Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

E-mailadressen en gehashte wachtwoorden Aptoide-gebruikers zijn uitgelekt

De e-mailadressen en gehashte wachtwoorden van 20 miljoen gebruikers van downloadwinkel Aptoide zijn gepubliceerd op een hackerforum. De desbetreffende persoon zegt in totaal gegevens van 39 miljoen accounts te hebben. Aptoide bevestigt het datalek.

Aptoide, een alternatieve downloadwinkel voor Android-apps, meldt in een blog dat er 8,8 miljoen accounts zijn waarbij de gebruiker zich heeft aangemeld met een e-mailadres en wachtwoord. Die gegevens zijn in handen gekomen van derden. De wachtwoorden zijn gehasht met het sha-1-algoritme gebruikt, dat al jaren niet meer als erg veilig wordt beschouwd. Ook zou er geen salt op de wachtwoorden zitten.

De downloadwinkel geeft aan dat getroffen gebruikers hun wachtwoord nu als onveilig moeten beschouwen. Met een brute force-aanval is het mogelijk om de wachtwoorden te kraken. Dat kan lang duren, maar als het wachtwoord veel voorkomt of uit een woord uit het woordenboek bestaat, is dat relatief eenvoudig.

Aptoide heeft in totaal 49 miljoen accounts. Daarvan loggen 32 miljoen gebruikers in met hun Google- of Facebook-account. Van die gebruikers staat alleen het e-mailadres in de uitgelekte database. Er is voor die gebruikers ook een wachtwoordveld in de database, maar dat bevat willekeurige tekens, zegt de downloadwinkel. De uitgelekte database is toegevoegd aan de datalekzoekmachine Have I Been Pwned.

Aptoide weet nog niet hoe de database in handen van derden is gekomen, maar zegt wel aanwijzingen te hebben. Met datacenterpartners probeert het bedrijf erachter te komen wat er is gebeurd. Tot die tijd is de database op slot gezet. Daardoor is het niet mogelijk om aan te melden, in te loggen en reviews of reacties te plaatsen. Die functionaliteit wordt weer geactiveerd als alles is opgehelderd. Voor het downloaden van apps in de Aptoide-downloadwinkel is geen account nodig.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

20-04-2020 • 10:35

16 Linkedin

Submitter: Luca

Reacties (16)

Wijzig sortering
Jammer dat ze niet tenminste een "salt" en "pepper" hebben toegevoegd aan de hash.
SHA-1 is zeker niet meer veilig, maar dat zorgt ervoor dat wachtwoorden minder eenvoudig te kraken zijn en het maakt rainbow tables nutteloos.

Ze hadden een nieuw hash algorithme kunnen kiezen zoals BCrypt, SCrypt, Argon2 of PBKDF2, zout en pepper kunnen toevoegen aan de hash of de hash nog kunnen encrypten en dat is zeer onzorgvuldig van ze.

Edit: SHA-3 is inderdaad niet bedoeld voor het hashen van wachtwoorden, maar om te valideren of er niet geknoeid is met de data die je ontvangt.

E-mailadressen hadden ze eventueel kunnen encrypten, zodat het niet als platte tekst meteen op straat ligt.

Mijn advies is toch om je wachtwoorden te veranderen als je een account hebt bij Aptoide.

[Reactie gewijzigd door TonyZh op 20 april 2020 13:46]

SHA-3 is een hashing algoritme dat niet bedoeld is om wachtwoorden mee te hashen, dus die moet je zeker niet gebruiken. Dubbel hashen is ook onverstandig, omdat je dan zelf met de wiskundige eigenschappen van je hash resultaat gaat klooien. Gewoon bcrypt, scrypt of argon2 gebruiken, en zeker niet “roll your own”.
Vroeger toch vaak het advies gezien om het resultaat van hash en salt een aantal keer op zichzelf te herhalen. Het maakt het achterhalen van "hoe is deze data hashed" al een stuk moeilijker.

Er zijn toch ook al rainbow tables om de salt te proberen vinden voor populaire hashing algorithms. Als je bv. "vaak gebruikt wachtwoord" + "salt van 8 willekeurige tekens" doet en al die resultaten opslaat. Tref je dat aan in de database dan ken je de salt en kan je nog veel meer wachtwoorden gaan ontcijferen.

Sommige data is waardevol genoeg om een paar dagen / weken / maanden te proberen ontcijferen. Een niet-gekend hashing "algorithme" lijkt me dan net beter.

Als je ook bij de broncode van een site kan is het vaak al meteen game over.
Terwijl ze op hun website hebben staan:

Beveiliging is onze topprioriteit
Uit recent onderzoek blijkt dat Aptoide de veiligste Android App Store is.

Vraag ik mij af via dit onderzoek heeft uitgevoerd?
De e-mailadressen encrypten is lastig, dan moet je heel de database decrypten als iemand wil inloggen om te bepalen welk account van hem is.
Ze hashen kan wel, maar is niet heel waardevol

[Reactie gewijzigd door frickY op 20 april 2020 18:17]

Je geeft t zelf al aan; je kunt ze zowel encrypten als hashen. De hash gebruik je puur om te matchen en zodra iemand gematcht is kun je evt t emailadres decrypten.
"versleutelde wachtwoorden" betekent in dit geval unsalted SHA1-hashes. Naar geen enkele hedendaagse norm wordt dit nog als veilig gezien. Ik vind dan ook in dit soort gevallen dat bedrijven gerust aansprakelijk gehouden mogen worden voor de uitgelekte persoonsgegevens, want dit is gewoon geen acceptabele beveiliging.

Bij elk groot platform weet je gewoon dat op een gegeven moment er een data breach gaat zijn. Wachtwoorden opslaan m.b.v. een algoritme dat al 15 jaar niet meer als veilig beschouwd wordt, is gewoon nalatigheid.
Waarom hebben zoveel mensen daar een account? Is het nodig om een account te hebben om die appstore te gebruiken?
Ik denk het niet (ik heb althans geen acc)
Mogelijk dat je met een account bijvoorbeeld notificaties kan ontvangen als er ergens nieuwe versies van zijn? Of je kan in 1x zien welke apps er allemaal in je bibliotheek zitten (als je het op meerdere apparaten gebruikt)?
Ik heb ook geen idee. Nog nooit in me opgekomen om een account te gebruiken bij Aptoide? Gebruik het ook enkel op mijn Android TV box voor 1 app moet ik zeggen. Voor de rest vertrouw ik FDroid een stuk beter...
Als je een app later wou downloaden moest je volgens mij een account hebben.Althans dat is de reden dat ik ooit een account heb aangemaakt.
Aptoide is de meegeleverde android store voor Sailfish.
Ik denk dat er daarom veel accounts zijn.
Het is niet nodig om een account te gebruiken. maar wel handig als je veel apps hebt ge-sideload. en je telefoon reset of een nieuwe telefoon neemt.

dan kan je met een paar drukken alle apps terug zetten.

ik heb zelf een account via een "spam/burner" mail. dus het is niet het grootste probleem dat het wachtwoord is gekraakt. omdat ik altijd random generated passwords gebruik.

ik gebruik liever een "offline" password manager dan dat ik 10 accouts heb met hetzelfde wachtwoord.
Weer een goede reden om voor de gemiddelde gebruiker diensten te hebben die niet overal dezelfde emaildata opslaat (nou is aptoide geen dienst voor de gemiddelde gebruiker, maar goed).

Zoals chrome nu wachtwoorden voorstelt, zouden ze eigenlijk ook aliassen voor gmail-adressen (of misschien zelfs alle adressen) moeten voorstellen en aanmaken. Op die manier kun je in je chrome- of google-settings dan een alias loskoppelen, waardoor een dienst nooit meer je adres kan gebruiken.
Voor gebruikers van een Google-loze Honor of Huawei smartphone, was dit een van de applicatie winkels die werd aanbevolen. Ik heb sinds een week een account en deze lijkt niet op HaveIbeenPowned te staan m.b.t. dit lek.
Is het bekend of het om nieuwe of oude data gaat dat mogelijk is gekaapt?

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True