Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet

Door , 67 reacties, submitter: nickurt

Beveiligingsonderzoeker Troy Hunt, bekend van de site HaveIBeenPwned, vond een onbeveiligde MongoDB-database met gegevens van 800.000 Cloudpets-accounts. Verschillende personen hadden zo toegang tot de data inclusief geluidsbestanden, die waren opgenomen met het speelgoed.

Hunt werd op de hoogte gesteld van het lek doordat hij een database met gegevens van 583.000 accounts in handen kreeg, die afkomstig waren van de Cloudpets-dienst van het bedrijf Spiral Toys. Tijdens het verificatieproces kwam hij erachter dat hij een deel van de gegevens in handen had en dat het om in totaal 821.296 accounts ging. De wachtwoorden waren gehasht met het sterke bcrypt-algoritme, maar de dienst stelde geen eisen aan het wachtwoord. Daardoor was een wachtwoord van een enkele letter bijvoorbeeld voldoende.

Vervolgens onderzocht hij de Cloudpets-app, waarbij hij erachter kwam dat deze verbinding maakte met een Amazon-server. De gegevens werden opgeslagen door een Roemeens bedrijf. Hunt kwam erachter dat het mogelijk is om de geluidsbestanden zonder autorisatie te verkrijgen door de locatie ervan te kennen. Bovendien zou het mogelijk zijn om de geluidsbestanden te downloaden door de uitgelekte wachtwoorden te kraken en zo op accounts in te loggen. In totaal ging het om ongeveer 2,2 miljoen geluidsopnames.

De onderzoeker schrijft dat er vier keer geprobeerd is om contact op te nemen met Spiral Toys, maar dat er geen gehoor is gegeven. Ook de Nederlandse beveiligingsonderzoeker Victor Gevers had in december al een poging ondernomen om het bedrijf op de hoogte te stellen, zo blijkt uit een tweet. Hunt verrichte samen met Niall Merrigan, die met Gevers al langer onbeveiligde MongoDB-databases in de gaten houdt, onderzoek naar de betreffende server. Daaruit bleek dat er verschillende malen toegang tot de gegevens was en dat er een poging was gedaan Spiral Toys af te persen door de database te verwijderen en om losgeld te vragen.

Aan de hand van deze bevindingen concludeert Hunt dat het bedrijf op de hoogte moet zijn geweest van het beveiligingslek. In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn en dat het in de ogen van zijn bedrijf om een 'klein incident' gaat. Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"

Door Sander van Voorst

Nieuwsredacteur

28-02-2017 • 08:31

67 Linkedin Google+

Submitter: nickurt

Reacties (67)

Wijzig sortering
Is het vreemd als ik het een goed idee zou vinden dat privacy gevoelig speelgoed ook nog door een derde partij gecontroleerd moet worden inplaats van alleen bij de fabrikant zodat dit soort dingen minder of niet meer gebeuren?

Zoals het er nu voor staat met dit soort speelgoed zou ik het niet aanschaffen omdat ik geen idee heb wie er bij de data kan of hoe goed het beveiligd is.

[Reactie gewijzigd door batumulia op 28 februari 2017 08:45]

Een soort Kema/ISO27000 keur voor speelgoed? Vraag is dan, "wat is privacy gevoelig" (verschilt wellicht per land), en pas daarna kan je ingaan op de beveiligingseisen. Ik kan me voorstellen dat dit voor de producenten een onaanvaardbaar lang traject wordt: de time-to-market wordt dan voor een groot deel afhankelijk van keuringsinstanties.

Neemt niet weg dat bescherming van gegevens meer prioriteit moet krijgen: niet alleen in de speelgoedbranche maar overal. Speelgoed ligt nu even onder vuur, maar telco's slaan voicemails op, auto-fabrikanten met hun connected car weten precies waar de auto is en waar jij bent (dankzij die app op je telefoon), en dan hebben we het nog niet over smart TVs, bonus kaarten, etc...
Bij voorbaat mijn excuses dat ik alleen reageer met links, maar er is dus weldegelijk wetgeving voor:

De Wet Bescherming Persoonsgegevens (zegt niet veel over ICT):
https://autoriteitpersoon...cherming-persoonsgegevens

De Algemene verordening Gegevensbescherming (zegt wat meer over ICT)
https://www.autoriteitper...ening-gegevensbescherming

Die laatste verplicht een zogenaamde bewerkersovereenkomst op te stellen voor alle schakels in de keten. En daar kan dan weer een Service Organisation Control rapport bij helpen:
http://www.isae3402.nl/wat-is-isae3402

Eindgebruikers die een dienst afnemen worden nu een beetje in het diepe gegooid. Enerzijds zijn de leveranciers verplicht om aan de wetten te voldoen. En andererzijds worden ze pas ter verantwoording geroepen als het kwaad al is geschied. Je zoekt dus als endgebruiker naar een stempel vooraf.

Ik heb geen idee of er zoiets als een keurmerk voor diensten is? Tot die tijd moet iedereen gewoon zelf goed opletten :S
Wat mij betreft wordt het de hoogste tijd om directe aparte wetgeving hierover op te nemen. Het is toch raar dat we wél gewoon wetten hebben over fysieke veiligheid maar niet over digitale, terwijl die laatste veel méér schade aan kan richten?
Wijzigingen in wetgeving doorvoeren om ze vervolgens te kunnen handhaven kost nu eenmaal tijd.

De nieuwe wet (AVG) treedt eind mei 2018 in werking. In de periode van overgang van de huidige wetgeving (WBP) naar de nieuwe hebben bedrijven voldoende tijd gekregen om zich voorbereiden op de nieuwe situatie.

Binnen de EU gelden straks, maar in principe reeds nu al, dezelfde wetten en dus dezelfde afspraken.

Binnen Europa maar buiten de EU (dus bv naar Noorwegen, Liechtenstein enz) gelden wel aparte afspraken maar heeft men zich verplicht om de eigen wetten richting de EU wetgeving te schrijven. Vanaf dat moment gelden dus dezelfde wetten omtent privacy in geheel Europa.

Voor de overige landen kkan men terugvallen op een aantal frameworks:
  • het Modelcontract of bewerkersovereenkomst voor de doorgifte van persoonsgegevens - een algemeen contract waarin rechten en verplichtingen omtrent de bescherming van persoonsgegevens benoemd staan
  • EU-US Privacy shield - framework voor het uitwisselen van persoonsgegevens tussen EU en US.

[Reactie gewijzigd door DrClaw op 28 februari 2017 17:39]

Iso27000 is zo lomp dat kleine bedrijven dan per definitie uitgeschakeld zijn. Ik ben voor verplichten van security, maar dit soort regels zijn weer overdreven.
Ik zou zeggen: maak de eisen en de boetes/ maatregelen bij overtreding zo draconisch (en per land op belangrijke punten anders) dat geen enkele fabrikant het nog in zijn kop haalt om speelgoed/ apps te ontwikkelen waarbij gegevens/ opnames van kinderen centraal opgeslagen of benaderbaar zijn.
Dan heb je hetzelfde probleem dat alle kleine bedrijven uitgeschakeld zijn. Enkel de grote fabrikanten zullen dan nog geluidsopnames kunnen opslaan ('voor trainingsdoeleinden').
Ik bedoel juist te zeggen dat het zo ingewikkeld en lastig moet worden gemaakt dat ook grote bedrijven er niet aan beginnen.
Dat werkt niet, want het gaat dus wel lukken op den duur.
Als je het wil verbieden, zeg dat dan gewoon. Dat is het duidelijkst ;)
Wanneer het ze lukt om aan alle eisen te voldoen is er ook geen probleem. :)
geen probleem. :)
Het gevolg: alleen grote bedrijven hebben het geld en de capaciteit om zoiets te klaren. De overgrote meerderheid van kleine bedrijven en hun eventuele innovaties zet je dan "buiten spel" :P

Het gaat niet om lastig/ingewikkeld maken in de wet. Het gaat om correctheid. De juridische gevolgen voor er niet aan voldoen moeten dan ook stevig omhoog. In principe kunnen zware straffen ook al voldoende 'motiverend' zijn om het goed te doen. Daar lijkt het nu niet op, zoals dat met deze Spiral Toys gaat.
Dat is nog maar de vraag.
Beveiliging is GEEN rocket science..., en enige zorgvuldigheid en verantwoordelijkheid voor een product nemen hoort bij het maken ervan.
Omdat Cobalt van die mooie harde kleuren heeft is het enige tijd een populaire kleurstof geweest. Maar het is erg onverstandig om nu nog cobalt in speelgoed te verwerken. ==> afkeur.

Een database neerzetten zonder toegangs ww. is misdadig.!
Dan ontneem je mensen de keuze om dergelijk speelgoed aan te schaffen, terwijl het lang niet in alle gevallen privacy problemen hoeft op te leveren. Onwenselijk wat mij betreft.

Het is simpeler om de verkoop direct aan kinderen zelf te verbieden. Dan krijgen kinderen het niet zomaar in handen en gaat er tegelijkertijd een waarschuwingssignaal uit naar de ouders.
Zolang er geen geluidsopnames worden gemaakt die centraal worden opgeslagen is er ook geen probleem. Waarom zouden geluidsopnames die door speelgoed gemaakt worden bewaard moeten worden?
En zolang veel keurmerken facultatief zijn, of heel makkelijk verkrijgbaar, zegt het nog steeds weinig.
Ik kan me voorstellen dat dit voor de producenten een onaanvaardbaar lang traject wordt: de time-to-market wordt dan voor een groot deel afhankelijk van keuringsinstanties.
Daar heb je op zich best een punt, maar in de huidige situatie wordt de "time-from-market" heel erg kort en bepaald door onafhankelijke beveiligingsonderzoekers en waar die toevallig induiken. Is dat zoveel beter?

Daarnaast, als er geen keurmerk is en de markt wordt overspoeld door prutsers, hoe lang duurt het dan voordat de consument eieren voor zijn geld kiest en al het speelgoed met ingebouwde microfoon simpelweg automatisch laat liggen "want het zal vast wel weer brak zijn"? Ook dat is niet in het voordeel van producenten die wel fatsoenlijke producten leveren.
Tja, bij mobiele apps en games blijf je toch vaak zien dat het snel geld binnen harken is zonder oog voor de mogelijke gevolgen van een houtje-touwtje client-server interface met bijbehorende brakke beveiliging.

Allicht wordt het tijd dat de grote twee(Apple en Google) hier ook eisen aan gaan stellen.
Allicht wordt het tijd dat de grote twee(Apple en Google) hier ook eisen aan gaan stellen.
I'm denk alleen dat het wel heel erg moeilijk en haast ondoenlijk is om ten eerst elke developer helemaal door te lichten en daarnaast eisen dat ze een bepaalde infrastructuur hanteren. Het eisen van Https verbindingen is denk ik het beste wat op dit moment haalbaar is als eis.
Je kunt ze op zijn minst laten instemmen met bepaalde voorwaarden zoals je nu ook moet doen, alleen die voorwaarden uitbreiden om ook database en applicatiebeveiliging te omvatten. Je kunt hier desgewenst een flinke straf aan koppelen.

Op dit moment gebeurt (in ieder geval bij Google Play) precies hetzelfde, je stemt in met voorwaarden en er zal ongetwijfeld steekproefsgewijs worden gecontroleerd of je hier al dan niet aan voldoet.
Probleem is dat HTTPS totaal geen beveiliging is. Ja; het is een zekerheid dat je communiceert met wie je denkt te communiceren. Maar dat je ondertussen met de duivel hemzelve kunt communiceren maakt voor HTTPS geen bal uit.
Zelfs dat weet je niet zeker, want het trustmodel is volkomen waardeloos. Haast elke virusscanner gebruikt lokale MITM attacks om zich in https verkeer te wurmen. Certificate pinning in apps voorkomt dat het met apps ook kan, maar dat gebruiken de meeste ontwikkelaars niet.
Ja ok, als je DPI voor https wil gebruiken zul je een tussenliggend certificaat moeten installeren (wat je virusscanner dan ook doet). Zelfde met corporate firewalls, die kunnen dat ook, maar niet 'zomaar'. HTTPS biedt wel enige bescherming van zichzelf maar het is inderdaad niet waterdicht en het zegt (te) weinig over de partij waarméé je communiceert, en of die de data wel eerlijk behandelen.
Hoezo is het zeker dat je communiceert met wie je denkt te communiceren? Het enige wat je weet is toch dat er een certificaat gebruikt is? Niet of dat het door jou gewenste certificaat is. En je kunt wellicht de geregistreerde naam zien, maar je weet niet of dat de naam is die je zou willen zien.
Dat ligt aan het soort validatie dat gebruikt is bij het uitgeven van het certificaat. Als het een vertrouwde instantie is zal er een bepaalde controle aan vooraf gegaan zijn, afhankelijk van het soort certificaat zijn die controles strikter
Maar als gebruiker weet ik dat toch allemaal niet? Ik ga naar een pagina en zie dat het een https-site is, maar verder heb ik dan geen idee wat voor soort certificaat is en of het de site is die ik wilde bereiken.
Dat klopt, maar als ik Tweakers.net intik in m'n browser verwacht ik dáár ook uit te komen. Als ik Google intik, kom ik bij Google terecht.

Beiden gebruiken HTTPS en m'n browser zegt 'Veilig'. Dan ga ik er van uit dat ik communiceer met wie ik denk te communiceren.

Wat Tweakers of Google vervolgens met mijn data doet, da's een ander verhaal :)

En dan ben ik nog aardig op de hoogte van de techniek van alles. Ik bekijk het nu vanuit een 'gewone' gebruiker die wil browsen, internetbankieren, Google'n, noem maar op.
Maar vaak ben je niet op een site omdat je de url ingetikt hebt, maar omdat je op een link hebt geklikt ergens, in een e-mail of op een pagina. Of via een bladwijzer.

Maar zelfs al tik ik de url in, stel dat ik een foutje maak, of dat Tweakers inmiddels een ander domein heeft. Dan kan de site waarop ik beland een certificaat hebben en https actief zijn. Maar ik kan dan als leek toch niet zien of ik echt met de organisatie te maken heb waarnaar ik op zoek was, de echte Tweakers?

Je moet echt heel precies de url checken, of daar niet net iets geks in staat. En checken dat het domein niet in iemand anders handen is gekomen. Tegenwoordig sturen zelfs ABN en Paypal je naar allerhande domeinen (wat ik heel dom van ze vind), zoals paypal-communications.com en icscards.com en van alles.

Hoe kan een leek makkelijk beoordelen of de site echt beheerd wordt door de organisatie waarnaar hij op zoek is? Volgens mij kan dat niet met het huidige https-systeem. Het enige wat je weet is dat de inhoud van je communicatie met dat domein niet gelezen kan worden door een derde; verder weet je helaas niets zeker.

[Reactie gewijzigd door Cerberus_tm op 1 maart 2017 17:00]

In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn
Alleen weet hij dat niet want er zit geen autorisatie op en dus kan iedereen bij die files. Wat een shitshow weer.. wanneer leren ze het nou eens?
Daar zat wel autorisatie op. Als ik het goed lees moest je wel inloggen (met de gebruikersnaam & wachtwoord dat je uit die mongodb kon halen) voordat je de geluidsbestanden kon downloaden.
Ik lees het als: Als je de locatie van audiobestanden kunt gokken heb je geen login gegevens nodig.
"Hunt kwam erachter dat het mogelijk is om de geluidsbestanden zonder autorisatie te verkrijgen door de locatie ervan te kennen. "
Als er geen vermeldingen in het toegangs-logboek staan kan je dit wel uitsluiten, aangenomen dat andere systemen wel dicht zijn.

En wie is 'ze' trouwens? Dit is een op zichzelf staand bedrijf dat een op zichzelf staande fout maakt.

[Reactie gewijzigd door unglaublich op 28 februari 2017 08:57]

Daarbij ga je er vanuit dat ze wel de moeite hebben genomen om toegangslogging in te regelen.
Het enige dat ik aanneem is dat Mark Myers niet liegt:
Mark Myers beweert dat niets gestolen is. Hij heeft dus een mechanisme om dit te controleren anders is het een leugen. Uitgaande van zijn onschuld (tot het tegendeel is bewezen) is de conclusie dat hij logging heeft.

[Reactie gewijzigd door unglaublich op 28 februari 2017 09:10]

Of: uitgaande van dat iedereen onschuldig is; dan is er pas iets gestolen als iemand opstaat en zegt alle bestanden te hebben.
Mijn aanname is waar met een kans p die ergens tussen de 0 en 1 ligt (zeg, gebasseerd op mijn ervaring 0.9). Jouw aanname is waar met een kans p6e9 en dus praktisch altijd onwaar.
Nou, ik denk dat hij wel liegt, en nog overduidelijk ook: immers, Troy Hunt heeft die gegevens en hij is vast niet iemand die rechtmatige toegang heeft.vEn Mark Myers weet dat Troy toegang heeft.

Blijft de vraag staan: waarom moeten die geluidsopnamen opgeslagen blijven staan? Verwerken en weggooien is toch voldoende? Of wil men straks de kinderen die dit gebruiken gaan doodgooien met gepersonaliseerde reclames?
Of gewoon de gegevens verkopen...
Je gaat toch zelf ook uit van zijn onschuld tot het tegendeel bewezen is. Zo redeneert hij ook over dat er niets is gestolen. Bewezen dat iets gegarandeerd níet gebeurd is is ook altijd velen malen moeilijker dan bewijzen dat iets wél gebeurt is.
Het enige dat ik aanneem is dat Mark Myers niet liegt:
Mark Myers beweert dat niets gestolen is.
Leuke aanname, maar gegeven het volgende
Hunt werd op de hoogte gesteld van het lek doordat hij een database met gegevens van 583.000 accounts in handen kreeg, die afkomstig waren van de Cloudpets-dienst van het bedrijf Spiral Toys.
Hunt verrichte samen met Niall Merrigan, die met Gevers al langer onbeveiligde MongoDB-databases in de gaten houdt, onderzoek naar de betreffende server. Daaruit bleek dat er verschillende malen toegang tot de gegevens was en dat er een poging was gedaan Spiral Toys af te persen door de database te verwijderen en om losgeld te vragen.
heb ik daar "zeer ernstige twijfels over". De claims zijn keihard met elkaar in tegenspraak: (minstens) één van de twee moet ongelijk hebben (en, gegeven de omstandigheden, staat "ongelijk hebben" hier gelijk aan "liegen").

Als je mij vraagt om te kiezen tussen het woord van drie beveiligingsonderzoekers (waarvan minstens één met een solide reputatie) of het woord van één persoon waar ik nooit eerder van gehoord heb, dan neig ik voorlopig toch echt even naar de versie waarin meneer Myers keihard staat te liegen (in de hoop zijn bedrijf te redden).
"Ze" zijn de bedrijven die gevoelige data van klanten opslaan op zo'n manier dat er wel HEUL makkelijk misbruik van gemaakt kan worden.. Als je zonder autorisatie geluidsbestanden binnen kunt halen (je hoeft enkel de locatie te weten, en als die op een logische manier is opgeslagen, dan gooi je er een crawlertje overheen en je hebt ALLES)
Ik geloof echt niet dat ze gaan bijhouden wie (IP-adres) er wel en geen toegang mocht hebben, en ik denk ook niet dat ze dit via een connection broker doen (want dan zou de boel per slot van rekening niet publiekelijk -lees, meerdere IP's- beschikbaar hoeven zijn)
Dus daarom denk ik dat meneer de CEO zich verschuilt achter zijn gebrek aan IT kennis, en er wel degelijk bestanden gedownload (kunnen) zijn door onbevoegde derden, en de detectie ervan niet erg makkelijk zal zijn.
na een boete van 5x de jaaromzet wegens het schenden van privacy van kinderen + 1miljoen euro voor elke maand dat de database nog 'geluidsbestanden bevat zonder explicite toestemming van ouders.
5x de jaaromzet? Bedrijf falliet, inboedel verkocht. Ben je alsnog je geluidsdata kwijt aan een 'data analyse' bedrijf.

Een boete van deel van de jaaromzet, jazeker. Misschien nog iets met nalatigheid.
Ik heb begrepen dat het bedrijf al op omvallen staat (minder dan een halve cent per aandeel lijkt me niet gezond maar ik ben geen econoom ofzo).
5x de jaaromzet? Bedrijf falliet, inboedel verkocht. Ben je alsnog je geluidsdata kwijt aan een 'data analyse' bedrijf.
Klein probleem; die data mag niet zonder meer overgenomen worden. Daar zitten allerlei verplichtingen aan.

Check bijv. http://www.davidslaw.nl/b...oper-van-een-databestand/ over een recente casus in Duitsland, waarvan een zelfde soort tegenwoordig ook in Nederland voorbij zou kunnen komen.

[Reactie gewijzigd door R4gnax op 28 februari 2017 22:20]

Misschien ziet hij gestolen als 'kwijt, niet meer in mijn bezit' :P
Ik denk dat zijn definitie van "gestolen" is dat ze verwijderd zijn. En als je kan kopiëren, waarom zou je dan verwijderen?
Dit soort grappen moeten echt afgelopen zijn. Lekkende apps, software, IOTs, TV,s enz. Dit moet echt niet meer kunnen.

Het is lastig om je software goed te beveiligen, ik weet het, maar ik heb het idee dat het overgrote deel van de bedrijven niet verder gaan dan de standaard beveiliging die met hun development kit komt en niet eens weten in hoeverre hun software (on)veilig is.

"If it compiles, it ships"

Als software developer merk ik ook dat klanten beveiliging twijfelachtig serieus nemen. Aan de ene kant vinden ze het belangrijk, maar dan gaat het vooral om onbelangrijke/triviale zaken. Private keys in apps die zo goed als toegang geven tot een database, beperkte "ownership" checks bij inschieten van relatie-IDs in formulieren, enz.

Het probleem is dat vele frameworks en libraries gewoon onvoldoende "secure by default" zijn omdat software dat wel veilig is, vaak net iets ingewikkelder/onhandig werkt.

Wellicht wordt het tijd voor een echt keurmerk; Een "deze software is veilig" keurmerk. Het probleem hiervan is dat je dit alleen kan "garanderen" met zeer uitgebreide en dure checks in de broncode van de software. Bovendien, bij cloud software die telkens updates krijgt, moet je die beveiliging blijvend vernieuwen. Dure grap.

Daartegen is het wel belangrijk. Software-lekken zijn een serieus issue en in onze data-economie wordt het probleem alleen maar groter en groter.

[Reactie gewijzigd door Gamebuster op 28 februari 2017 08:58]

Wat in dit artikel niet staat (en in die van Troy Hunt niet met zoveel woorden, maar wel wordt geimpliceerd) is het volgende:

De geluidsopnamen waren vrij op te vragen zonder nodige credentials. Echter de URL bevat een GUID, en deze zijn niet echt gemakkelijk te gokken of over te itereren. In het artikel staat echter ook dat de open Mongo database een tabel met 2.2 miljoen records bevat met info over de audio recordings. Ik vermoed dat hierin de GUIDs staan, en het daarna kinderlijk invoudig is om alle geluids fragmenten te downloaden.
In een reactie aan Networkworld liet Spiral Toys-ceo Mark Myers weten dat er geen geluidsopnames gestolen zijn dat het in de ogen van zijn bedrijf om een 'klein incident' gaat. Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"
Laat eigenlijk heel goed zien dat je met een grote boog om dit bedrijf en hun speelgoed heen moet lopen. Ze hebben geen benul van zowel beveiliging als de impact ervan. Vervolgens niet thuis willen geven en de voet stijf houden. Het siert ze in elk geval niet.
De wachtwoorden waren gehasht met het sterke bcrypt-algoritme
Netjes.
Bovendien zou het mogelijk zijn om de geluidsbestanden te downloaden door de uitgelekte wachtwoorden te kraken en zo op accounts in te loggen.
Hmhm, ja, maar erg onwaarschijnlijk dus, immers:
De wachtwoorden waren gehasht met het sterke bcrypt-algoritme
Daardoor was een wachtwoord van een enkele letter bijvoorbeeld voldoende.
Hmja, maar een hacker weet dus niet of je dat ook daadwerkelijk gedaan hebt.
Over het ontbreken van eisen voor wachtwoorden zei hij: "We moeten een balans vinden, hoeveel is te veel?"
Is ook gewoon zo.
Een wachtwoord van 1 letter is met een tooltje natuurlijk binnen seconden gekraakt. Laat dat even los op de gehele database en je hebt in korte tijd alle accounts met dergelijke korte wachtwoorden binnen. Vind het hele verhaal verder niet heel erg sterk - maar de eisen aan een wachtwoord hadden wat sterker gemogen. Anderzijds is dit ook wel weer een stukje verantwoordelijkheid van de eindgebruiker zelf.... Als die een risico wil nemen door een wachtwoord van 1 letter te kiezen, tja. Dan moet die dat misschien ook maar gewoon zelf weten ipv afdwingen van belachelijk complexe wachtwoorden zoals steeds vaker gebeurt (en wat in de praktijk ook niet erg veilig lijkt wegens bekende post-its met wachtwoorden).
Post-its met hele complexe wachtwoorden zijn wat dat betreft vrij veilig vanuit het oogpunt dat jij de enige bent die fysieke toegang tot de post-it heeft. Een fysieke inbraak om jou post-it buit te maken is een significant grotere horde dan een hack. En zeker een stuk minder schaalbaar. Als jij persoonlijk een doelwit bent dan is dat wat anders natuurlijk, maar tegen dit soort datalekken kan je misschien beter post-its met sterke wachtwoord in je bureaula hebben liggen dan een zwak wachtwoord kiezen of wachtwoorden hergebruiken.
Eens. Maar wat ik vooral bedoelde is dat ik vind dat een bedrijf daarin ook verantwoordelijkheid mag leggen bij de eindgebruiker. Vind die een eenvoudig wachtwoord fijner/veiliger dan een ingewikkeld wachtwoord dat op een post-it moet: prima! Maar dan moet diegene niet gaan zeuren als hij/zij gehackt wordt op een wachtwoord van 1 letter... Dat risico heb je dan zelf genomen. Wel vind ik het netjes dat een bedrijf er voor waarschuwt
Maar is het de eindgebruiker duidelijk welk risico er is?
Denkt de eindgebruiker dat hij een gebruikersnaam aanmaakt om enkel highscores op te slaan of weet hij ook dat er geluidsopnames gemaakt en opgeslagen worden?
In het eerste geval blijft een kort/ zwak wachtwoord slordig, maar levert geen risico's op.
De eindgebruiker moet het inderdaad wel logischerwijs kunnen weten. Dus indien niet heel evident moet het bedrijf de eindgebruiker hierop wijzen. En dan bij voorkeur niet middels kleine lettertjes ergens in de algemene voorwaarden, maar gewoon duidelijk.
Dat zijn van die regeltjes die een IT afdeling makkelijk roept, maar waarvan de consquenties erg onduidelijk zijn. Als het puntje bij paaltje komt, wat maakt een verzekeringsmaatschappij of rechter er dan van?

Account A is misbruikt, wachtwoord was dhedheudhe, voldoet niet aan de bedrijfsregels regels dus gebruiker A draait persoonlijk op voor de schade.
Account B is misbruikt, wachtwoord was d!edh4U#he, voldoet wel aan de bedrijfsregels, dus bedrijfsverzekering draait op voor de schade.


Ik geloof niet dat je dergelijke regels zo afgedwongen kunt krijgt. Bedrijven die beveiliging serieus nemen kiezen dan ook vrijwel altijd voor een technische oplossing, zoals een personeelspas die in een kaartlezer gestopt moet worden als extra beveiliging.

Overigens helpen langere wachtwoorden niet zo heel veel. Die gebruiker die hier "1" als wachtwoord had zou bij een 8-karakter eis waarschijnlijk gewoon "11111111" of "12345678" gebruiken. Ik kom dit soort wachtwoorden - helaas - zeer regelmatig tegen.
Klopt. Maar je kunt ook afdwingen dat een wachtwoord minimaal 8 karakters moet zijn met daarin kleine letters, hoofdletter, leestekens en cijfers waarbij opvolgende of gelijke tekens niet na mekaar mogen komen en die niet gelijk mag zijn aan de laatste 8 wachtwoorden. Daadwerkelijk ooit gehad bij een opleidings systeem ergens.... Koos daar in de praktijk maar voor een opvolging van volstrekt random tekens - anders was er niet uit te komen! En dan iedere keer aanvinken dat ik het wachtwoord vergeten was :P Niet te doen!
Klopt. Maar je kunt ook afdwingen dat een wachtwoord minimaal 8 karakters moet zijn met daarin kleine letters, hoofdletter, leestekens en cijfers waarbij opvolgende of gelijke tekens niet na mekaar mogen komen en die niet gelijk mag zijn aan de laatste 8 wachtwoorden.
En dan gaan mensen het op een briefje schrijven en achter hun scherm of onder hun toetsenbord plakken. Wordt daar op gecontroleerd, dan bewaren ze het wel in hun portemonnee. Of ze zetten het in een tekstbestandje op hun privé smartphone die volgeladen zit met lekke apps en malware.

[Reactie gewijzigd door R4gnax op 28 februari 2017 22:27]

Ik heb het artikel van Troy Hunt vanochtend gelezen. Ook al was het een sterk hashing algorithme, door het ontbreken van wachtwoord eisen werd het met een simpele password dictionary eenvoudig om een deel van de gehashte wachtwoorden snel te kraken. Daarnaast bleek de instructive video van de fabricant als voorbeeld wachtwoord "qwe" te gebruiken.

Wat betreft het artikel hier:
Beveiligingsonderzoeker Troy Hunt, bekend van de site HaveIBeenPwned, vond een onbeveiligde MongoDB-database met gegevens van 800.000 Cloudpets-accounts.
Dit is niet helemaal correct. Hij heeft de informatie toegestuurd gekregen van een andere persoon die hem vaker attendeerd op beschikbaarheid van lekken. Wat vervolgens in de tweede allinea goed staat.
Kreeg vanmorgen al een mailtje van You've been Pwned met de melding dat mijn e-mailadres er ook tussen zat. Gelukkig heb ik dat ding vijf minuten gebruikt en alleen om even te testen.

Wel vreemd dat ze zoiets niet goed beveiligen.
Stel als eis dat, indien (speel)goed toegang tot internet heeft de fabrikant aantoont hoe deze gedurende de levensduur van het product de verbinding veilig laat verlopen. Idem eventuele data-opslag, voordat het voordat (speel)goed toegelaten wordt op de (EU-)markt. Dit is waarschijnlijk een uitbreiding van het mandaat van de NVWA en andere instanties.
Ze moeten behoorlijk wat vragen gaan beantwoorden, ben benieuwd. Zie: http://files.troyhunt.com...%20re%20Data%20Breach.pdf

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*