Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

De site Leakedsource claimt in het bezit te zijn van een database met de inloggegevens van 1,9 miljoen leden van het Dota 2 Dev-forum. De gegevens bevatten onder andere e-mailadressen, ip-adressen en wachtwoorden.

Dota 2De site zegt verder dat de wachtwoorden waren gehasht met md5 en waren voorzien van een salt. Omdat md5 een sterk verouderd algoritme is, was Leakedsource in staat om tot nu toe meer dan tachtig procent van de wachtwoorden te ontsleutelen. Het is te verwachten dat ook de resterende wachtwoorden te kraken zijn. De gegevens zouden zijn buitgemaakt tijdens een hack die plaatsvond op 10 juli. ZDNet bericht dat de hacker gebruik heeft gemaakt van een sql-lek in verouderde vBulletin-software, waar het forum van de populaire game van Valve op draait.

Dat zou niet uitzonderlijk zijn, aangezien veel forums van deze software gebruikmaken en bekend is dat verouderde vBulletin-versies kwetsbaarheden bevatten. Zo zijn bijvoorbeeld ook de forums van Ubuntu en van de game Clash of Kings op deze manier gehackt. Naast ip-adressen en wachtwoorden zijn er ook gebruikersnamen en -identifiers buitgemaakt op het Dota 2 Dev-forum.

Het is dan ook aan te raden om het gebruikte wachtwoord te veranderen en dit ook te doen op andere sites waar met dezelfde gegevens wordt ingelogd.

Moderatie-faq Wijzig weergave

Reacties (29)

Ze draaien op vBulletin 4.2.3, wat ongeveer 2 jaar oud is.

Dus commerciële software van nog geen 2 jaar geleden gebruikt nog steeds gewoon een MD5 hash (ook al is het met een salt)?

Sorry, maar ik vind dit echt diepbedroevend...
Volgens deze post sinds 17 juni 2015. :)
Ik ben al lang geleden afgestapt. Na vBulletin 3 ging het downhill en blijkbaar hebben ze hun security ook niet op orde ...
Dat maakt het gewoon nog triestiger...

Maar ja, IPB 3 was geen haar beter qua password storage en IPB4 was gewoon een drama.
Vraag me af welke versie van vBulletin ze dan draaien, moet zeggen dat ik helaas op de forums waar ik of moderator of gewoon user ben geweest het vaker heb gezien, ben hierdoor zelf ook niet echt fan van vBulletin meer, zijn er meer mensen hier met de zelfde ervaring?
vBulletin 4.2.3 volgens de paginabron.:)
ik heb jaren vBulletin 3.x gebruikt, maar ben er jaren geleden van af gestapt. vBulletin 4 is meuk ...
Probleem ligt niet bij vBulletin (wat echt 1 van de beste forum platformen is), maar bij de beheerders van de website waar het forum draait. En als beheerder wil je ook niet van dit soort software dat bv zichzelf automatisch update, want jij wilt degene zijn die bepaalt wanneer geupdate wordt (vaak genoeg dat er dus fouten in nieuwere updates zitten, en die wil je dus eerst even afwachten).
Wat je zicht vind ik persoonlijk, en daar mag u het niet mee eens zijn, maar ik vind dat het probleem gedeetelijk wat u zegt bij de beheerders ligt, die moeten alles uiteraard up to date houden, maar ik vind ook dat een gedeelte van het probleem bij vBulletin zelf ligt, maar dat komt eigenlijk ook omdat vBulletin zelf de laatste tijd gewoon meuk is nadat een groot deel van het orginele team weg gegaan is, daarvoor was vBulletin gewoon een goed product.
Zoals het bericht al aangeeft gebeurd dit regelmatig bij fora die nog een oude vBulletin versie draaien. Ook voor vBulletin natuurlijk geen goede reclame. Ik snap dat een "klein" forum niet altijd de laatste versie zal draaien maar van de grotere fora mag je toch wel verwachten dat ze de vBulletin up to date houden. Vraag mij af wat vBulletin hier zelf aan zou kunnen doen? Denk hierbij aan een warning message wanneer een gebruiker een vBulletin forum bezoekt waar nog een versie draait met bekende kwetsbaarheden?
Dat is wel een goede, natuurlijk kan zo'n phone-home of version-check ook een kwetsbaarheid zijn wanneer slecht geimplementeerd. Een groter probleem is als men verder wel een web applicatie firewall er omheen zet die dit (perongeluk) weer blokkeert.

Het idee van het nag scherm is wel slim, maar dit werkt natuurlijk alleen goed als een update installeren bijna net zo makkelijk is als je theme aanpassen om de melding te verstoppen. (Weg van de minste weerstand enz)

Maargoed ik denk ook dat hun licencing structuur voor bedrijven en import-export tools niet echt helpen. Op dit moment moet je als je inhoud mee wil nemen naar VB5 eerst importeren naar een VB4 installatie en die dan updaten. Kennelijk als je update verlies je je support tickets (wut?), die moet je dan met extra contract er weer bij kopen. Ook is er kennelijk een kans dat als je het CMS gedeelte gebruikt dit niet geheel over te zetten valt.

Als ze gewoon security patches uitbrengen is dat niet zo'n issue maar als ze niet een sysadmin hebben die zich in de spaghetti kan verdiepen denk ik dat iemand die hier 'zo nu en dan even naar moet kijken' denkt 'ik blijf hier maar van af'.
vBulletin heeft hopelijk ook een fatsoenlijke upgrade procedure.

Je ziet nog weleens software die totaal niet automatisch veilig te updaten is (ja of je moet alles writeable hebben voor de webserver, *kuch*wordpress*kuch*). Dan is elke update weer een hele expeditie aan uploaden en verifieren.

Daar zijn mensen gauw klaar mee.
Volgens mij ligt dat niet aan de PHP versie inderdaad.
Lol dat heeft echt niks met php versies te maken. Dat is puur hoe jij je pakket en server hebt ingericht. Draai je php bijvoorbeeld in cgi als user of als de apache user. Heb je in je pakket een update functie ingebouwd of is het gewoon rauw nieuwe bestanden ftpen etc.

Php 5.4 release notes:
- Easy to update your site without write rights hahaha

Sorry hoor mogen jullie mij een -1 geven op mijn cynische reactie. Ik vind reacties waar iemand gewoon maar wat uit zijn duim zuigt en dit als feit presenteert veel ongewenster.

[Reactie gewijzigd door ro8in op 10 augustus 2016 13:47]

"ZDNet bericht dat de hacker gebruik heeft gemaakt van een sql-lek in verouderde vBulletin-software, waar het forum op draait."

Bestaat dit probleem al niet zon 10+ jaar?
En hier word ik nou gek van. Gebruikers moeten continu het wachtwoord veranderen omdat bedrijven/sites hun (beveiliging) zaakjes niet op orde hebben. Gelukkig heb ik geen Dota account. Ondertussen heb ik ook voor iedere site een wachtwoord omdat dit te vaak gebeurd. Eén keer heb ik een hele rij met passwords moeten vervangen om deze reden.
Daarom is het slim om voor jezelf een soort algoritmisch wachtwoord te verzinnen. Dan neem je een sterk basis wachtwoord en daar voeg je een aantal elementen aan toe die je kunt afleiden van de service die je gebruikt. Zo is een lek bij 1 service niet gelijk desastreus voor al je andere login gegevens.

Natuurlijk beschermd dat niet als iemand iemand serieus achter jou gegevens aan gaat. Maar een simpele copy paste van een decrypted hash is zo al niet mogelijk. En heb je het gros van de aanvallen al afgeslagen.

[Reactie gewijzigd door MenN op 10 augustus 2016 11:23]

Of gebruik een password manager. Er staan bij mij nu 176 accounts in. Dit is wel icm met accounts die ik voor werk gebruik. Maar het verbaasd me hoeveel logins je gebruikt. Ieder account heeft een random password. Zelf hoef je maar 1 hoofdwachtwoord te onthouden. Als ik een forum account had gehad voor Dota was er dus niet zoveel aan de hand, even nieuw wachtwoord genereren en klaar. Alle andere accounts zijn veilig.
Dat kan inderdaad, een password manager gebruikt wachtwoorden die in alle redelijkheid gewoon niet te kraken zijn. Maar, daarmee concilieer je je complete online identiteit in 1 programma, en ben je compleet afhankelijk van dat ene bedrijf voor je veiligheid. En alles hangt af van de complexiteit van je master wachtwoord. Gebruik je password1234 dan ben je alsnog kansloos, want dan slurpen dieven gewoon je gehele password manager leeg.

En dan heb je nog het geval van afhankelijkheid. Op dit moment is je password manager wellicht een goed programma en is het bedrijf erachter helemaal ok. Maar 2 acquisities later, en wie weet wat voor motieven nu de knoppen bedienen.

Voorbeeldje is 1password, die komen nu ineens met een abonnements vorm, mag je lekker voor de rest van je leven blijven dokken. Tuurlijk, de oude versies blijven nu nog wel te gebruiken, maar de ontwikkeling zal vast en zeker nu gericht zijn op hun abbo product.

[Reactie gewijzigd door MenN op 10 augustus 2016 11:51]

Datr schakel je toch gewoon over op een programma als Keepass?
Gratis, in het Nederlands met een plugin, en werkt even goed.
Gebruik nu ook sinds kort Keepass. Het aantal wachtwoorden groeit vrij snel. Je ziet dan pas hoeveel je wel niet registreert. En dan kun je netjes overal een compleet ander wachtwoord gebruiken en hoef je bij een hack 0,0 zorgen te maken over andere sites.
Klopt, klopt, zo heeft iedere keuze zijn voor EN nadelen :)

Zelf maak ik gebruik van Dashlane, welke met 40 dollar per jaar vrij aan de prijs is voor het premium pakket. Maar het brengt wel veel gemak met zich mee, ik vind dat dat best wat mag kosten. Deze programma's moeten toch onderhouden worden.

En wat is er mis met een bedrijf dat geld probeert te verdienen. Daarnaast zoals hierboven aangegeven wordt is er bv altijd nog Keepass.
Ik gebruik de gratis versie van Dashlane en die voldoet ook prima. :)
MD5 is nu al zo lang niet veilig meer... al sinds de eerste verkiezingsstrijd tussen Obama en McCain (dit dus), en nog zie je dat het overal weer opduikt. Pff
Online heel veel wachtworden uit een database trekken is wel wat anders dan een password database van een individu jatten. Dat laatste heb je in zekere zin zelf in de hand. Wachtwoorden achterlaten bij online services betekent dat je overgeleverd bent aan de grillen van dat bedrijf.

Over het algemeen gaan dit soort hacks over kwantiteit en zijn ze echt niet geinteresseerd in een passworddatabase van één persoon, daar is het gemiddelde individu gewoon niet belangrijk genoeg voor en is dus niet de moeite waard.

Wat betreft de 10 euro, als je ziet hoe vaak dit soort berichten bv op tweakers staan, dan is een abonnement van een wachtwoord manager het misschien wel waard? Beveiliging is een delicate balans tussen veiligheidheid en gemak. En een bedrijf wat dat goed voor consumenten kan regelen, mag daar wat mij betreft best geld voor vragen (en zelfs krijgen).

De afweging of je met bedrijven in zee gaat (of blijft gaan) heb je altijd, niet alleen bij passwordmanagers. Als een bedrijf, bv ethisch, over de schreef gaat of zijn zaakjes niet op orde heeft, dan stap je over naar een concurrent.
Yep, en inmiddels is het ook regelmatig raak dat die password managers zelf zo lek als een mandje zijn...
Dat is een slecht systeem: als iemand hier blablatweakers als wachtwoord gebruikt, kun je de andere wachtwoorden wel raden.
Lol dat is natuurlijk ook een slecht wachtwoord hoe je het ook bekijkt.
Een goede methode die aangeraden wordt is om 4 redelijk weinig gebruikte woorden te nemen als je wachtwoord. Zo heb je al een wachtwoord dat niet te brute forcen is, want het is gewoonweg te lang.

Spice het vervolgens een beetje op door verschillende talen te nemen. Als Nederlander kun je bijv heel gemakkelijk een Nederlands woord, Een Nederlands dialect woord, een Duits woord en een Engels woord gebruiken. Zo moet een hacker al en de juiste taal, woorden, en volgorde kiezen. Dat is praktisch al ondoenlijk.

Als laatste wissel je ergens in je wachtwoord een letter met een cijfer/cymbool. Dan ben je praktisch beschermd voor de meeste crack aanvallen.

Het voordeel van 4 gewone woorden gebruiken is dat je na een paar keer oefenen het gewoon erg snel kunt typen, en het dus niet een onhandig wachtwoord geworden is.

Als laatste moet je nu dus nog aanpassen per service. Natuurlijk neem je niet letterlijk de naam van de service, dat zou inderdaad makkelijk te raden zijn. Maar je moet een afgeleide nemen. Bijv groen is de dominante kleur binnen het tweakers logo, dan neem je bijv de eerste letter van de kleur die zet je voor je wachtwoord, en bijv de laatste letter van de naam van de dienst plak je achter je wachtwoord.

Voorbeeldje:
G
Boom
Vogel
Apfel
Gras,
S
Gboomvogelapfelgras,S

Knappe jongen die het gaat raden.
Maar dat is ook niet de focus. Als iemand echt achter je aan zit is en een beetje kennis van zaken heeft ben je sowieso wel kansloos. Ook met password manager.
Het gaat erom dat je niet kwetsbaar bent als er miljoenen wachtwoorden uitlekken zoals bij de Linkedin en Adobe hacks.

[Reactie gewijzigd door MenN op 10 augustus 2016 18:38]

Dit wordt bijna dagelijkse koek
Als ze zo snel zoveel wachtwoorden kunnen achterhalen vraag ik me af of het personal salts waren en/of deze wel lang genoeg zijn.
Ik weet dat er rainbow tables te vinden zijn, maar toch niet voor alle salts? Als het één enkele salt was welke gebruikt is voor alle wachtwoorden hebben ze zelf een rainbow table kunnen opstellen, maar als alles correct personal salted was lijkt me dit toch niet mogelijk?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True