Hackers stalen in 2014 1,7 miljoen inloggegevens van Imgur

Afbeeldingenwebsite Imgur heeft in 2014 te maken gehad met een grootschalige hack, waardoor de inloggegevens van 1,7 miljoen gebruikers buit zijn gemaakt. De beheerders hebben echter pas nu ontdekt dat de gegevens zijn gestolen.

Imgur heeft op zijn website een melding geplaatst waarbij het zijn gebruikers op de hoogte stelt van de hack uit 2014. De gegevensdiefstal was nog niet eerder ontdekt, maar kwam aan het licht nadat de beheerders een e-mail kregen van een niet nader genoemde beveiligingsonderzoeker. Die zou de gestolen gegevens in handen hebben gekregen. Onderzoeker Troy Hunt meldt op Twitter dat hij de gegevens heeft verstrekt.

In totaal zijn de inloggegevens van 1,7 miljoen gebruikers gestolen, een klein deel van de ongeveer 150 miljoen gebruikers die Imgur heeft. Het gaat daarbij om e-mailadressen en wachtwoorden. De afbeeldingenwebsite is nog bezig met het onderzoek naar de hack, maar vermoedt dat de gegevens zijn ontvreemd door een brute force-aanval, waarbij gegevens die beveiligd waren met het verouderde sha-256-algoritme zijn ontvreemd. Inmiddels maakt Imgur gebruik van bcrypt om gegevens te versleutelen.

De gebruikers van wie de inloggegevens zijn gestolen, zijn per e-mail op de hoogte gesteld. Hen wordt verplicht om het wachtwoord aan te passen, zodat de gestolen gegevens dus niet langer functioneren.

IT-banen

Reacties (43)

snerual-bre 25 november 2017 10:25

Sha-256 verouderd, wat heb ik gemist?

wjvds @snerual-bre • 25 november 2017 11:50

SHA-256 is helemaal niet verouderd als hashfunctie op zich - alle eigenschappen voor een goede hashfunctie zijn nog gewoon intact. Het punt is dat een gewone hashfunctie voor wachtwoorden niet ideaal is. Voor veel doeleindes van hashes (zoals bestandsintegriteit) is het goed als een hash een hoge doorvoersnelheid heeft (redelijk makkelijk te berekenen).
Om wachtwoorden op te slaan, is het echter beter om een lage doorvoersnelheid te hebben. Mensen gebruiken vaak slechte wachtwoorden, waardoor je bij te hoge doorvoersnelheid kwetsbaar bent voor dictionary attacks. Als je database dus uitlekt (zoals hier het geval is), kunnen hackers gewoon ieder woord in een woordenboek proberen in afzienbare tijd. Voor veel andere toepassingen van hashes zijn dictionary attacks niet zo relevant, omdat je dan vaak veel meer data tegelijk hasht.
Een bcrypt-hash kost veel meer tijd om te berekenen (denk hierbij aan 1000 keer zo traag als bijvoorbeeld SHA-256), wat dictionary attacks veel moeilijker maakt. Dit betekent gewoon dat je 1000x zoveel rekenkracht nodig hebt om de gehashte wachtwoorden te kraken.

Resultaat: als je gegevens hierbij gehackt zijn en je hebt een wachtwoord dat niet zo gevoelig is voor dictionary attacks (denk hierbij aan meer dan 10 willekeurige tekens) ben je in principe gewoon veilig.

Dus SHA-256 is helemaal niet onveilig in de zin dat bijvoorbeeld collisions makkelijk gevonden kunnen worden - alleen is het niet de juiste soort hash voor wachtwoorden.

vczion @snerual-bre • 25 november 2017 10:33

Bcrypt

Codin the Coder @vczion • 25 november 2017 14:07

Is enige tijd geleden al gesupersede door Argon2.

Tim.k @Codin the Coder • 25 november 2017 14:50

En dat is relevant waarom? Begrijp mij niet verkeerd ik ben een huge fan van Argon2 maar Bcrypt is veilig genoeg voor de komende jaren en de ondersteuning is vooralsnog 100 maal beter.

Relatief gezien maakt Argon2 het echt niet zo veel moeilijker om een wachtwoord te kraken dan Bcrypt omdat het met beide in de praktijk gewoon te veel tijd kost om te kraken en dus de moeite überhaupt niet genomen wordt.

Ik raad daarom voorlopig nog Bcrypt aan omdat het een stuk bekender is, kinderziektes eruit zijn, breed ondersteund en omdat er veel informatie over te vinden is.

Argon2 is mij te nieuw om aan te raden omdat een juiste configuratie belangrijk is, een configuratie die shared webhosters misschien wel bewust kreupel gaan maken om geheugen te besparen. Implementatie is nog te wankel en ontbreekt zelfs compleet in PHP. Bugs die misschien nog komen zoals dat bijv. in Bcrypt is gebeurd waardoor hashes toch niet zo veilig waren als gedacht.

Beter != automatisch veiliger. Ik denk dat je een goede afweging moet maken waar je voor kiest. Niet alleen in dit voorbeeld maar eigenlijk overal want is beter wel echt altijd "beter".

Voor mijn eigen server om te spelen gebruikt ik Argon2 met een zelf gemaakte PHP extensie. Super leuk om mee te spelen maar op productie servers zou ik de overstap vooralsnog niet durven maken.

elmuerte @Tim.k • 25 november 2017 17:19

Vergeet niet elke paar jaar de 'cost' van bcrypt te verhogen. Op dit moment is minimaal 12 aan te raden. Over een jaar of is 13 wel aan te raden. (Note, in bcrypt is cost logaritmisch).

Tim.k @Codin the Coder • 25 november 2017 20:37

Volgens mij leg ik vrij duidelijk uit waarom het niet per se relevant hoeft te zijn dat iets "beter" is.

Wat ik bedoelde met "en dat is relevant waarom" is dat je met je reactie een beetje nonchalant zegt dat Argon2 beter is. Maar waarom zou Argon2 beter zijn?

Als je nou bijvoorbeeld bij dat bericht zou beargumenteren dat Argon2 ook geheugen gebruikt in plaats van alleen rekenkracht dan hadden we er meer aan gehad dan een simpele "hey product x is beter".

Blokker_1999

Hackers
Netwerk en systeembeheer

@snerual-bre • 25 november 2017 10:44

Enkele jaren?

Elk hashing algoritme verliest zijn waarde na enkele jaren omdat computers steeds sneller worden en het steeds eenvoudiger wordt om te gaan brute forcen. Meer complexe berekeningen zijn steeds nodig om die rate naar beneden te halen.

n8n @Blokker_1999 • 25 november 2017 11:11

Het is een doelpaal die eeuwig blijft opschuiven inderdaad. Sterkere hashing kost nu te veel processortijd, maar over 5 jaar niet meer. Hetzelfde geldt voor decryption wat achter de feiten aan hobbelt maar onvermijdelijk een keer bijkomt.

sko @snerual-bre • 25 november 2017 10:38

https://dusted.codes/sha-...assword-hashing-algorithm

JeroenB89 @snerual-bre • 25 november 2017 10:42

Even voor de duidelijkheid, SHA-256 is een prima hashing algoritme, alleen niet heel erg geschikt voor wachtwoord hashing omdat de hashes heel snel berekend kunnen worden en dus gevoelig zijn voor brute force aanvallen.

Coolstart @snerual-bre • 26 november 2017 06:33

sha-256 is nog steeds 100% veilig. Enkel kiezen mensen voor de handliggende of korte wachtwoorden en dan mag je nog sha-512 gebruiken...het blijft onveilig met als mensen eenvoudige wachtwoorden kiezen.

Stel uw wachtwoord is ‘spetter’ dan moet de hacker maar 26⁷ brute force attacks maken om elk 7letterwoord (ascii) af te gaan. In de praktijk vinden ze dat in miliseconden omdat hackers natuurlijk tevoren al eens alle mogelijkheden met 7letters hebben getest. Ook alle woorden die op het internet te vinden zijn hashen ze waardoor ze een gigantische database hebben van miljarden reeds voorberekende sha-256 oplossingen.

Om dit te vermijden moet je natuurlijk een lang wachtwoord kiezen dat bovendien 100% willekeurig is met veel rare karakters zodat de sha-256 oplossing nog niet berekend kon zijn.

Bijvoorbeeld: &2jdj^PawHd^{+#,¥
Dan heb je al pakweg 100¹⁷ mogelijkheden. (Meer dan er zandkorrels op aarde zijn) Dit wachtwoord is dus 100% veilig met sha-256. Het zou immers miljarden jaren duren om dit wachtwoord te kraken via een brute force attack.

Passwoord managers generen dit type van wachtwoorden. Dat is ontelbaar keer veiliger dan ‘DarthVader457’ of ‘jantje1978’ of ‘5745847’.

b4mb03 @Coolstart • 27 november 2017 12:22

Bijvoorbeeld: &2jdj^PawHd^{+#,¥
Dan heb je al pakweg 10017 mogelijkheden. (Meer dan er zandkorrels op aarde zijn) Dit wachtwoord is dus 100% veilig met sha-256. Het zou immers miljarden jaren duren om dit wachtwoord te kraken via een brute force attack.

Shit.. Nu moet ik mijn wachtwoord wijzigen ;-)
Je hebt volkomen gelijk! Eenvoudige wachtwoorden zijn vaak het grootste probleem. Random wat op het toetsenbord rammen met tekens/cijfers en verschillende combinaties zorgen ervoor dat het al lastiger wordt.

sko 25 november 2017 10:24

Voor degene die ook niet wisten dat SHA256 niet goed is om wachtwoorden te beveiligen: https://dusted.codes/sha-...assword-hashing-algorithm

pizzafried @sko • 25 november 2017 13:35

Zeker interessant, maar de vraag die ik nog heb, waarom wordt hier niet gesproken over de pepper? kan de hacker nog wel de gehashte wachtwoord en de salt hebben, zonder de pepper lukt het hem ook niet zomaar.

Tribits @pizzafried • 25 november 2017 14:14

Het gebruik van peppers is niet onomstreden en kent zelfs zekere gevaren: Best Practices: Salting & peppering passwords?

florizzvh 25 november 2017 10:14

het is wel goed dat ze direct actie ondernemen in plaats van de hack geheim houden zoals Uber

Tweakwondo @florizzvh • 25 november 2017 10:17

tja, zij hielden het achter wat verkeerd is natuurlijk maar hadden dit wel door. hier spreken we over een periode van 3 jaar dat ze niets door hadden. In beide gevallen vind ik het zorgwekkend

Verwijderd @Tweakwondo • 25 november 2017 11:47

Ze hadden bij Imgur wellicht nog langer niks doorgaat als die onderzoeker niet aan de gegevens was gekomen en een melding had gedaan... Maar IMHO is Uber erger - Imgur vereist niet perse een echte naam, adresgegevens etc en zelfs de data die ze hebben, kan weliswaar wat over een gebruiker zeggen, maar dat kan ook heel random en nietszeggend zijn... Terwijl Uber veel meer privacy-gevoelige data heeft (naam, rekeningnummer, meerdere locatiegegevens, vervoerspatronen, etc) welke veel breder toepasbaar is.

vinkjb @florizzvh • 25 november 2017 13:31

Direct? 2014 hahaha, 3 jaar later

Boost9898 25 november 2017 22:35

En dit is waarom ik een passwordmanager gebruik. Bedrijven lekken data aan de lopende band. er zouden boetes op moeten staan die duurder zijn dan de beveiliging ervan. Dan denken ze wel twee keer na.

Verwijderd @Boost9898 • 26 november 2017 01:23

Misschien dat ik er ook maar eens gebruik van moet maken. Wat is een goede password manager op MacOSX?

Tristan @Verwijderd • 26 november 2017 04:50

1password

Boost9898 @Verwijderd • 26 november 2017 09:59

Als je een cloud based manager wilt die op alle platforms werkt kan je LastPass gebruiken. Werkt super vriendelijk en heeft vele mogelijkheden om het te beveiligen. Mocht je daar geen goed gevoel bij hebben kan je ook iets gebruiken zoals LessPass, dit is in principe hetzelfde idee maar dan host je het zelf op een (lokale) server.

Vast dat er genoeg alternatieven zijn. Volgens mij had een Nederlandse techsite laatst een bericht/video gepubliceerd waarin ze dit onderwerp behandelen.

toro @Verwijderd • 26 november 2017 10:47

OS X heeft standaard een zeer goede password manager.

Willem_54 @Verwijderd • 26 november 2017 11:15

1Password is wat prijzig maar is zeer uitgebreid. Gratis zijn KeepassXC of MacPass, die werken ook prima op MacOS en Keepass Touch op IOS. Synchoniseren met Dropbox is mogelijk.

Er zijn ook veel commerciële programma’s zoals 1Password, Dashlane enz. Nadeel is dat het geen open source is. Let goed op of er audts zijn uitgevoerd door externe deskundigen.

[Reactie gewijzigd door Willem_54 op 26 juli 2024 00:19]

xs4me @Verwijderd • 26 november 2017 11:30

Misschien nog niet zo volwassen als sommige anderen, maar deze is ook best interessant:
http://masterpasswordapp.com/

Deze slaat geen passwords op maar gebruikt algoritmes om passwords te genereren adhv zelf ingestelde gegevens. Dus ook geen gezeik met een database en cross platform supported.

[Reactie gewijzigd door xs4me op 26 juli 2024 00:19]

Willem_54 @xs4me • 26 november 2017 14:47

Op zich wel een aardig idee, het is een afgeleide van PWDHash. Uit onderzoek is gebleken dat deze methode ook kwetsbaar zijn.

xs4me @Willem_54 • 26 november 2017 15:18

Er is dan ook geen 100% veilige oplossing. De beste is volgens mij nog steeds om je hersenen te gebruiken, maar ook die kunnen corrupt raken :-) Dat is nog wel de manier die ik hanteer en dat gaat al 20+ jaar goed, dan heb je ook geen afhankelijkheid van software wat in bepaalde situaties toch wel erg handig is. Alleen voor complexere passphrases voor een aantal toepassingen gebruik ik KeePassX. Maar dat zijn dan ook zaken die je zelden gebruikt / nodig hebt.

De risico's die je loopt zitten dan ook helaas vooral aan de andere kant, waar je passwords in een grote database wordt opgeslagen die voor hackers interessant zijn. Je zou gaan denken aan een meer decentrale oplossing.

De beste tip die ik daarbij nog kan geven is: gebruik ook wisselende gebruikersnamen / email adressen. Want zonder die combo kunnen ze buiten die hack nog niks.

[Reactie gewijzigd door xs4me op 26 juli 2024 00:19]

lenwar

@xs4me • 26 november 2017 16:15

Als ik het goed begrijp worden er drie factoren gebruikt om hetzelfde wachtwoord te genereren. Nou ben ik geen cryptoloog, maar als je wachtwoorden genereert op een voorspelbare manier is dat volgens mij niet de meest handige manier?

Het idee is wel aardig onder het mom van geen gezeur, maar krijgt iemand nu niet oneindig veel tijd om je master password te gokken zonder ook maar jouw gegevens te hebben na een site-hack?

Stel dat de user database van een site wordt gedownloaded
Je username en de site zijn al bekend. (Twee van de drie factoren)
Je wachtwoord wordt door brute force gekraakt (het antwoord)
Men kan nu je master password door brute force achterhalen (de derde factor)

Dit betekend dus eigenlijk dat je sowieso bij iedere hack van een site je alsnog al je wachtwoorden moet resetten.

luuj 25 november 2017 10:25

De niet nader genoemde beveiligingsonderzoeker is Troy Hunt. Hij prijst Imgur ook voor het snelle handelen nadat hij contact met ze opnam.

Al met al jammer dat er weer account gegevens zijn gelekt maar Imgur geeft wel het goede voorbeeld over hoe ermee om moet worden gegaan.

GateKeaper @luuj • 25 november 2017 14:14

Een beetje vreemde alinea inderdaad, maar volgens mij impliceert het artikel dat zelf ook al.

De gegevensdiefstal was nog niet eerder ontdekt, maar kwam aan het licht nadat de beheerders een e-mail kregen van een niet nader genoemde beveiligingsonderzoeker. Die zou de gestolen gegevens in handen hebben gekregen. Onderzoeker Troy Hunt meldt op Twitter dat hij de gegevens heeft verstrekt.

Dacuuu 25 november 2017 10:34

Nu Imgur weer, als plaatjes dienst vind ik het echt onovertroffen. Snel, makkelijk, en plaatjes direct linkbaar.
Ondertussen zijn er al tig databases gehackt waar ik in sta, gelukkig wel voor elke website een andere username en kompleet ramdom wachtwoord.

foaly 25 november 2017 10:53

Hmm volgens have I been pwned zijn mijn gegevens gelekt, maar heb geen mail van Imgur gehad...

RobbyTown

@foaly • 26 november 2017 09:20

Om direct 1,7 miljoen mensen te mailen vind mail server niet leuk. Gaat in batches dus kan uren duren. Snelle check login en je krijgt wel of geen melding ww aanpassen

[Reactie gewijzigd door RobbyTown op 26 juli 2024 00:19]

Zenomyscus 25 november 2017 11:04

Gelukkig ben ik zover ik weet nog geen slachtoffer van een hack geweest, al vrees ik steeds meer dat het gaat gebeuren met al die accounts die je tegenwoordig nodig hebt. Het jammere is dat je bij veel sites je account niet permanent kunt verwijderen. Zo blijven er tot in den oneindigheid gegevens liggen die al lang niet meer gebruikt worden, maar wel het risico vergroten. Daarnaast is 'verwijderen' bij veel sites ook niet ècht verwijderen. Een 'removed = 1' in de database lost natuurlijk niets op.

PhoenixT @Zenomyscus • 25 november 2017 12:29

Weet je dat zeker? Je kunt het testen met HaveIBeenPwned van de onderzoeker Troy Hunt die ook deze breach gerapporteerd heeft

mbiesheuvel 25 november 2017 17:09

Het mailadres wat ik al bijna 20 jaar heb staat in 9 breaches en een alias in 3. Van mij mogen ze die gegevens hebben. Alle belangrijke website heb ik nu 2fa app op gezet.

Kwam er laatst achter toen ik GTA5 wilde spelen op pc dat in januari 2016 een Serviër mijn account had overgenomen. Had gelukkig nog email afkomstig van rockstar uit die periode waarin dat werd gemeld. Na wat heen en weer gemail had ik binnen 3 dagen mijn account weer terug.
Toen ik vroeg om 2fa werd er gezegd dat ze dat niet konden leveren. Wel apart dat alle andere online games het wel hebben (Blizzard, SW:TOR, GW:2, Origin, EA). Alleen rockstar niet.

Becquerel 25 november 2017 17:07

En wat als je gegevens geleaked zijn en je hebt sinds 2015 je account deleted? krijg je dan ook mail?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (43)

Sorteer op:

Weergave: