Api van Twitter-alternatief Spoutible lekte persoonlijke gegevens gebruikers uit

De api van Twitter-alternatief Spoutible kon gebruikt worden om gegevens van gebruikers te verkrijgen. De api lekte onder meer privégegevens, naast gehashte wachtwoorden, 2fa-secrets en tokens voor het resetten van wachtwoorden. Het lek is inmiddels verholpen.

Details over het datalek werden gepubliceerd door beveiligingsonderzoeker Troy Hunt van Have I Been Pwned. Hij deed dat nadat Spoutible het probleem al had verholpen. Hunt ontdekte vervolgens dat het mogelijk was om via de Spoutible-api namen, gebruikersnamen, e-mailadressen, IP-adressen en telefoonnummers van gebruikers te bemachtigen. Volgens de beveiligingsonderzoeker is dat eerder gebeurd bij soortgelijke ‘scrapingincidenten’ met Trello en Facebook.

De beveiligingsonderzoeker kwam er echter ook achter dat de api gebruikt kon worden om hashes van Spoutible-wachtwoorden te bemachtigen. Deze waren beveiligd met bcrypt, hoewel simpele en korte wachtwoorden daarmee relatief simpel gekraakt kunnen worden.

Daarbij kon Hunt ook de 2fa-secret van een door hem gemaakt testaccount bemachtigen. Dat is de seed die wordt gebruikt om 2fa-codes te genereren. Hackers kunnen die secret toevoegen aan een 2fa-app en zo authenticatiecodes bemachtigen. Daarmee kunnen ze 2fa volledig omzeilen. Hunt probeerde dat succesvol met zijn eigen testaccount, samen met een andere medewerker van Have I Been Pwned.

Het was volgens Hunt ook mogelijk om de 2fa-back-upcodes van gebruikers te bemachtigen. Deze zijn ook versleuteld met bcrypt, maar het betreffen zescijferige codes waarvan de encryptie binnen enkele minuten gekraakt kan worden. Tot slot lekte de api ook volledige tokens uit waarmee het wachtwoord van een account gereset kan worden.

Spoutible bevestigt het lek op zijn website en meldt dat deze inmiddels is verholpen. Volgens het platform werden daarbij ‘e-mailadressen en sommige telefoonnummers’ gescrapet. 'Ontsleutelde wachtwoorden zijn niet buitgemaakt', zo schrijft het socialemediabedrijf. Spoutible raadt gebruikers aan hun wachtwoord aan te passen en 2fa-instellingen te resetten.

Spoutible-datalek via Have I Been PwnedSpoutible-datalek via Have I Been Pwned

Links: gegevens uit de Spoutible-api. Rechts: een medewerker van HIBP wist 2fa-tokens te genereren via uitgelekte secret. Bron: Troy Hunt

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 05-02-2024 19:44 21

05-02-2024 • 19:44

21

Lees meer

Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat
Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat Nieuws van 8 november 2024
X verhoogt de prijzen van Basic-api voor hobbygebruik van 100 naar 200 dollar
X verhoogt de prijzen van Basic-api voor hobbygebruik van 100 naar 200 dollar Nieuws van 25 oktober 2024
Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt
Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt Nieuws van 29 februari 2024
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt
Gegevens van honderden gedetineerden van gevangenis in Nieuwegein uitgelekt Nieuws van 20 februari 2024
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend Nieuws van 13 februari 2024
23andMe: hackers hadden maandenlang toegang tot gegevens klanten
23andMe: hackers hadden maandenlang toegang tot gegevens klanten Nieuws van 28 januari 2024
Mercedes-Benz lekt per ongeluk eigen broncode via GitHub
Mercedes-Benz lekt per ongeluk eigen broncode via GitHub Nieuws van 26 januari 2024
Londen gebruikt onterecht verstrekte data voor verkeersboetes aan EU-inwoners
Londen gebruikt onterecht verstrekte data voor verkeersboetes aan EU-inwoners Nieuws van 26 januari 2024
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen'
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen' Nieuws van 24 januari 2024
Hackers scrapen data van meer dan 15 miljoen Trello-gebruikers
Hackers scrapen data van meer dan 15 miljoen Trello-gebruikers Nieuws van 23 januari 2024
'Ook gerechtelijke en notariële documenten gestolen bij cyberaanval Limburg.net'
'Ook gerechtelijke en notariële documenten gestolen bij cyberaanval Limburg.net' Nieuws van 23 januari 2024
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten Nieuws van 22 januari 2024
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen Nieuws van 18 januari 2024
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset Nieuws van 18 januari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
Parkeerbetaaldienst EasyPark meldt datalek na cyberaanval
Parkeerbetaaldienst EasyPark meldt datalek na cyberaanval Nieuws van 15 december 2023
Overheid brengt NL-Alert-app uit voor grensbewoners en mensen met beperking
Overheid brengt NL-Alert-app uit voor grensbewoners en mensen met beperking Nieuws van 11 december 2023
Hackers maakten mogelijk gegevens van tientallen miljoenen Twitter-accounts buit
Hackers maakten mogelijk gegevens van tientallen miljoenen Twitter-accounts buit Nieuws van 28 november 2022
Meer producten en artikelen
Beveiliging en antivirus Api Datalek

Reacties (21)

-Moderatie-faq
21
20
11
2
0
4
Wijzig sortering

Sorteer op:

Weergave:
Wielink 5 februari 2024 20:10
Nog nooit van deze sociale media gehoord. Vreemd dat ze wachtwoord überhaupt serializable maken. Dat naast het feit dat ze een endpoint hadden om deze op te kunnen halen. Vraag me af wat het idee daarachter is.
Blizz @Wielink5 februari 2024 21:10
Spoutible is begonnen als pushback tegen Musk en al zijn negativiteit en alles wat er mis is met Musk-era Twitter van extreem toxic gedrag tot massale bot haatcampagnes. Tienduizenden volgers van Bouzy stemden op zijn poll dat ze inderdaad over zouden stappen en dat heeft een vrij specifieke gebruikersgroep getrokken naar een platform zoals Twitter maar zonder een Trump-kloon aan het roer. Ik zou het een ethisch alternatief noemen, maar als oprichter beweren dat iemand die deelt dat de TOS misschien te streng is aanvallen door te graven op hun Wikipedia en aan te vallen door te zeggen dat ze tijdens MeToo besloot iets gevoeligs te delen 'en dus een agenda heeft' is moreel niet veel beter.

Hij heeft het verder grotendeels zelf in elkaar gezet, in ieder geval in het begin, dus misschien dat niet goed over elk onderdeel is nagedacht. Het lijkt er trouwens op dat het lek een jaar oud is? Of vergelijkbaar als…

[Reactie gewijzigd door Blizz op 26 juli 2024 12:50]

darknessblade @Blizz5 februari 2024 21:53
Het oude lek stampt af van een open API endpoint van ColibriSM waarop spoutible is gebaseerd.
deze staat standaard open, en laat ook flink veel informatie zien over gebruikers.

https://www.colibrism.ru/...0powered%20by%20ColibriSM

https://www.wired.com/sto...20adequately%20secured%2C

Daarnaast als je in het F12 menu kijkt op de pagina's zie je dat hij veel OUTDATED abandonware gebruikt zoals "owlcarousel".
SinergyX 5 februari 2024 20:16
Ontsleutelde wachtwoorden zijn niet buitgemaakt
En dat screenshot dan?
CodeCaster @SinergyX5 februari 2024 20:29
De waarde begint met $2y$, wat aangeeft dat er bcrypt met Blowfish is gebruikt om de hash te genereren.
Raymond Deen @CodeCaster5 februari 2024 21:28
Hmmm, dat zijn weer vier posities minder “random” tekens.
Vraag me eigenlijk af waarom je een hash herkenbaar zou willen maken.
Je weet namelijk zelf welke methode(s) je daarvoor gebruikt dus waarom herkenbaar?
CodeCaster @Raymond Deen5 februari 2024 21:44
De lengte van het wachtwoord of de hash daarvan komt niet in het gedrang door hem te prefixen met het gebruikte algoritme, het aantal iteraties en een eventuele salt.

Het wordt gedaan zodat de webapplicatie bij het inloggen van de gebruiker het wachtwoord op dezelfde manier kan hashen als tijdens het vastleggen van het wachtwoord is gebeurd.

Als je dan je algoritme updatet, kun je daarna een nieuwe hash wegschrijven, geprefixt met (bij wijze van) $3z$42.

Je hebt dezelfde parameters nodig om tot dezelfde hash te komen, maar een hash kan maanden of jaren geleden aangemaakt zijn, op een eerdere versie van het webapplicatieframework (en dus wachtwoordhashalgoritme).
Raymond Deen @CodeCaster6 februari 2024 21:43
Die laatste paragraaf, daar had ik zo snel niet aan gedacht. Thnx!

Weet alleen niet of ik daar niet een aparte tabel-kolom aan zou wagen misschien. Security by obscurity is misschien bij achterhaalde hashing algoritmes dan weer wel fijn...
Maar dat is een beetje een academische discussie.
Xxana @SinergyX5 februari 2024 20:20
ziet er een gehasht paswoord uit.
CodeCaster 5 februari 2024 20:26
Herhaal na mij: ik zal geen database-entities als API-models gebruiken.

Iedere Todo-app-tutorial ten spijt. :')
MartenBE @CodeCaster5 februari 2024 22:39
Kan je hier wat meer uitleg of wat links over geven? Ik ben zelf bezig met tutorials en daar gebeurt dat inderdaad. Wat zijn de valkuilen?
Janoz Moderator PRG/SEA @MartenBE5 februari 2024 22:57
De grote valkuil is dat elke kolom uit je database vervolgens ook in het resultaat van je restcall terecht komt. Dat is de reden waarom je voor je API andere objecten gebruikt dan voor je repositories en dat je daartussen een mapping laag bouwt.
OLED 5 februari 2024 20:09
Twitter-alternatieven zijn een beetje als cryptos geworden. Het zijn er tegenwoordig bijna teveel om te onthouden en haast geen enkele is betrouwbaar genoeg om in te investeren.

Het is bij deze hack een geluk bij een ongeluk dat bijna niemand Spoutible gebruikt
darknessblade 5 februari 2024 21:01
Dit is niet het eerste "Datalek" die ze hadden, beide lekken komen doordat de CEO de API open liet staan

https://www.wired.com/sto...%20thousands%20of%20users.

[Reactie gewijzigd door darknessblade op 26 juli 2024 12:50]

Raymond Deen @darknessblade5 februari 2024 21:33
Na een stukje van dat artikel gelezen te hebben, denk ik echt van “wtf?!?!”
darknessblade @Raymond Deen5 februari 2024 21:39
IDD, hoe meer onderzoek je doet naar de CEO hoe erger het wordt.
kuurtjes 5 februari 2024 21:04
Vergeet niet dat mogelijke aanvallers gewoon password resets konden genereren en de token uit de database halen om dan zelf het wachtwoord aan te passen.

Verder zijn gehashte wachtwoorden alleen goed als ze lang genoeg zijn.
lDDQD 5 februari 2024 20:24
Ik heb een account bij hen, ik hoop dat gebruikers die wél getroffen zijn gedwongen worden hun credentials en eventuele back-up codes te resetten.
lDDQD @roches5 februari 2024 21:24
Volgens mij bestaat er een groot verschil tussen het gedwongen resetten van inloggegevens en het advies om dit te doen. Bij het laatste blijft er nog steeds een risico op ongeautoriseerd gebruik.
CyBeR @roches6 februari 2024 08:23
Er staat:
Spoutible raadt gebruikers aan hun wachtwoord aan te passen en 2fa-instellingen te resetten.
Maar bij een lek van deze mate van domheid moet dat gewoon verplicht worden, en moet het advies luiden om je wachtwoord op andere plekken te veranderen als je hetzelfde wachtwoord daar ook gebruikte. (Wat natuurlijk geen goed idee is maar wat veel mensen wel doen.)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq