E-mailadressen en gehashte wachtwoorden Aptoide-gebruikers zijn uitgelekt

De e-mailadressen en gehashte wachtwoorden van 20 miljoen gebruikers van downloadwinkel Aptoide zijn gepubliceerd op een hackerforum. De desbetreffende persoon zegt in totaal gegevens van 39 miljoen accounts te hebben. Aptoide bevestigt het datalek.

Aptoide, een alternatieve downloadwinkel voor Android-apps, meldt in een blog dat er 8,8 miljoen accounts zijn waarbij de gebruiker zich heeft aangemeld met een e-mailadres en wachtwoord. Die gegevens zijn in handen gekomen van derden. De wachtwoorden zijn gehasht met het sha-1-algoritme gebruikt, dat al jaren niet meer als erg veilig wordt beschouwd. Ook zou er geen salt op de wachtwoorden zitten.

De downloadwinkel geeft aan dat getroffen gebruikers hun wachtwoord nu als onveilig moeten beschouwen. Met een brute force-aanval is het mogelijk om de wachtwoorden te kraken. Dat kan lang duren, maar als het wachtwoord veel voorkomt of uit een woord uit het woordenboek bestaat, is dat relatief eenvoudig.

Aptoide heeft in totaal 49 miljoen accounts. Daarvan loggen 32 miljoen gebruikers in met hun Google- of Facebook-account. Van die gebruikers staat alleen het e-mailadres in de uitgelekte database. Er is voor die gebruikers ook een wachtwoordveld in de database, maar dat bevat willekeurige tekens, zegt de downloadwinkel. De uitgelekte database is toegevoegd aan de datalekzoekmachine Have I Been Pwned.

Aptoide weet nog niet hoe de database in handen van derden is gekomen, maar zegt wel aanwijzingen te hebben. Met datacenterpartners probeert het bedrijf erachter te komen wat er is gebeurd. Tot die tijd is de database op slot gezet. Daardoor is het niet mogelijk om aan te melden, in te loggen en reviews of reacties te plaatsen. Die functionaliteit wordt weer geactiveerd als alles is opgehelderd. Voor het downloaden van apps in de Aptoide-downloadwinkel is geen account nodig.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 20-04-2020 10:35
16 • submitter: Luca

20-04-2020 • 10:35

16

Submitter: Luca

Lees meer

Datalekzoekmachine Have I Been Pwned blaast verkoop af en blijft zelfstandig
Datalekzoekmachine Have I Been Pwned blaast verkoop af en blijft zelfstandig Nieuws van 3 maart 2020
Onderzoekers kunnen sha-1-algoritme kraken met chosen-prefix collision-aanval
Onderzoekers kunnen sha-1-algoritme kraken met chosen-prefix collision-aanval Nieuws van 8 januari 2020
172 miljoen slecht beveiligde wachtwoorden zijn uitgelekt bij gamemaker Zynga
172 miljoen slecht beveiligde wachtwoorden zijn uitgelekt bij gamemaker Zynga Nieuws van 19 december 2019
Firefox 70 gaat waarschuwingen geven bij http-sites en uitgelekte wachtwoorden
Firefox 70 gaat waarschuwingen geven bij http-sites en uitgelekte wachtwoorden Nieuws van 17 juli 2019
Onderzoekers vinden een open MongoDB-database met 809 miljoen persoonsgegevens
Onderzoekers vinden een open MongoDB-database met 809 miljoen persoonsgegevens Nieuws van 8 maart 2019
Verzameling met 773 miljoen e-mailadressen stond openbaar online
Verzameling met 773 miljoen e-mailadressen stond openbaar online Nieuws van 17 januari 2019
Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard
Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard Nieuws van 22 februari 2018
Nederlander kraakt oud maar nog veelgebruikt sha-1-algoritme
Nederlander kraakt oud maar nog veelgebruikt sha-1-algoritme Nieuws van 23 februari 2017
Meer producten en artikelen
Networking en security Privacy Google Android Datalek

Reacties (16)

-Moderatie-faq
16
16
12
4
0
4
Wijzig sortering
TonyZh 20 april 2020 11:15
Jammer dat ze niet tenminste een "salt" en "pepper" hebben toegevoegd aan de hash.
SHA-1 is zeker niet meer veilig, maar dat zorgt ervoor dat wachtwoorden minder eenvoudig te kraken zijn en het maakt rainbow tables nutteloos.

Ze hadden een nieuw hash algorithme kunnen kiezen zoals BCrypt, SCrypt, Argon2 of PBKDF2, zout en pepper kunnen toevoegen aan de hash of de hash nog kunnen encrypten en dat is zeer onzorgvuldig van ze.

Edit: SHA-3 is inderdaad niet bedoeld voor het hashen van wachtwoorden, maar om te valideren of er niet geknoeid is met de data die je ontvangt.

E-mailadressen hadden ze eventueel kunnen encrypten, zodat het niet als platte tekst meteen op straat ligt.

Mijn advies is toch om je wachtwoorden te veranderen als je een account hebt bij Aptoide.

[Reactie gewijzigd door TonyZh op 23 juli 2024 21:59]

PhoenixT @TonyZh20 april 2020 13:06
SHA-3 is een hashing algoritme dat niet bedoeld is om wachtwoorden mee te hashen, dus die moet je zeker niet gebruiken. Dubbel hashen is ook onverstandig, omdat je dan zelf met de wiskundige eigenschappen van je hash resultaat gaat klooien. Gewoon bcrypt, scrypt of argon2 gebruiken, en zeker niet “roll your own”.
WhiteDog @PhoenixT21 april 2020 09:41
Vroeger toch vaak het advies gezien om het resultaat van hash en salt een aantal keer op zichzelf te herhalen. Het maakt het achterhalen van "hoe is deze data hashed" al een stuk moeilijker.

Er zijn toch ook al rainbow tables om de salt te proberen vinden voor populaire hashing algorithms. Als je bv. "vaak gebruikt wachtwoord" + "salt van 8 willekeurige tekens" doet en al die resultaten opslaat. Tref je dat aan in de database dan ken je de salt en kan je nog veel meer wachtwoorden gaan ontcijferen.

Sommige data is waardevol genoeg om een paar dagen / weken / maanden te proberen ontcijferen. Een niet-gekend hashing "algorithme" lijkt me dan net beter.

Als je ook bij de broncode van een site kan is het vaak al meteen game over.
-Colossalman- @TonyZh20 april 2020 14:44
Terwijl ze op hun website hebben staan:

Beveiliging is onze topprioriteit
Uit recent onderzoek blijkt dat Aptoide de veiligste Android App Store is.

Vraag ik mij af via dit onderzoek heeft uitgevoerd?
frickY @TonyZh20 april 2020 18:16
De e-mailadressen encrypten is lastig, dan moet je heel de database decrypten als iemand wil inloggen om te bepalen welk account van hem is.
Ze hashen kan wel, maar is niet heel waardevol

[Reactie gewijzigd door frickY op 23 juli 2024 21:59]

Cartman! @frickY20 april 2020 22:41
Je geeft t zelf al aan; je kunt ze zowel encrypten als hashen. De hash gebruik je puur om te matchen en zodra iemand gematcht is kun je evt t emailadres decrypten.
RobinJ1995 20 april 2020 11:12
"versleutelde wachtwoorden" betekent in dit geval unsalted SHA1-hashes. Naar geen enkele hedendaagse norm wordt dit nog als veilig gezien. Ik vind dan ook in dit soort gevallen dat bedrijven gerust aansprakelijk gehouden mogen worden voor de uitgelekte persoonsgegevens, want dit is gewoon geen acceptabele beveiliging.

Bij elk groot platform weet je gewoon dat op een gegeven moment er een data breach gaat zijn. Wachtwoorden opslaan m.b.v. een algoritme dat al 15 jaar niet meer als veilig beschouwd wordt, is gewoon nalatigheid.
CAPSLOCK2000
20 april 2020 10:44
Waarom hebben zoveel mensen daar een account? Is het nodig om een account te hebben om die appstore te gebruiken?
MetalG @CAPSLOCK200020 april 2020 10:54
Ik denk het niet (ik heb althans geen acc)
DonLexos @CAPSLOCK200020 april 2020 10:58
Mogelijk dat je met een account bijvoorbeeld notificaties kan ontvangen als er ergens nieuwe versies van zijn? Of je kan in 1x zien welke apps er allemaal in je bibliotheek zitten (als je het op meerdere apparaten gebruikt)?
Anoniem: 14842 @CAPSLOCK200020 april 2020 10:59
Ik heb ook geen idee. Nog nooit in me opgekomen om een account te gebruiken bij Aptoide? Gebruik het ook enkel op mijn Android TV box voor 1 app moet ik zeggen. Voor de rest vertrouw ik FDroid een stuk beter...
NLxDoDge @CAPSLOCK200020 april 2020 11:00
Als je een app later wou downloaden moest je volgens mij een account hebben.Althans dat is de reden dat ik ooit een account heb aangemaakt.
avanhel @CAPSLOCK200020 april 2020 12:02
Aptoide is de meegeleverde android store voor Sailfish.
Ik denk dat er daarom veel accounts zijn.
darknessblade @CAPSLOCK200020 april 2020 13:46
Het is niet nodig om een account te gebruiken. maar wel handig als je veel apps hebt ge-sideload. en je telefoon reset of een nieuwe telefoon neemt.

dan kan je met een paar drukken alle apps terug zetten.

ik heb zelf een account via een "spam/burner" mail. dus het is niet het grootste probleem dat het wachtwoord is gekraakt. omdat ik altijd random generated passwords gebruik.

ik gebruik liever een "offline" password manager dan dat ik 10 accouts heb met hetzelfde wachtwoord.
HellFury 20 april 2020 11:33
Weer een goede reden om voor de gemiddelde gebruiker diensten te hebben die niet overal dezelfde emaildata opslaat (nou is aptoide geen dienst voor de gemiddelde gebruiker, maar goed).

Zoals chrome nu wachtwoorden voorstelt, zouden ze eigenlijk ook aliassen voor gmail-adressen (of misschien zelfs alle adressen) moeten voorstellen en aanmaken. Op die manier kun je in je chrome- of google-settings dan een alias loskoppelen, waardoor een dienst nooit meer je adres kan gebruiken.
Kiswum
20 april 2020 12:15
Voor gebruikers van een Google-loze Honor of Huawei smartphone, was dit een van de applicatie winkels die werd aanbevolen. Ik heb sinds een week een account en deze lijkt niet op HaveIbeenPowned te staan m.b.t. dit lek.
Is het bekend of het om nieuwe of oude data gaat dat mogelijk is gekaapt?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq