Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek

Mozilla-ontwikkelaar Nihanth Subramanya werkt aan een add-on voor Firefox die gebruikers moet waarschuwen als ze een site bezoeken die een datalek heeft gehad. Die functie moet uiteindelijk in de browser worden opgenomen.

Momenteel toont de add-on alleen dat een site voorkomt op Have I Been Pwned, een project van beveiligingsonderzoeker Troy Hunt waar gebruikers hun gebruikersnaam of e-mailadres kunnen invullen om erachter te komen of die in uitgelekte databases voorkomt, zoals die van LinkedIn of Adobe. De beveiligingsonderzoeker zegt tegen Bleeping Computer dat hij met Mozilla samenwerkt en dat ze kijken op welke manier ze gebruikers kunnen waarschuwen.

Volgens de GitHub-beschrijving van de add-on, genaamd BreachAlerts, is de software een manier om een prototype te maken voor een functie die uiteindelijk direct door de Firefox-browser ondersteund moet worden. Gebruikers die de code nu willen uitproberen, hebben daarvoor de ontwikkelaarsversie van Firefox nodig. De add-on toont nu een waarschuwing die is voorzien van een invulveld. Dat is momenteel niet actief, maar het lijkt erop dat gebruikers daar hun e-mailadres of gebruikersnaam kunnen invullen om er meteen achter te komen of hun gegevens voorkomen in de uitgelekte database van de site.

Het is nog onduidelijk of er meer diensten dan Have I Been Pwned aan toegevoegd worden. De Nederlandse politie zette onlangs bijvoorbeeld een soortgelijke dienst op.

Firefox hibpAfbeelding via Bleeping Computer

Door Sander van Voorst

Nieuwsredacteur

Feedback • 23-11-2017 09:56 31

23-11-2017 • 09:56

31

Lees meer

Firefox 85 krijgt optie voor importeren wachtwoorden vanuit KeePass
Firefox 85 krijgt optie voor importeren wachtwoorden vanuit KeePass Nieuws van 18 januari 2021
Mozilla test wachtwoordbeheerder voor Firefox-logins op iOS
Mozilla test wachtwoordbeheerder voor Firefox-logins op iOS Nieuws van 10 juli 2018
Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins
Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins Nieuws van 26 juni 2018
Estse politie geeft database met 655.000 e-mailadressen aan Have I Been Pwned
Estse politie geeft database met 655.000 e-mailadressen aan Have I Been Pwned Nieuws van 11 juni 2018
HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe
HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe Nieuws van 26 februari 2018
Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard
Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard Nieuws van 22 februari 2018
Mozilla: Firefox 58 kan WebAssembly op pagina's sneller laden
Mozilla: Firefox 58 kan WebAssembly op pagina's sneller laden Nieuws van 18 januari 2018
Mozilla krijgt kritiek om heimelijke installatie promotionele add-on in Firefox
Mozilla krijgt kritiek om heimelijke installatie promotionele add-on in Firefox Nieuws van 17 december 2017
Online discussieplatform Disqus had in 2012 datalek
Online discussieplatform Disqus had in 2012 datalek Nieuws van 8 oktober 2017
Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online
Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online Nieuws van 6 oktober 2017
Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver
Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver Nieuws van 30 augustus 2017
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
Nederlandse politie zet eigen variant 'have I been pwned' online
Nederlandse politie zet eigen variant 'have I been pwned' online Nieuws van 28 juli 2017
Gegevens van 640.000 accounts fontwebsite DaFont liggen op straat
Gegevens van 640.000 accounts fontwebsite DaFont liggen op straat Nieuws van 19 mei 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
Meer producten en artikelen
Browsers Netwerk en systeembeheer Mozilla Firefox Datalek Wachtwoord

Reacties (31)

-Moderatie-faq
31
31
14
3
0
12
Wijzig sortering

Sorteer op:

Weergave:
Maurits van Baerle
23 november 2017 11:45
Hoewel ik het op zich wel een interessant idee vind vraag ik me ook af wat voor gevolgen het heeft voor het gedrag van mensen. Als een site in 2012 een keer in breach heeft gehad en alle bezoekers er vervolgens in lengte van jaren op gewezen worden dat er ooit een breach was dan verandert hun houding ten opzichte van zo'n site, ook al is er al jaren een veel beter security beleid.

Hier in London gebruikt de politie vaak sandwichborden om getuigen van misdrijven te vinden. Uiteraard kan het helpen bij het oplossen van misdrijven maar het zorgt er ook voor dat veel mensen zich minder veilig zullen voelen omdat criminaliteit hoger lijkt dat het is. Zo heb ik een maand een bord voor de deur gehad waar gezocht werd naar getuigen van een steekpartij. Zonder dat bord had ik nooit geweten dat er iemand in mijn straat neergestoken was, nu werd ik er een maand lang iedere dag op gewezen.

Met zo'n functie als dit zul je al snel krijgen dat de meeste grote sites de afgelopen jaren wel eens een lek of lekje hebben gehad en dus zo'n waarschuwing geven. Stompt dat mensen niet af? Of is het goed dat iedereen er altijd van bewust is dat sites nou eenmaal wel eens data lekken? Drijft het mensen niet naar diensten die toevallig nog nooit zijn gehackt omdat ze nieuw zijn? Is het misschien een idee om dit alleen te laten zien bij sites waarvan de breach recent is, het afgelopen jaar bijvoorbeeld? Wat doe je dan met sites waarvan pas jaren later ontdekt wordt dat ze ooit een keer gehackt zijn geweest?

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 18:50]

kodak
@Maurits van Baerle23 november 2017 14:17
Gedragskundigen kunnen hier uitsluitsel over geven maar die lijken zelden bij dit soort projecten betrokken te worden. Die situatie valt onder de terugkerende vraag wat het doel van de waarschuwingen echt is. Een onderwerp dat zich met suggestieve opmerkingen makkelijk laat kapen door uitersten in sociaal en egoistisch denken. Toch is de vraag zeer terecht en vraagt het om een antwoord.

Het prototype van Nihanth Subramanya en het artikel van van Bleeping Computer gaan alleen in op willen informeren. Of die noodzaak er is komt nog niet aan bod en dan is dat niet in overweging genomen of wel maar heeft het geen publieke uitleg. Gemiste kans voor tweakers en bleeping computer door niet in te gaan op het nut en de achtergrond. En waarom dat niet is gedaan maar er wel aandacht voor dit prototype is is ook niet duidelijk. Software ontwikkelen, beveiligingsonderzoek of berichten brengen om te informeren kan iedereen. De moeilijkheid zit in het willen en kunnen brengen van diepgang. Voorlopig is die er niet en bij Mozilla lijkt er ook geen signaal te zijn dat dit prototype van Catalin Cimpanu of de discussie waar Troy Hunt het over heeft serieuze doelen zijn binnen Mozilla.
robvanwijk
@Maurits van Baerle23 november 2017 15:42
Hoewel ik het op zich wel een interessant idee vind vraag ik me ook af wat voor gevolgen het heeft voor het gedrag van mensen.
Vergeet de gevolgen voor het gedrag van websites niet! Nu laat je je hacken, de gegevens van een miljard accounts (desnoods met plaintext wachtwoorden) lekken uit en je komt er vanaf met twee dagen media-aandacht die iedereen meteen weer vergeten is. Met dit systeem is het risico dat je klanten verliest (en/of geen nieuwe krijgt) een heel stuk groter.
En ja, er zijn een boel problemen mee. Ons strafrecht heeft de schandpaal al heel lang geleden afgeschaft, maar als je waarschuwingen gaat geven met als doel slecht beveiligde sites te straffen, dan is dat wel waar je eigenlijk mee bezig bent. Ook lijkt het wel erg veel op voor eigen rechter spelen.
Is het misschien een idee om dit alleen te laten zien bij sites waarvan de breach recent is, het afgelopen jaar bijvoorbeeld? Wat doe je dan met sites waarvan pas jaren later ontdekt wordt dat ze ooit een keer gehackt zijn geweest?
Een jaar vanaf het bekend worden (niet het plaatsvinden) van de hack zou ik zeggen. Dan weet je zeker dat iedereen (die minstens één keer per jaar bij een bepaalde dienst inlogt) op de hoogte is gebracht.

Voor de rest van je vragen (en degene die ik net zelf toevoeg), kan ik je helaas ook geen antwoorden geven.
Derk S @Maurits van Baerle23 november 2017 15:42
Misschien ook wel interessant als een soort motivatie voor websites om iets extra's te doen aan security zodat ze hun "naam kunnen hooghouden".
cracking cloud 23 november 2017 10:09
1 van de dingen die ontwikkeld is tijdens een wedstrijd die Troy laatst hield was een extensie voor Chrome. Daarmee kan je op een website checken of je inloggegevens zijn gelekt. Dit idee van Mozilla zal daar wel van afgeleid zijn.

Chrome store en source code.

[Reactie gewijzigd door cracking cloud op 22 juli 2024 18:50]

biglia @cracking cloud23 november 2017 14:19
Dit idee van Mozilla zal daar wel van afgeleid zijn.
Het is geen idee van Mozilla. Het is een idee van een ontwikkelaar van Mozilla. Waarschijnlijk handelt hij uit eigen initiatief als soort hobbyproject. Hij moet daar mee oppassen.
robvanwijk
@biglia23 november 2017 15:08
Hij moet daar mee oppassen.
Waarom, wat is het (mogelijke) probleem waar je bang voor bent?
Phyxion @cracking cloud23 november 2017 13:07
Met behulp van de Chrome Store Foxified addon kan je die extension ook gebruiken in Firefox. Heb het getest en het werkt :)
CAPSLOCK2000
23 november 2017 11:59
Mooi idee, maar het kan groter!
Ik hoop dat ze een generiek mechanisme opzetten dat niet gebonden is aan één site (zoals Have I Been Pwned) maar gebruik kan maken van verschillende bronnen. Partijen als Microsoft, Firefox, Have I Been Pwned en de Nederlandse politie kunnen dan allemaal hun eigen lijst publiceren van sites die ze niet vertrouwen.

Als gebruiker kun je dan kiezen welke bronnen jij vertrouwt en wat er dan moet gebeuren. BV "Blokkeer een site volledig als die op drie lijsten staat, maar geef een waarschuwing als een site maar op één lijst staat."

Door met verschillende lijsten te werken kunnen we ook het probleem opvangen dat bedrijven niet moeten worden afgerekend op een fout van 10 jaar geleden als ze daarna hun leven hebben gebeterd.

Om het helemaal fancy te maken kun je nog wat AI gebruiken om slim meerdere lijsten te combineren zoals SpamAssassin dat doet met spam blacklists, zodat je meer of minder waarde aan een bepaalde lijst kan geven naar gelang je eigen behoeftes en ervaringen.
jimshatt @CAPSLOCK200023 november 2017 12:25
Het gaat er niet zozeer om dat de site niet te vertrouwen is (phishing sites en andere malafide sites), maar dat de site ooit eens gehackt is, en je wachtwoord dus misschien op straat ligt. Maar inderdaad, meerdere bronlijsten zijn natuurlijk altijd goed.
bartje 23 november 2017 10:01
goede zaak,
echter lijkt me het intypen van e-mail en wachtwoord niet echt noodzakelijk indien de gebruiker er eerder voor gekozen heeft de credentials op te slaan in de browser.
in dat geval zou dit gedeelte automatisch moeten kunnen.
Wannial @bartje23 november 2017 10:09
Dit lijkt me zeer onwenselijk, een add-on heeft niets te zoeken in de opgeslagen wachtwoorden van mij browser!
mjz2cool @Wannial23 november 2017 10:12
wachtwoord kun je dan ook niet zien en is niet nodig, alleen je mailadres/username is dan nodig. of je het nou zelf invult of dat het automatisch gaat maakt dan niet uit

[Reactie gewijzigd door mjz2cool op 22 juli 2024 18:50]

prutsger @bartje23 november 2017 11:51
Dan zou er ook bij de add-on bekend moeten zijn wat het id van het veld is, en een website kan dat aanpassen of zelfs dynamisch maken. Dus ook lastig te implementeren.
The.Terminator 23 november 2017 11:35
Oke, maar hoelang geeft die add-on de melding ?

Bijvoorbeeld dat een site 10 jaar geleden een datalek heeft gehad in een bepaald stukje software, word de melding dan nu nog gegeven (terwijl men al tig malen andere software heeft draaien) ?

Dit om te voorkomen dat er altijd een label aan je site blijft hangen.
sspiff @The.Terminator23 november 2017 12:53
Of die lek lang geleden is en reeds gedicht is, maakt weinig uit. Je gegevens zijn gestolen en die veranderen zelden of niet.
The.Terminator @sspiff23 november 2017 13:22
Ik bedoel het meer zoals de reactie van Maurits (laatste stukje) : Maurits van Baerle in 'nieuws: Mozilla-ontwikkelaar test Firefox-notificatie ...

Zo'n label kan je blijven achtervolgen!
robvanwijk
@The.Terminator23 november 2017 15:19
Zo'n label kan je blijven achtervolgen!
Met andere woorden: echte consequenties als je je beveiliging niet op orde hebt. Gegeven het aantal enorme hacks, vooral ook bij bedrijven die toch echt beter zouden moeten weten... Is dat niet juist goed? Als dit de truc is om ontwikkelaars wakker te schudden...

En ja, ik zie het probleem dat het wel erg veel lijkt op voor eigen rechter spelen, maar alle andere oplossingen (voor iets wat overduidelijk een serieus probleem is) hebben totaal niet gewerkt... Ik zou ook liever een alternatief zien, maar zelfs zeer hoge boetes zijn kennelijk goedkoper dan beveiliging correct implementeren en een bedrijf kun je nou eenmaal niet in de cel gooien.
The.Terminator @robvanwijk23 november 2017 15:46
Dat klopt ALS je het niet op orde hebt.
Maar als je het probleem hebt opgelost dan kan het je blijven achtervolgen (want in de tekst staat heeft gehad). Zou het dan niet beter zijn dat het na X jaren "verjaard" indien men nu de zaakjes WEL goed op order heeft ?
RobbyTown @The.Terminator23 november 2017 14:13
Dat niet alleen. Z'n beetje elke website krijgt dan een label/melding als je ziet de afgelopen tijd is er nogal wat gehackt. Tweakers is een van de weinige die geen hack heeft gehad :Y) .
Alex3 @The.Terminator24 november 2017 08:57
Wie zijn wachtwoord heeft veranderd hoeft de melding niet meer te zien. De wachtwoordbeheerder houdt bij wanneer de laatste wijziging heeft plaats gevonden.

[Reactie gewijzigd door Alex3 op 22 juli 2024 18:50]

NanoSector 23 november 2017 11:38
Goede add-on, de uitvoering lijkt me alleen niet handig. Nu lijkt het alsof je zonder reden een emailadres in moet vullen. Bovendien kan de Have I Been Pwned site alles in 1x checken en lijkt het me dus ook niet handig om per site te checken, zet dan een knop neer om alles te checken en laat alleen een "hey, deze site is recent gehackt" zien.
jimshatt @NanoSector23 november 2017 12:22
Haha, ja dat dacht ik ook. Dit lijkt op een 'JE HEBT EEN VIRUS KLIK HIER OM JE PC SCHOON TE MAKEN!!!'-attack :D
robvanwijk
@NanoSector23 november 2017 15:21
de uitvoering lijkt me alleen niet handig
Dit is de allereerste versie; voordat het standaard in Firefox wordt opgenomen zullen de details echt nog wel verbeterd worden.
NanoSector @robvanwijk23 november 2017 16:50
Nee dat snap ik goed, er zal heus nog wel aan gewerkt worden en dit is eigenlijk ook nog maar een proof of concept maar dit is wat me in eerste instantie opviel :) misschien had ik beter kunnen zeggen "Deze uitvoering".
Sorcix 23 november 2017 10:04
Dat een Mozilla developer er uiteindelijk voor moet kiezen om een legacy addon te schrijven maakt wel weer pijnlijk duidelijk hoe beperkt de nieuwe webextensions API is.
EraYaN @Sorcix23 november 2017 10:33
Lees vooral de REAMDE.md even in het GitHub repo. Het is puur voor portability naar mozilla-central.
catfish @EraYaN23 november 2017 11:17
Feit is dat de "nieuwe" api veel meer beperkingen heeft.
jimshatt @catfish23 november 2017 12:21
Dat was ook gedeeltelijk het doel. De beperkingen zorgen ervoor dat de extensies beter performen en minder veiligheidslekken veroorzaken.

De situatie nu is niet perfect. Als je het mij vraagt is het gewoon nog niet af genoeg. Maar ik denk dat als het stof gezakt is, de verbeteringen positief zullen zijn.
Frenziefrenz @EraYaN23 november 2017 11:49
Vrij vertaald met negatieve insteek: zelfs wanneer de "je moet Chrome worden om Chrome te verslaan"-attitude oppervlakkig gezien acceptabel lijkt, bestaan er nog extra onvoorziene problemen. Bv. het moeilijker maken om een prototype te mainlinen. O-)
kodak
23 november 2017 13:49
Ik vraag me af of hij er zelfs maar over na gedacht heeft dat er ook security keerzijden aan zijn ontwerp zitten. De onderzoeker/ontwikkelaar stapt met dit ontwerp af van privacy by design en werkt daarmee niet in lijn met de ontwikkeling binnen Mozilla. Ook is volstrekt onduidelijk wat hij met die waarschuwingen wil bereiken behalve waarschuwen.

Troy Hunt van Have I been powned heeft er weinig behoefte aan om het (beperkte) lijstje van domeinen als geheel publiek te delen en heeft liever dat je zijn API gebruikt zodat hij inzicht krijgt in waar interesses liggen in zijn (hier illegale) verzamelingen persoonsgegevens.

Niet bepaald een prettig idee dat een partij als Have I been powned hiermee volledig inzicht krijgt in welke domeinen je wanneer hebt bezocht voor een weinig zeggende waarschuwing.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq