Kodi waarschuwt dat wachtwoorden van forumgebruikers zijn buitgemaakt bij hack

Softwaremaker Kodi waarschuwt dat de gegevens van de accounts van alle forumgebruikers zijn buitgemaakt bij een inbraak in zijn software. Een of meerdere criminelen konden via een adminaccount de hele database back-uppen en downloaden.

Hoewel de wachtwoorden zijn versleuteld, waarschuwt Kodi dat alle gebruikers ervan uit moeten gaan dat het wachtwoord op straat ligt. Kodi waarschuwt daarom dat gebruikers die het wachtwoord bij andere sites of diensten ook gebruiken het daar ook zouden moeten veranderen. Kodi wil voor iedereen het wachtwoord op het eigen forum resetten, maar dat is nog niet gelukt.

In de tussentijd is het systeem offline. Het is onbekend om hoeveel accounts het precies gaat. Iemand kwam als admin het MyBB-systeem in, doordat het ging om een inactieve admin. Die is de software twee keer binnengedrongen in februari. Daarbij is de hele database geback-upt en gedownload. Die database is online aangeboden. Het is onbekend wie verantwoordelijk is of zijn voor de hack. Het is ook niet duidelijk wanneer het forum weer online zal zijn.

Reacties (74)

Naafkap 10 april 2023 10:06

Zo zie je maar weer. Het wordt steeds belangrijker om elk account een uniek en complex wachtwoord te geven, liefst nog met een uniek e-mailadres. Des te fijner is het dat dit bij bijvoorbeeld iPhone gewoon moeiteloos werkt met ‘verberg mijn e-mail’

Caayn @Naafkap • 10 april 2023 10:14

Admin accounts met teveel rechten is imo een groter probleem.

Een account met dergelijke DB rechten hoor je niet te kunnen gebruiken als een UI/forum user account.

Blokker_1999

Beveiliging en antivirus

@Caayn • 10 april 2023 10:30

Niets mis met die in de UI te kunnen gebruiken, maar goede bescherming en beheerd is wel noodzakelijk. Goede MFA voor komt vele problemen en, als de admin effectief niet meer actief was, goed account management doet wonderen.

nero355

Xbmc

@Blokker_1999 • 10 april 2023 15:57

Een BEHEERACCOUNT gebruik je niet om elke dag andere reguliere dingen te doen, zoals reacties posten op een forum!

Die houd je privé en achter slot en grendel!

Kabouterplop01 @nero355 • 11 april 2023 07:34

exact, gewoon de best security practices met gedelegeerd beheer.
RBAC.
Én MFA

vanaalten @Caayn • 10 april 2023 10:25

Dat is waar, maar daar heb je als gebruiker geen invloed op.
Je kan als gebruiker verdraaid weinig doen:

beperken waar je gegevens terecht komen. Dus, waarom meewerken aan klanttevredenheidsonderzoeken door externe partijen?
Uniek & sterk wachtwoord gebruiken. Goed te doen, maar je hebt wel snel een wachtwoordmanager nodig (of een handig ezelsbruggetje)
uniek mailadres per service. Is al een heel stuk lastiger voor veel mensen - maar ja, het helpt wel.

ViPER_DMRT @vanaalten • 11 april 2023 16:18

Op een op maat afgeschermde SELinux omgeving, met CIS 1 & 2 Applied policies,

En toch .... ben je aan de beurt als je een doel op je hoofd heb staan.
Even kijken hoe loyaal die stagiere is die mee `mag`draaien met HR wanneer we deze een rugtas met 200k euro geven en een een custom made exec op stick (Or what not)

Ik heb dit mee gemaakt bij een (de?) media hub van europa. Ding stond 3 maanden lang het netwerk in de gaten te houden, gebruikte de toen nog unknown NSA private POC (Blue something....) maakte de snapshots corrupt, planted 0day synology RPC exploits in delen over de infra, day of reconing, 6Peta 7 racks syno's met oudere DSM firmware....

Goed, host je een je fietsbel verzamelaar wordpress site, mwah... zeg je 900Mil per jaar om... [ X ]
DIt zalwel gewoon een SQL injection zijn op the common 3 phpbb etc.

Verwijderd @Naafkap • 10 april 2023 10:26

Bij andere maildiensten staat dat ook wel bekend als "masked mail" of een extra "alias".

Sando @Naafkap • 10 april 2023 12:38

Vroeger had je alleen AnonAddy, maar zogenaamde Email Proxies worden steeds populairder omdat meer mensen er het nut van inzien. Denk aan:

copywizard 10 april 2023 10:08

Kon je een account aanmaken voor Kodi?!?

Of is dit zoals ik kan lezen alleen voor het forum? Gebruik Kodi toch al jaren maar nog nooit ergens een account hoeven maken tenminste niet dat ik me kan herinneren?

Maar goed dit is wel balen voor ze.

Ivolve

@copywizard • 10 april 2023 10:12

@arnoudwokke Dat is inderdaad onduidelijk in het artikel. Het hele ding met kodi is juist dat het lokaal draait...

Auteur

arnoudwokke Redacteur Tweakers @Ivolve • 10 april 2023 10:13

Yup, heb nog een paar keer 'forum' in het artikel gezet om duidelijk te maken dat het gaat om het forum, niet om de software zelf

devilkin @arnoudwokke • 10 april 2023 10:32

Kunnen jullie de post op mastodon ook editeren en duidelijk erin zetten dat het om het forum gaat? Die titel is 100% misleidend

Auteur

arnoudwokke Redacteur Tweakers @devilkin • 10 april 2023 10:35

Kunnen jullie de post op mastodon ook editeren en duidelijk erin zetten dat het om het forum gaat? Die titel is 100% misleidend

Zeker, heb ik gedaan

Kleine opmerking: de term '100 procent misleidend' vind ik in deze context echt 100 procent misleidend

Hij is niet helemaal correct en daarom doe ik mijn best om het te fiksen, maar ik heb een hekel aan het woord 'misleidend', omdat het de indruk kan wekken dat het bewust is. Het is gewoon fout of niet helemaal correct. Als je mij gaat beschuldigen van misleiding, vind ik dat je je medelezers hier misleidt

Sando @arnoudwokke • 10 april 2023 12:23

Het is gewoon fout of niet helemaal correct. Als je mij gaat beschuldigen van misleiding, vind ik dat je je medelezers hier misleidt

En ik vind het dan weer misleidend als auteurs iets te snel hun lezers van beschuldigingen beschuldigen.

Jouw artikelen zijn altijd 100 procent goed bedoeld, en 100 procent van de vaste lezers weet dat.

"Misleiden" is een woord dat niet met "opzet" of "schennis van vertrouwen" gepaard hoeft te gaan. Een positief synoniem van misleiden is dan ook: "dwaling veroorzaken". Zo interpreteer ik het, dankzij bovenstaande kwalificaties. Je moet een negatieve aanname doen om het te interpreteren als "bedriegen", en ik zie daar geen basis voor. Daarom ervoer ik pas dissonantie bij het lezen van jouw interpretatie.

Ik stel het artikel op prijs want ik zit ook in die community en wist dit niet want ik heb (nog) geen mail gehad. Maar je laat mensen toch even schrikken. Zo'n korte tinteling in het lichaam van *schrik* ik gebruik Kodi! Wat heb ik nu aan mijn broek hangen! is een fysieke schrikreactie. Onbedoeld veroorzaakt door de eerste titel. Een onnodige schrikreactie overigens, omdat we ons bij beter nadenken realiseren dat Kodi zelf geen login-gegevens nodig heeft. Maar misschien zijn we nog niet helemaal wakker en denken we aan onze Plesk- of Jellyfin-server. Dus op zich is de emotionele kwalificatie van de eerste titel als "100 procent dwaling veroorzakend" door iemand die fysiek geschrokken is niet echt over de schreef, toch?

[Reactie gewijzigd door Sando op 22 juli 2024 13:41]

Klojum @arnoudwokke • 10 april 2023 12:01

Softwaremaker Kodi waarschuwt ... bij een inbraak in zijn software.

Nee Arnoud, de eerste zin klopt nog niet: het is niet onze Kodi-applicatie waar de inbraak in/via is gedaan. Het gaat om de forumsoftware, en die is van MyBB.

De Kodi-applicatie zelf heeft slechts 1 lokale user, die verder geen online functies kent.

spikedradiator @Klojum • 10 april 2023 15:54

Het is ook niet de forumsoftware. De inloggegevens van een legitiem admin account zijn oneigenlijk gebruikt. Waarschijnlijk is een node van dat admin lid op de een of andere manier buit gemaakt.

devilkin @arnoudwokke • 10 april 2023 13:02

😉 Gesnopen

De titel dekte de lading niet

(ook andere interpretatie tussen BE/NL denk ik)

wildhagen

Beveiliging en antivirus

@copywizard • 10 april 2023 10:11

Of is dit zoals ik kan lezen alleen voor het forum?

Dat staat toch letterlijk in hun melding?

In the last 24 hours we became aware of a dump of the Kodi user forum (MyBB) software being advertised for sale on internet forums. This post confirms that a breach has taken place.

[...]

Users must assume their Kodi forum credentials and any private data shared with other users through the user-to-user messaging system is compromised. If you have used the same username and password on any other site, you should follow the password reset/change procedure for that site.

Dit gaat dus niet om (eventuele) accounts in hun software, maar puur hun forum ja. MyBB is immers forumsoftware.

copywizard @wildhagen • 10 april 2023 10:43

Misschien even de vorige reacties van de poster lezen

dit stond er allemaal vanaf het begin niet in maar een enkele keer alleen het woord forum.

Ignite60 @copywizard • 10 april 2023 10:12

Volgens mijn interpretatie is dit i.d.d. voor hun forum (IMPORTANT: Kodi Forum - Data Breach). Dus tenzij je daar ooit een account voor hebt gemaakt, zou je daar verder geen last van moeten hebben.

sjaool @copywizard • 10 april 2023 11:25

Het gaat om forum.kodi.tv .Als je hier een account hebt zul je een nieuw wachtwoord moeten aanmaken.

De link verwijst nu door naar het bericht over de hack.

[Reactie gewijzigd door sjaool op 22 juli 2024 13:41]

Ook al Bezet 10 april 2023 11:28

Hoewel de wachtwoorden zijn versleuteld, [..]

Ik weet dat ze dat inderdaad zeggen in hun bericht, maar de wachtwoorden zijn niet versleuteld (wat omkeerbaar is), ze zijn, zoals het hoort, gehashed (wat niet omkeerbaar is). Helaas gebruikt mybb daarvoor nog altijd het md5 algoritme, wat al geruime tijd verouderd is voor dit doel.

$hash = md5(md5($salt).md5($password));

Redelijk bizar dat software die nog steeds onderhouden wordt zo met wachtwoorden omgaat.

[Reactie gewijzigd door Ook al Bezet op 22 juli 2024 13:41]

Mijzelf @Ook al Bezet • 10 april 2023 11:58

Helaas gebruikt mybb daarvoor nog altijd het md5 algoritme, wat al geruime tijd verouderd is voor dit doel.

Het gebruik van md5 lijkt me niet relevant in deze situatie. Het probleem met md5 hashes is dat het mogelijk is om collisions te genereren. Oftewel, gegeven de hash, is het mogelijk een 'bijpassend' password te maken.
In dit geval is het probleem dat dezelfde username/password combinatie misschien op een ander forum ook in gebruikt is. Maar de gegenereerde collission werkt niet op een ander forum, die immers een andere salt gebruikt. Dus blijft over dat je het password moet brute forcen. Dat is bij md5 niet (veel) makkelijker dan bij andere hashmethodes. (Wel iets makkelijker, een md5 berekenen is goedkoper dan bijvoorbeeld sha256, dus kun je meer pogingen per seconde doen. Maar het blijft staan dat je gewoon alle combinaties moet proberen.)

Ook al Bezet @Mijzelf • 10 april 2023 12:23

In dit geval is het probleem dat dezelfde username/password combinatie misschien op een ander forum ook in gebruikt is.

Nou ja, het heeft meer dan een maand geduurd voor de stekker uit het forum ging, In die tijd konden de hackers volgens mij dus wel collission aanvallen op het forum gebruiken. Niet het meest interessante forum, maar toch.

Dus blijft over dat je het password moet brute forcen.

Klopt.

Dat is bij md5 niet (veel) makkelijker dan bij andere hashmethodes

Daar ben ik het niet mee eens. Bij, bijvoorbeeld, bcrypt kun je aangeven hoeveel het hashen moet kosten. Hierdoor kun je het aantal mogelijke gokken terugbrengen van tientallen miljarden per seconde bij MD5 tot duizenden per seconde (afhankelijk van de gebruikte hardware natuurlijk). Dat is geen kinderachtig verschil

The Zep Man

Beveiliging en antivirus
Televisies

@Ook al Bezet • 10 april 2023 12:27

Nou ja, het heeft meer dan een maand geduurd voor de stekker uit het forum ging, In die tijd konden de hackers volgens mij dus wel collission aanvallen op het forum gebruiken.

Dus ze konden wellicht inloggen als een andere gebruiker. Op een gemodereerd forum is dat niet zo interessant, zeker niet als je al een kopie van de database hebt.

E-mailadressen en wachtwoorden? Yup. Dat is interessant.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:41]

Verwijderd @Mijzelf • 10 april 2023 12:50

Door Mijzelf:

Het probleem met md5 hashes is dat het mogelijk is om collisions te genereren. Oftewel, gegeven de hash, is het mogelijk een 'bijpassend' password te maken.

Nee, dit is in de praktijk niet het probleem met MD5.

Bij elke cryptografische hashfunctie zijn collisions mogelijk, echter hoe langer de hash, hoe moeilijker het is om collisions te vinden. MD5 is lang genoeg om in de praktijk het vinden van collisions van relatief korte wachtwoorden kansloos te maken.

De reden om geen MD5, maar ook geen SHA1, SHA256 etcetera te gebruiken, is dat die functies bloedsnel zijn.

De aanvalstactiek bij wachtwoorden is vervolgens een heel andere: je gaat uit van een dictionary met ooit gelekte of voorspelbare plain text wachtwoorden, en je berekent van elk van hen de hash (met dezelde formule als de gehackte website gebruikt). Vervolgens zoek je naar dezelfde hashes in beide bestanden; "zwakke" (voorspelbare of ooit gelekte) haal je er dan meteen uit.

Het beste wapen hiertegen zijn salts en functies zoals Argon2 die opzettelijk traag zijn en veel geheugen vreten.

Wat er gekraakt is aan MD5 is een heel specifieke soort collisions, namelijk dat het relatief eenvoudig blijkt om twee verschillende inputs te vinden -die aan specifieke criteria voldoen- die dezelfde hash opleveren.

Gegeven een willekeurige input (zoals een wachtwoord) is het nog steeds zo goed als kansloos om een collision te vinden.

Een risico zou wel kunnen zijn dat iemand een dusdanig wachtwoord kiest dat hij daar een MD5 collision van kent, maar dat risico lijkt mij niet zo groot.

Dit risico is wel groot bij bijvoorbeeld digitale handtekeningen (indien MD5 wordt gebruikt). Je zou een contract vooraf zo kunnen manipuleren dat er twee verschillende contracten zijn waarbij je eerst het "gunstige" contract voor de tegenpartij overlegt en later claimt dat dat een vervalsing is en jij het "echte" contract hebt met minder gunstige voorwaarden.

Kortom, het MD5 algoritme is niet het probleem bij wachtwoordhashes, dat zijn namelijk diens snelheid (maar dat geldt net zo goed voor bijv. SHA256), de beschikbaarheid van dictionaries en het feit dat mensen zwakke wachtwoorden kiezen en hergebruiken.

Aanvulling 13:07 en @Ook al Bezet: waar je, m.b.t. wachtwoordhashes, in de Wikipedia pagina naar moet kijken is Preimage vulnerability.
Met "pre-image" wordt bedoeld dat de aanvaller geen invloed heeft op de input. De verwarring is "collision" in beide gevallen, maar een preimage collission is echt een heel andere kwetsbaarheid dan collisions waarbij de aanvaller de input kan kiezen. En dat kan de aanvaller niet bij door anderen gekozen wachtwoorden.

De verzwakking van 2^128 naar 2^123,4 is dan ook verwaarloosbaar, echt niemand gaat zoeken naar wachtwoord collisions.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:41]

2broodjeshoarma @Mijzelf • 10 april 2023 15:54

Het probleem met MD5 is dat het al sinds 2011 zo kapot is dat je echt duizenden wachtwoorden per seconden kon bruteforcen. Dat zal nu nog wel een tandje sneller zijn.

Met goedkope hardware kan je dit al doen: https://www.youtube.com/watch?v=7U-RbOKanYs

edit: In die video doet hij er 38 miljard per seconde doorrekenen!

[Reactie gewijzigd door 2broodjeshoarma op 22 juli 2024 13:41]

Mijzelf @2broodjeshoarma • 10 april 2023 16:46

Ik ben geen fan van video's als informatie medium. In de eerste minuut zegt hij niets over zijn hardware, en om nou 20 minuten te gaan kijken..., maar de openingsstill suggereert dat er 4 videokaarten inzitten. Niet iets wat iedereen heeft staan, hoewel het ook niet echt ontoegankelijk is.
38 miljard per seconde klinkt veel, maar het valt in het niet bij het aantal mogelijke passwords. Als je hoofd- en kleine letters gebruikt, cijfers en wat leestekens, heb je al >64 mogelijkheden per karakter, en heb je bij een password van 10 karakters al 64^10 mogelijkheden, dat is 1.15*10^18. Dat betekend dat je met 38 miljard pogingen per seconde 32 miljoen seconden bezig bent om de helft van de mogelijkheden te testen. Dat is ruim een jaar. Dus na een jaar mag je verwachten dat je de helft van de 10-cijferige passwords hebt gevonden.
Als het password 11 karakters heeft (en dat weet je niet), duurt het al 64 jaar om de helft te testen. Over 12 karakters zullen we het niet hebben.

2broodjeshoarma @Mijzelf • 10 april 2023 17:09

Mijzelf @2broodjeshoarma • 10 april 2023 17:18

Ah, maar dan gaat het niet meer om md5, nietwaar? Als hij in 10 seconden een groot aantal wachtwoorden heeft gevonden, dan zou dat met een 'duurder' hash algoritme misschien 10 uur hebben gekost.
Het is zaak je wachtwoord goed te kiezen.

Ablaze @2broodjeshoarma • 10 april 2023 16:51

Maar wat heb je dan aan die wachtwoorden?
Aangezien men hier niet probeert binnen te komen, maar de gegevens op andere sites wil gebruiken, moet men juist dat éne wachtwoord vinden, dat de gebruiker daadwerkelijk heeft ingevoerd.

MD5 heeft alsnog 2^128 combinaties, zelfs met 38 miljard berekeningen per seconde duurt het dan maximaal (2^128 / 38E9) / (60 * 60 * 24 * 365) = 283954817652789847078 jaar.

2broodjeshoarma @Ablaze • 10 april 2023 17:10

Als je nou de hele video kijkt, dan wist je dat het niet perse om bruteforcen gaat, maar gericht bruteforcen.

Je hebt gewoon password lists en rules om die passwords aan te passen aan logica van de meeste mensen: leetspeak, getalletjes aan het eind, hoofdletters op bepaalde plekken enzo.

Je ziet dan hoe schrikbarend veel wachtwoorden hij wel niet uit die database trekt, de helft ervan in minder dan 10 seconden

En hoeveel mensen gebruiken niet overal hetzelfde wachtwoord? Antwoord, de meeste.
Laatst nog op het werk een collega waarbij via zijn zakelijke account duizenden euro's aan waar is besteld en geleverd bij een of andere kebab zaak in Amsterdam lol.

Ablaze @2broodjeshoarma • 10 april 2023 18:23

Ik geef toe dat ik de film niet helemaal heb bekeken.

In dit geval is er een salt toegevoegd aan elk wachtwoord (althans, volgens user "Ook al Bezet"). Dan zullen er geen bekende hashes meer zijn.
Daarnaast zijn de problemen met MD5 die je noemt (collisions en snelheid) voornamelijk van belang als je brute forced, hashes vergelijken is een probleem ongeacht het algoritme dat je kiest.

[Reactie gewijzigd door Ablaze op 22 juli 2024 13:41]

Opperpanter2 @Ook al Bezet • 10 april 2023 11:41

Jammer dat ze neit de DVZHash plugin gebruiken op het Kodi forum: https://community.mybb.com/thread-226036.html

Deze maakt het mogelijk BCrypt als hashing algoritme the gebruiken (Of Argon2id)

[Reactie gewijzigd door Opperpanter2 op 22 juli 2024 13:41]

HollowGamer @Opperpanter2 • 10 april 2023 12:09

Ik heb even snel naar die plugin code gekeken, maar het wordt er niet beter op (persoonlijke mening).

Het ziet eruit als zelf gefabriceerde code i.p.v. gewoon goed getest en onderhouden code/libraries te gebruiken. Encryptie is complex, dat wil je liever niet zelf doen.

Ook slaan ze op welk algoritme gebruikt wordt voor hashing in de database. Ik zeg niet dat dit perse een risico oplevert, maar je wilt eigenlijk zo weinig mogelijk vrijgeven.

Nee, dit vind ik eigenlijk ook niet acceptabel voor een forum, waar mogelijk grote gebruikers actief op zijn.

[Reactie gewijzigd door HollowGamer op 22 juli 2024 13:41]

Opperpanter2 @HollowGamer • 10 april 2023 12:18

Dit is geen encryptie, maar hashing. Desalniettemin complex. Ik heb de code niet bekeken, maar het is vrij normaal om bij de hash het gebruikte algoritme (en salt) op te slaan. Zo is een BCrypt hash opgebouwd als $2<a/b/x/y>$[cost]$[22 character salt][31 character hash]
Zonder algoritme, cost en salt kan een hash niet gevalideerd worden tegen een gegeven (input) waarde.
https://en.wikipedia.org/wiki/Bcrypt

HollowGamer @Opperpanter2 • 10 april 2023 12:32

Ik bedoel niet de hash zelf, die moet je inderdaad opslaan.

Ze hebben iets van een password_type column, met daar de naam van het gebruikte algoritme. Het levert niet echt een risico op, maar vraag mij meer af waarom je dit zou prijsgeven? Zo kun je dus sorteren op waar de default (md5) wordt gebruikt en waar de andere.

Lijkt me beter één algoritme aan te houden, en Indien je wilt overstappen, gewoon alle wachtwoorden reset.

[Reactie gewijzigd door HollowGamer op 22 juli 2024 13:41]

Alex3 @HollowGamer • 10 april 2023 12:42

Als je overstapt op een ander algoritme moet je wachten tot iemand inlogt voor je zijn/haar wachtwoord gehasht met het nieuwe algoritme kan opslaan. Daarom moet je onderscheid kunnen maken.

Rub3s @Alex3 • 10 april 2023 13:25

Eventueel kun je ook gewoon alle wachtwoorden dubbel hashen als je erachter komt als alles in md5 staat. Vast niet ideaal, maar qua beveiliging niet heel erg volgens mij.

Ook al Bezet @HollowGamer • 10 april 2023 12:51

Heeft geen zin om dat te verbergen. De hashes van md5, bcrypt en Argon2id zien er niet hetzelfde uit.

Opperpanter2 @HollowGamer • 10 april 2023 14:56

Het algoritme zit in de hash. 2a==bcrypt

Ook al Bezet @Opperpanter2 • 10 april 2023 11:45

Ik weet niet of ze die plugin wel of niet gebruikt hebben, wist zelf niet dat hij bestaat.

HollowGamer @Ook al Bezet • 10 april 2023 11:54

https://github.com/mybb/m...c/functions_user.php#L185

Dit ziet er eigenlijk nog erger uit:

$plugins->run_hooks('create_password', $parameters);

Als ik het goed begrijp, dan kan een plugin dus deze hook aanroepen en de default $hash overschrijven.
Wellicht zijn er plugins die iets beters gebruiken dan md5, maar dit is echt zo not done (van auth dingen blijft je meestal af, tenzij je weet wat je doet). Een plugin hoort niet met hashing te bemoeien, dit kan PHP tegenwoordig prima zelf (dus niet via sha1/md5) of iets als via Symfony. Mocht je dus een plugin installeren die besmet is met malware, dan heb je de poppen aan het dansen (spreekwoordelijk).

Ze zijn er wel mee bezig, maar zo te zien is het een unreleased versie: https://github.com/mybb/mybb/issues/3530

Wow.. waarom zou je zoiets willen draaien? Het ziet er echt slecht uit als ik de code bekijk en de rewrite lijkt me zo op het eerste gezicht niet veel beter. Genoeg (betere) alternatieven, dit maakt me verdrietig..

[Reactie gewijzigd door HollowGamer op 22 juli 2024 13:41]

bartje 10 april 2023 11:47

Krijgen gebruikers van dit forum hier ook persoonlijk bericht over?
Heb jaren geleden met Kodi gespeeld. En mezelf kennende kan het best zijn dat ik toen op het forum heb rond gehangen. Maar dat weet ik niet zeker.

Heb hier in ieder geval geen bericht over gehad.

Klojum @bartje • 10 april 2023 12:11

Kodi heeft flink wat forumgebruikers, die zijn niet allemaal in een paar uurtjes te waarschuwen, maar die emailmelding komt er t.z.t. zeker aan. Daarbij zijn er nogal wat andere zaken die bij het uitpluizen en oplossen van een hack komen kijken. Er is al ook aangegeven dat we dit alles liever grondig en goed willen doen in plaats van alles willen afraffelen om maar weer online te zijn ("Our focus is being thorough, not being quick.")

Er is dus nog geen ETA voor het opnieuw online gaan.

Terrestrial @Klojum • 10 april 2023 23:25

Maar het is juist belangrijk dat je mensen zsm inlicht en dan betekend niet een week later. En waarom zou je niet iedereen binnen een paar uur kunnen mailen ?

osmosis 10 april 2023 10:36

Maar goed dat ik altijd een waardeloos wachtwoord gebruik voor forums * (ww= Fietsenzonderlicht)
Maakt mij weinig uit als ze die buit maken. Komen alsnog nergens bij behalve dan andere forums waar ik ook weinig waarde aan hecht.

* Werkt niet op T.net

(hecht ik iets meer waarde aan)

[Reactie gewijzigd door osmosis op 22 juli 2024 13:41]

lenwar

Beveiliging en antivirus

@osmosis • 10 april 2023 11:09

Nou ja. Dat is natuurlijk vrij egocentrisch. Mocht je forum-account ‘gehacked’ worden, dan wordt er namens jou spam en links naar malware gepost.

Daar heb jij zelf natuurlijk geen last van maar de rest van de gebruikers wel.

osmosis @lenwar • 10 april 2023 11:22

Krijg meestal wel een melding dat ik ingelogd ben onder een nieuw IP.
Zodra ik dat krijg, veranderd ik mijn WW

loki504 @lenwar • 10 april 2023 15:10

En diezelfde mensen kunnen ook een nieuw account aanmaken en vanuit daar sturen.

lenwar

Beveiliging en antivirus

@loki504 • 10 april 2023 17:26

Klopt, maar menig forum controleert meer op nieuwe accounts. (Dus als je account jonger is dan zoveel dagen of minder dan zoveel posts heeft gedaan dat er dan gethrottled wordt, waar een ‘oud/echt’ account vrijwel ongelimiteerd kan posten.

Het doel is natuurlijk om zo snel mogelijk zoveel mogelijk posts te doen zodat het zo veel mogelijk mensen raakt, voordat een moderator het account verwijderd/blokkert

loki504 @lenwar • 10 april 2023 17:29

Dan wacht je x dagen en ga je dan posten.

lenwar

Beveiliging en antivirus

@loki504 • 10 april 2023 18:03

‘Of minder dan zoveel posts‘ schreef ik ook nadrukkelijk.

Een account dat op dag 0 wordt aangemaakt een pas op dag 5 gaat posten is natuurlijk ook al verdachter juist om de reden die je aangeeft.

Een bestaand account is per definitie waardevoller dan een nieuw account.
Mogelijk volgen gebruikers elkaar. Enzovoorts.

(afhankelijk van het forum natuurlijk)

loki504 @lenwar • 10 april 2023 22:04

Dan moet je ook net geluk hebben dat die accounts actief zijn op dat forum.

1000 account via een bot aanmaken en 2 weken later posten(end daarna weer nieuwe laten maken) op die manier kan je moeiteloos door blijven gaan met spammen van forum waar jij dat wilt ipv zoeken naar de juiste.

Voor aankopen in bv een winkel waar al een betaal methode aan gekoppeld zit is VEEL interessanter als toegang tot een forum.

UPPERKEES 10 april 2023 10:38

Apart dat er nog steeds forums zijn die PhpBB gebruiken in plaats van Discourse. Oude threads kan je omzetten naar Discourse, verder veel betere UI en features.

Edit: men lijkt te denken dat je Discourse niet zelf kan hosten. Dat kan je wel. Ook is het open source met veel plugins en is veel aanpasbaar naar je wensen. Hosted service is optioneel.

[Reactie gewijzigd door UPPERKEES op 22 juli 2024 13:41]

Klojum @UPPERKEES • 10 april 2023 12:17

Onze MyBB-opzet kent nogal wat bijkomende tools voor de admins en zeker de moderators om de boel in stand te houden. Want naast de gebruikelijke spammers en piracygebruikers zijn chatgpt-bots ook een dingetje geworden.

Die tools zijn (voor zover ikzelf kan inschatten) niet 'eventjes' om te zetten naar een ander forum. Al houden we wel de optie aan om, indien nodig, naar andere forumsoftware over te stappen. We zitten daarin nog in de verkennende fase.

[Reactie gewijzigd door Klojum op 22 juli 2024 13:41]

UPPERKEES @Klojum • 10 april 2023 12:29

De anti spam controle op Discourse is velen malen beter. Als je ChatGPT wilt, er is een bèta chat bot voor Discourse. Ook kan je met de trust levels en community moderation je piracy users beter onder controle houden (als je dat bedoelt).

lenwar

Beveiliging en antivirus

@UPPERKEES • 10 april 2023 11:07

Zal wel een kostending zijn?
Zover ik weet is discourse altijd een hosted service, waar je phpbb ‘gewoon’ zelf kan hosten.

Onderstaande is puur persoonlijk:
Ik heb altijd een haat-liefde-relatie gehad met discourse als gebruiker.
Ik vind het veel en veel te veel lucht hebben. Te weinig informatie op één scherm. (Kwestie van smaak)
Ook het feit dat ctrl-F wordt afgevangen naar de interne zoekfunctie ervaar ik als vervelend. (Ik weet dat je dan een tweede keer moet klikken om de browser-zoek weer te krijgen)
En meer van dat soort dingetjes.

Ik heb zelf heel vroeger ook hobbymatig een phpbb-installatie onderhouden en de mate van aanpasbaarheid was fantastisch. Er waren zo ontiegelijk veel gratis mods voor. Dat was echt fantastisch.
Maar dat is ondertussen meer dan 20 jaar geleden.

UPPERKEES @lenwar • 10 april 2023 12:26

Ik heb mijn comment geüpdatet, Discourse kan self hosted en is erg aanpasbaar.

Aganim

@UPPERKEES • 10 april 2023 11:27

Apart dat er nog steeds forums zijn die PhpBB gebruiken in plaats van Discourse.

Tja, ik gebruik voor mijn (kleine) vereniging ook nog phpBB. De hosting kost me niets, dan klinkt 50 dollar per maand moeten lappen (vooruit, 25 dollar p/m eerste jaar) niet erg aantrekkelijk. Mag het nog zo'n mooie UI hebben.

[Reactie gewijzigd door Aganim op 22 juli 2024 13:41]

UPPERKEES @Aganim • 10 april 2023 12:26

Self hosted kan ook gewoon met Discourse, heb mijn comment aangepast.

Aganim

@UPPERKEES • 10 april 2023 13:36

Thanks, dat zat 'nogal' weggestopt op hun website, in ieder geval op mobiel. In de toekomst maar eens kijken, onze provider biedt gewoon een standaard LAMP stack, dus daar gaat het zo te zien niet op draaien helaas.

nero355

Xbmc

@UPPERKEES • 10 april 2023 16:05

Discourse leek leuk, totdat ze ineens dachten dat het een goed idee is om alleen browsers die aan Chromium en bijbehorende Google standaarden voldoen te ondersteunen in de toekomst en alle andere browsers niet eens te laten proberen om hun forum software te gebruiken!

Echt een ontzettend slechte actie als je beseft dat ze daarmee browsers blokkeren die gewoon prima werkten i.c.m. hun software voordat die update werd uitgebracht!

En daarnaast is het niet in elk scenario echt handig te noemen qua gebruik ervan, ondanks dat ik sinds de eerste keer dat ik het gebruikte bepaalde features wel erg innoverend vond t.o.v. andere forum software vanuit het perspectief van een gebruiker

UPPERKEES @nero355 • 12 april 2023 12:40

En daarnaast is het niet in elk scenario echt handig te noemen qua gebruik ervan

Kan je voorbeelden noemen?

totdat ze ineens dachten dat het een goed idee is om alleen browsers die aan Chromium en bijbehorende Google standaarden voldoen te ondersteunen

Ja Firefox werkt vooral op Android niet altijd even goed met het laden van een Discourse site. Dat is nadelig. Maar verder geen issues tegengekomen.

nero355

Xbmc

@UPPERKEES • 12 april 2023 14:21

Dat is grappig, want Firefox is één van de door hen aangeraden browsers :
- https://www.discourse.org/about#browser

- https://browsehappy.com/

Die twee links krijg je op het moment te zien als je dus een niet ondersteunde browser gebruikt voor het bekijken van een Discourse Forum dat de laatste huidige versie draait!

Kan je voorbeelden noemen?

Simpelweg het overzicht dat je hebt van zowel het forum als de topics i.c.m. bepaalde onderwerpen/thema's die niet altijd even handig zijn om te bekijken.
Ons eigen GoT doet dat bijvoorbeeld vele malen beter!

Daarnaast schijnt het backend verhaal best wel zwaar te zijn op het moment dat je het zelf wilt hosten en dat zal niet altijd voor iedereen even handig zijn!

UPPERKEES @nero355 • 12 april 2023 15:06

Waar ik het over had was volgens mij voornamelijk een Firefox bug.

De overzichten van topics kan je zelf aanpassen en anders voorstellen aan de admins om dat als verschillende thema's beschikbaar te maken. Er zijn veel variaties mogelijk. Precies zoals GoT, maar ook meer dan dat. Dus dat zou geen probleem moeten zijn.

Backend is helemaal niet zwaar. De hardware eisen zijn minimaal 1GB RAM. Ikzelf heb een goedkope 6 euro VPS bij TransIP en dat werkt super soepel met 300 gebruikers.

The Zep Man

Beveiliging en antivirus
Televisies

10 april 2023 10:10

De titel is misleidend. Het gaat niet om gebruikers van Kodi (software), maar om gebruikers van Kodi's forum.

Foute titel:

Kodi waarschuwt dat alle wachtwoorden van gebruikers zijn buitgemaakt bij hack

Juiste titel:

Kodi waarschuwt dat alle wachtwoorden van forumgebruikers zijn buitgemaakt bij hack

[edit]
En fixed door @arnoudwokke.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Bor op 22 juli 2024 13:41]

Not Pingu 10 april 2023 12:40

Zoals altijd gaat het in de comments weer over hashing algoritmes ipv de vraag hoe dat admin account überhaupt overgenomen kon worden. Hashing komt goed van pas als een database gestolen is, maar ik zie liever dat organisaties maatregelen treffen om te voorkomen dat hun data überhaupt gestolen wordt.

Data security boven password security. Er staat echt wel meer gevoelige info in de meeste databases dan alleen passwords.

nero355

Xbmc

@Not Pingu • 10 april 2023 16:09

Er staat echt wel meer gevoelige info in de meeste databases dan alleen passwords.

Tja, aan de andere kant :

Het is aan de gebruiker om te bepalen hoeveel informatie die weggeeft op het moment dat die zichzelf op een forum of website aanmeldt!

Ik heb om die reden een standaard zeer zwak wachtwoord voor dit soort "Af en toe nodig accounts" en onlangs gelukkig een andere in gebruik genomen dus die kan ik dan straks mooi na de Reset op het Kodi Forum gebruiken!

Stapper55 11 april 2023 08:34

Prima forum trouwens en kodi is een uitstekend product, wat door vrijwilligers word onderhouden (opensource), daar hou ik wel van.

Verder gebruik ik altijd 3 e-mailadressen, zakelijk, privé en als ik ergens moet inloggen (forums, eenmalige aankoop en aanverwante zaken)
Iedereen weet dat Internet zo lek als een mandje is.

The Zep Man

Beveiliging en antivirus
Televisies

@The Incantation • 10 april 2023 10:16

Inmiddels heb je je reactie gewijzigd. Je vroeg of dit ook invloed heeft op accounts binnen Kodi (HBO Max, shares, etc.).

Het lek betreft enkel accounts van Kodi's forum.

The forum server has been taken offline while this activity completes. This will also impact the Kodi pastebin and wiki sites.

Dus enkel de ondersteunende online diensten voor Kodi-ontwikkeling en gebruik. Kodi-ontwikkeling zelf en Kodi zijn niet geraakt, van wat is gepubliceerd.

Voor degenen die nu direct Kodi documentatie nodig hebben, zie de kopie van de Wiki in het Internet Archive.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:41]

The Incantation

@The Zep Man • 10 april 2023 10:28

@The Zep Man
Ik zag dat na het typen van mijn vraag er al een paar razensnelle Tweakers hadden gereageerd op de eerste post (waaronder Arnoud) en mijn vraag was nu obsolete. Toch bedankt voor jou reactie!

Op dit item kan niet meer gereageerd worden.

Kodi waarschuwt dat wachtwoorden van forumgebruikers zijn buitgemaakt bij hack

Lees meer

Reacties (74)

Sorteer op:

Weergave: