Twitter geeft wachtwoorden miljoenen gebruikers een reset

Twitter heeft miljoenen gebruikers persoonlijk gewaarschuwd dat de wachtwoorden voor hun accounts mogelijk op internet staan en dat ze een nieuw wachtwoord moeten instellen. Het bedrijf meldt geen aanwijzingen te hebben dat dit het gevolg van een hack van zijn systemen is.

Twitter heeft de database van 33 miljoen gebruikersnamen en wachtwoorden die deze week op internet verscheen gecontroleerd met zijn eigen database en 'een aantal accounts' gevonden die overeenkwamen. In zijn blog hierover zegt Twitter niks over aantallen maar tegen The Wall Street Journal meldt het bedrijf dat het om miljoenen gaat. Tegelijkertijd zouden miljoenen andere accounts die in de uitgelekte database staan geen risico lopen.

"Accounts waarvan het wachtwoord op straat ligt zijn op slot gezet en vereisen een reset van de eigenaar", meldt Twitter. Het bedrijf zegt er zeker van te zijn dat de database niet afkomstig is van een hack van zijn servers. De accountnamen en wachtwoorden zouden zijn verkregen door informatie van andere hacks te combineren, via malware op systemen van slachtoffers of een combinatie van beide, denkt Twitter.

Eerder deze week verscheen de database met gegevens van bijna 33 miljoen accounts online en toen al liet de publicerende site, Leaked Source, weten dat het waarschijnlijk niet om een datalek bij Twitter zelf ging. De gegevens werden verstrekt door dezelfde hacker, of collectief, die achter omvangrijke hacks van LinkedIn, MySpace en Tumblr zat.

IT-banen

Reacties (41)

WouterH 10 juni 2016 10:06

Zou het fijn vinden als grotere sites beveiliging doen toepassen dat je zelf autorisatie moet geven voor een nieuwe locatie.
Steam heeft dit lang geleden al gedaan en werkt erg goed in mijn ogen.
Zorgt ervoor dat als je wachtwoord buit wordt gemaakt via wat dan ook en wordt crossed checked je hier meteen van op de hoogte bent omdat je ziet dat je bv vanuit shanghai ( mijn geval ) probeert in te loggen.
websites zoals twitter worden toch vaak via telefoons bekeken en hoeven maar 1 keer toegang verleend te worden.

timberleek @WouterH • 10 juni 2016 10:33

Scheelt wel heel erg hoe het geregeld is.

Oa bij de site waar ik mijn loonstrook kan inzien is het mateloos irritant. Elke keer als ik erop wil krijg ik weer een melding "unauthorized ip" en mag ik eerst mjjn mailbox openen (en wachten tot die mail eindelijk komt) om het nieuwe ip te bevestigen (wat wel betekend dat er bergen ip adressen zijn goedgekeurd nu)

Keebs @timberleek • 10 juni 2016 11:03

Besef wel dat dit om de bescherming gaat van je persoonsgegevens. In mijn optiek vele malen belangrijker dan dat kleine stukje irritatie.

timberleek @Keebs • 10 juni 2016 12:04

Dat weet ik ook wel. En ik snap dat er beveiliging bij nodig is. Maar dit systeem werkt zo verschrikkelijk traag. De bovenstaande optie als per device lijkt me veel fijner. Ben benieuwd wat het verschil is op beveiligingsniveau.

1 keer controleren per device met bijvoorbeeld een timeout van 2 maanden. Als je netjes elke keer je loonstrook checkt met hetzelfde apparaat is het pima. Doe je dat niet, moet je opnieuw verbinden.

Nu is letterlijk elke keer weer wachten op een mail die mogelijk niet eens komt.

Anoniem: 1322 @timberleek • 10 juni 2016 13:04

Inderdaad. Controle op IP is ook erg dom en meer schijnveiligheid. Wie heeft er nu namelijk niet meer dan één apparaat achter een internet aansluiting zitten? Zodra jij toestemming geeft voor het ip heeft iemand anders op jou netwerk dezelfde acceptatie. Wanneer het ook nog eens een wifi netwerk is kan het verkeer eenvoudig onderschept worden (of op de router)...

Apple doet het ook netjes, aanmelden op een nieuw apparaat en op al je bestaande apparaten direct een melding. Microsoft net iets minder maar ook zeker voldoende!

[Reactie gewijzigd door Anoniem: 1322 op 23 juli 2024 19:55]

mashell @Keebs • 10 juni 2016 12:36

Besef wel dat dit om de bescherming gaat van je persoonsgegevens. In mijn optiek vele malen belangrijker dan dat kleine stukje irritatie.

Beveiliging die irritatie opwekt is niet goed. Die gaan mensen omzeilen. Beveiliging moet ongemerkt zijn om effectief te kunnen zijn.

Anoniem: 1322 @mashell • 10 juni 2016 13:07

Helemaal mee eens. Daarom moeten we eens een oplossing hebben voor het wachtwoord probleem. Wachtwoorden blijven irritant en daarom een enorm zwakke schakel.

theBazz @timberleek • 10 juni 2016 10:41

De implementatie van twee staps authenticatie door google vind ik wel ideaal. Elk nieuw device dien ik eerst twee staps (met sms) te authenticeren.

Gaat heel makkelijk en vertrouwde devices hoef ik alleen maar in te loggen (als ik dat zo instel)

timberleek @theBazz • 10 juni 2016 12:00

Per device klinkt best prima

Anoniem: 382732 @timberleek • 10 juni 2016 11:16

In het verleden kon je je loonstroken alleen maar zien door eerst thuis naar de brievenbus te lopen en de envelop open te maken. Je kon ook alleen maar kijken naar eerdere loonstroken door thuis in de map te gaan zoeken. Dan lijken me de huidige irritaties onbeduidend klein in vergelijking met de vroegere situatie.

timberleek @Anoniem: 382732 • 10 juni 2016 12:06

Dat vind ik eerlijk gezegd niet relevant.

Vroeger moest je handmatig je auto choken om hem aan te krijgen/houden op een koude ochtend. Een slecht stationair lopende moderne auto die je op gas moet houden tot hij warm is vind ik onacceptabel.

FreshMaker @timberleek • 10 juni 2016 10:46

Als dat net als bij ons gaat, verdwijnt het 'oudste' adres vanzelf na een paar dagen.
Die check is op basis van een hash dmv gebruiker + ipadres, dus jouw "controlegetal" hierop is uniek.
Als jouw collega zou inloggen, zou hij dezelfde procedure moeten doorlopen.

Bij ons worden de hashes op naam&ipadressen 3 maanden bijgehouden, als een bepaalde combinatie in die 90 dagen niet gebruikt is, verdwijnt het.

WouterH @timberleek • 10 juni 2016 11:24

Over het algemeen bekijk ik mijn loonstroken niet van allerlei soorten devices.
Ook zou je natuurlijk altijd de optie kunnen invoeren dat de gebruiker zelf voor de extra authenticatie kan kiezen, dan heb je i.i.g. zelf de keuze hoe privacy informatie van je wordt beveiligd.

logix147 @timberleek • 10 juni 2016 17:34

Dat is voor mij niets nieuws, zelfs al werk ik vanuit de VPN thuis(dus feitelijk zit ik op het werk dan), dan moet ik nog steeds op mijn telefoon een sms ontvangen wil ik bij mijn persoonlijke gegevens kunnen zoals loonstrook, wachtwoord beheer, applicaties e.d.

Nu gaan we binnenkort vingerafdruk herkenning bij betrekken zodat ook de wachtwoord vernieuwing minder hoeft. Dus inloggen met code op telefoon + mijn vingerafdruk ter bevestiging i.p.v. wachtwoord + code op telefoon. Bij ons worden dus geen IP adressen o.i.d. als veilig bestempeld juist om toegang onbedoeld te voorkomen.

timberleek @logix147 • 10 juni 2016 19:50

Maar gebruik je dan de scanner van je telefoon? (Wat als je die niet hebt, of hij reageert niet). Of moet je een ding bij je gaan dragen?

logix147 @timberleek • 10 juni 2016 21:23

Dan gebruiken we inderdaad de ingebouwde scanner in mijn geval van mijn iphone of android toestel. Als je die niet bij je hebt of wat voor reden niet functioneert kunnen we uiteraard nog de oude manier gebruiken. Dus wachtwoord + code per sms/bellen naar intern helpdesk nummer. De bedoeling is juist dat als je inlogt op je telefoon dat het token wat hiermee actief wordt je sessie online automatisch toegang geeft tot je systeem. Best een uitkomst vind ik

TheBlackbird @WouterH • 10 juni 2016 10:55

Het is de combinatie computer-IP die extra authorisatie moet triggeren, zoals Steam doet. Niet gewoon IP. Dat is te vervelend.

biglia @WouterH • 10 juni 2016 11:01

Zo doet facebook en gmail.com het ook ongeveer. Het zou inderdaad al een hele vooruitgang zijn als je een melding krijgt dat je ergens in het buitenland inlogt.

jacobras @WouterH • 11 juni 2016 10:12

Microsoft doet hier wel checks op. Ik dacht dat ik op LinkedIn ten tijde van de hack een oud wachtwoord gebruikte, maar dat bleek nog dezelfde te zijn als op mijn Microsoft-account. Vorige week kreeg ik een SMS van Microsoft dat er elders met mijn account (succesvol!) was ingelogd en dat er gegevens gewijzigd werden. Ik kreeg de mogelijkheid mijn account terug te claimen en kreeg daarna mijn persoonlijke informatie te zien zodat ik die kon controleren op onregelmatigheden. Daarna uiteraard wachtwoord gewijzigd (password manager die ik elders ook gebruik) en two-factor authenticatie ingeschakeld.

Auredium 10 juni 2016 09:43

Wat we eigenlijk zien is dat er veel pro-actiever door hackers wordt geprobeerd om middels de hacks van een enkele database andere accounts van gebruikers op andere databasen te achterhalen. Dus actief controleren of een account van gehackte site 1 wellicht ook werkt op site 2. Dit op zich is niets nieuws.

Wat echter nu gebeurd is dat men de reeds gehackte databasen gebruikt om een lijst op te stellen van benaderbare accounts van nog niet gehackte databasen. Twitter is wellicht niet gehackt zoals ze het zelf aangeven, er zijn echter gewoonweg miljoenen gebruikers die hetzelfde e-mail adres een in sommige gevallen hetzelfde wachtwoordt gebruiken. Zo kun je een deel van de database van een website achterhalen zonder de moeite en het risico te doorlopen om Twitter zijn servers te hacken. Aangezien dit feitelijk een 'nieuwe' database is van een andere website is dit dus ook weer geld waard op de zwarte markt.

Ik denk dat Twitter nu, al is het jaren 'te laat' aduquaat reageerd. Gezien veel van de gegevens uit hacks van 2012 lijken te komen...zou ik zeggen dat de hackers een tijd lang bezig zijn geweest om de gegevens uit de Linkin website te cross-checken met andere websites alvorens deze resultaten allemaal op de markt te gooien. Maar dat is puur mijn speculatie.

edit; best slim. je hackt 1 grote vis en bouwt aan de hand van die gegevens meerdere databasen van andere grote vissen op. Zo kun je dezelfde gegevens van 1 grote vis verkopen als meerdere grote vissen.

[Reactie gewijzigd door Auredium op 23 juli 2024 19:55]

flippy 10 juni 2016 09:36

goede zaak dat de grote toko's actief zulke dingen bijhouden, hopelijk geeft dit de doorsnee gebruiker het idee dat het niet handig is om overal hetzelfde wachtwoord te gebruiken.

Zer0 @flippy • 10 juni 2016 09:44

Waarom zou het niet handig zijn, als dat wachtwoord ergens lekt wordt het netjes gecontroleerd door andere sites en krijg je vanzelf een mailtje dat je je wachtwoord moet wijzigen.. lekker makkelijk

kamustra @Zer0 • 10 juni 2016 10:08

https://haveibeenpwned.com/

Niet helemaal wat je bedoelt, maar toch al een alert als je gegevens op een andere site gelekt zijn.

[Reactie gewijzigd door kamustra op 23 juli 2024 19:55]

mashell 10 juni 2016 10:30

Twitter geeft wachtwoorden miljoenen gebruikers een reset

Ergens wel linke soep, zo'n actie kan er toe leiden dat Twitter ook miljoenen, minder actieve, gebruikers, definitief verliest. Die op dat moment van minder actieve gebruiker, naar niet meer gebruiker gaan. Omdat Twitter beursgenoteerd is en het aantal actieve gebruikers een belangrijke peiler is voor de waarde van het bedrijf kan dit een duur grapje blijken.

FreshMaker @mashell • 10 juni 2016 10:49

Of ze verliezen alleen de inactieve accounts.
Het kan 2 kanten opgaan inderdaad, ze kunnen dit ook aangrijpen om de 'sleepers' uit te wieden, en hun bestand op te schonen
( al betwijfel ik het laatste, meer 'user-aantallen' is meer meer macht naar de reclameverkopers )

Anoniem: 463321 @mashell • 10 juni 2016 10:49

Ik zie het probleem niet. Actieve gebruikers passen toch hun wachtwoord aan.
Het wordt enkel duidelijker hoeveel daadwerkelijk actief zijn. Dat aantal zal zeker lager zijn maar wel reëel.

Anoniem: 382732 @mashell • 10 juni 2016 11:18

Aandeelhouders zijn niet gek. Die zullen eerder blij zijn als de ruis uit de cijfers is gehaald.

Ryan1981 @mashell • 10 juni 2016 12:17

Ik gebruik twitter niet meer. Het was ooit heel handig om gratiz berichtjes te sturen met je databundel maar daar heb ik nu watsapp voor.

Sinnergy 10 juni 2016 09:36

Blijkbaar had ik nog een héél oud account die al misbruikt werd in 2013 (nooit een echte actieve twitter gebruiker geweest).. om spam te versturen (nu pas opgemerkt).

Straf dat ze het "nu" pas blokkeren... Je zou denken dat ze "tenminste" mijn account hadden moeten bannen voor overduidelijke spam

DohnJoe @Sinnergy • 10 juni 2016 09:43

Ik gebruikte mijn twitter account nooit, maar toen ik vorig jaar weer eens inlogde bleek ik opeens heel veel mensen te volgen waar ik nog nooit van gehoord had. Blijkbaar was mijn account ook gehacked en werd dat puur gebruikt om meer followers te maken voor andere acounts

Toch maar gauw mijn wachtwoord aangepast toen en alles unfollowed...

ATS @DohnJoe • 10 juni 2016 11:47

Raar verhaal. Krijg je dan geen regelmatige mailtjes over al die lui die je dan volgde?

P_Tingen @ATS • 10 juni 2016 13:20

Als je standaard alle mailtjes uitzet niet natuurlijk. Ik word persoonlijk #$@&^ ziek van al die mailtjes over elke scheet die er gebeurt met, bij, onder of naast je account. Als er echt iets belangrijk is dan wil ik het weten, maar ik hoef echt geen mail als ik een nieuwe volger heb, als iemand iets retweet of me noemt in een reactie. Ik zet dan ook altijd zoveel mogelijk notificaties uit.

Downside is dus inderdaad dat het minder snel opvalt als er iets fout gaat. Aan de andere kant: als je je Twitter account tóch niet gebruikt, heb je er ook niet zoveel last van dat je ineens enkele tientallen onbekenden volgt.

Webgnome @Sinnergy • 10 juni 2016 09:43

Zolang niemand dat rapporteerd?

Dutch_CroniC 10 juni 2016 10:12

Lol, gegevens staan op internet, maar zal geen hack wezen?
yeah right

mashell @Dutch_CroniC • 10 juni 2016 12:39

Het kan ook zijn dat een boze medewerker uit dienst is gegaan en alle gegevens heeft meegenomen. Geen hack, wel zelfde probleem.

P_Tingen @Dutch_CroniC • 10 juni 2016 13:23

Nee, hoeft niet. Als je 33 miljoen accounts van LinkedIn hebt, hoef je alleen maar een script te maken dat de login + ww combinaties van LinkedIn tegen Twitter probeert. Als je in kan loggen, schrijf je het even weg naar een apart bestand. En dit bestand verkoop je weer voor veel geld. Kassa!

Hier kan Twitter echt niks aan doen. Dat ze nu wachtwoorden gereset hebben vind ik dan ook wel netjes.

[Reactie gewijzigd door P_Tingen op 23 juli 2024 19:55]

YGDRASSIL

@Dutch_CroniC • 10 juni 2016 16:34

Yeah right, geen hack van Twitter itself. Passwords zijn plaintext en dat slaan ze niet op bij Twitter. Plus andere dingen waardoor het waar lijkt te zijn dat het geen hack van Twitter was. Zie het nieuws...

arniejj 10 juni 2016 12:30

Betekent dit dat Twitter geen salt toevoegt aan het password alvorens het te hashen?

P_Tingen @arniejj • 10 juni 2016 13:27

Irrelevant. Als je een combinatie van login + wachtwoord hebt, heb je geen salt nodig om in te kunnen loggen. De database met login/ww combinaties die bij LinkedIn vandaan komt, bevat ook een aantal combinaties die op Twitter werken. Twitter zelf kan dat natuurlijk zelf ook controleren en die accounts resetten.

Nog makkelijker voor Twitter is om gewoon álle accounts die in de LinkedIn database staan én ook bij Twitter bekend zijn te resetten, zonder te kijken of de login klopt.

arniejj @P_Tingen • 10 juni 2016 14:47

Ja ok, dat gaat dus alleen op als het originele password (dus niet de hash) bekend is.

Op dit item kan niet meer gereageerd worden.

Twitter geeft wachtwoorden miljoenen gebruikers een reset

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: