

Other popular passwords included “password1” (585 503 instances), “abc123 (569 825 instances)” and “123456” (487 945 instances). Other passwords that proved popular on MySpace include: iloveyou, princess1, blink182 and password2."

source; https://www.htxt.co.za/20...word-used-was-homelesspa/

source; https://www.leakedsource.com/blog/myspace

[Reactie gewijzigd door Jexecute op 25 juli 2024 16:23]

Rmg @Jexecute • 30 mei 2016 13:48

MySpace* en het vermoeden is dat 'homelesspa' gebruikt is door bots die automatisch myspace accounts aan aan het maken waren.

http://news.softpedia.com...illion-users-504583.shtml

Below are tables with the top MySpace passwords and the top email domains. Just take note that the first entry, "homelesspa," was automatically generated for a number of accounts that had the same email format, possibly bots or fake users.

Read more: http://news.softpedia.com...04583.shtml#ixzz4A8g4o8im

Splitinfinitive 30 mei 2016 13:45

Hmm niet mooi voor de gebruikers. Zelf gebruik ik tumblr niey.

Maar zie net dat ik blijkbaar een account bij Adobe heb.

gelukkig houd ik "rommel" en serieuze websites goed gescheiden qua wachtwoorden

Johannes77 @Splitinfinitive • 30 mei 2016 14:14

Ik denk dat je een keer iets van Adobe uitgeprobeerd hebt, het kan ook zo iets simpels zijn als een PhotoShop voor op de mobiel, waarbij je toestemming hebt gegeven voor onder andere je identiteit. Ik heb op die manier ook een account bij Adobe, en ik stond er ook wel van te kijken

Kefke 30 mei 2016 14:14

Tegenwoordig lees je wel elke week over weeral een nieuwe hack waarbij ze x aantal honderdduizenden passwords hebben gestolen. Dat gaat nog leuk worden als al die iot apparaten gaan gepusht worden door fabrikanten

Verwijderd @Kefke • 30 mei 2016 17:16

Daar is het probleem groter dan enkel wachtwoorden alleen. Dergelijke apparaten zijn qua beveiliging lek als een mandje en zullen in de meeste gevallen geen updates krijgen ook, zeker niet voor meerdere jaren. Kijk maar eens naar smartphones of smart tv's. En om nu elk jaar nieuwe IoT spullekes gaan lopen te vervangen wordt ook kostbaar.

fantafriday 30 mei 2016 13:45

Natuurlijk ook handig erbij te vermelden dat bij de linkedin hack van 'peace' een gigantische hoeveelheid nep emails bevatte.

Zenety 30 mei 2016 13:47

Een analyse wees uit dat het meestgebruikte wachtwoord 'homelesspa' bleek te zijn, dit was populairder dan 'password1' of 'abc123', aldus Motherboard.

homeslesspa was dan ook een automatisch gegeneerd wachtwoord van myspace. Wel een erg vreemd wachtwoord en ook raar dat dit niet een random gegeneerd wachtwoord is. Totaal 855.478 accounts met dit wachtwoord.

Edit: Blijkbaar werden deze wachtwoorden gebruikt door een enorme hoeveelheid bots.

[Reactie gewijzigd door Zenety op 25 juli 2024 16:23]

Kiswum 30 mei 2016 13:47

@ de mensen die niet kunnen googlen en de vraag liever hier neerzetten dan in het google zoekvenster:
https://www.leakedsource.com/blog/myspace

Due to some accounts having two passwords, there are 427,484,128 total passwords for only 360 million users. Additionally, the accounts with password "homelesspa" seem to be automatically generated as all the emails that use this password follow the same format. We also suspect given the number of passwords with a 1 at the end, MySpace required numbers and letters at some point.

glatuin 30 mei 2016 14:15

Ik had nog een account wat ik allang niet meer gebruikt heb. Een check leverde op dat men direct een wachtwoord wijziging eiste. Dus account was al gelocked.

Kol Nedra 30 mei 2016 13:58

Gelukkig niet bij Grindr

musiman

@Kol Nedra • 30 mei 2016 14:07

Hoezo, begin je het al benauwd te krijgen, dan?

Maar ik schrik toch steeds weer van het enorm grote aantal slechte wachtwoorden. Ik kan mij toch echt niet voorstellen dat mensen wachtwoorden als 123456 gewoon serieus gebruiken en dan denken dat ze veilig zijn. Pff.
Alhoewel... heb maar al te vaak mensen geholpen die hun geboortedatum als wachtwoord gebruikten. Overal...

Een schone taak aan ons (en de hackers die alles op internet dumpen) om de gebruiker voor te lichten over goed wachtwoordgebruik.

Verwijderd @musiman • 30 mei 2016 17:14

Probleem is niet het slechte wachtwoord. Met een goed beveiligde site zit je dan ook goed.

Een groter probleem is het overal gebruiken van datzelfde wachtwoord. Als het dan mis gaat zoals bij een hack als deze ben je zwaar de lul. En mogelijk al 3 jaar lang als je in de tussentijds je wachtwoord voor alle sites waar je je hetzelfde wachtwoord als voor Tumblr gebruikte nooit hebt gewijzigd.

musiman

@Verwijderd • 31 mei 2016 09:47

Helemaal mee eens. Daarom zei ik ook: "Overal...".

Wat ik ook zo gevaarlijk vind, is het gebruik van controlevragen wanneer je het wachtwoord vergeten bent. Bij vele van die vragen is het antwoord gewoon vrij goed te achterhalen door op social media te zoeken naar: meisjesnaam van je moeder, naam van het huisdier, etc.

FreshMaker @Kol Nedra • 30 mei 2016 16:03

Gelukkig niet bij Grindr

Nog niet

Maar door de accounts bij tumblr, Adobe en snelkookpan.nl te combineren hebben ze je al aangemeld

wica 30 mei 2016 13:42

@Redactie Kunnen we een feestje organiseren, als het aantal gestolen accounts gelijk of meer is dan het aantal mensen dat gebruik maakt van het medium Internet?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: