Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties

Een database met gegevens van 16.431 gebruikers van het Ethereum-forum is buitgemaakt. Naast ip-adressen, gebruikersnamen en e-mailadressen staan forum- en privéberichten in de database. Ook zijn de gehashte wachtwoorden buitgemaakt.

Het Ethereum-project werd op 16 december op de hoogte gesteld van de datadiefstal. Volgens de organisatie betreft het een back-up van een database uit april 2016. De hacker zou zelf melding gemaakt hebben van de inbraak en de persoon zegt dezelfde hacker te zijn die eerder in december omgerekend honderdduizenden euro's aan cryptovaluta wist te stelen van de Chinese investeerder Bo Shen. De hacker claimt door middel van social engineering toegang gekregen te hebben tot een telefoonnummer, waarmee hij toegang kreeg tot een ander account, dat op zijn beurt toegang had tot de back-up van de database.

In de database staan forumberichten, privéberichten, ip-adressen, gebruikersnamen en e-mailadressen, profielinformatie en gehashte wachtwoorden. Het merendeel van de wachtwoorden is met bcrypt gehasht en voorzien van een salt. Zo'n vijftienhonderd wachtwoorden zijn voorzien van een WordPress-hash en salt. Ook zijn er tweeduizend accounts zonder wachtwoord die van een federated login gebruikmaken, bijvoorbeeld via Google of Facebook.

Forumgebruikers waarvan de informatie is buitgemaakt, zijn ingelicht door de organisatie en krijgen per e-mail aanvullende informatie over het lek. Verder zegt het team dat de toegang tot de database onmogelijk is gemaakt en dat het zijn interne richtlijnen aanpast. Zo mogen leden niet langer telefoonnummers gebruiken om accounts te herstellen en moet er encryptie ingezet worden voor gevoelige data. Verder heeft de organisatie alle wachtwoorden van forumgebruikers een reset gegeven.

De beheerders van het forum hebben de e-mailadressen van de gebruikers waarvan de gegevens zijn buitgemaakt, overhandigd aan Troy Hunt, de oprichter van website 'Have I been pwned'. Daar kunnen mensen nagaan of hun gegevens onderdeel zijn van een datalek. Hunt merkt op dat het zeldzaam is dat organisaties zelf de uitgelekte gegevens aan de dienst verstrekken.

Moderatie-faq Wijzig weergave

Reacties (25)

De beheerders van het forum hebben de e-mailadressen van de gebruikers waarvan de gegevens zijn buitgemaakt, overhandigd aan Troy Hunt, de oprichter van website 'Have I been pwned'. Daar kunnen mensen nagaan of hun gegevens onderdeel zijn van een datalek. Hunt merkt op dat het zeldzaam is dat organisaties zelf de uitgelekte gegevens aan de dienst verstrekken.
Is dit eigenlijk geen privacyschending? E-mailadressen zijn persoonsgegevens, ook in andere landen. Het maakt niet uit of ze eerder door iemand zijn buitgemaakt. Als de beheerders ze opnieuw delen, zijn ze eigenlijk nog steeds fout bezig. Sites als 'Have I been pwned' kunnen er prima zelf voor zorgen dat ze aan (hashes van) e-mailadressen komen.

Volgens mij zijn de gebruikers van dat forum nooit akkoord gegaan met dat hun gegevens op deze manier gedeeld worden. Slordig.

[Reactie gewijzigd door The Zep Man op 21 december 2016 14:45]

Je adres en woonplaats zijn ook persoonsgegevens.
Daar hoor je ook niemand over, als het bewust wordt geprint in een groot geel boek
Je adres en woonplaats zijn ook persoonsgegevens.
Daar hoor je ook niemand over, als het bewust wordt geprint in een groot geel boek
Daar hoor je mij wel over.

Bovendien werden de persoonsgegevens alleen aan de Telefoongids toegevoegd als je een vast telefoonnummer had en geen opt-out deed. Er werden daarvoor dus voorwaarden geaccepteerd. Gebruikers van het Ethereum forum zijn niet akkoord geaan met dat de beheerders hun persoonsgegevens mogen delen voor dit doeleinde.

[Reactie gewijzigd door The Zep Man op 21 december 2016 15:06]

Het is geen opt-out, het is een opt-in. Je moet aangeven of je erin wilt komen of niet. Als je dit niet aangeeft, kom je er ook niet in. Zie ook mijn bericht hier: AnonymousWP in 'nieuws: Gegevens en privéberichten van Ethereum-forumgebruike...
Ja, maar dat moet je juist aangeven. Als jij in de (online) telefoongids wilt komen, moet je dat aangeven bij je provider.

Zie ook hier: http://www.detelefoongids.nl/static/Privacy_verklaring
1. Verwerking van gegevens opgenomen in de telefoongids
Onze databank bevat persoonsgegevens (waaronder naam, adres en telefoonnummer) van personen die via zijn of haar telecomaanbieder hebben aangegeven in een telefoongids of abonnee-informatiedienst vermeld te willen worden. DTG krijgt de gegevens van de telefoonaanbieders aangeleverd en neemt deze gegevens zonder wijziging op in haar databank.
Je kunt een verwerking van persoonsgegevens ook op een andere basis doen dan toestemming, bv op basis van een contract, wettelijke verplichting, vitaal belang betrokkene, gerechtvaardigd belang.

Neemt niet weg dat het hier eigenlijk heel vreemd is: ipv dat allemaal door te geven aan Troy Hunt kunnen ze toch net zo goed de betrokkenen zelf een mailtje sturen??
Ook zijn er tweeduizend accounts zonder wachtwoord die van een federated login gebruikmaken, bijvoorbeeld via Google of Facebook.
Om wat voor info gaat het dan? Gebruikersnaam en een link naar het Facebookprofiel/Googleaccount?
Ik neem aan gewoon persoonsgegevens als forumberichten, privéberichten, IP-adressen, gebruikersnamen, e-mailadressen, profielinformatie en gehashte wachtwoorden. Je kunt bij veel websites namelijk gewoon inloggen middels de Google en/of Facebook API. Hier een voorbeeld: http://imgur.com/J3Ct7cF

Doordat je je Google of Facebook account linkt met de desbetreffende website, wordt er gewoon een profiel in de database aangemaakt met bovenstaande gegevens. Om je privacy zo goed mogelijk te waarborgen, is het dus verstandig om zo weinig mogelijk informatie op te geven bij je Google account.
De beheerders lijken adequaat op het lek gereageerd te hebben, zo kan het dus ook.
Dit is waarom gebruikers/mensen aware maken minimaal net zo belangrijk als het beveiligen van je systemen. De grootste risico's zitten altijd tussen beeldscherm en rugleuning.

Je kan niet vaak genoeg blijven herhalen hoe belangrijk het is dat mensen bewust moeten worden van de vragen die ze krijgen en de info die men verstrekt. Die awareness wordt vaak als minder belangrijk beschouwd en daarmee loop je enorme risico's.

[Reactie gewijzigd door DarkEagle31415 op 21 december 2016 14:20]

Zo blijkt weer dat mensen vaak de zwakste schakel zijn als het gaat om het beveiligen van systemen.
Ligt het aan mij, of is het vreemd dat er gebruik wordt gemaakt van meerdere encryptie-methodes?
"WordPress-hash en salt" is gewoon PHPass omdat bcrypt pas in PHP 5.5.0 beschikbaar kwam via password_hash.
Alle data die je opslaat maar encrypten zeker dingen als priveberichten.

Ben benieuwd of tweakers dat ook heeft.
Toch jammer dat MySQL als meestgebruikte database inderdaad encryptie over laat aan de developer. Hierdoor moet het per cell in de tabel. Nadelig bij het selecteren op waarden natuurlijk, want dat kan dan niet meer.

Ook moet je alles telkens encrypten en decrypten, integriteit controleren en creatief zijn bij multiuser access (hoofdkey versleutelen met user key).

Als de database altijd encryptie zou toepassen dan is dat gewoon onderdeel van de procedure. Daarmee beveilig je iedere luie developer zijn werk.

Het nadeel zal zijn dat het trager wordt, het mag immers geen 8gb aan decrypted data memcachen. Ook zal het bij elke call het wachtwoord mee moeten geven zodat MySQL per call intern kan decrypten om selects en dergelijke uit te voeren.

Zomaar wat hard op denken trouwens, maar een interessant concept.
Ik heb op gegeven moment op de forums gewoon de taal phrase aangepast van private msg naar Personal Conversation.
Het ging om een backup van de database. De programmeertaal waarmee de database gevuld is doet er dan niet echt toe...

Zodra je de database in handen hebt, is het natuurlijk een eitje om de data te lezen.
Wat een onzin. PHP is gewoon een veilige programmeertaal, mits goed toegepast.
Iedereen maakt fouten in alles. Of je nou timmerman, vliegtuigpiloot, programmeur, verkeersdeelnemer, minister, vertaler, reaguurder of karmakeizer Beheer en beveiliging bent.
Weer PHP :(
Uit het artikel:
De hacker claimt door middel van social engineering toegang gekregen te hebben tot een telefoonnummer, waarmee hij toegang kreeg tot een ander account, dat op zijn beurt toegang had tot de back-up van de database.
Geen programmeertaal gaat je hiertegen beschermen.

Overigens wordt vaak de schuld aan PHP gegeven. Hoewel ik de mening heb dat PHP een bijeengeraapt zooitje van programmeertaalaspecten is dat met duct tape aan elkaar hangt, ligt het bij veel veiligheidsgaten meer aan slordig programmeerwerk. Het maakt niet uit welke programmeertaal je gebruikt, als je niet correct omgaat met gebruikersinvoer dan ga je problemen krijgen.

[Reactie gewijzigd door The Zep Man op 21 december 2016 14:37]

Je moet vandaag de dag dan ook minstens mysqli gebruiken ipv mysql :-)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True