Gegevens en privéberichten van Ethereum-forumgebruikers zijn buitgemaakt

Een database met gegevens van 16.431 gebruikers van het Ethereum-forum is buitgemaakt. Naast ip-adressen, gebruikersnamen en e-mailadressen staan forum- en privéberichten in de database. Ook zijn de gehashte wachtwoorden buitgemaakt.

Het Ethereum-project werd op 16 december op de hoogte gesteld van de datadiefstal. Volgens de organisatie betreft het een back-up van een database uit april 2016. De hacker zou zelf melding gemaakt hebben van de inbraak en de persoon zegt dezelfde hacker te zijn die eerder in december omgerekend honderdduizenden euro's aan cryptovaluta wist te stelen van de Chinese investeerder Bo Shen. De hacker claimt door middel van social engineering toegang gekregen te hebben tot een telefoonnummer, waarmee hij toegang kreeg tot een ander account, dat op zijn beurt toegang had tot de back-up van de database.

In de database staan forumberichten, privéberichten, ip-adressen, gebruikersnamen en e-mailadressen, profielinformatie en gehashte wachtwoorden. Het merendeel van de wachtwoorden is met bcrypt gehasht en voorzien van een salt. Zo'n vijftienhonderd wachtwoorden zijn voorzien van een WordPress-hash en salt. Ook zijn er tweeduizend accounts zonder wachtwoord die van een federated login gebruikmaken, bijvoorbeeld via Google of Facebook.

Forumgebruikers waarvan de informatie is buitgemaakt, zijn ingelicht door de organisatie en krijgen per e-mail aanvullende informatie over het lek. Verder zegt het team dat de toegang tot de database onmogelijk is gemaakt en dat het zijn interne richtlijnen aanpast. Zo mogen leden niet langer telefoonnummers gebruiken om accounts te herstellen en moet er encryptie ingezet worden voor gevoelige data. Verder heeft de organisatie alle wachtwoorden van forumgebruikers een reset gegeven.

De beheerders van het forum hebben de e-mailadressen van de gebruikers waarvan de gegevens zijn buitgemaakt, overhandigd aan Troy Hunt, de oprichter van website 'Have I been pwned'. Daar kunnen mensen nagaan of hun gegevens onderdeel zijn van een datalek. Hunt merkt op dat het zeldzaam is dat organisaties zelf de uitgelekte gegevens aan de dienst verstrekken.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 21-12-2016 14:01 25

21-12-2016 • 14:01

25

Lees meer

Cryptovalutabedrijf Tether claimt verlies van 30 miljoen dollar na diefstal
Cryptovalutabedrijf Tether claimt verlies van 30 miljoen dollar na diefstal Nieuws van 21 november 2017
'Berijdersgegevens van 52 leasebedrijven waren toegankelijk via server' - update
'Berijdersgegevens van 52 leasebedrijven waren toegankelijk via server' - update Nieuws van 7 augustus 2017
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
Pas opgerichte Ethereum-alliantie voegt 86 bedrijven toe als leden
Pas opgerichte Ethereum-alliantie voegt 86 bedrijven toe als leden Nieuws van 22 mei 2017
Belgische hacker vindt bugs die verborgen telefoonnummers op Facebook openbaart
Belgische hacker vindt bugs die verborgen telefoonnummers op Facebook openbaart Nieuws van 11 januari 2017
Uitgelekte database lijkt gegevens 1,4 miljoen fetisjsite-accounts te bevatten
Uitgelekte database lijkt gegevens 1,4 miljoen fetisjsite-accounts te bevatten Nieuws van 10 januari 2017
'Gegevens van 1,5 miljoen accounts van e-sportswebsite ESEA verschijnen online'
'Gegevens van 1,5 miljoen accounts van e-sportswebsite ESEA verschijnen online' Nieuws van 9 januari 2017
Spaanse bank gaat ethereum-blockchain als proef inzetten voor transacties
Spaanse bank gaat ethereum-blockchain als proef inzetten voor transacties Nieuws van 20 september 2016
Bitfinex verlaagt bitcointegoeden alle klanten met 36 procent
Bitfinex verlaagt bitcointegoeden alle klanten met 36 procent Nieuws van 8 augustus 2016
Ethereum-community voert hard-fork uit
Ethereum-community voert hard-fork uit Nieuws van 21 juli 2016
Ethereum-blockchain krijgt een hard-fork na hack op The DAO
Ethereum-blockchain krijgt een hard-fork na hack op The DAO Nieuws van 19 juli 2016
Decentrale autonome organisatie The DAO gehackt, Ethereum-blockchain niet
Decentrale autonome organisatie The DAO gehackt, Ethereum-blockchain niet Nieuws van 17 juni 2016
Op Ethereum gebaseerde start-up haalt hoogste crowdfundbedrag tot nu toe binnen
Op Ethereum gebaseerde start-up haalt hoogste crowdfundbedrag tot nu toe binnen Nieuws van 17 mei 2016
Meer producten en artikelen
Netwerk en systeembeheer Datalek Ethereum

Reacties (25)

-Moderatie-faq
25
22
16
0
0
5
Wijzig sortering

Sorteer op:

Weergave:
The Zep Man
21 december 2016 14:34
De beheerders van het forum hebben de e-mailadressen van de gebruikers waarvan de gegevens zijn buitgemaakt, overhandigd aan Troy Hunt, de oprichter van website 'Have I been pwned'. Daar kunnen mensen nagaan of hun gegevens onderdeel zijn van een datalek. Hunt merkt op dat het zeldzaam is dat organisaties zelf de uitgelekte gegevens aan de dienst verstrekken.
Is dit eigenlijk geen privacyschending? E-mailadressen zijn persoonsgegevens, ook in andere landen. Het maakt niet uit of ze eerder door iemand zijn buitgemaakt. Als de beheerders ze opnieuw delen, zijn ze eigenlijk nog steeds fout bezig. Sites als 'Have I been pwned' kunnen er prima zelf voor zorgen dat ze aan (hashes van) e-mailadressen komen.

Volgens mij zijn de gebruikers van dat forum nooit akkoord gegaan met dat hun gegevens op deze manier gedeeld worden. Slordig.

[Reactie gewijzigd door The Zep Man op 31 juli 2024 02:16]

sjongenelen @The Zep Man21 december 2016 14:49
Je adres en woonplaats zijn ook persoonsgegevens.
Daar hoor je ook niemand over, als het bewust wordt geprint in een groot geel boek
The Zep Man
@sjongenelen21 december 2016 15:05
Je adres en woonplaats zijn ook persoonsgegevens.
Daar hoor je ook niemand over, als het bewust wordt geprint in een groot geel boek
Daar hoor je mij wel over.

Bovendien werden de persoonsgegevens alleen aan de Telefoongids toegevoegd als je een vast telefoonnummer had en geen opt-out deed. Er werden daarvoor dus voorwaarden geaccepteerd. Gebruikers van het Ethereum forum zijn niet akkoord geaan met dat de beheerders hun persoonsgegevens mogen delen voor dit doeleinde.

[Reactie gewijzigd door The Zep Man op 31 juli 2024 02:16]

Anonymoussaurus
@The Zep Man21 december 2016 15:09
Het is geen opt-out, het is een opt-in. Je moet aangeven of je erin wilt komen of niet. Als je dit niet aangeeft, kom je er ook niet in. Zie ook mijn bericht hier: Anonymoussaurus in 'nieuws: Gegevens en privéberichten van Ethereum-forumgebruike...
Anonymoussaurus
@sjongenelen21 december 2016 15:07
Ja, maar dat moet je juist aangeven. Als jij in de (online) telefoongids wilt komen, moet je dat aangeven bij je provider.

Zie ook hier: http://www.detelefoongids.nl/static/Privacy_verklaring
1. Verwerking van gegevens opgenomen in de telefoongids
Onze databank bevat persoonsgegevens (waaronder naam, adres en telefoonnummer) van personen die via zijn of haar telecomaanbieder hebben aangegeven in een telefoongids of abonnee-informatiedienst vermeld te willen worden. DTG krijgt de gegevens van de telefoonaanbieders aangeleverd en neemt deze gegevens zonder wijziging op in haar databank.
Dasprive @The Zep Man21 december 2016 17:17
Je kunt een verwerking van persoonsgegevens ook op een andere basis doen dan toestemming, bv op basis van een contract, wettelijke verplichting, vitaal belang betrokkene, gerechtvaardigd belang.

Neemt niet weg dat het hier eigenlijk heel vreemd is: ipv dat allemaal door te geven aan Troy Hunt kunnen ze toch net zo goed de betrokkenen zelf een mailtje sturen??
Vihaio 21 december 2016 15:20
Ook zijn er tweeduizend accounts zonder wachtwoord die van een federated login gebruikmaken, bijvoorbeeld via Google of Facebook.
Om wat voor info gaat het dan? Gebruikersnaam en een link naar het Facebookprofiel/Googleaccount?
Anonymoussaurus
@Vihaio21 december 2016 15:29
Ik neem aan gewoon persoonsgegevens als forumberichten, privéberichten, IP-adressen, gebruikersnamen, e-mailadressen, profielinformatie en gehashte wachtwoorden. Je kunt bij veel websites namelijk gewoon inloggen middels de Google en/of Facebook API. Hier een voorbeeld: http://imgur.com/J3Ct7cF

Doordat je je Google of Facebook account linkt met de desbetreffende website, wordt er gewoon een profiel in de database aangemaakt met bovenstaande gegevens. Om je privacy zo goed mogelijk te waarborgen, is het dus verstandig om zo weinig mogelijk informatie op te geven bij je Google account.
ArcticLight 21 december 2016 14:06
De beheerders lijken adequaat op het lek gereageerd te hebben, zo kan het dus ook.
DarkEagle31415 21 december 2016 14:14
Dit is waarom gebruikers/mensen aware maken minimaal net zo belangrijk als het beveiligen van je systemen. De grootste risico's zitten altijd tussen beeldscherm en rugleuning.

Je kan niet vaak genoeg blijven herhalen hoe belangrijk het is dat mensen bewust moeten worden van de vragen die ze krijgen en de info die men verstrekt. Die awareness wordt vaak als minder belangrijk beschouwd en daarmee loop je enorme risico's.

[Reactie gewijzigd door DarkEagle31415 op 31 juli 2024 02:16]

Starcaz 21 december 2016 14:42
Zo blijkt weer dat mensen vaak de zwakste schakel zijn als het gaat om het beveiligen van systemen.
Kevin-de-Groot 21 december 2016 15:46
Ligt het aan mij, of is het vreemd dat er gebruik wordt gemaakt van meerdere encryptie-methodes?
DJMaze @Kevin-de-Groot21 december 2016 16:04
"WordPress-hash en salt" is gewoon PHPass omdat bcrypt pas in PHP 5.5.0 beschikbaar kwam via password_hash.
Kevin-de-Groot @DJMaze21 december 2016 16:16
Ah, thanks :)
Joostje123 21 december 2016 14:19
Alle data die je opslaat maar encrypten zeker dingen als priveberichten.

Ben benieuwd of tweakers dat ook heeft.
ExIT @xiphoid21 december 2016 21:13
Toch jammer dat MySQL als meestgebruikte database inderdaad encryptie over laat aan de developer. Hierdoor moet het per cell in de tabel. Nadelig bij het selecteren op waarden natuurlijk, want dat kan dan niet meer.

Ook moet je alles telkens encrypten en decrypten, integriteit controleren en creatief zijn bij multiuser access (hoofdkey versleutelen met user key).

Als de database altijd encryptie zou toepassen dan is dat gewoon onderdeel van de procedure. Daarmee beveilig je iedere luie developer zijn werk.

Het nadeel zal zijn dat het trager wordt, het mag immers geen 8gb aan decrypted data memcachen. Ook zal het bij elke call het wachtwoord mee moeten geven zodat MySQL per call intern kan decrypten om selects en dergelijke uit te voeren.

Zomaar wat hard op denken trouwens, maar een interessant concept.
xiphoid @ExIT22 december 2016 09:52
Ik heb op gegeven moment op de forums gewoon de taal phrase aangepast van private msg naar Personal Conversation.
BRAINLESS01 @Verwijderd21 december 2016 14:44
Het ging om een backup van de database. De programmeertaal waarmee de database gevuld is doet er dan niet echt toe...

Zodra je de database in handen hebt, is het natuurlijk een eitje om de data te lezen.
dakathefox @Verwijderd21 december 2016 15:12
Wat een onzin. PHP is gewoon een veilige programmeertaal, mits goed toegepast.
DJMaze @Verwijderd21 december 2016 15:57
Iedereen maakt fouten in alles. Of je nou timmerman, vliegtuigpiloot, programmeur, verkeersdeelnemer, minister, vertaler, reaguurder of karmakeizer Beheer en beveiliging bent.
The Zep Man
@Verwijderd21 december 2016 14:37
Weer PHP :(
Uit het artikel:
De hacker claimt door middel van social engineering toegang gekregen te hebben tot een telefoonnummer, waarmee hij toegang kreeg tot een ander account, dat op zijn beurt toegang had tot de back-up van de database.
Geen programmeertaal gaat je hiertegen beschermen.

Overigens wordt vaak de schuld aan PHP gegeven. Hoewel ik de mening heb dat PHP een bijeengeraapt zooitje van programmeertaalaspecten is dat met duct tape aan elkaar hangt, ligt het bij veel veiligheidsgaten meer aan slordig programmeerwerk. Het maakt niet uit welke programmeertaal je gebruikt, als je niet correct omgaat met gebruikersinvoer dan ga je problemen krijgen.

[Reactie gewijzigd door The Zep Man op 31 juli 2024 02:16]

ArcticLight @SampleUser21 december 2016 15:42
Je moet vandaag de dag dan ook minstens mysqli gebruiken ipv mysql :-)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq