Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MyFitnessPal vraagt 150 miljoen gebruikers wachtwoord te veranderen na datalek

Fitnessbedrijf Under Armour heeft via een mailing en in-app meldingen aan zijn 150 miljoen gebruikers gevraagd om het wachtwoord te veranderen na een datalek. Het bedrijf heeft geconstateerd dat een of meerdere personen de database zijn binnengedrongen.

In die database staan wachtwoorden die het bedrijf had versleuteld met het veilig geachte bcrypt en het verouderde sha-1, meldt Under Armour in een faq over het datalek. Andere accountinformatie, zoals betaalinformatie, stond in een andere database en daar konden de kwaadwillenden niet bij.

Under Armour ontdekte het datalek afgelopen zondag. Inmiddels heeft het bedrijf een onderzoek ingesteld hoe het kan dat kwaadwillenden konden inbreken in de database en hoe het zulke incidenten in de toekomst kan voorkomen. Het bedrijf adviseert gebruikers niet op links te klikken in mailings om phishing te voorkomen en benadrukt dat MyFitnessPal-mails geen links bevatten. Alle gebruikers moeten voor de zekerheid hun wachtwoord veranderen.

Door Arnoud Wokke

Redacteur mobile

30-03-2018 • 06:47

74 Linkedin Google+

Submitter: Blaffeh

Reacties (74)

Wijzig sortering
In die database staan gebruikersnamen en e-mailadressen die het bedrijf had versleuteld met het verouderde sha-1, meldt Under Armour in een faq over het datalek.
Dat slaat nergens op. Uit de FAQ:
What hashing function was used to protect the MyFitnessPal account information that was not protected by bcrypt?

The MyFitnessPal account information that was not protected using bcrypt was protected with SHA-1, a 160-bit hashing function.
In de aanname dat ze de originele persoonsgegevens nodig hebben (e-mailadres, etc.) gaan ze niet een one-way hash function gebruiken om dat te beschermen.

Verder uit de FAQ:
What information was affected by this issue?

The affected information included usernames, email addresses, and hashed passwords - the majority with the hashing function called bcrypt used to secure passwords.
Dus gebruikersnamen en e-mailadressen liggen op straat. Verder lijkt het erop dat oude wachtwoorden enkel als SHA-1 hash werden opgeslagen, wat kwalijk en misschien zelfs nalatig is. Van deze wachtwoorden moet aangenomen worden dat die ook op straat liggen.

Het is prima mogelijk om oude wachtwoorden opgeslagen als enkel SHA-1 toch te voorzien van nieuwe beveiliging door voor bcrypt de SHA-1 hash te zien als de input bij het ontbreken van het plain text wachtwoord (die beheer niet heeft en niet zou moeten hebben), zeker als je controle hebt over de end-points (de applicatie/web-interface) waardoor je kan bepalen hoe het wachtwoord client-side wordt versleuteld en aangeleverd.

[Reactie gewijzigd door The Zep Man op 30 maart 2018 08:42]

Wat verder ook een manier is om hashes te veranderen, is door ze te rehashen direct na een login.
Maar dan hou je onveilige wachtwoorden totdat een gebruiker een keer opnieuw heeft ingelogd. Je kunt het natuurlijk wel gebruiken om te switchen van nieuwe_hash(oude_hash(wachtwoord)) naar gewoon nieuwe_hash(wachtwoord)
Maar dat zal in de software wel aardig wat werk zijn, omdat je na de bcrypt decryptie de sha-1 hash moet herkennen en dan weer moet decrypten. Want op het moment dat iemand zijn "oude" wachtwoord invoert, hoe ga je er voor zorgen dat het oude wachtwoord gelinkt wordt met de nieuwe bcrypt hash? Immers staat de SHA-1 hash niet meer in de database omdat hij weer doorversleuteld is met bcrypt. De enige manier om dan nog je wachtwoord in te vullen is door de hele SHA1 hash in het wachtwoordvenster in te voeren, en die heb je niet, toch? 8)7

Lijkt me niet makkelijk te implementeren.

Ze hadden alle oude wachtwoorden uit de database moeten halen en iedereen met een oude wachtwoord via 2-factor/email het wachtwoord laten resetten die niet binnen x aantal weken het wachtwoord handmatig gewijzigd hebben na het invoeren van bcrypt.

Stuur ze een email dat je je wachtwoord moet wijzigen binnen een aantal weken anders wordt je account tijdelijk onbruikbaar na het verlopen en moet je je wachtwoord resetten(omdat de hashes uit de database getrokken zijn). Dat is hoe ik het gedaan zou hebben in ieder geval :).

[Reactie gewijzigd door NotCYF op 30 maart 2018 18:44]

Het is heel simpel. Bij het account sla je op hoe het wachtwoord gehasht is. In eerste instantie zijn alle wachtwoorden gehasht met sha1, dus de hash is sha1(wachtwoord) (ik negeer nu voor het gemak de salt, maar dat toevoegen is triviaal). Dan wil je de boel extra beveiligen, dus haal je overal bcrypt overheen. Elke hash is dan dus bcrypt(sha1(wachtwoord)).

Als een user inlogt, controleer je het wachtwoord door bcrypt(sha1(wachtwoord)) uit te rekenen en dat te vergelijken met wat je in de database hebt staan. Is dat correct, dan kan de user dus ingelogd worden en beschik je op dat moment over het in plain text ingevoerde wachtwoord van de gebruiker. In de database kun je dan vervolgens bcrypt(wachtwoord) opslaan, alsmede het feit dat je nu alleen nog bcrypt gebruikt voor die user.

Decrypten doe je sowieso niet, hashing is geen encryptie. Een goede cryptografische hashfunctie is niet omkeerbaar. Je controleert bij het inloggen of de hashes matchen, niet of het originele wachtwoord klopt want die is praktisch onmogelijk terug te halen bij goedgekozen wachtwoorden.

[Reactie gewijzigd door .oisyn op 30 maart 2018 21:12]

Dat is een goed punt, dan is jouw oplossing een goed idee.
Ja, verrek, je hebt gelijk! Ik heb het meteen gefixt :)

*pakt koffie*

[Reactie gewijzigd door arnoudwokke op 30 maart 2018 07:58]

Schijnbaar word er dus niets verwijderd op het moment dat je je account bij MyFitnessPal verwijderd?

Account tijden geleden al verwijderd, maar ontving ook de mail van MyFitnessPal. Wat moet ik me daar nou bij voorstellen? Weet zeker dat ik daar een uniek wachtwoord heb gebruikt, maar dit zit me toch niet helemaal lekker.

Van de MyFitnessPal website:
In order to delete your account, you will need to sign in online at www.myfitnesspal.com. Mobile app users should log in using the same username and password they use in the app.

Once you’ve logged in, click “My Home” then “Settings” then “Delete account.”

Please note if you delete your account it cannot be recovered. If you decide to try MyFitnessPal again, you’ll need to choose a new username the next time. Please also note it may also take our outbound email system up to 72 hours to remove you from our email rotation.
Schijnbaar word er dus niets verwijderd op het moment dat je je account bij MyFitnessPal verwijderd?

Please note if you delete your account it cannot be recovered. If you decide to try MyFitnessPal again, you’ll need to choose a new username the next time. Please also note it may also take our outbound email system up to 72 hours to remove you from our email rotation.[/i]
Juist omdat je een NIEUWE gebruikersnaam moet kiezen, kan al verraden dat je data niet weggedaan wordt.
Net zoals je bij de emaildiensten in de meeste gevallen een emailadres niet kan hergebruiken.
( Ziggo doet er iig best moeilijk over, Gmail verloopt al nooit )
Is dat niet mede om identiteitsfraude te voorkomen? Als ik jouw e-mailadres kan registreren, dan krijg ik oude mails die nog voor jou bestemd zijn. Ik vind het dan ook handig dat Ziggo die adressen blokkeert, en kan me ook niet voorstellen dat Ziggo de data daarachter zou bewaren.
Is dat niet mede om identiteitsfraude te voorkomen? Als ik jouw e-mailadres kan registreren, dan krijg ik oude mails die nog voor jou bestemd zijn. Ik vind het dan ook handig dat Ziggo die adressen blokkeert, en kan me ook niet voorstellen dat Ziggo de data daarachter zou bewaren.
Ik vind het ook prima ( in het geval van Ziggo ) daar niet van.
Ik had het toevallig toen ik weer 'terug' kwam een aantal jaar geleden, mijn oude mail-adres bleek "in gebruik"
Even contact opgenomen met de helpdesk, en na een korte periode van overleg over en weer, mocht ik ( bij uitzondering ) de oude mail weer in gebruik nemen.
( natuurlijk geen idee of het echt uitzondering was ;) )
Maar inderdaad was er géén oude mail meer in het account te vinden, wat ook niet erg was.
Wel kreeg ik een brief dat ik het terug gekregen had, alleen maar omdat ik op hetzelfde (huis)adres woonde, wat ook ten tijde van de oude situatie zo was.

Ik vond het toen iig een goede oplossing ( want ik was er mee geholpen )
Juist omdat je een NIEUWE gebruikersnaam moet kiezen, kan al verraden dat je data niet weggedaan wordt.
Dat vind ik wat kort door de bocht. De enige conclusie die je kunt trekken aan de hand van dat stukje is dat ze je gebruikersnaam dus bewaren, niet per se de rest van je accountgegevens.
Tja, afgelopen week voor de grap mijn inlognaam op Facebook geprobeerd, welke ik in 2014 had laten verwijderen.
In plaats van een "nieuw account aanmaken" of "deze naam is niet geldig" kreeg ik - 'druk hier voor een wachtwoordreset'

Binnen een paar minuten was mijn volle profiel weer online, inclusief contacten en gemiste berichten.

Niet elke instelling verwijderd achterliggende data na een verzoek tot verwijderen .... DAT wilde ik er mee aangeven
Ook kwalijk: het wijzigen van het wachtwoord invalideert niet alle ingelogde devices, en ik zie ook nergens een mogelijkheid om overal uit te loggen
Een heel valide punt, maar je hebt gelukkig een kans van 1 op 150 miljoen dat jij nu ingelogd bent op een device van de hackers. Of hoeveel sessies ze tegelijk open (kunnen) hebben staan dan.
Wat mij niet duidelijk wordt in de publicatie is hoe het zit met de Facebook Login. Je kunt MyFitnessPal koppelen aan je Facebook. ZIjn die gegevens ook buitgemaakt? Of niets aan het handje?

Slechte publicatie en uitleg IMHO.

https://content.myfitness...rity-information/FAQ.html
In dat geval weten ze hooguit jouw facebook gebruikersnaam. Facebook logins (en google / microsoft / etc.) logins lopen via OAuth of een vergelijkbare techniek. Ik als site beheerder koppel Piet zijn account aan Piet zijn facebook gebruikersnaam / token / whatever. Op mijn login pagina toon ik een "log in met facebook" knop, welke je doorstuurt naar de facebook login pagina (gehost door facebook). Als je daar succesvol op inlogt (of al ingelogd bent) dan krijgt mijn site een bericht van facebook met daarin de gebruikersnaam / token / wathever die ingelogd is, deze vergelijk ik met mijn lijst met gebruikers en ik weet wie er is ingelogd. Zolang je geen wachtwoord bij myfitnesspal hebt hoef je dus niets te doen.
Ik vroeg mij precies hetzelfde af. Ik heb totaal geen kennis over hoe dit soort registraties verlopen. Ik zou denken dat er een koppeling maar Facebook gemaakt wordt zonder wachtwoord. Alleen een 'ok' van Facebook voor wat gegevens. Maar wellicht dat er iemand anders ervaring heeft met het inloggen op deze manier en in hoeverre er dan ook wachtwoorden worden opgeslagen. Zou ergens ook wel gek zijn als je Facebook gebruikersnaam dan nu ook opeens op straat zouden liggen.
Hier wordt alleen ingelogt bij facebook. De dienst krijgt de inloggegevens nooit in handen, enkel een accestoken die bevestigt dat jij je hebt aangemeld bij facebook. De gegevens die gedeeld worden verschijnen in het scherm na het inloggen, wanneer gevraagt of de dienst toegang mag krijgen tot bijvoorbeeld de naam, emailadres en vrienden.

Facebook login (OAuth)
Duidelijk, wat ik al dacht alleen wat specifieker uitgelegd. Merci!
Dank voor de uitleg!
Ik heb geen melding gehad terwijl ik deze app al jaren gebruik..
Ik had hem in mijn spambox zitten.
Ook gekeken, geen email. Ook in de app krijg ik geen melding..
Je logt in via google/facebook ?

Want dan val je niet hieronder
Nee email/password.
Dan heb je wat te doen vandaag ....
al jouw logins nalopen en veranderen waar nodig ... gelukkig hebben we een lang weekend voor de boeg
Ik wel maar had nog nooit van deze site gehoord... Ik heb mijn wachtwoord toch maar veranderd. Misschien waren ze bekend onder een andere naam.
Haha. Net even die FAQ bekeken. In de FAQ staat dat in de e-mail die gebruikers ontvangen geen link staat waar je gevraagd wordt om op te klikken en voor de zekerheid staat er een verwijzing naar hoe de mail er precies uit hoort te zien. En wat staat er in die mail? Een link naar deFAQ. Maar niet op klikken hoor :? |:(
Mogelijk is die mail verstuurd als plain text, en kan de link enkel gekopieerd/geplakt worden. Dat zou wel stom zijn, omdat er een punt staat na die URL, wat het kopiëren/plakken lastiger maakt. ;)
In Gmail is de link in ieder geval gewoon klikbaar in de mail zelf.
Wat heeft het voor zin om het wachtwoord nu nog te wijzigen?

Het lijkt me toch niet dat het de hackers om de fitness-prestaties van de gebruiker te doen is. Ze zullen de buitgemaakte hacks eerder gebruiken om te pogen om bij interessantere gegevens te komen.
Het is een prima aanvulling voor een rainbow-table,
https://en.wikipedia.org/wiki/Rainbow_table

Daarnaast kun je met een dergelijk aantal wel los is gaan op andere accounts. De kans is groot dat de combinatie naam en wachtwoord ook ergens anders wordt gebruikt.
Dit gebeurde dus een paar jaar gelden met de dropbox-hack
Veel gebruikers hadden hetzelfde wachtwoord op hun Teamviewer install icm met hun Dropbox.
Het mooiste was dat TV de 'schuld' kreeg, en dat hun PC werd gehackt hierdoor ...
Waarom dan niet verplicht mijn wachtwoord laten wijzigen als ik inlog?
Waarschijnlijk moeten ze hier iets voor bouwen en deployen wat teveel tijd kost. De mail is dus sneller.
Top moet ik gelijk wat andere accounts nakijken met het zelfde wachtwoord.
Lekker is dat zucht ...
Goed moment om een password manager te gaan gebruiken en overal unieke wachtwoorden in te stellen :)
Totdat de passwordmanager gehackd wordt :)
Ah, het welbekende nonargument. Je moet een oplossing niet afschrijven alleen maar omdat hij niet perfect is. Het gaat erom dat hij béter is.
Oftewel: "Perfect is the enemy of good." :)

[Reactie gewijzigd door twiFight op 30 maart 2018 10:11]

Perfect geschreven _/-\o_
Dan heb je inderdaad ook een single-point-of-failure. Wel eentje met een verdomd goed overzicht van waar welk wachtwoord gebruikt is, en geen verdere impact op de rest van je bestaan. Gewoon binnen de dag van de hack al je wachtwoorden aanpassen en je bent gewoon weer veilig*.

* er zijn wel een paar nuances, reageer alsjeblieft niet met een waslijst van hypothetische aanvallen.
Klopt, en daarom gebruik ik een 1password database welke op mijn dropbox staat welke weer 2 factor authentication heeft. Kortom betekend dit dat je:

- Mijn dropbox wachtwoord moet hebben
- Mijn telefoon moet hebben
- Mijn master key van de vault moet hebben

Al met al is de kans minimaal dat je al deze spullen in handen hebt, en zo zie ik het dus als voldoende veilig :)
Beetje raar he? Als je je fietssleutel bij een vriend hebt liggen en bij die vriend wordt vervolgens ingebroken omdat ie de deur open had staan en jouw sleutels worden gejat is het vrij vervelend. Stom van die vriend ja. Maar als dan blijkt dat met dezelfde fietssleutel ook mogelijk is om je huis, schuur, auto, bankkluisje en postvak te openen...... tja dat vind iedereen denk ik oerstom.

Maar met wachtwoorden is dat toch blijkbaar handig, daar vind iedereen het doodnormaal om dezelfde wachtwoorden te gebruiken, terwijl er legio mogelijkheden zijn in de vorm van verschillende password-managers (online en offline(!)) die dit faciliteren.....
De vorm van je fietssleutel hoef je niet te onthouden en elke keer herinneren als je hem nodig hebt.
Je wachtwoord ook niet. Je fietssleutel krijg je door een hulpje die er hard aan komt rennen steeds aangereikt als je 'm nodig hebt.
De vorm van je fietssleutel hoef je niet te onthouden en elke keer herinneren als je hem nodig hebt.
Raar, want mijn fietssleutel ziet er anders uit dan mijn autosleutel, en toch herken ik hem als zodanig.
En weet dat ik hem uit de keukenlade moet halen, voor ik de fiets uit de schuur haal
Op de één of andere manier werkt de autosleutel niet in de schuur, of ik moet hem uit voorzorg al aan mijn sleutelbos hangen
Je herkent hem, sure. Maar als je hem uit je hoofd moet gaan tekenen?
Dat hoeft toch niet, hij hangt aan een sleutelbos ( wachtwoordmanager )
Zonder sleutel heb je OF geen fiets, OF een nieuw slot nodig
True

Nou moet ik zeggen dat ik niet overal hetzelfde wachtwoordt gebruik.
Bijvoorbeeld STEAM, Facebook, Gmail, Diverse websites hebben bij mij een andere wachtwoord die niet op elkaar lijken

Dus bij MyFitnesspall hebben ze nu een wachtwoord die ik gelukkig niet overal toegepast heb, maar wel op wat onnodige forums waar ik dan snel een account moest aanmaken.
Er zijn inderdaad legio mogelijkheden. Zodra je echter gebruiksgemak, breed inzetbaarheid en daadwerkelijke veiligheid wil combineren, wordt de spoeling al erg snel heel erg dun.
Hm, daar had ik net twee weken geleden (12 maart) daar een account aangemaakt. Dat is echter nadat de accountgegevens uitgelekt zouden zijn, dus misschien kom ik er goed vanaf. Dat is echter wel op basis van de aanname dat de hacker niet nogmaals toegang tot de database gehad heeft.
Dat is echter nadat de accountgegevens uitgelekt zouden zijn, dus misschien kom ik er goed vanaf.
Waarom zou je het risico nemen?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True