Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te omvatten

Zowel Techchrunch als Motherboard hebben via bronnen binnen Dropbox weten te bevestigen dat de hack die in 2012 plaatsvond niet alleen e-mailadressen betrof, zoals eerder werd aangenomen. Nu blijken ook wachtwoorden van ongeveer 69 miljoen gebruikers te zijn buitgemaakt.

Dropbox fpa De twee sites melden dat een deel van de wachtwoorden was gehasht met het algoritme bcrypt. In totaal waren hiermee 32 miljoen wachtwoorden beveiligd. De rest zou echter zijn voorzien van een hash met sha1, dat bekend staat als een minder veilig algoritme. Ook zijn alle wachtwoorden voorzien van een salt. Het is onduidelijk of hackers erin zijn geslaagd om de wachtwoorden te kraken. De database komt niet voor op grote internetmarktplaatsen voor dergelijke goederen, aldus Motherboard.

Dropbox stuurde vorige week al een e-mail aan zijn gebruikers, waarin het de verplichting stelde om oude wachtwoorden opnieuw in te stellen. In de mail werd verwezen naar het incident van 2012, maar het bedrijf noemde geen exacte aantallen. Daarnaast zou het gaan om een 'proactieve actie'. Patrick Heim, beveiligingshoofd van Dropbox, liet aan Motherboard weten dat hij kan bevestigen dat de verzonden waarschuwings-e-mails naar alle gebruikers zijn gestuurd die 'potentieel risico lopen'. Dropbox raadde in de e-mail ook aan om tweetrapsauthenticatie in te schakelen.

De hackers waren in 2012 in staat om Dropbox binnen te dringen aan de hand van een hergebruikt wachtwoord van een medewerker, dat voorkwam in de uitgelekte gegevens van LinkedIn. De grootte van de hack kwam dit jaar aan het licht, net als uitgelekte gegevens van Tumblr en MySpace.

Update, 12:00: Beveiligingsonderzoeker Troy Hunt heeft de database voor echt bevonden. Gebruikers kunnen nagaan of hun e-mailadres of gebruikersnaam tussen de uitgelekte gegevens voorkomen op de site van Hunt, 'Have I been Pwned'.

IT-banen

Reacties (114)

XeRoExEz 31 augustus 2016 10:40

Het is inderdaad erg dat dropbox z'n gebruikers niet op de hoogte heeft gebracht. Ik heb overigens dropbox destijds wel op de hoogte gebracht toen ik met bijzonder grote zekerheid vermoede dat ze lek waren. Na het uiteen zetten van waarom ik dat wist en bewijs aanleverde, kreeg een 'thank you' mail en verder niks. Dat verbaasde me toen enorm. Blijkbaar is intern dus besloten om het onder het tapijt te schuiven.

Wat verder vast te stellen is, is dat dropbox zeer hoogst waarschijnlijk niet bijhoud wanneer een wachtwoord opnieuw word ingesteld (maar dan weer wel waneer je voor het laatst inlogt). Ik heb namelijk 2 accounts van voor 2012, waarbij bij èèn het ww gewijzigd is halverwege 2015. Op beide accounts heb ik de mail ontvangen "if you haven’t updated your Dropbox password".

Er word wel een mail getriggerd als je je ww wijzigt maar blijkbaar word dat niet opgeslagen, anders hadden ze kunnen mailen naar die subset van gebruikers die het ww niet gewijzigd hadden. Dat bied mogelijkheden voor social engineering "m'n ww is zojuist gewijzigd tegen mijn wil in", een support medewerker kan dat niet achterhalen.

Een andere nieuwssite meld "Voor zover bekend zwerven de 69 miljoen Dropbox-accounts nog niet rond op online-handelsplaatsen waar dergelijke data worden verkocht. " Ik kan melden dat de gegevens WEL degelijk vrij snel te koop zijn aangeboden.

Even generiek commentaar: Je kan gaan lopen brullen over producten die volgens jou veiliger zijn, maar je common sense moet je vertellen dat je dingen die je niet wil dat anderen zien, gewoon niet in de cloud moet opslaan. "Encrypted" iets opslaan is prachtig maar er is alleen maar een ww/key nodig om het te ontsleutelen.

Vuistregel; Is het makkelijk in gebruik, dan is het niet veilig. Je maakt met welke dienst dan ook zelf die keuze voor gemak ten koste van je veiligheid.

Robino @XeRoExEz • 31 augustus 2016 16:37

Er word wel een mail getriggerd als je je ww wijzigt maar blijkbaar word dat niet opgeslagen, anders hadden ze kunnen mailen naar die subset van gebruikers die het ww niet gewijzigd hadden. Dat bied mogelijkheden voor social engineering "m'n ww is zojuist gewijzigd tegen mijn wil in", een support medewerker kan dat niet achterhalen.

Er valt juist iets te zeggen voor het sturen van de mail naar alle gebruikers. Ten eerste informeren ze daarmee alle gebruikers over het probleem. Dat is goed. Want zo is iedereen op de hoogte van het probleem, of je account nu wel of niet voorkomt in de hack. Daarnaast geven ze ook goed aan welke actie ze van jou als gebruiker verwachten: log in en je wordt vanzelf gevraagd om je wachtwoord te wijzigen.

En op deze wijze voorkomen ze juist de mogelijkheden voor social engineering. Als ze hadden gedaan wat jij voorstelt, dan kan je eenvoudig vragen of iemand de mail heeft gehad. Heb je hem niet gehad? Dan kwamen jouw gegevens dus blijkbaar niet voor in de hack. Heb je hem wel gehad? Bingo!

[Reactie gewijzigd door Robino op 26 juli 2024 16:14]

XeRoExEz @Robino • 31 augustus 2016 22:24

[...]
Er valt juist iets te zeggen voor het sturen van de mail naar alle gebruikers. Ten eerste informeren ze daarmee alle gebruikers over het probleem. Dat is goed. Want zo is iedereen op de hoogte van het probleem, [...]

Dat zou ik zeker met je eens willen zijn, als het niet 4 jaar na dato was geweest. 'Goed' is dan niet het woord wat bij mij omhoog komt

.

Overigens heb ik (verder) geen enkel probleem het sturen van de mail aan alle gebruikers. Het gaat er mij om dit een indicatie zou kunnen zijn dat er mogelijk geen datum word opgeslagen waneer het ww gewijzigd is. Dat zou kwalijk zijn.

[...]
En op deze wijze voorkomen ze juist de mogelijkheden voor social engineering.
[...]

Interessante invalshoek, al vraag ik me af wat het meeste afbreuk risico met zich mee brengt.

[Reactie gewijzigd door XeRoExEz op 26 juli 2024 16:14]

Churitos @XeRoExEz • 31 augustus 2016 14:58

Mag ik daar deze 2 video's op aanvullen. Geeft je beter inzicht in de manier hoe paswoorden kunnen worden gekraakt. Zeker na zo'n grote hack als deze.
Over het hacken van paswoorden:
https://youtu.be/7U-RbOKanYs
Over het kiezen van paswoorden:
https://www.youtube.com/watch?v=3NjQ9b3pgIg

Ps. Dit kanaal (computerphile) is zeer verslavend en zo ook het zusterkanaal numberphile. Veel plezier, maar wees gewaarschuwd!

Anoniem: 535502 31 augustus 2016 08:01

Voor mij weer eens een bewijs dat 'Cloud' diensten van welke aard dan ook, absoluut niet veilig zijn en best vermeden worden, behalve voor het online stockeren van onbenullige dingen.

Maar wat zijn onbenullige dingen? Familiefoto's? MP3's? Zeker en vast geen belangrijke info.
Je leest bijna dagelijks dat die of die clouddienst gehackt werd of er gewoon mee ophoudt.

Op den duur zullen mensen terug gaan naar de basis: 1 of 2 harde schijven als backupdienst. 'Cloud' zal dan enkel nog zijn voor de smartphoneverslaafden die hun hele leven toch al op facebook plaatsen.

geekeep @Anoniem: 535502 • 31 augustus 2016 09:30

Ik denk dat tegenwoordig meer mensen 'gered' worden door hun cloud opslag na het verliezen van hun data, dan dat ze bewust hun data van tevoren gebackupt hebben.
Vraag voor de grap eens rond binnen je familie wie iedere week/maand een (offline) backup maakt. Als ze überhaupt al weten hoe een backup te maken, is deze veelal maanden verouderd omdat dit weinig prioriteit heeft bij de gemiddelde mens.

Anoniem: 204567 @Anoniem: 535502 • 31 augustus 2016 09:47

Voor mij weer eens een bewijs dat 'Cloud' diensten van welke aard dan ook, absoluut niet veilig zijn en best vermeden worden, behalve voor het online stockeren van onbenullige dingen.

Onzin, vermits je content client side encrypted is (met een key die alleen jij zelf hebt). Er zijn genoeg cloud diensten die volgens dat principe werken, en dus hartstikke veilig zijn. Ook als hun cloudserver gehackt wordt.

Op den duur zullen mensen terug gaan naar de basis: 1 of 2 harde schijven als backupdienst. 'Cloud' zal dan enkel nog zijn voor de smartphoneverslaafden die hun hele leven toch al op facebook plaatsen.

Harde schijven als lokale backup biedt natuurlijk geen bescherming tegen dataverlies in geval van brand, inbraak, overstroming, enz.

Je wilt je belangrijke data op méér dan één fysieke locaties hebben staan.

Welja @Anoniem: 535502 • 31 augustus 2016 09:22

Wat een onzin. Een dropbox is stukken veiliger dan 1 of 2 harde schijven want die kunnen gewoon kapot gaan. En als je een boxcryptor of viivo gebruikt kan niemand erbij.
Dat samen met een keepass of lastpass en 2 traps authenticatie voor andere diensten dan storage kan prima werken.

En 'Cloud' diensten kun je zo breed interpreteren als het 'Internet', zullen we dat maar afschaffen dan?

Blinkin

@Welja • 31 augustus 2016 10:46

Cloud is in feite ook niets meer dan een hele boel harde schrijven die gekoppeld zijn. Bij cloud geef je de zorg over je bestanden uit handen bij een derde. Als er door een fout een aanzienlijk deel van de harde schijven gegevens verliest ben je net zo ver van huis.
Dit is al een paar keer bij soortgelijke diensten voorgekomen. Beter backup je alles dubbel.

unglaublich @Blinkin • 31 augustus 2016 11:51

Ten eerste, professionele diensten zijn geografisch verspreid en individueel gebackupped. De kans dat er data verloren gaat is verwaarloosbaar. Als je huis af brandt zijn je fysieke familie foto's en de twee hardeschijven waar ze op stonden hartstikke kapot.
Ten tweede, alle data staat ook op je eigen PC. Het is dus juist een heel praktische manier van 'dubbel' data back-uppen, ook al is het in werkelijkheid dus veel meer dan dubbel.
Ten derde ben ik blij dat verstandige en goed onderwezen deskundigen wel voor cloud oplossingen kiezen en dat er niemand is bij de Belastingdienst die adviseert om op het hoofdkantoor wat hardeschijven aan elkaar te koppelen omdat dat veiliger zou zijn dan drie datacenters verspreid over Nederland.

[Reactie gewijzigd door unglaublich op 26 juli 2024 16:14]

Blinkin

@unglaublich • 31 augustus 2016 13:30

Mijn punt was meer dat je het uit handen geeft dan dat het verspreid staat. De locatie maakt niets uit als het probleem softwarematig veroorzaakt wordt. Kijk bijvoorbeeld naar Dropbox (een professionele dienst). Ook zij hebben wel eens te maken met data verlies ondanks de locaties. Bijvoorbeeld door een fout in de synchronisatiefunctie.
En zelfs Google heeft te maken met data verlies. Zie bijvoorbeeld de blikseminslagen van vorig jaar, en dat was niet eens softwarematig.

Cloud is absoluut een mooie oplossing (puur backup technisch, privacy laat ik hier even buiten), maar daarnaast moet je ook je eigen backups blijven maken.
De kans dat je huis afbrand is ook relatief laag al dan niet verwaarloosbaar als je je huis goed beveiligd. Laten we het zo zeggen. Brand gevaar en diefstal verschilt per huis net zo goed als de veiligheid per cloud dienst verschilt. Daarom zou ik voor beide kiezen. Dus originele data + lokale backup (niet aangesloten) + cloud backup. Dan verlaag je de kans op data verlies tot het minimum.

[Reactie gewijzigd door Blinkin op 26 juli 2024 16:14]

EchoWhiskey @Anoniem: 535502 • 31 augustus 2016 16:58

Ik vind het wel grappig dat een hoop mensen op de zogenaamde 'cloud' en andere diensten afgeven i.v.m. veiligheid issues.

Fact is dat het hele internet een grote cloud is, inclusief jouw en mijn computer en router.
En ik durf hier wil de bewering aan te gaan de het overgrote merendeel van die cloud diensten, veel en veel veiliger zijn dan jouw PC (en die van mij en andere eind-gebruikers)

Daarnaast: Geen enkel systeem is 100% veilig te krijgen. Fact of life

Megamind @Anoniem: 535502 • 31 augustus 2016 15:40

Dagelijks? Noem ze maar op dan.

Als je kijkt naar AWS, grootste cloud provider, dan publiceren die nooit hacks.

xoniq 31 augustus 2016 08:58

Gelukkig hebben we 'have I been pwned' nog. Daar kreeg ik wel een mailtje van, niet van Dropbox.

mrfu @xoniq • 31 augustus 2016 11:12

Ik heb inmiddels ook het 'HAVEIBEENPWND' mailtje binnen. "Datum van lek: 2012. De data is al meerdere malen op fora verkocht. Helft van wachtwoorden in SHA-1".

R4gnax @mrfu • 31 augustus 2016 13:33

Helft van wachtwoorden in SHA-1".

SHA-1 is nog steeds voor de gemiddelde crimineel veel te duur om zo'n grote bak aan accounts van voornamelijk consumenten te hacken: $75K tot $120K aan geschatte kosten per kraak.

Dat ligt wel binnen het bereik van overheidsinstanties, maar de meeste criminelen zullen proberen om doelgericht bepaalde targets te gaan kraken waarvan ze kunnen voorspellen dat het rendabel zal zijn om die kosten te maken.

[Reactie gewijzigd door R4gnax op 26 juli 2024 16:14]

easy-cloud @xoniq • 31 augustus 2016 10:16

Ik heb maandag ook een mailtje van dropbox gehad! Andere vrienden van mij ook!

fortfort 31 augustus 2016 07:07

Bij zulke wachtwoorden mag er wel verwacht worden dat deze achter een ip wall zitten. Of iig tweetrapsauthenticatie

[Reactie gewijzigd door fortfort op 26 juli 2024 16:14]

Dorank @fortfort • 31 augustus 2016 10:15

Als de wachtwoorden zijn buitgemaakt in de backend, waarom zouden dan de 2FA credentials ook nit gelekt zijn, de TOTP shared key moet immers ook ergens zijn opgeslagen. Dus nee, 2FA is geen garantie bij lekken van je user database.

Clifdon 31 augustus 2016 07:10

Ik heb twee dropbox accounts en bij beide geen mail gezien over wachtwoordwijziging. Ik heb ook zonder melding in kunnen loggen. Niet echt netjes vind ik.

Cyw00d @Clifdon • 31 augustus 2016 07:18

Je ontvangt de mail alleen enkel wanneer je na 2012 niet je wachtwoord hebt gewijzigd.

De mail die ik heb gehad:

Hi Kevin,

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.

To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at password-reset-help@dropbox.com.

Thanks,
The Dropbox Team

[Reactie gewijzigd door Cyw00d op 26 juli 2024 16:14]

koku Senior Developer @Cyw00d • 31 augustus 2016 07:31

Deze mail heb ik ook gehad, maar had wel m'n wachtwoord gewijzigd. Ook hoefde ik na het opnieuw inloggen niet m'n wachtwoord te wijzigen. Beetje vreemd dus.

Verder erg slecht van Dropbox dat ze niet meteen alle informatie over de hack geven. Want "This is purely a preventative measure" is natuurlijk de grootste onzin als er 69 miljoen wachtwoorden zijn uitgelekt...

Edit: En zojuist krijg ik een mailtje van haveibeenpwned.com:

You're one of 68,648,009 people pwned in the Dropbox data breach

You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Breach: Dropbox
Date of breach: 1 Jul 2012
Number of accounts: 68,648,009
Compromised data: Email addresses, Passwords

Description:
In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).

[Reactie gewijzigd door koku op 26 juli 2024 16:14]

King4589 @koku • 31 augustus 2016 07:47

Hoezo vreemd?

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012,

If you haven't, als je je wachtwoord niet aangepast hebt. Jij hebt je wachtwoord dus wel ooit aangepast.

Waarschijnlijk hebben alle accounts van voor 2012 (de hack) een mail gehad. En een ieder die nog geen wachtwoord wijziging heeft gedaan sinds dien moet dat nu alsnog doen.

En natuurlijk geven ze niet direct aan dat ze ooit gehacked zijn geweest. Dat kost ze veel klanten en krijgen ze veel vragen over.

koku Senior Developer @King4589 • 31 augustus 2016 08:21

Cyw00d gaf aan dat je alleen de mail krijgt al je je wachtwoord niet hebt gewijzigd. Ik heb dat wel gedaan en toch de mail gekregen. Dat bedoelde ik met "vreemd". Maar blijkbaar sturen ze naar iedereen een mail met een account van voor 2012, of je nu wel of niet je wachtwoord hebt gewijzigd.

erikieperikie @koku • 31 augustus 2016 08:59

Misschien sturen ze alleen de mail naar gehackte accounts en gebruiken ze het niet wijzigen van het wachtwoord als leugen om de echte reden te verbloemen.

Ik vind het echt erg dat het hier om een hack gaat en dat ze daar gewoon niet eerlijk over zijn. Zo'n onbetrouwbaar bedrijf zou net zo goed je wachtwoord kunnen verkopen ook al zeggen ze van niet.

foppe-jan @King4589 • 31 augustus 2016 07:53

Het is nu 2016. De hack vond plaats in 2012. Dus: "vreemd" -- d.w.z., nalatig, of jij dat nou wil verexcuseren "want bedrijf" of niet.

[Reactie gewijzigd door foppe-jan op 26 juli 2024 16:14]

Clifdon @King4589 • 31 augustus 2016 11:07

Aah je hebt gelijk. Ik wijzig alles regelmatig.

xoniq @koku • 31 augustus 2016 08:56

Ik zag dat mailtje van 'have I been pwned' ook, gelukkig is in de tussentijd 2FA erbij gekomen en heb ik deze sinds dat dat er is ook aangezet.

kuurtjes @Cyw00d • 31 augustus 2016 07:29

Ik vind dat je de mail zowizo moeten krijgen als je lid was in 2012. Ook al heb ik in 2014 mijn wachtwoord aangepast, wil ik wel weten of het wachtwoord dat ik in 2012 gebruikte nu gelekt is of niet.

Menesis @Clifdon • 31 augustus 2016 07:37

Heb meerdere accounts, 1 mail gekregen dat ik misschien onder de groep viel, en daarna een mail dat ik inderdaad mijn wachtwoord voor een bepaald (gelukkig nauwelijks gebruikt) account moest veranderen.
Ik heb al een tijd 2 traps authenticatie aan staan voor mijn hoofdaccount. Toch begin ik mijn twijfels te hebben bij Cloud opslag. Het lijkt er inmiddels op dat alles wel gehackt kan worden tot en met de infrastructuur (routers etc) aan toe.

Is MEGA dan misschien als enige echt veilig? Of dropbox icm clientside encryptie (al is dropbox dan minder handig)?

[Reactie gewijzigd door Menesis op 26 juli 2024 16:14]

Dentist @Menesis • 31 augustus 2016 08:50

stack?

509353 @Menesis • 31 augustus 2016 09:00

Misschien niet helemaal wat je zoekt, maar ik ben erg tevreden over Syncthing als alternatief. Het werkt niet met een cloud, maar synchroniseert meerdere apparaten met elkaar. Het opzetten moet je even doorhebben, maar daarna werkt het super en lekker snel.

sambalbaj @509353 • 31 augustus 2016 14:53

Is dat net zoiets als Resilio Sync, de nieuwe naam van BitTorrent Sync wat nu een eigen bedrijfje binnen de BitTorrent groep geworden is?

Maar eens een rondje familie doen waar nog genoeg vrij passieve Dropbox accounts rond slingeren, vast nog van voor die tijd. Maar 2012 en pas in 2016 komt het beetje bij beetje naar buiten, stuitend gewoon.

509353 @sambalbaj • 31 augustus 2016 17:34

Vergelijkbaar, maar dan open-source

BobJung

@Clifdon • 31 augustus 2016 08:26

precies hetzelfde hier. Ooit eens door een app dropbox geïnstalleerd, ga opruiming houden en dropbox weggooien.

Anoniem: 636203 @Clifdon • 31 augustus 2016 08:46

Ik ook niet, maar ik hergebruik geen wachtwoorden voor dit soort kritieke services.

Zeror

@Clifdon • 31 augustus 2016 10:42

Van Dropbox heb ik ook geen mail gezien. Van 'Have I been Pwned' wel een mail gehad dat mijn mailadres bij de buitgemaakte data zat.

hvwees @Clifdon • 31 augustus 2016 10:52

Ik ontving wel een mailtje, maar toen ik inlogde hoefde ik mijn wachtwoord niet verplicht aan te passen.
Ik gebruik al heel lang 2-steps authenticatie. Dus als mijn dropbox wachtwoord ooit ergens terecht komt is er nog niet direct een man over boord.

Overigens gebruik ik mijn dropbox voor niet hele kritische data, die staan op mijn Synology nas en met DScloud zorg ik ervoor dat dit op al mijn apparaten beschikbaar is en in sync is.

[Reactie gewijzigd door hvwees op 26 juli 2024 16:14]

icratox 31 augustus 2016 07:07

Vind het erg kwalijk dat hier zo lang zo veel details achter gehouden zijn. Erg jammer.

Anoniem: 673310 @icratox • 31 augustus 2016 07:36

Consumentenvertrouwen mag niet geschaad worden. In ieder geval de schade zoveel mogelijk beperken en de boel stil houden.
Wat niet weg neemt dat als dit uitlekt de schade wat vertrouwen betreft nog veel groter is.

icratox @Anoniem: 673310 • 31 augustus 2016 07:41

Jup, en van mij mag Dropbox nu ook even flink door het slijk gehaald worden. 4 jaar lang iets stilzwijgen en geen actie ondernemen richting de consument, en dan wanneer het dreigt naar buiten te komen zeggen dat ze 'pro-actief' mailtjes versturen. Absoluut een zeer slechte vorm van communicatie en niet de manier waarop je zoiets hoort te communiceren, zeker met de hoeveelheid data die hier buitgemaakt is. Dit hadden ze op een andere manier kunnen oplossen, veel eerder, door iniedergeval iets eerlijker te zijn en te laten zien dat ze echt proactief zijn, door de wachtwoorden in 2012 al te resetten.

Ceejay @icratox • 31 augustus 2016 10:45

Erg eens, precies dat. Dropbox denkt vier jaar na dato ineens aan de klant, omdat de hack naar buiten dreigt te komen. Dropbox vindt zijn image belangrijker dan de data van 69 miljoen klanten. Ik denk dat ik mijn gevoelige info maar naar Google Drive oid verplaats. Ja, ik weet het, ook te laat. Hoe heet dat ook weer, oh ja, de put dempen als het kalf verdronken is.

[Reactie gewijzigd door Ceejay op 26 juli 2024 16:14]

calvinturbo @Ceejay • 31 augustus 2016 13:37

Voor gevoelige informatie is Boxcryptor misschien interessant. Dat kan je gebruiken i.c.m. Google Drive.

Woutske 31 augustus 2016 07:33

Sinds een maand of twee krijg ik steeds meer meldingen van personen die met mijn e-mailadres hebben geprobeerd in te loggen met het wachtwoord dat ik destijds ook voor Dropbox gebruikte. Ondertussen heb ik voor elke site andere wachtwoorden, maar sites waar ik dat nog niet heb ingesteld worden nu dus constant gepakt door personen of bots.

Krilo_89 @Woutske • 31 augustus 2016 08:40

Hoe krijg je daar meldingen van? Ben ik wel benieuwd naar, want in ik heb ook een mail gehad van haveibeenpowned, maar ik weet 100% zeker dat ik na 2012 mijn wachtwoord meerdere malen heb veranderd. Alsnog wijzig ik hem nu, maar moet toch eens gaan kijken naar een password manager.
Alleen het grootste nadeel is dat ik na 10 jaar computeren niet precies weer meet waar ik nu wel/niet accounts op heb. Zo kwam ik er een maand terug achter dat ik al een hele lange tijd een Origin account had.

xoniq @Krilo_89 • 31 augustus 2016 09:01

Gewoon 1Password op je telefoon zetten, en elke keer dat je op een site komt waar je moet inloggen, en je hebt er al een account, random wachtwoord genereren en ik 1Password zetten.

Op iOS kan je tegenwoordig in steeds meer apps direct inloggen via 1Password, en ook op website. Daarom dat ik die App aanhaalt, heeft veel integratie gekregen binnen iOS. (Op Android weet ik het niet)

vosManz @xoniq • 31 augustus 2016 09:34

Eerlijk gezegd zou ik niet vertrouwen op een cloud password manager als 1Password. Juist na het lezen van dit artikel over Dropbox, blijkt dat cloud diensten niet zo goed beveiligd zijn als je zou hopen. Tevens zijn cloud diensten veel interessanter voor hackers, gezien de hoeveelheid informatie die er op één plek verzameld is.

Zelf gebruik ik KeePass, waarbij ik het beveiligde database-bestand op mijn NAS heb opgeslagen en daarom ook via al mijn devices aan kan. Nu heeft natuurlijk niet iedereen een NAS, dus je zou het ook op Dropbox/Onedrive op kunnen slaan. Dat maakt het wel iets onveiliger (toch weer cloud), maar stel dat ze die cloud dienst gehackt hebben moeten ze alsnog eerst toegang krijgen tot je database bestand. Dat maakt het voor hackers die op zoek zijn naar wachtwoorden van andere diensten direct een stuk minder interessant. Tevens is KeePass volledig gratis (zo te zien is 1Password een betaalde service?) en open-source, en omdat het niet op een cloud-dienst gebaseerd is ben je ook niet afhankelijk van de aanbieder, die zomaar ineens zijn servers offline kan halen als ze er geen zin meer in hebben.

juptache @vosManz • 31 augustus 2016 09:41

1Password hoeft niet als clouddienst gebruikt te worden. Ik heb ook mijn kluis alleen lokaal staan en synchroniseer via WiFi met mijn telefoon. De mogelijkheid tot het gebruiken van een clouddienst is er inderdaad, maar is niet verplicht.

vosManz @juptache • 31 augustus 2016 11:17

Ah ok, dat zag ik op de website niet direct terug (en eerlijk gezegd nu nog niet, bedoelen ze dat met 'Offline access'?)

juptache @vosManz • 31 augustus 2016 11:38

Ik denk dat ze dat met Offline access bedoelen ja, maar echt duidelijk is het niet. Zie ook de pagina met sync opties, daar staan alle mogelijkheden: https://support.1password.com/sync-options/

Infor40 @vosManz • 31 augustus 2016 10:44

Ik zie wel vaker hier voorbij komen dat een NAS een oplossing zou zijn tegenover een clouddienst. Maar zodra je de NAS vanaf extern toegankelijk maakt is het toch niet wezenlijk anders dan de cloud. Je zou zelfs kunnen stellen dat het dan - in de meeste gevallen - een niet actief gemonitorde cloud is...

Aanvulling:
- Open source vs closed is niet een argument in termen van security.
- Zelfde geldt voor gratis vs betaalde software
- En bij een thuis-NAS is in feite de beveiligingslaag je Wifi AP die weliswaar fysieke nabijheid vereist maar toch in termen van de beveiliging slechts een niet onfeilbare enkele laag is.

Eigenlijk blijft encryptie de beste beveiliging en/of het volledig afschermen van data van een (draadloos) netwerk.

[Reactie gewijzigd door Infor40 op 26 juli 2024 16:14]

vosManz @Infor40 • 31 augustus 2016 11:14

Dat klopt, als ik een poort open zet om mijn bestanden te kunnen syncen, kan een hacker daar ook proberen misbruik van te maken. En eigenlijk zou je alles dat op het internet te vinden is 'de cloud' kunnen noemen. Dus je hebt gelijk, maar er zijn wel enkele belangrijke verschillen tussen de 'dropbox cloud' en je 'persoonlijke cloud' (NAS). Wat ik zo even snel kan bedenken:
- Op je persoonlijke cloud worden enkel je eigen gegevens opgeslagen. Dat maakt het voor hackers stukken minder interessant. Ze moeten immers héél veel NAS systemen hacken om veel gegevens te achterhalen. Bij een 'dropbox cloud' kun je één dienst hacken en zo achter de gegevens van grote aantallen gebruikers komen. Bij cloud password managers weet je ook zeker dat er 'belangrijke' gegevens te halen zijn, terwijl er op een NAS mogelijk alleen films en muziek staan.
- De beveiliging van je NAS heb je zelf in de hand. Dit is een punt dat uiteraard 2 kanten op kan werken (geen updates installeren en alle poorten zonder firewall forwarden is bijvoorbeeld niet aan te raden

). In mijn geval maak ik echter gebruik van een VPN verbinding om toegang tot mijn NAS te krijgen, die VPN verbinding werkt tevens op een niet-standaard poortnummer. Alle andere poorten staan dicht voor de buitenwereld.
- Je bent niet afhankelijk van een externe partij, die zomaar ineens kan besluiten ermee te stoppen.
- Je hebt al je gegevens in eigen beheer. Dropbox kan dus niet je bestanden indexeren (ik weet overigens niet of ze dat doen hoor), en zo relevante advertenties tonen, om maar iets te noemen.

Infor40 @vosManz • 31 augustus 2016 13:40

Maar voor geautomatiseerde systemen zijn 'veel verschillende systemen' niet zo'n probleem. Het klinkt inderdaad alsof jij een vrij harde zelf geconfigureerde NAS hebt. En dan gaat je argument wel op, maar heel veel standaard geconfigureerde synology-systemen met 'dezelfde kwetsbaarheid' zijn ineens in termen van schaalgrootte wel een interessant target en misschien zelfs wel een gemakkelijker target dan Dropbox.

Dat is dus ook een beetje mijn punt; waan je niet veilig doordat je NAS fysiek in je eigen huis staat. VPN, encryptie etc. helpt in termen van beveiliging. Waar je data staat geenszins (tenzij het offline is natuurlijk).

[Reactie gewijzigd door Infor40 op 26 juli 2024 16:14]

kimborntobewild @Infor40 • 1 september 2016 04:10

- Open source vs closed is niet een argument in termen van security.

Dat is het wel.
Als iets Open Source is, kan nl. iedereen controleren dat er geen malware, easter eggs of andere ongein in de code zit.

Infor40 @kimborntobewild • 1 september 2016 06:48

Sorry maar dat is toch wat naïef.

Als het zou gebeuren zou het veiliger zijn. De praktijk is dat dit niet en nauwelijks gebeurd. En in de meeste gevallen is een gebruiker, zelfs goede programmeur niet eens in staat om de code goed na te lopen zonder dat dit weken/maanden zou kosten.

Heartbleed illustreert eigenlijk vrij goed dat open source jarenlang zeer onveilig kan zijn. Zelfs bij zeer cruciale componenten in de beveiliging waarbij je zou verwachten dat deze nagelopen wordt, gebeurt het dus niet.

Daar komt nog eens bij dat het open beschikbaar zijn van code ten goede en ten kwade gebruikt kan worden.

Open source is belangrijk en dient vele doelen, maar biedt geen enkele garantie in termen van veiligheid.

kimborntobewild @Infor40 • 5 september 2016 17:03

Open source is belangrijk en dient vele doelen, maar biedt geen enkele garantie in termen van veiligheid.

Dat beweer ik ook niet; maar het is wel een voorwaarde voor veilige software! Bij Closed Source kan je per definitie niet zien of de boel veilig is (zonder kapitalen en maanden te verspillen aan reverse engineering, wat vaak ook nog eens wettelijke problemen kan geven).

Zo zijn goede (onbeschadigde) banden ook geen garantie voor een veilige rit in je auto; maar ze zijn wel een voorwaarde voor een veilige rit!

En in de meeste gevallen is een gebruiker, zelfs goede programmeur niet eens in staat om de code goed na te lopen zonder dat dit weken/maanden zou kosten.

Een beetje overdreven, maar inderdaad, grote programma's kunnen maanden kosten om te doorgronden. Kan je nagaan hoe lang het doorgronden kost als je het eerst zou moeten zien te reserve engineeren, als het Closed is.

[Reactie gewijzigd door kimborntobewild op 26 juli 2024 16:14]

CyBeRSPiN @vosManz • 31 augustus 2016 09:54

Hoe doe je KeePass op je NAS benaderen vanaf een iOS device?

vosManz @CyBeRSPiN • 31 augustus 2016 10:56

Ik heb zelf geen iOS device, dus geen ervaring mee. Maar ik gebruik een Synology NAS, en daarvoor is de DS Cloud app beschikbaar (https://itunes.apple.com/us/app/ds-cloud/id590216612?mt=8)

Moby Dick @vosManz • 31 augustus 2016 10:56

KeePass2 in Dropbox is wat ik doe. Als een hacker de versie-geschiedenis van dat bestand kan achterhalen is het misschien makkelijker om de sleutel te achterhalen, maar ik ben niet interessant voor het type aanvallers dat die capaciteiten heeft.

R4gnax @Moby Dick • 31 augustus 2016 13:28

KeePass2 in Dropbox is wat ik doe. Als een hacker de versie-geschiedenis van dat bestand kan achterhalen is het misschien makkelijker om de sleutel te achterhalen, maar ik ben niet interessant voor het type aanvallers dat die capaciteiten heeft.

Maar gooi meer van dat soort encyrpted password databases op één hoop en biedt deze te koop aan of veil bij opbod, en er zal een crimineel zijn die het wel interessant genoeg vindt om er aan te beginnen.

xoniq @vosManz • 1 september 2016 08:25

Ik sync ook niet met de cloud. Enkel lokaal.
En dat, i.c.m. integratie binnen iOS is het fijn om te gebruiken.

R0GGER @Krilo_89 • 31 augustus 2016 09:20

Eigen (web) server waarop je bruteforce attacks kunt volgen waarschijnlijk... Ik zie ze (mislukte logins) de laatste tijd ook veel.

[Reactie gewijzigd door R0GGER op 26 juli 2024 16:14]

Twanne @Krilo_89 • 31 augustus 2016 10:00

Vroeger had ik dit ook, maar gebruikte wel Chrome om de wachtwoorden op te slaan.
Ik ben dan overgeschakeld naar LastPass en ben dan één voor één alle opgeslagen wachtwoorden van Chrome afgegaan(vind je bij settings).
Dat was een proces van 2 dagen (dubbels verwijderen en niet langer gebruikte accounts deactiveren). Net zoals verhuizen: wanneer je het doet, besef je pas hoeveel rommel je hebt verzameld

qrious 31 augustus 2016 09:30

het is natuurlijk bizar dat ze vier jaar wachten met dit naar buiten te brengen. Maar een lichtpuntje is dat de wachtwoorden en elk geval redelijk beveiligd zijn opgeslagen. Bcrypt is opzich niks mis mee en ondanks dat sha1 verouderd is, gebruiken ze wel een salt. Als elk password een unieke salt heeft maakt dit het brute-forcen van passworden op z'n minst erg tijdrovend. Ik denk dat het gebruik van bcrypt en sha1+salt een van de redenen is dat de passworden nog niet op internetmarktplaatsen staan.

Anoniem: 204567 @qrious • 31 augustus 2016 09:44

Als elk password een unieke salt heeft maakt dit het brute-forcen van passworden op z'n minst erg tijdrovend.

Zeg maar onmogelijk. Ik durf er wel een weddenschap op af te sluiten dat niemand een sha1 hash (met salt) kan brute forcen.

unglaublich @Anoniem: 204567 • 31 augustus 2016 11:43

Het kan wel, dus voordat je iedereen SHA-1 gaat aanbevelen lees je even in.

Anoniem: 204567 @unglaublich • 31 augustus 2016 12:19

Ik zal de daad bij het woord voegen en er zelfs een eenzijdige weddenschap op afsluiten (ik kan alleen iets verliezen, niets winnen).

Hier is de sha1 hash van een Bitcoin private key met 1 BTC er op, gevolgd door een salt:

c1f55b3632d12748e61abd0e3179ab404b5a8edf

Wie het kan brute forcen of anderszins kan kraken heeft automatisch een bitcoin te pakken.

R4gnax @Anoniem: 204567 • 31 augustus 2016 13:54

Wie het kan brute forcen of anderszins kan kraken heeft automatisch een bitcoin te pakken.

Zet er de geschatte kosten van 75K$ tot 120K$ even tegenover ipv één BTC.
Dat het niet rendabel is om te kraken wil niet zeggen dat het niet gekraakt kan worden.

[Reactie gewijzigd door R4gnax op 26 juli 2024 16:14]

Anoniem: 204567 @R4gnax • 31 augustus 2016 15:13

Als ik meer dan 120K$ aan bitcoins zou hebben zou ik dat er ook op durven zetten.

Voor de goede orde: een Bitcoin private key is 256 bit, en met een goede salt is dat nog veel meer entropie, en een sha1 hash is 160 bit. Dus zelfs in theorie is het niet te kraken, laat staan in de praktijk waar je met beperkte rekenkracht te maken hebt.

Wat je in theorie (voor 120K$ aan rekenkracht) kunt genereren is een random string die toevallig bovengenoemde hash oplevert. Mijn private key ga je er nooit uithalen.

(maar ook voor de goede orde: ik realiseer me natuurlijk dat dat iets anders is dan "niemand kan het brute forcen")

[Reactie gewijzigd door Anoniem: 204567 op 26 juli 2024 16:14]

Il Duce @Anoniem: 204567 • 31 augustus 2016 15:44

Ja, dat is dus niet hoe het werkt. Je vraagt nu mensen om een hash van een 256(?) bit bitcoin private key te bruteforcen, en zegt op basis daarvan dat het ook veilig is je wachtwoord 'qwerty123' op deze manier te hashen. Dat is het dus niet.

Anoniem: 204567 @Il Duce • 1 september 2016 11:09

Het is met geen enkele hash of KDF veilig om je wachtwoord 'qwerty123' te hashen. Ook niet met een niet-bruteforcebare hash (zoals sha512) of extreem zware KDF (zeg, scrypt met een vertraging van een factor miljoen). Wachtwoorden uit de lijst van meest veelvoorkomende 100.000 wachtwoorden zijn nooit veilig.

Het is wel veilig om je wachtwoord 'sRFd8Ax3b-E64DpI/on5pL' te hashen, ook met sha1, wat betreft het niet kunnen achterhalen van het wachtwoord.

Het enige wat niet veilig is aan sha1, is dat men gegeven een bepaalde hash, theoretisch (met een flink prijskaartje) in afzienbare tijd een ander password kan genereren wat tot dezelfde sha1 hash leidt (een collision). Waarmee men dus kan inloggen op je account - doch uitsluitend bij deze dienst, en als je hetzelfde wachtwoord ook voor andere diensten gebruikt kennen ze dat wachtwoord nog steeds niet en kunnen ze daar ook niet inloggen.

Nogmaals ik raad niemand sha1 aan en ik zou altijd een sterkere hash gebruiken (zoals sha512 of sha3) met een lange unieke salt per user. Ik wil alleen het vermeende risico nuanceren van gelekte sha1 hashes van passwords. Men denkt soms omdat passwords waren gehashed met sha1, dat de passwords zelf praktisch op straat liggen of makkelijk te achterhalen zijn. Dat is niet zo. Alleen slechte (korte, veelvoorkomende) wachtwoorden zijn te achterhalen, maar dat risico was met een sterkere hash niet veel kleiner geweest, en men kan collisions genereren voor $120K per stuk om op je account in te loggen. Dat laatste is met sterkere hashes niet het geval.

Crazy Harry @unglaublich • 31 augustus 2016 20:35

Brute force gaat je niet lukken, wel heeft het een zwakheid die het kraken sneller maakt dan brute force.
Dus je hebt je wel ingelezen, maar je verwoord het verkeerd

The Zep Man

Netwerk en systeembeheer
Security

31 augustus 2016 07:08

Dropbox raadde in de e-mail ook aan om tweetrapsauthenticatie in te schakelen.

Tweetrapsauthenticatie helpt niet tegen gehackte servers.

Het is een kwalijke zaak dat dit vier jaar lang is stil gehouden. Doordat persoonsgegevens en mogelijk plain text wachtwoorden (via de oude unsalted SHA1 hashes) zijn buitgemaakt had Dropbox dit wel eerder publiekelijk kunnen maken.

TheSec @The Zep Man • 31 augustus 2016 07:28

Wat ik zo geniaal vind aan dit alles, dat er nog gesproken word over proactief. Word eens wakker? De hack was in 2012 we leven nu in 2016 dat is een eeuw in IT land.

Maar nee nee, we proberen proactief te blijven. Zou me niks verbazen als dat ook de reden is dat dropbox 2FA geimplementeerd heeft.

[...]
Tweetrapsauthenticatie helpt niet tegen gehackte servers.

Indien het wachtwoord bekend is en 2FA staat aan kunnen ze nog steeds niet inloggen. Dat is de hele reden er achter. Dat men meerdere websites gebruikt met het zelfde wachtwoord is het probleem daar.

icratox @TheSec • 31 augustus 2016 07:39

Inderdaad, dat proactief lijkt er langzaam aan meer op dat het bedoeld was om wat dingen te verdoezelen. Dit heeft niks meer met proactief zijn te maken, maar met een erg slechte manier van schade beperking. Het is gewoon jammer en zeer kwalijk dat Dropbox op deze idiote manier omgaat met die informatie =/

R4gnax @TheSec • 31 augustus 2016 13:18

Indien het wachtwoord bekend is en 2FA staat aan kunnen ze nog steeds niet inloggen. Dat is de hele reden er achter.

Klopt. Het zou anders zijn als 2FA al had bestaan ten tijde van de hack en de TOTP shared secrets van alle accounts ook buitgemaakt waren. Maar dat is hier niet het geval.

Sylph-DS

@The Zep Man • 31 augustus 2016 11:21

Heb je het artikel gelezen? Alles is gesalt, tevens is SHA1 niet hetzelfde als plain text. Dat gezegd hebbende, ze hadden natuurlijk gewoon meteen open kaart moeten spelen, ongeacht de soort encryptie.

Carlos0_0 31 augustus 2016 07:33

Daarom cloud is leuk alles online, ik bewaar er gewoon niks van waarde in(eigenlijk bewaar ik niks in de cloud).

Plague @Carlos0_0 • 31 augustus 2016 07:54

Tja, tot je huis een keer afbrand. Een off-site backup is in elk geval noodzakelijk voor alle gegevens die je niet zomaar kwijt wil. Of je dat in de cloud of met floppy's doet die je bij een vriend legt maakt natuurlijk niet zoveel uit. Cloud is wat gemakkelijker. Maar ook bij je vriend kan - technisch gezien - ingebroken worden.

Anoniem: 602434 @Plague • 31 augustus 2016 07:58

Heb zelf hiervoor wat mobiele hds gekocht voor bij ouders en schoonouders. Familiefotos ed zijn daarmee veilig opgeborgen

dehardstyler @Anoniem: 602434 • 31 augustus 2016 08:01

En die ga je dan elke keer ophalen om ze daarna weer terug te brengen?

Of je encrypt alles lokaal voor je het upload?

addictive @Anoniem: 602434 • 31 augustus 2016 08:12

Familiefotos zou je juist prima via de cloud kunnen doen, op een rare fetishist na zal daar niemand waarde aan hechte behalve jijzelf

xoniq @addictive • 31 augustus 2016 08:57

Nou dat valt tegenwoordig te betwisten. Het hangt een beetje van het thema af van de foto's.

Anoniem: 535502 @Anoniem: 602434 • 31 augustus 2016 09:01

Dat doe ik ook.
Telkens als ik op bezoek ga, wissel ik de drives.
Het is weliswaar een heel gedoe, maar zo dwing je jezelf ook tot een discipline om je gegevens sowieso te backuppen en er zorg voor te dragen.
Uiteindelijk is dit nog het veiligste systeem, zeker als je al die problemen ziet wat er met de 'cloud' van welke dienst dan ook gebeurt.

nassau @Anoniem: 535502 • 31 augustus 2016 10:13

2 weken geleden kwam schoonzus langs bij me. Zij gebruikte ook externe harde schijven met alles in de backup, niets in de cloud.

Wat blijkt: beide schijven faalden binnen één week. Bij de eerste dacht ze nog: ach ik heb nog een kopie daar kijk ik nog wel naar. Maar die ging dus ook stuk.

Dus nu niets meer. Het was ook niet verstandig van haar om identieke schijven aan te schaffen (en ze waren al meer dan 5 jaar oud). Deze week breng ik ze langs de datarecovery om te zien wat er te redden valt.

Moraal: toch maar extra redundantie inbouwen en ook in de cloud zetten (encrypted). Peace of mind is ook wat waard.

Anoniem: 204567 @Anoniem: 602434 • 31 augustus 2016 09:48

Is het makkelijk om daar wekelijks of zelfs dagelijks backups naartoe te maken?

Dit soort shit wil je automatiseren en niet over na hoeven te denken of zelfs per backup een fysieke handeling voor moeten doen.

Het kan wel, maar dan zou je de harddisks in een NAS bij hun moeten hangen waar jij remote naartoe kunt backuppen.

spawnagain @Carlos0_0 • 31 augustus 2016 07:56

Ik wel. Maar dan in een rar (5) met (lang) wachtwoord. Moeten ze heel wat moeite doen voor mn fotoverzameling.

Op dit item kan niet meer gereageerd worden.

Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te omvatten

Lees meer

IT-banen

Reacties (114)

Sorteer op:

Weergave: