Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Submitter: siNix

Hackers hebben een database met privégegevens van bezoekers van het Autoweek-forum gekopieerd. Door een beveiligingslek in de forumsoftware van de autosite konden de gegevens van bijna 46.000 forumleden worden gedownload.

De hackers blijken twee maanden terug al te hebben toegeslagen, zo bevestigt Autoweek-uitgever Sanoma tegenover Tweakers.net. Hoewel Autoweek het gat destijds wel heeft gedicht, zijn de forumgebruikers niet op de hoogte gebracht.

Sander Stallinga, business unit manager automotive bij de uitgever, noemt het 'zeer vervelend' dat Autoweek zijn forumbezoekers niet tijdig over de zaak heeft ingelicht. Hij belooft dat Autoweek op zijn forum tekst en uitleg over het voorval zal geven. Bovendien zou de juridische afdeling van de uitgever zijn ingeschakeld en wordt gepoogd de hackers op te sporen.

De bijna 46.000 buitgemaakte mailadressen uit de database kunnen dienen als voer voor spammers. Volgens weblog DMFnet.nl, dat Autoweek twee maanden geleden van het lek op de hoogte bracht, hebben de hackers de database met mailadressen inmiddels voor tweeduizend euro te koop gezet.

Moderatie-faq Wijzig weergave

Reacties (57)

Hier wordt het onderwerp in hun forum behandeld: http://www.autoweek.nl/forum/read.php?3,4101293

Onlangs hebben hackers geprobeerd in te breken op de database van AutoWeek. Daarbij hebben zij alleen de e-mailadressen van onze forumleden weten te bemachtigen. Wachtwoorden en verdere persoonlijke informatie zijn dermate sterk beveiligd, dat zij deze niet te pakken hebben gekregen....

[Reactie gewijzigd door Chills op 14 augustus 2009 14:15]

Dat vind ik dus wel grappig he, persoonlijke informatie is sterk beveiligd... wat is een e-mail adres dan, niet persoonlijke informatie?
De hackers hebben dus IMHO de hele database te pakken en als ze zo dom zijn er 'slechts' een MD5'je overheen te gooien, dan duurt het ook niet al te lang voordat de wachtwoorden achterhaald zijn.

Ik krijg een beetje het gevoel dat ze totaal niet weten wat ze met de situatie aanmoeten of er domweg niet in geďntersseerd zijn / er geen tijd (geld) in willen steken onder het mom van: de schade is toch al gedaan, wij schieten er verder niks meer mee op.
Volgens mij kost het veel te veel rekenkracht om dat efficient te laten zijn.

04d3219c0124eb1a703bfeaf4a11e504 probeer deze maar te decrypten

http://www.netadvies.nl/cgi-bin/md5.cgi
http://www.md5decrypter.com/
Klopt, en daarom zijn er rainbow tables 'uitgevonden'. Hierin staan eindeloze combinaties van mogelijke wachtwoorden (cijfers, letters, complete woordenboeken, etc) en de hashes die daarbij horen.

Dan hou je gewoon de 46.000 gehashte wachtwoorden naast de rainbow database en kijkt naar overeenkomsten. Minimaal 1% van de users is altijd 'dom' genoeg om een te simpel password te gebruiken: bingo, 460 wachtwoorden. Tevens gebruiken veel mensen hetzelfde wachtwoord voor meerdere accounts (stel 1%) : bingo, 5 gehackte emailaccounts/paypalaccounts (evt).

Uit de reactie van Autoweek lijkt niet echt dat ze de boel extra beveiligd hebben dmv salts of dergelijke maatregelen.

Edit: zie bijvoorbeeld: http://www.codinghorror.com/blog/archives/000949.html

[Reactie gewijzigd door Clock op 14 augustus 2009 18:01]

Yep, en dan botnetje gebruiken; elke client mag 3x proberen. 15k pc's die het resultaat naar de c&C sturen... ah well. Dan krijg je weer een mailtje van de betreffende site. geachte forumbezoeker, wegens technische redenen was de site onbereikbaar. In werkelijkheid werd de site gewoon plat ge(D)dos-ed, half open sessions en rainbow brute force...
Kijk voor verdere uitleg over rainbowtables eens op http://www.ethicalhacker.net/content/view/94/24
Ik vond het een uiterst duidelijke site die je vooral aan het denken zet over (on)veiligheid van wachtwoorden. Het pleit absoluut voor securid oplossingen.
Was je invoer toevallig 'tweakers.net'?

'Gekraakt' in een paar seconden...

[Reactie gewijzigd door Freakertje op 14 augustus 2009 18:15]

MD5je? Je praat er over alsof MD5 hashes easy te kraken zijn. Dat is one-way-only in de meeste gevallen, dat kan je niet op dezelfde manier doen met mailadressen.
Zoals met bovenstaand voorbeeld (vermoedelijk) bewezen, zijn md5 hashes dus inderdaad eenvoudig te kraken. Het enige wat roet in het eten kan gooien zijn de mogelijke collisions, oftewel false positives. Twee resultaten die dezelfde output geven. Ook een zwakte van md5, waardoor je het echte wachtwoord niet eens hoefde te kennen.

Sinds 2005 is deze hash niet meer veilig. Zelfs SHA1 lig al onder vuur. Lees voor de grap maar eens een artikel uit 2005 erover na. 45 minuten voor een collision te berekenen met een computer die destijds nog slomer was dan mijn huidige 7 jaar oude laptop....
Hoewel Autoweek het gat destijds wel heeft gedicht, zijn de forumgebruikers niet op de hoogte gebracht.
Ha ha ha. Standaard cover-up. Ik vind dat zo flauw he. Totaal niet integere mensen daar bij Autoweek.

Btw: op fora gebruik ik daarom altijd een hotmail/gmail-account en niet een prive e-mailadres.

Overigens zie ook het lek bij GPD en de weblog van Robiii over Webarchitects. Er werken te veel nitwits in de IT. Ik zeg: je moet gecertificeerd worden voor je iets mag doen met persoonsdatabases en Internet-koppelingen. Ben je onvoldoende gecertificeerd dan mag jij zulke koppelingen gewoon niet aanbrengen: dan ben je een gevaar voor de privacybescherming van mensen.

[Reactie gewijzigd door bobwarley op 14 augustus 2009 13:56]

Dat doe ik ook, een hotmail (spambox) voor registraties van sites en fora... inmiddels 8000+ ongelezen spam berichten ;)

Gebruik ook nooit hetzelfde wachtwoord voor registraties en je email-account, ben al een paar keer tegen gekomen dat mensen dat doen met alle narigheid ten gevolge...
Stuur die spam eens door naar spamcop of knujon...
Die halen spammers uit de lucht.
Nog maar zelden (nooit) een nieuwsbericht over hun weldaden gelezen op T.net. Spammers (adressen bedoel je misschien) blokkeren door ze door te geven is één, maar de spammers 'uit de lucht' en naar de rechtbank te brengen, dat is iets anders (en meer definitief).
Die tijd heb ik ook gehad, vond het echter wat omslachtig telkens een Hotmail account aan te maken. Gebruik sinds tijden een daarvoor bestemde spambox.

http://spam.la
ik ook niet. Pak een simpele formule:

username: in principe altijd hetzelfde bij mij
password: $NietEcht$TS
(TweakerS)

of password: $NietEcht$FK (FoK), $NietEcht$WD (WebwerelD)

Zo doe ik dat meestal. Je kan natuurlijk ook een andere logica gebruiken (bv: $standaardpass+eerste 2 letters van domein; of lengte van de domeinnaam als cijfer enz). Zo ken je tenminste een beetje gemakkelijk je passwords onthouden op allerlei sites, zonder dat ze overal precies hetzelfde zijn.

[Reactie gewijzigd door bobwarley op 14 augustus 2009 14:02]

zonder dat ze overal precies hetzelfde zijn.
Totdat iemand ontdekt hoe die scheme in elkaar zit, en dan kan ie de rest ook achterhalen aan de hand van 1 wachtwoord.

Ik heb een online password tooltje gemaakt die gewoon een database bijhoudt van verschillende sites waar ik een account heb, met per site een unieke salt. Uit die salt icm mijn masterpassword komt met behulp van een aangepast md5 algo een wachtwoord uitrollen van 16 hoofd- en kleine letters en cijfers, die ik gevolgens gebruik voor dat account. Mijn masterpassword weet ik natuurlijk uit m'n hoofd dus die staat nergens opgeslagen. En voor het vormen van het wachtwoord gebruik ik gewoon een javascriptje dat lokaal in je browser draait, dus gaat m'n masterpass niet eens het internet over.

Bottom line: ik hoef maar 1 wachtwoord te onthouden en al m'n accounts gebruiken compleet unieke wachtwoorden. Aan dat unieke wachtwoord alleen is compleet niets af te leiden.

Bovendien maak ik per site een specifiek email forwarder aan, zodat ik ook kan zien dat als ik spam ontvang wie er gelekt heeft. Zo kreeg ik onlangs ineens reclame van Kia op mijn Kijkshop mail adres. Meteen een klacht ingediend op spamklacht.nl, en m'n kijkshop alias laten forwarden naar info@kijkshop.nl :).

[Reactie gewijzigd door .oisyn op 14 augustus 2009 14:39]

Awesome strategie .oisyn, maar heeft dat online password tooltje zelf ook een wachtwoord? als dat niet zo is, is je wachtwoord alsnog te achterhalen middels een bruteforce aanval op het gegenereerde paswoord. Ik weet natuurlijk niet precies hoe je aangepaste MD5 werkt, maar voor MD5 is het relatief makkelijk om collisions te genereren, je kunt dan zoeken naar collisions die de salt bevatten die het tooltje geeft. Zo moet er dus een redelijk kort (denk ik) lijstje gemaakt kunnen worden met mogelijke masterpasswords. En omdat je tooltje een lijst geeft met websites waar jij een account hebt zou het korte lijstje bruteforcen niet echt een probleem moeten zijn :)

Als je via HTTPS verbind met die tool en daarna met je master inlogt is dat probleem weg natuurlijk :)
Ik weet natuurlijk niet precies hoe je aangepaste MD5 werkt, maar voor MD5 is het relatief makkelijk om collisions te genereren, je kunt dan zoeken naar collisions die de salt bevatten die het tooltje geeft.
Feitelijk is het converttopassword(md5(salt + masterpass)), waarbij converttopassword() de bits van de m5 omzet naar een wachtwoord bestaande uit hoofd-, kleine letters en cijfers, 16 tekens lang. Daarnaast zijn collisions hier helemaal niet relevant, dus ze moeten alsnog 'masterpass' bruteforcen. En om dat te kunnen heb je dus de salt en het uiteindelijke wachtwoord van die site die bij de salt hoort nodig.
Als je via HTTPS verbind met die tool en daarna met je master inlogt is dat probleem weg natuurlijk
Ja, ik log in met HTTPS, maar niet met mijn master password. Het wachtwoord van de pagina is weer een ander wachtwoord dan het masterwachtwoord dat ik in moet vullen. Dit om te voorkomen dat mijn masterwachtwoord ooit in welke vorm dan ook over het netwerk hoeft.
Het is bijvoorbeeld ook mogelijk om een tag mee te geven aan je eigen e-mailadres:
je.email+tweakers@gmail.com op deze manier kun je leuk bijhouden of je e-mailadres is gelekt. En het is natuurlijk ook bijzonder handig bij het filteren.
Dit werkt nagenoeg bij iedere host, het staat vastgesteld in RFC protocollen.
Het is vrij uniek dat het bij GMail zo werkt, maar het is wel handig inderdaad. Behalve dan dat de meeste sites een error geven als je een '+' in je emailadres zet...
Handig dat we dat nu weten :)
Okee bedankt he voor de info, nu kan ik daar mooi misbruik van gaan maken ;)
Certificeringen zeggen zonder onderbouwde ervaring / kennis ook weer driemaal niets: je hebt MCSE'rs die dondersgoed weten waar ze mee bezig zijn en je hebt MCSE'rs die niets meer zijn dan de "Mouse-Clicking-Systems-Engineer", om maar een vergelijking te maken.
Plus dat je best geweldige developers kunt hebben zonder de benodigde certificeringen. Moet je die dan uitsluiten?

Er zou een kwaliteitskeurmerk moeten zijn, uitgegeven door een onafhankelijke instantie.
Het probleem waar je dan echter mee zit: wie gaat dit doen? wie gaat hun toegang verlenen tot hun test danwel productie-omgeving om dit te testen - vooral als ze nog nieuw zijn? En wat zijn de standaarden waar je je op baseert? Verschillende de eisen per bezoekersaantal? Per product (CMS, blog)? Toepassing (overheid, privé, zakelijk)? Etcetera..

[Reactie gewijzigd door robrt op 14 augustus 2009 14:14]

Certificering is leuk.

Software goed testen en een goede programmeur met ervaring en kennis helpt ook enorm.

Certificering is zoals Rob.. ook al zegt nie waterdicht.
Ja precies, je hebt nu een programmeur die blijkbaar iets niet goed gedaan heeft en er is dus een lek.

Dan ga je op basis van certificaten werken. Dan heb je diezelfde programmeur nog steeds die iets verkeerd kan doen. heb je nog steeds een lek.

maw. shit happens.
Vind het altijd persoonlijk moeilijk een schuldige aan te wijzen bij dergelijke problemen.
Als server en fora beheerder ben je verantwoordelijk voor je systeem + software.

Stel je hebt een opensource OS + forum software welke je 100% up to date hebt. En de situatie doet zich voor dat net tijdens het boodschappen doen je systeem wordt gehackt omdat er een deurtje in je forumsoftware zit, en men kaapt je forum gebruikers informatie. Er is nog geen patch beschikbaar, want het probleem is nog niet bekend binnen de community....... wie is er dan aansprakelijk?

1) Ik als beheerder welke geen andere kant op kan dan de boel tijdelijk te sluiten, omdat ik de totale config niet zelf heb gemaakt? (afwachtend op een patch?)

2) Of de softwarecommunity die de software heeft gemaakt?
Niet 2) want die wijzen in hun licenties elke vorm van aansprakelijkheid af. Ik denk eigenlijk ook niet 1) want die heeft al het mogelijke gedaan dat redelijkerwijs van hem verwacht mocht worden. Kon wel eens een geval van "jammer maar helaas" worden voor de gedupeerden.
Slecht dat ze de leden niet meteen op de hoogte hebben gebracht van dit lek, voor hetzelfde geld worden al die leden overspoelt met spam en hebben ze geen idee hoe dat komt... Sowieso snap ik eigenlijk niet waarom ze dat niet meteen hebben gemeld.
Denk dat er veel gebruikers bij zitten die maar 1 emailadres hebben, bijvoorbeeld die ze destijds van hun provider hebben gekregen etc, oftewel een emailadres die ze voor privé en werk etc gebruiken, die zullen niet al te blij zijn dat ze binnenkort een portie spam kunnen verwachten, gedeelte ervan weet waarschijnlijk geeneens hoe ze uberhaupt een nieuw emailadres moeten maken/aanvragen.
Ach dit is niets meer dan dat de afdeling communicatie de techneut niet begrijpt en andersom. Want de techneuten hier snappen niet dat communicatie zulke stomme leugens gebruikt. Maar waar gaat om heel simpel de onrust bij een grote groep wegnemen. En nogmaals sommige opmerkingen hier snap ik echt niet, het had beter beveiligt moeten worden etc... Hoe zou je zelf reageren als iemand het zegt nadat er bij jouw thuis is ingebroken, had je het maar beter moeten beveiligen. Maar niemand wil in fort knox wonen, en niemand wil voor een forum betalen. Zo simpel is het.
Offtopic: Autoweek mag hun site ook weleens verbeteren sjeez hey wat een irritante site is dat in Firefox. Probeer maar eens in firefox:

Ga naar een artikel met meerdere afbeeldingen, bekijk alle afbeeldingen en sluit het schermpje, probeer nu maar eens met 1 klik weer terug te komen op de hoofdpagina. Het lukt je niet.

Ontopic:

Je ziet vaker op fora dat ze de hotmail accounts blokkeren als je wilt registreren. Dan mogen zij er eerst voor zorgen dat mijn e-mail veilig is. Btw ik heb meerdere accounts op autoweek omdat ik domweg ben vergeten wat mijn username was en welke spam-email ik had gebruikt :o
Ga naar een artikel met meerdere afbeeldingen, bekijk alle afbeeldingen en sluit het schermpje, probeer nu maar eens met 1 klik weer terug te komen op de hoofdpagina. Het lukt je niet.
Als ik 't schermpje sluit en ik druk op het Autoweek logo linksbovenin, kom ik gewoon weer op de homepagina in FF?
Haha oke zo wel maar ik bedoel met mousegestures of gewoon backspace op je toetsenbord.
Met backspace lukt 't ook...
Soms moet je 2x snel klikken. Dan zit er een of andere javascript of redirecting code achter.
Zou het weer eens een gevalletje SQL injection zijn? Het zou mij niet verbazen. Verder vraag ik me af waarom men alles en iedereen altijd toegang geeft tot de volledige database? Er is geen enkel PHP-scriptje op de site van autoweek die toegang nodig heeft tot álle emailadressen. Dat is toch kinderachtig eenvoudig af te schermen, maar ja, daar moet iemand over nadenken.
8)7
wie geeft er iets om spam...... dat krijg je na verloop van tijd tóch wel binnen, hoe hard je ook je best doet om je emailadres te verbergen!
waar meer zorgen over gemaakt mag worden, zijn de usernames en passwords .... de meeste mensen gebruiken voor verschillende sites dezelfde passwords.
1. Dit zijn plaatjes pim, geen cleartext.
2. Je zult alléén emailadressen zien staan die openbaar door de gebruikers zelf zijn gemaakt. Dit is dus heel iets anders dan de Autoweek "hack". Probeer maar op mijn account: http://tweakers.net/ext/emailadres/?UserID=69767 ("Niet openbaar").
3. Als jij met een interessant scriptje (OCR-koppeling) komt om ze te dumpen naar een textfile, dan mag je het ff opnieuw posten.

[Reactie gewijzigd door bobwarley op 14 augustus 2009 13:59]

Daarbij komt dat je hiervoor zelf de keuze kan maken of je je email adres zichtbaar wilt maken of niet. Dat heet een optie, te vinden op je profiel pagina ... :+
...en je kan ze alleen zien als je ingelogd bent. Plus dat de gehele Gallery buiten Google gehouden wordt (meen ik).
Ik heb een simpel stukje C# code liggen die ocr-achtig werkt, maar alleen nog niet uitgeprobeerd. Lijkt me wel handig, maar volgens mij werkt dit simpele stukje code alleen als het geen captcha achtige plaatjes zijn. Bijv. dus simpel zwarte truetype fonttekst/witte achtergrond plaatjes. Dus je kunt nonchalant doen, maar weet dat plaatjes ook uit te lezen zijn. En ik las eens iemand z'n post hier, en die zei dat er gasten zijn die gratis content aanbieden, in ruil voor het vertalen van bijv. een captcha image. Kansloos dus.
@ Only.Holoris, vrijdag 14 augustus 2009 13:56

Gelukt, laat m op engels staan en upload je png met je emailadres die op je profiel staat.. :P

zie: http://www.free-ocr.com

[Reactie gewijzigd door rorydeleur op 14 augustus 2009 14:14]

Idd ik zei al met OCR-koppeling dat het kan. Nu nog ff een leuk scriptje om het in 1x te rippen svp :p
pff wget met een varaible.... shell script is zo gemaakt, je mag er wel op rekenen dat je een life long ban aan je broek krijgt .....

Des al niet te min makkelijk te misbruiken lijkt me, mischien moet tweakers.net zich hier eens op beraden ...
Dat zou toch niet te moeilijk moeten zijn? Je hebt al bij zoveel inschrijvingen en dergelijke dat je zo'n compleet vervormt plaatje krijg. Ik neem aan dat dat is omdat software normale plaatjes al makkelijk kan lezen (net zoiets als handschrift herkenning).
Klopt, zeker de plaatjes die t.net gebruikt zijn simpel te OCR'en. Je hebt hier zo iets voor in elkaar gebakken. En die tienduizenden images zijn zo binnengetrokken voordat iemand het door heeft.

Sommige mensen gewoon maar 1 e-mail adres en je voorkomt dus toch niet dat er mensen 'onverwacht' de dupe van worden indien iemand het bovenstaande ten uitvoer brengt.
Wat heeft dit voor meerwaarde? Je moest eens weten hoeveel werk het is om alles met de hand over te moeten typen, tenzij je alles automatisch kan omzetten met een OCR-koppeling.

@On-topic:
Het zou me niets verbazen dat ze gewoon naar de user-table van dat forum zijn gegaan in de database en dan zo alle e-mail velden hebben zitten te exporteren, zo heel veel werk is dat namelijk al niet meer. (Waar SELECT wel niet goed voor is :))

Indien Autoweek vBulletin gebruikt (of weer een andere) kunnen die andere mensen er ook weer getroffen worden door deze hack. Ik vraag me trouwens af hoe ze dit lek hebben gevonden. Oneindig rondklooien of in de code zoeken naar fouten?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True